Koşullu Erişim: Koşullar

Bir Koşullu Erişim ilkesinde yönetici, ilke kararlarını geliştirmek için risk, cihaz platformu veya konum gibi koşullardan gelen sinyalleri kullanabilir.

Define a Conditional Access policy and specify conditions

Ayrıntılı ve belirli Koşullu Erişim ilkeleri oluşturmak için birden çok koşul birleştirilebilir.

Örneğin, bir yönetici hassas bir uygulamaya erişirken, çok faktörlü kimlik doğrulaması gibi diğer denetimlere ek olarak Kimlik Koruması'ndan ve konumdan oturum açma riski bilgilerini erişim kararlarına katabilir.

Oturum açma riski

Kimlik Koruması'na erişimi olan müşteriler için, oturum açma riski Koşullu Erişim ilkesinin bir parçası olarak değerlendirilebilir. Oturum açma riski, belirli bir kimlik doğrulama isteğinin kimlik sahibi tarafından yetkilendirilmiyor olma olasılığını temsil eder. Oturum açma riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.

Kullanıcı riski

Kimlik Koruması'na erişimi olan müşteriler için, kullanıcı riski Koşullu Erişim ilkesinin bir parçası olarak değerlendirilebilir. Kullanıcı riski, belirli bir kimliğin veya hesabın tehlikeye atılmış olma olasılığını temsil eder. Kullanıcı riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.

Cihaz platformları

Cihaz platformu, bir cihazda çalışan işletim sistemiyle karakterize edilir. Azure AD, kullanıcı aracısı dizeleri gibi cihaz tarafından sağlanan bilgileri kullanarak platformu tanımlar. Kullanıcı aracısı dizeleri değiştirilebildiği için bu bilgiler onaylanmamıştır. Cihaz platformu, Microsoft Intune cihaz uyumluluk ilkeleriyle uyumlu olarak veya bir blok bildiriminin parçası olarak kullanılmalıdır. Varsayılan ayar tüm cihaz platformlarına uygulanır.

Azure AD Koşullu Erişim aşağıdaki cihaz platformlarını destekler:

  • Android
  • iOS
  • Windows
  • Mac OS
  • Linux

Diğer istemciler koşulunu kullanarak eski kimlik doğrulamasını engellerseniz, cihaz platformu koşulunu da ayarlayabilirsiniz.

Önemli

Microsoft, desteklenmeyen cihaz platformları için koşullu erişim ilkeniz olmasını önerir. Örneğin, Chrome işletim sisteminden veya diğer desteklenmeyen istemcilerden şirket kaynaklarınıza erişimi engellemek istiyorsanız, herhangi bir cihazı içeren ve desteklenen cihaz platformlarını hariç tutan ve Erişimi engelle olarak ayarlanmış bir Cihaz platformları koşuluyla bir ilke yapılandırmanız gerekir.

Konumlar

Bir koşul olarak konumu yapılandırırken, kuruluşlar konumları dahil etmeyi veya hariç tutmayı seçebilir. Bu adlandırılmış konumlar genel IPv4 ağ bilgilerini, ülke veya bölgeyi, hatta belirli ülke veya bölgelerle eşleşmeyen bilinmeyen alanları içerebilir. Yalnızca IP aralıkları güvenilir bir konum olarak işaretlenebilir.

Herhangi bir konumu eklerken, bu seçenek yalnızca yapılandırılmış adlandırılmış konumları değil, İnternet'te herhangi bir IP adresini içerir. Herhangi bir konumu seçerken, yöneticiler tüm güvenilir veya seçili konumları dışlama seçeneğini belirleyebilir.

Örneğin, bazı kuruluşlar kullanıcıları fiziksel merkezleri gibi güvenilir bir konumda ağa bağlıyken çok faktörlü kimlik doğrulaması gerektirmemeyi tercih edebilir. Yöneticiler herhangi bir konumu içeren ancak merkez ağları için seçilen konumları dışlayan bir ilke oluşturabilir.

Konumlar hakkında daha fazla bilgi Azure Active Directory Koşullu Erişim'de konum koşulu nedir? makalesinde bulunabilir.

İstemci uygulamaları

Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri, istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulama türlerine uygulanır.

Not

İstemci uygulamaları koşulunun davranışı Ağustos 2020'de güncelleştirildi. Koşullu Erişim ilkeleriniz varsa, bunlar değişmeden kalır. Ancak var olan bir ilkeye tıklarsanız yapılandırma iki durumlu düğmesi kaldırılır ve ilkenin uygulandığı istemci uygulamaları seçilir.

