Koşullu Erişim: Kullanıcılar, gruplar ve iş yükü kimlikleri

Koşullu Erişim ilkesi, karar sürecindeki sinyallerden biri olarak kullanıcı, grup veya iş yükü kimlik ataması içermelidir. Bu kimlikler Koşullu Erişim ilkelerine dahil edilebilir veya dışlanabilir. Microsoft Entra ID tüm ilkeleri değerlendirir ve erişim vermeden önce tüm gereksinimlerin karşılanmasını sağlar.

Kullanıcıları dahil et

Bu kullanıcı listesi genellikle koşullu erişim ilkesinde bir kuruluşun hedeflemiş olduğu tüm kullanıcıları içerir.

Koşullu Erişim ilkesi oluşturulurken aşağıdaki seçenekler kullanılabilir.

• Hiçbiri
  • Seçili kullanıcı yok
• Tüm kullanıcılar
  • B2B konukları da dahil olmak üzere dizinde bulunan tüm kullanıcılar.
• Kullanıcıları ve grupları seçme
  • Konuk veya dış kullanıcılar
    • Bu seçim, Koşullu Erişim ilkelerini belirli konuk veya dış kullanıcı türlerine ve bu tür kullanıcıları içeren belirli kiracılara hedeflemek için kullanılabilecek çeşitli seçenekler sağlar. Seçilebilen birkaç farklı konuk veya dış kullanıcı türü vardır ve birden çok seçim yapılabilir:
      • B2B işbirliği konuk kullanıcıları
      • B2B işbirliği üyesi kullanıcılar
      • B2B doğrudan bağlanma kullanıcıları
      • Yerel konuk kullanıcılar, örneğin konuk olarak ayarlanmış kullanıcı türü özniteliğiyle ev kiracısına ait tüm kullanıcılar
      • Hizmet sağlayıcısı kullanıcıları, örneğin bir Bulut Çözümü Sağlayıcısı (CSP)
      • Diğer dış kullanıcılar veya diğer kullanıcı türü seçimleri tarafından temsil edilmeyen kullanıcılar
    • Seçilen kullanıcı türleri için bir veya daha fazla kiracı belirtilebilir veya tüm kiracıları belirtebilirsiniz.
  • Dizin rolleri
    • Yöneticilerin ilke atamasını belirlemek için kullanılan belirli yerleşik dizin rollerini seçmesine izin verir. Örneğin kuruluşlar, etkin olarak ayrıcalıklı bir rol atanmış kullanıcılar üzerinde daha kısıtlayıcı bir ilke oluşturabilir. Yönetim birimi kapsamlı roller ve özel roller de dahil olmak üzere diğer rol türleri desteklenmez.
      • Koşullu Erişim, yöneticilerin kullanım dışı olarak listelenen bazı rolleri seçmesine olanak tanır. Bu roller temel alınan API'de görünmeye devam eder ve yöneticilerin bunlara ilke uygulamasına izin veririz.
  • Kullanıcılar ve gruplar
    • Belirli kullanıcı kümelerinin hedeflenmesine izin verir. Örneğin, bulut uygulaması olarak bir İk uygulaması seçildiğinde kuruluşlar İk departmanının tüm üyelerini içeren bir grup seçebilir. Grup, dinamik veya atanmış güvenlik ve dağıtım grupları dahil olmak üzere Microsoft Entra ID'deki herhangi bir kullanıcı grubu türü olabilir. İlke, iç içe kullanıcılara ve gruplara uygulanır.

Önemli

Koşullu Erişim İlkesi'ne hangi kullanıcıların ve grupların dahil olacağını seçerken, koşullu erişim ilkesine doğrudan eklenebilen tek tek kullanıcı sayısıyla ilgili bir sınır vardır. Koşullu Erişim ilkesine doğrudan eklenmesi gereken çok sayıda bireysel kullanıcı varsa, kullanıcıları bir gruba yerleştirmenizi ve bunun yerine grubu Koşullu Erişim ilkesine atamanızı öneririz.

Kullanıcılar veya gruplar 2048'den fazla grubun üyesiyse erişimi engellenebilir. Bu sınır hem doğrudan hem de iç içe grup üyeliği için geçerlidir.

Uyarı

Koşullu Erişim ilkeleri, özel roller gibi doğrudan bir nesnenin kapsamına sahip bir yönetim birimi veya dizin rolleri kapsamında bir dizin rolü atanmış kullanıcıları desteklemez.

Not

İlkeleri B2B doğrudan bağlantı dış kullanıcılarına hedeflerken, bu ilkeler Teams'e veya SharePoint Online'a erişen ve B2B doğrudan bağlantı için uygun olan B2B işbirliği kullanıcılarına da uygulanır. Aynı durum, B2B işbirliği dış kullanıcılarını hedefleyen ilkeler için de geçerlidir. Bu, Teams paylaşılan kanallarına erişen kullanıcıların kiracıda konuk kullanıcı varlığı varsa B2B işbirliği ilkelerinin geçerli olacağı anlamına gelir.

