Koşullu Erişim ilkelerinin dışında tutulan kullanıcıları yönetmek için erişim gözden geçirmelerini kullanma

  • Makale

İdeal bir dünyada, tüm kullanıcılar kuruluşunuzun kaynaklarına erişimin güvenliğini sağlamak için erişim ilkelerini izler. Ancak, bazen özel durumlar yapmanızı gerektiren iş durumları olabilir. Bu makale, dışlamaların gerekli olabileceği bazı durum örneklerinin üzerinden geçmektedir. BT yöneticisi olarak Microsoft Entra erişim gözden geçirmelerini kullanıp bu görevi yönetebilir, ilke özel durumlarının gözden kaçmasını önleyebilir ve söz konusu özel durumların düzenli aralıklarla gözden geçirildiğinin kanıtıyla denetçiler sağlayabilirsiniz.

Not

Microsoft Entra erişim gözden geçirmelerini kullanmak için geçerli bir Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi, Enterprise Mobility + Security E5 ücretli veya deneme lisansı gereklidir. Daha fazla bilgi için bkz . Microsoft Entra sürümleri.

Kullanıcıları neden ilkelerden dışlayasınız?

Yönetici olarak, çok faktörlü kimlik doğrulaması (MFA) gerektirmek ve kimlik doğrulama isteklerini belirli ağlarla veya cihazlarla sınırlamak için Microsoft Entra Koşullu Erişim kullanmaya karar verdiğinizi varsayalım. Dağıtım planlaması sırasında, tüm kullanıcıların bu gereksinimleri karşılayamadığını fark ediyorsunuz. Örneğin, şirket içi ağınızın bir parçası değil, uzak ofislerden çalışan kullanıcılarınız olabilir. Bu cihazların değiştirilmesini beklerken desteklenmeyen cihazları kullanarak bağlanan kullanıcıları da barındırmanız gerekir. Kısacası, işletmenin bu kullanıcıların oturum açması ve işlerini yapması gerekir, böylece koşullu erişim ilkelerinin dışında tutabilirsiniz.

Başka bir örnek olarak, koşullu erişimde kullanıcıların kiracılarına erişmesine izin vermek istemediğiniz bir dizi ülke ve bölge belirtmek için adlandırılmış konumlar kullanıyor olabilirsiniz.

Koşullu Erişim'de adlandırılmış konumlar

Ne yazık ki bazı kullanıcıların bu engellenen ülkelerden/bölgelerden oturum açmak için geçerli bir nedeni olabilir. Örneğin, kullanıcılar iş için seyahat ediyor olabilir ve şirket kaynaklarına erişmeleri gerekebilir. Bu durumda, bu ülkeleri/bölgeleri engelleyen Koşullu Erişim ilkesi, ilkenin dışında tutulan kullanıcılar için bir bulut güvenlik grubu kullanabilir. Seyahat ederken erişime ihtiyacı olan kullanıcılar, Microsoft Entra self servis Grup yönetimini kullanarak kendilerini gruba ekleyebilir.

Diğer bir örnek, kullanıcılarınızın çoğu için eski kimlik doğrulamasını engelleyen bir Koşullu Erişim ilkeniz olması olabilir. Ancak, Office 2010 veya IMAP/SMTP/POP tabanlı istemciler aracılığıyla kaynaklarınıza erişmek için eski kimlik doğrulama yöntemlerini kullanması gereken bazı kullanıcılarınız varsa, bu kullanıcıları eski kimlik doğrulama yöntemlerini engelleyen ilkenin dışında tutabilirsiniz.

Not

Microsoft, güvenlik duruşunuzu geliştirmek için kiracınızda eski protokollerin kullanımını engellemenizi kesinlikle önerir.

Dışlamalar neden zorlayıcı?

