Koşullu erişim ilkesi oluşturma

Koşullu erişim olanmakalede açıklandığı gibi, koşullu erişim ilkesi atamalar ve erişim denetimleri için bir if-then deyimidir. Koşullu erişim ilkesi, kararları almak, kararlar almak ve kuruluş ilkelerini zorlamak için sinyalleri bir araya getirir.

Bir kuruluş bu ilkeleri nasıl oluşturur? Ne gerekir? Nasıl uygulanır?

Koşullu erişim (sinyaller + kararlar + zorlama = Ilkeler)

Her zaman tek bir kullanıcı için birden fazla koşullu erişim ilkesi uygulanabilir. Bu durumda, uygulanan tüm ilkeler karşılanmalıdır. Örneğin, bir ilke çok faktörlü kimlik doğrulaması (MFA) gerektiriyorsa ve başka bir uyumlu cihaz gerektiriyorsa, MFA 'yı doldurmanız ve uyumlu bir cihaz kullanmanız gerekir. Tüm atamalar mantıksal olarak da kullanılır. Birden fazla atama yapılandırdıysanız, bir ilkenin tetiklenmesi için tüm atamaların karşılanması gerekir.

"Seçilen denetimlerden birini ıste" seçilirse, ilke gereksinimleri karşılanmadığında, erişim izni verildiğinde sırasıyla bir sıralama istenir.

Tüm ilkeler iki aşamada zorlanır:

    1. Aşama: oturum ayrıntılarını toplama
    • Ağ konumu ve ilke değerlendirmesi için gerekli olacak cihaz kimliği gibi oturum ayrıntılarını toplayın.
    • İlke değerlendirmesinin 1. aşaması, yalnızca rapor modundakietkin ilkeler ve ilkeler için oluşur.
    1. Aşama: zorlama
    • Karşılanmayan gereksinimleri belirlemek için 1. aşamada toplanan oturum ayrıntılarını kullanın.
    • Erişimi engellemek üzere yapılandırılan bir ilke varsa, blok atama denetimiyle, zorlama burada durdurulur ve Kullanıcı engellenir.
    • Kullanıcı, ilke karşılanana kadar, 1. aşama sırasında memnun olmayan daha fazla verme denetimi gereksinimini tamamlamalıdır:
      • Multi-factor authentication
      • Onaylanan istemci uygulaması/uygulama koruma ilkesi
      • Yönetilen cihaz (uyumlu veya hibrit Azure AD katılımı)
      • Kullanım koşulları
      • Özel denetimler
    • Tüm verme denetimleri karşılandıktan sonra, oturum denetimlerini uygulama (uygulama zorlandı, bulut uygulamaları için Microsoft Defender ve belirteç ömrü)
    • İlke değerlendirmesinin 2. aşaması, etkinleştirilmiş tüm ilkeler için gerçekleşir.

Atamalar

Atamalar bölümü, koşullu erişim ilkesinin kim, ne olduğunu ve nerede olduğunu denetler.

Kullanıcılar ve gruplar

Kullanıcılar ve gruplar , ilkenin kimlerin ekleneceğini veya dışlanacağını atar. Bu atama tüm kullanıcıları, belirli kullanıcı gruplarını, Dizin rollerini veya dış Konuk kullanıcıları içerebilir.

Bulut uygulamaları veya eylemleri

Bulut uygulamaları veya eylemleri , ilke için tabi olacak bulut uygulamalarını, kullanıcı eylemlerini veya kimlik doğrulama bağlamlarını içerebilir veya hariç tutabilir.

Koşullar

Bir ilke birden çok koşuliçerebilir.

Oturum açma riski

Azure AD kimlik korumasıolan kuruluşlar için, üretilen risk algılamaları koşullu erişim ilkelerinizi etkileyebilir.

Cihaz platformları

Birden çok cihaz işletim sistemi platformu olan kuruluşlar, farklı platformlarda belirli ilkeleri zorlamak isteyebilir.

Cihaz platformunu hesaplamak için kullanılan bilgiler, değiştirilebilen Kullanıcı Aracısı dizeleri gibi doğrulanmamış kaynaklardan gelir.

Konumlar

Konum verileri, IP coğrafi konum verileri tarafından sağlanır. Yöneticiler, konumları tanımlayabilir ve bazı içerikleri kuruluşun ağ konumları gibi güvenilir olarak işaretlemek için seçim yapabilir.