Kullanıcıları dışlama

Kuruluşlar bir kullanıcı veya grubu dahil edip dışladığında, kullanıcı veya grup ilkenin dışında tutulur. Dışlama eylemi, ilkedeki ekleme eylemini geçersiz kılar. Dışlamalar genellikle acil durum erişimi veya cam kıran hesaplar için kullanılır. Acil durum erişim hesapları ve bunların neden önemli olduğu hakkında daha fazla bilgiyi aşağıdaki makalelerde bulabilirsiniz:

• Microsoft Entra ID'de acil durum erişim hesaplarını yönetme
• Microsoft Entra Id ile dayanıklı bir erişim denetimi yönetim stratejisi oluşturma

Koşullu Erişim ilkesi oluştururken dışlamak için aşağıdaki seçenekler kullanılabilir.

• Konuk veya dış kullanıcılar
  • Bu seçim, Koşullu Erişim ilkelerini belirli konuk veya dış kullanıcı türlerine ve bu tür kullanıcıları içeren belirli kiracılara hedeflemek için kullanılabilecek çeşitli seçenekler sağlar. Seçilebilen birkaç farklı konuk veya dış kullanıcı türü vardır ve birden çok seçim yapılabilir:
    • B2B işbirliği konuk kullanıcıları
    • B2B işbirliği üyesi kullanıcılar
    • B2B doğrudan bağlanma kullanıcıları
    • Yerel konuk kullanıcılar, örneğin konuk olarak ayarlanmış kullanıcı türü özniteliğiyle ev kiracısına ait tüm kullanıcılar
    • Hizmet sağlayıcısı kullanıcıları, örneğin bir Bulut Çözümü Sağlayıcısı (CSP)
    • Diğer dış kullanıcılar veya diğer kullanıcı türü seçimleri tarafından temsil edilmeyen kullanıcılar
  • Seçilen kullanıcı türleri için bir veya daha fazla kiracı belirtilebilir veya tüm kiracıları belirtebilirsiniz.
• Dizin rolleri
  • Yöneticilerin atamayı belirlemek için kullanılan belirli Microsoft Entra dizin rollerini seçmesine izin verir. Örneğin, kuruluşlar Genel Yönetici istrator rolüne atanan kullanıcılar üzerinde daha kısıtlayıcı bir ilke oluşturabilir.
• Kullanıcılar ve gruplar
  • Belirli kullanıcı kümelerinin hedeflenmesine izin verir. Örneğin, bulut uygulaması olarak bir İk uygulaması seçildiğinde kuruluşlar İk departmanının tüm üyelerini içeren bir grup seçebilir. Grup, dinamik veya atanmış güvenlik ve dağıtım grupları dahil olmak üzere Microsoft Entra ID'deki herhangi bir grup türü olabilir. İlke, iç içe kullanıcılara ve gruplara uygulanır.

Yönetici kilitlenmesini önleme

Yönetici kilitlenmesini önlemek için, Tüm kullanıcılar ve Tüm uygulamalar'a uygulanan bir ilke oluştururken aşağıdaki uyarı görüntülenir.

Kendinizi kilitlemeyin! İlk olarak, beklendiği gibi davrandığını doğrulamak için küçük bir kullanıcı kümesine ilke uygulamanızı öneririz. Ayrıca bu ilkenin en az bir yöneticisini dışlamanızı öneririz. Bu, hala erişiminiz olmasını ve bir değişiklik gerekiyorsa ilkeyi güncelleştirebilmenizi sağlar. Lütfen etkilenen kullanıcıları ve uygulamaları gözden geçirin.

Varsayılan olarak, ilke geçerli kullanıcıyı ilkenin dışında tutma seçeneği sağlar, ancak bir yönetici aşağıdaki görüntüde gösterildiği gibi geçersiz kılabilir.

Kendinizi kilitli bulursanız, bkz . Kilitliyseniz ne yapmalısınız?

Dış iş ortağı erişimi

Dış kullanıcıları hedefleyen Koşullu Erişim ilkeleri hizmet sağlayıcısı erişimini etkileyebilir, örneğin ayrıntılı yönetici ayrıcalıkları Ayrıntılı temsilci yönetici ayrıcalıklarına (GDAP) giriş. Hizmet sağlayıcısı kiracılarını hedeflemeye yönelik ilkeler için Konuk veya dış kullanıcılar seçim seçeneklerinde bulunan Hizmet sağlayıcısı kullanıcı dış kullanıcı türünü kullanın.

İş yükü kimlikleri

İş yükü kimliği, bazen kullanıcı bağlamında bir uygulamanın veya hizmet sorumlusunun kaynaklara erişmesine izin veren bir kimliktir. Koşullu Erişim ilkeleri, kiracınızda kayıtlı tek kiracı hizmet sorumlularına uygulanabilir. Üçüncü taraf SaaS ve çok kiracılı uygulamalar kapsam dışındadır. Yönetilen kimlikler ilke kapsamında değildir.

Kuruluşlar, ilkeye dahil edilecek veya ilkenin dışında tutulacak belirli iş yükü kimliklerini hedefleyebilir.

Daha fazla bilgi için iş yükü kimlikleri için Koşullu Erişim makalesine bakın.

Sonraki adımlar

• Koşullu Erişim: Bulut uygulamaları veya eylemleri
• Koşullu Erişim ortak ilkeleri