Önemli

Eski kimlik doğrulama istemcilerinden gelen oturum açma işlemleri MFA'yı desteklemez ve cihaz durumu bilgilerini Azure AD'ye geçirmez, bu nedenle MFA veya uyumlu cihazlar gerektirme gibi Koşullu Erişim verme denetimleri tarafından engellenir. Eski kimlik doğrulamasını kullanması gereken hesaplarınız varsa, bu hesapları ilkenin dışında tutmanız veya ilkeyi yalnızca modern kimlik doğrulama istemcilerine uygulanacak şekilde yapılandırmanız gerekir.

Evet olarak ayarlandığında Yapılandır iki durumlu düğmesi, modern ve eski kimlik doğrulama istemcileri de dahil olmak üzere tüm istemci uygulamaları için geçerli olan Hayır olarak ayarlandığında, işaretli öğeler için geçerlidir. Bu iki durumlu düğme Ağustos 2020'den önce oluşturulan ilkelerde görünmez.

  • Modern kimlik doğrulama istemcileri
    • Tarayıcı
      • Bunlar SAML, WS-Federation, OpenID Bağlan gibi protokolleri veya OAuth gizli istemcisi olarak kaydedilen hizmetleri kullanan web tabanlı uygulamaları içerir.
    • Mobil uygulamalar ve masaüstü istemcileri
      • Bu seçenek, Office masaüstü ve telefon uygulamaları gibi uygulamaları içerir.
  • Eski kimlik doğrulama istemcileri
    • İstemcileri Exchange ActiveSync
      • Bu seçim, Exchange ActiveSync (EAS) protokolünün tüm kullanımını içerir.
      • İlke Exchange ActiveSync kullanımını engellediğinde, etkilenen kullanıcı tek bir karantina e-postası alır. ile birlikte gelen bu e-posta, bunların neden engellendiği hakkında bilgi sağlar ve mümkünse düzeltme yönergelerini içerir.
      • Yöneticiler, Koşullu Erişim Microsoft Graph API aracılığıyla yalnızca desteklenen platformlara (iOS, Android ve Windows gibi) ilke uygulayabilir.
    • Diğer istemciler
      • Bu seçenek, modern kimlik doğrulamasını desteklemeyen temel/eski kimlik doğrulama protokollerini kullanan istemcileri içerir.
        • Kimliği doğrulanmış SMTP - POP ve IMAP istemcilerinin e-posta iletileri göndermek için kullandığı.
        • Otomatik Bulma - Outlook ve EAS istemcileri tarafından Exchange Online posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır.
        • Exchange Online PowerShell - Uzak PowerShell ile Exchange Online bağlanmak için kullanılır. Exchange Online PowerShell için Temel kimlik doğrulamasını engellerseniz bağlanmak için Exchange Online PowerShell Modülünü kullanmanız gerekir. Yönergeler için bkz. PowerShell'i çok faktörlü kimlik doğrulaması kullanarak Exchange Online Bağlan.
        • Exchange Web Hizmetleri (EWS) - Outlook, Mac için Outlook ve üçüncü taraf uygulamalar tarafından kullanılan bir programlama arabirimi.
        • IMAP4 - IMAP e-posta istemcileri tarafından kullanılır.
        • HTTP üzerinden MAPI (MAPI/HTTP) - Outlook 2010 ve üzeri tarafından kullanılır.
        • Çevrimdışı Adres Defteri (OAB) - Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası.
        • Outlook Anywhere (HTTP üzerinden RPC) - Outlook 2016 ve önceki sürümler tarafından kullanılır.
        • Outlook Hizmeti - Posta ve Takvim uygulaması tarafından Windows 10 için kullanılır.
        • POP3 - POP e-posta istemcileri tarafından kullanılır.
        • Raporlama Web Hizmetleri - Exchange Online rapor verilerini almak için kullanılır.

Bu koşullar genellikle yönetilen cihaz gerektiğinde, eski kimlik doğrulamasını engellerken ve web uygulamalarını engellerken ancak mobil veya masaüstü uygulamalarına izin verilirken kullanılır.