İstemci uygulamaları

Varsayılan olarak, tüm yeni oluşturulan koşullu erişim ilkeleri, istemci uygulamaları koşulu yapılandırılmamışsa bile tüm istemci uygulama türleri için geçerlidir.

İstemci uygulamaları koşulunun davranışı, Ağustos 2020 ' de güncelleştirildi. Koşullu erişim ilkelerinize sahipseniz, bunlar değişmeden kalır. Ancak, var olan bir ilkede seçeneğini belirlerseniz, yapılandırma geçişi kaldırılmıştır ve ilke geçerli olan istemci uygulamaları seçilir.

Cihaz durumu

Bu denetim, karma Azure AD 'ye katılmış olan veya Intune 'da uyumlu bir şekilde işaretlenmiş cihazları dışlamak için kullanılır. Bu dışlama, yönetilmeyen cihazları engellemek için yapılabilir.

Cihazlar için filtreler (Önizleme)

Bu denetim, belirli cihazların bir ilkedeki özniteliklerine göre hedeflemesini sağlar.

Erişim denetimleri

Koşullu erişim ilkesinin erişim denetimleri bölümü bir ilkenin nasıl uygulanacağını denetler.

İzin verme

Grant , yöneticilere, erişimi engelleyebilecekleri veya izin verebileceği bir ilke zorlamasına yol sunar.

Erişimi engelleme

Erişimi engelle, yalnızca belirtilen atamalar altındaki erişimi engeller. Blok denetimi güçlüdür ve uygun bilgilerle silinmeli.

Erişim verme

İzin denetimi bir veya daha fazla denetimin zorlanmasını tetikleyebilir.

  • Multi-Factor Authentication gerektir (Azure AD Multi-Factor Authentication)
  • Cihazın uyumlu olarak işaretlenmesini gerektir (Intune)
  • Karma Azure AD 'ye katılmış cihaz gerektir
  • Onaylanan istemci uygulaması gerektir
  • Uygulama koruma ilkesi gerektir
  • Parola değişikliği iste
  • Kullanım koşullarını gerekli kılma

Yöneticiler, aşağıdaki seçenekleri kullanarak önceki denetimlerden birini veya seçili tüm denetimleri zorunlu kılabilir. Birden çok denetim için varsayılan değer, tümü için gerekli değildir.

  • Seçili tüm denetimleri gerektir (denetim ve denetim)
  • Seçili denetimlerden birini gerektir (denetim veya denetim)

Oturum

Oturum denetimleri deneyimi sınırlayabilir

  • Uygulama tarafından zorlanan kısıtlamaları kullan
    • şu anda yalnızca Exchange Online ve SharePoint çevrimiçi olarak çalışıyor.
      • Tam veya sınırlı erişim verme deneyiminin denetimine izin vermek için cihaz bilgilerini geçirir.
  • Koşullu Erişim Uygulama Denetimi Kullan
    • , Bulut uygulamaları için Microsoft Defender 'dan şunun gibi şeyler yapması için sinyaller kullanır:
      • Gizli belgeleri indirme, kesme, kopyalama ve yazdırma.
      • Riskli oturum davranışını izleyin.
      • Gizli dosyaların etiketlenmesini gerektir.
  • Oturum açma sıklığı
    • Modern kimlik doğrulaması için varsayılan oturum açma sıklığını değiştirme özelliği.
  • Kalıcı tarayıcı oturumu
    • Kullanıcıların tarayıcı pencerelerini kapatıp yeniden açtıktan sonra oturum açmasına izin verir.

Basit ilkeler

Koşullu erişim ilkesi, zorlanmak için en azından aşağıdakileri içermelidir:

  • İlkenin adı .
  • Atamalar
    • İlkenin uygulanacağı Kullanıcılar ve/veya gruplar .
    • İlkeyi uygulamak için bulut uygulamaları veya eylemleri .
  • Erişim denetimleri
    • Denetimleri verme veya engelleme

Boş koşullu erişim ilkesi

Genel koşullu erişim ilkeleri makalesi, çoğu kuruluş için faydalı olacağını düşündük bazı ilkeleri içerir.

Sonraki adımlar

Koşullu erişim ilkesi oluşturma

Koşullu erişim What If aracını kullanarak oturum açma davranışının benzetimini yapma

Bulut tabanlı Azure AD Multi-Factor Authentication dağıtımı planlama

Intune ile cihaz uyumluluğunu yönetme

Bulut uygulamaları ve koşullu erişim için Microsoft Defender