Microsoft Entra Id'de Koşullu Erişim ilkesinin kapsamını bir kullanıcı kümesi olarak belirleyebilirsiniz. Microsoft Entra rollerini, tek tek kullanıcıları veya konukları seçerek de dışlamaları yapılandırabilirsiniz. Dışlamalar yapılandırıldığında ilke amacının dışlanan kullanıcılara uygulanamazsınız. Dışlamalar bir kullanıcı listesi kullanılarak veya eski şirket içi güvenlik grupları kullanılarak yapılandırıldıysa, dışlamalar üzerinde sınırlı görünürlüğe sahip olursunuz. Sonuç olarak:

  • Kullanıcılar dışlandıklarının farkında olmayabilir.

  • Kullanıcılar ilkeyi atlamak için güvenlik grubuna katılabilir.

  • Dışlanan kullanıcılar dışlama için daha önce uygun olabilir ancak artık bu haklara sahip değildir.

Genellikle, bir dışlamayı ilk kez yapılandırdığınızda, ilkeyi atlayan kullanıcıların kısa bir listesi olur. Zaman içinde dışlama özelliğine daha fazla kullanıcı eklenir ve liste büyür. Bir noktada listeyi gözden geçirmeniz ve bu kullanıcıların her birinin hala dışlama için uygun olduğunu onaylamanız gerekir. Dışlama listesini teknik açıdan yönetmek nispeten kolay olabilir, ancak iş kararlarını kim verir ve bunların tümünün denetlenebilir olmasını nasıl sağlarsınız? Ancak dışlama işlemini bir Microsoft Entra grubu kullanarak yapılandırırsanız erişim gözden geçirmelerini telafi denetimi olarak kullanabilir, görünürlüğü artırabilir ve dışlanan kullanıcı sayısını azaltabilirsiniz.

Koşullu Erişim ilkesinde dışlama grubu oluşturma

Yeni bir Microsoft Entra grubu ve bu gruba uygulanmayan bir Koşullu Erişim ilkesi oluşturmak için bu adımları izleyin.

Dışlama grubu oluşturma

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.

  2. Kimlik>Grupları>Tüm gruplar'a göz atın.

  3. Yeni Grup seçeneğini belirleyin.

  4. Grup türü listesinde Güvenlik'i seçin. Bir ad ve açıklama belirtin.

  5. Üyelik türünü Atanan olarak ayarladığınızdan emin olun.

  6. Bu dışlama grubunun parçası olması gereken kullanıcıları seçin ve ardından Oluştur'u seçin.

Microsoft Entra Id'de yeni grup bölmesi

Grubu dışlayan bir Koşullu Erişim ilkesi oluşturma

Artık bu dışlama grubunu kullanan bir Koşullu Erişim ilkesi oluşturabilirsiniz.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.

  2. Koruma>Koşullu Erişim'e göz atın.

  3. Yeni ilke oluştur'u seçin.

  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.

  5. Atamalar'ın altında Kullanıcılar ve gruplar'ı seçin.

  6. Ekle sekmesinde Tüm Kullanıcılar'ı seçin.

  7. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve oluşturduğunuz dışlama grubunu seçin.

    Not

    En iyi uygulama olarak, kiracınızın dışında tutulmadığınızdan emin olmak için test ederken ilkeden en az bir yönetici hesabının dışlanması önerilir.

  8. Kurumsal gereksinimlerinize göre Koşullu Erişim ilkesini ayarlamaya devam edin.

Koşullu Erişim'de dışlanan kullanıcıları seçme bölmesi

Şimdi Koşullu Erişim ilkelerindeki dışlamaları yönetmek için erişim gözden geçirmelerini kullanabileceğiniz iki örneği ele alalım.

Örnek 1: Engellenen ülkelerden/bölgelerden erişen kullanıcılar için erişim gözden geçirmesi

Belirli ülkelerden/bölgelerden erişimi engelleyen bir Koşullu Erişim ilkeniz olduğunu varsayalım. İlkenin dışında tutulan bir grup içerir. Grup üyelerinin gözden geçirildiği önerilen erişim gözden geçirmesi aşağıdadır.

Erişim gözden geçirme bölmesi oluşturma örneğin 1

Not

Erişim gözden geçirmeleri oluşturmak için Genel yönetici veya Kullanıcı yöneticisi rolü gereklidir. Erişim gözden geçirmesi oluşturma hakkında adım adım kılavuz için bkz. Gruplar ve uygulamalar için erişim gözden geçirmesi oluşturma.