Desteklenen tarayıcılar

Bu ayar tüm tarayıcılarla çalışır. Ancak uyumlu bir cihaz gereksinimi gibi bir cihaz ilkesini karşılamak için aşağıdaki işletim sistemleri ve tarayıcılar desteklenir. Temel destekten düşmüş olan İşletim Sistemleri ve tarayıcılar şu listede gösterilmez:

İşletim Sistemleri Browsers (Tarayıcılar)
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (notlara bakın)
Android Microsoft Edge, Chrome
Mac OS Microsoft Edge, Chrome, Safari

Bu tarayıcılar cihaz kimlik doğrulamasını destekleyerek cihazın bir ilkeye göre tanımlanmasına ve doğrulanmasına olanak tanır. Tarayıcı özel modda çalışıyorsa veya tanımlama bilgileri devre dışı bırakılmışsa cihaz denetimi başarısız olur.

Not

Edge 85+, cihaz kimliğini düzgün bir şekilde geçirmek için kullanıcının tarayıcıda oturum açmasını gerektirir. Aksi takdirde, hesap uzantısı olmadan Chrome gibi davranır. Bu oturum açma işlemi Karma Azure AD Katılımı senaryosunda otomatik olarak gerçekleşmeyebilir.

Safari, cihaz tabanlı Koşullu Erişim için desteklenir, ancak Onaylı istemci uygulaması gerektir veya Uygulama koruma ilkesi gerektir koşullarını karşılayabilir. Microsoft Edge gibi yönetilen bir tarayıcı, onaylanan istemci uygulaması ve uygulama koruma ilkesi gereksinimlerini karşılar. 3. taraf MDM çözümüne sahip iOS'ta yalnızca Microsoft Edge tarayıcı cihaz ilkesini destekler.

Firefox 91+ cihaz tabanlı Koşullu Erişim için desteklenir, ancak "Microsoft, iş ve okul hesapları için çoklu oturum Windows izin ver" seçeneğinin etkinleştirilmesi gerekir.

Tarayıcıda neden bir sertifika istemi görüyorum?

Windows 7'de iOS, Android ve macOS Azure AD, cihaz Azure AD'ye kaydedildiğinde sağlanan bir istemci sertifikası kullanarak cihazı tanımlar. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Kullanıcının tarayıcıyı kullanmadan önce bu sertifikayı seçmesi gerekir.

Chrome desteği

Windows 10 Creators Update (sürüm 1703) veya sonraki sürümlerde Chrome desteği için Windows 10 Hesapları veya Office Online uzantılarını yükleyin. Koşullu Erişim ilkesi cihaza özgü ayrıntılar gerektirdiğinde bu uzantılar gereklidir.

Bu uzantıyı Chrome tarayıcılarına otomatik olarak dağıtmak için aşağıdaki kayıt defteri anahtarını oluşturun:

  • Yol HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Ad 1
  • tür REG_SZ (Dize)
  • Veriler ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Windows 8.1 ve 7'deki Chrome desteği için aşağıdaki kayıt defteri anahtarını oluşturun:

  • Yol HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Ad 1
  • tür REG_SZ (Dize)
  • Veri {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Desteklenen mobil uygulamalar ve masaüstü istemcileri

Kuruluşlar mobil uygulamaları ve masaüstü istemcilerini istemci uygulaması olarak seçebilir.

Bu ayar, aşağıdaki mobil uygulamalardan ve masaüstü istemcilerinden yapılan erişim girişimlerini etkiler:

İstemci uygulamaları Hedef Hizmet Platform
Dynamics CRM uygulaması Dynamics CRM Windows 10, Windows 8.1, iOS ve Android
Posta/Takvim/Kişiler uygulaması, Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile) Exchange Online Windows 10
Uygulamalar için MFA ve konum ilkesi. Cihaz tabanlı ilkeler desteklenmez. Herhangi bir Uygulamalarım uygulama hizmeti Android ve iOS
Microsoft Teams Hizmetleri - bu istemci uygulaması Microsoft Teams destekleyen tüm hizmetleri ve tüm İstemci Uygulamalarını denetler - Windows Masaüstü, iOS, Android, WP ve web istemcisi Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android ve macOS
Office 2016 uygulamaları, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi SharePoint Windows 8.1, Windows 7
Office 2016 uygulamaları, Evrensel Office uygulamaları, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi SharePoint Online Windows 10
Office 2016 (Yalnızca Word, Excel, PowerPoint OneNote). SharePoint Mac OS
Office 2019 SharePoint Windows 10, macOS
Mobil uygulamaları Office SharePoint Android, iOS
Office Yammer uygulaması Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (macOS için Office) Exchange Online Mac OS
Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile), Skype Kurumsal (modern kimlik doğrulaması ile) Exchange Online Windows 8.1, Windows 7
mobil uygulamayı Outlook Exchange Online Android, iOS
Power BI uygulaması Power BI hizmeti Windows 10, Windows 8.1, Windows 7, Android ve iOS
Skype Kurumsal Exchange Online Android, iOS
Visual Studio Team Services uygulaması Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS ve Android