  1. Gözden geçirme her hafta gerçekleşir.

  2. Bu dışlama grubunu en güncel şekilde tuttuğunuzdan emin olmak için gözden geçirme hiçbir zaman sona ermez.

  3. Bu grubun tüm üyeleri gözden geçirme kapsamındadır.

  4. Her kullanıcının bu engellenen ülkelerden/bölgelerden hala erişmesi gerektiğini kendi kendine doğrulamaları ve bu nedenle grubun üyesi olmaları gerekir.

  5. Kullanıcı gözden geçirme isteğine yanıt vermezse gruptan otomatik olarak kaldırılır ve bu ülkelere/bölgelere seyahat ederken artık kiracıya erişimi olmaz.

  6. Kullanıcılara erişim gözden geçirmesinin başlangıcı ve tamamlanması hakkında bilgi vermek için e-posta bildirimlerini etkinleştirin.

Örnek 2: Eski kimlik doğrulamasıyla erişen kullanıcılar için erişim gözden geçirmesi

Eski kimlik doğrulaması ve eski istemci sürümlerini kullanan kullanıcılar için erişimi engelleyen bir Koşullu Erişim ilkeniz olduğunu ve ilkenin dışında tutulan bir grup içerdiğini varsayalım. Grup üyelerinin gözden geçirildiği önerilen erişim gözden geçirmesi aşağıdadır.

Erişim gözden geçirme bölmesi oluşturma örneğin 2

  1. Bu gözden geçirmenin yinelenen bir gözden geçirme olması gerekir.

  2. Gruptaki herkesin gözden geçirilmesi gerekir.

  3. İş birimi sahiplerini seçili gözden geçirenler olarak listelenecek şekilde yapılandırılabilir.

  4. Sonuçları otomatik olarak uygulayın ve eski kimlik doğrulama yöntemlerini kullanmaya devam etmek için onaylanmamış kullanıcıları kaldırın.

  5. Büyük grupları gözden geçirenlerin kolayca karar vermeleri için önerileri etkinleştirmek yararlı olabilir.

  6. Kullanıcılara erişim gözden geçirmesinin başlangıcı ve tamamlanması hakkında bilgi verilmesi için posta bildirimlerini etkinleştirin.

Önemli

Çok sayıda dışlama grubunuz varsa ve bu nedenle birden çok erişim gözden geçirmesi oluşturmanız gerekiyorsa, Microsoft Graph bunları program aracılığıyla oluşturmanıza ve yönetmenize olanak tanır. Başlamak için, Microsoft Graph'teki erişim gözden geçirmeleri API'sini kullanarak erişim gözden geçirmeleri API başvurusuna ve öğreticisine bakın.

Erişim gözden geçirme sonuçları ve denetim günlükleri

Artık her şey yerine, grup, Koşullu Erişim ilkesi ve erişim gözden geçirmelerine sahip olduğunuz için bu incelemelerin sonuçlarını izleme ve izleme zamanı geldi.

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Erişim gözden geçirmelerine göz atın.

  3. Dışlama ilkesi oluşturduğunuz grupla birlikte kullandığınız Access gözden geçirmesini seçin.

  4. Listede kalması onaylanan ve kaldırılan kişileri görmek için Sonuçlar'ı seçin.

    Erişim gözden geçirme sonuçları kimin onaylandığını gösterir

  5. Bu gözden geçirme sırasında kullanılabilecek eylemleri görmek için Denetim günlükleri'ni seçin.

BT yöneticisi olarak, ilkelerinizde dışlama gruplarını yönetmenin bazen kaçınılmaz olduğunu biliyorsunuz. Ancak, bu grupların bakımının yapılması, işletme sahibi veya kullanıcıların kendileri tarafından düzenli olarak gözden geçirilmesi ve erişim gözden geçirmeleri ile bu değişikliklerin denetlenmesi daha kolay hale getirilebilir.

Sonraki adımlar