İstemcileri Exchange ActiveSync

  • Kuruluşlar, ilkeyi kullanıcılara veya gruplara atarken yalnızca Exchange ActiveSync istemcilerini seçebilir. Tüm kullanıcılar, Tüm konuk ve dış kullanıcılar veya Dizin rolleri'nin seçilmesi, tüm kullanıcıların ilkeye tabi olmasını sağlar.
  • Exchange ActiveSync istemcilerine atanmış bir ilke oluştururken, ilkeye atanan tek bulut uygulaması Exchange Online olmalıdır.
  • Kuruluşlar , Cihaz platformları koşulunu kullanarak bu ilkenin kapsamını belirli platformlara daraltabilir.

İlkeye atanan erişim denetimi Onaylı istemci uygulamasını gerektir'i kullanıyorsa, kullanıcı Outlook mobil istemcisini yüklemeye ve kullanmaya yönlendirilir. Çok faktörlü kimlik doğrulaması, Kullanım koşulları veya özel denetimlerin gerekli olması durumunda, temel kimlik doğrulaması bu denetimleri desteklemediğinden etkilenen kullanıcılar engellenir.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Diğer istemciler

Diğer istemciler'i seçerek, IMAP, MAPI, POP, SMTP gibi posta protokolleriyle temel kimlik doğrulaması kullanan uygulamaları ve modern kimlik doğrulaması kullanmayan eski Office uygulamalarını etkileyen bir koşul belirtebilirsiniz.

Cihaz durumu (önizleme)

Bu önizleme özelliği kullanım dışı bırakılıyor. Müşteriler, daha önce cihaz durumu (önizleme) koşulu kullanılarak elde edilen senaryoları karşılamak için Koşullu Erişim ilkesindeki Cihazlar için filtre uygula koşulunu kullanmalıdır.

Cihaz durumu koşulu, hibrit Azure AD'ye katılmış olan cihazları ve/veya Microsoft Intune uyumluluk ilkesiyle uyumlu olarak işaretlenmiş cihazları kuruluşun Koşullu Erişim ilkelerinin dışında tutmak için kullanılmıştır.

Örneğin, Microsoft Azure Management bulut uygulamasına erişen tüm kullanıcılar, Cihaz Hibrit Azure AD'ye katılmış ve Cihaz uyumlu olarak işaretlenmiş Ve Erişim denetimleri için Engelle hariç tüm cihaz durumu dahil.

  • Bu örnek, yalnızca hibrit Azure AD'ye katılmış veya uyumlu olarak işaretlenmiş cihazlardan Microsoft Azure Yönetimi'ne erişim izni veren bir ilke oluşturur.

Yukarıdaki senaryo, aşağıdaki device.trustType -ne "ServerAD" -veya device.isCompliant -ne True ve Erişim denetimleri için Engelle kuralını kullanarak dahil etme modunda Cihazlar için filtrele koşuluyla Microsoft Azure Yönetimi bulut uygulamasına erişen tüm kullanıcılar kullanılarak yapılandırılabilir.

  • Bu örnek, Microsoft Azure Management bulut uygulamasına yönetilmeyen veya uyumlu olmayan cihazlardan erişimi engelleyen bir ilke oluşturur.

Önemli

Cihaz durumu ve cihazlar için filtreler Koşullu Erişim ilkesinde birlikte kullanılamaz. Cihazlar için filtreler, ve isCompliant özelliği aracılığıyla trustType cihaz durumu bilgilerini hedefleme desteği de dahil olmak üzere daha ayrıntılı hedefleme sağlar.

Cihazlar için filtreleme

Koşullu Erişim'de cihazlar için filtre adlı yeni bir isteğe bağlı koşul vardır. Cihazlar için filtreyi bir koşul olarak yapılandırırken, kuruluşlar cihaz özelliklerinde bir kural ifadesi kullanarak bir filtreye göre cihazları dahil etmeyi veya hariç tutmayı seçebilir. Cihazlar için filtre için kural ifadesi, kural oluşturucu veya kural söz dizimi kullanılarak yazılabilir. Bu deneyim, gruplar için dinamik üyelik kuralları için kullanılan deneyime benzer. Daha fazla bilgi için Koşullu Erişim: Cihazlar için filtreleme (önizleme) makalesine bakın.

Sonraki adımlar