Azure Active Directory koşullu erişim koşulları nelerdir?What are conditions in Azure Active Directory Conditional Access?

Kullanılarak kullanıcıların bulut uygulamalarınıza erişme denetleyebilirsiniz Azure Active Directory (Azure AD) koşullu erişim.You can control how users access your cloud apps by using Azure Active Directory (Azure AD) Conditional Access. Bir koşullu erişim ilkesinde yanıtı tanımlayın ("ardından ("Bu durumda") ilkeniz tetikleme nedeni için bunun").In a Conditional Access policy, you define the response ("Then do this") to the reason for triggering your policy ("When this happens").

Neden ve yanıt

Koşullu erişim bağlamında bu durumda çağrılır bir koşul.In the context of Conditional Access, When this happens is called a condition. Bunu yapmak çağrılır bir erişim denetimi.Then do this is called an access control. Koşullarınızda ve erişim denetimleri bir koşullu erişim ilkesi temsil eder.The combination of your conditions and your access controls represents a Conditional Access policy.

Koşullu erişim ilkesi

Koşullu erişim ilkesinde yapılandırmadıysanız koşullar uygulanmaz.Conditions you haven't configured in a Conditional Access policy aren't applied. Bazı koşullar zorunlu bir ortama bir koşullu erişim ilkesini uygulamak için.Some conditions are mandatory to apply a Conditional Access policy to an environment.

Bu makalede, koşulları ve bunların bir koşullu erişim ilkesini nasıl kullanıldığı bir genel bakıştır.This article is an overview of the conditions and how they're used in a Conditional Access policy.

Kullanıcılar ve gruplarUsers and groups

Kullanıcılar ve gruplar koşul, bir koşullu erişim ilkesinde zorunludur.The users and groups condition is mandatory in a Conditional Access policy. İlkenizde, yi yapabilecekleriniz tüm kullanıcılar veya belirli kullanıcılar ve Gruplar'ı seçin.In your policy, you can either select All users or select specific users and groups.

Kullanıcılar ve gruplar

Seçtiğinizde, tüm kullanıcılar, ilkenizi dizinde Konuk kullanıcılar dahil olmak üzere tüm kullanıcılara uygulanır.When you select All users, your policy is applied to all users in the directory, including guest users.

Olduğunda, kullanıcıları ve grupları seçin, aşağıdaki seçenekleri belirleyebilirsiniz:When you Select users and groups, you can set the following options:

  • Tüm Konuk kullanıcılar B2B Konuk kullanıcılar için bir ilke hedefler.All guest users targets a policy to B2B guest users. Sahip herhangi bir kullanıcı hesabı bu koşulu ile eşleşene userType özniteliğini Konuk.This condition matches any user account that has the userType attribute set to guest. Hesap, Azure AD'de bir davet akışı oluşturulduktan hemen sonra uygulanacak ilke ihtiyacı olduğunda bu ayarı kullanın.Use this setting when a policy needs to be applied as soon as the account is created in an invite flow in Azure AD.
  • Dizin rolleri kullanıcının rol atamaya bağlı bir ilke hedefler.Directory roles targets a policy based on a user’s role assignment. Dizin rolleri gibi bu koşulu destekler genel yönetici veya parola Yöneticisi.This condition supports directory roles like Global administrator or Password administrator.
  • Kullanıcılar ve gruplar belirli kullanıcıların kümesini hedefler.Users and groups targets specific sets of users. Örneğin, bulut uygulaması ik uygulama seçildiğinde tüm çözümler. ik departmanı üyeleri içeren bir grup seçebilirsiniz.For example, you can select a group that contains all members of the HR department when an HR app is selected as the cloud app. Bir grup, dinamik veya atanan güvenlik ve dağıtım grupları dahil olmak üzere, Azure AD'de Grup herhangi bir türde olabilir.A group can be any type of group in Azure AD, including dynamic or assigned security and distribution groups.

Belirli kullanıcılar veya gruplar bir ilkeden dışlayabilirsiniz.You can also exclude specific users or groups from a policy. Bir ortak kullanım örneği hizmet hesapları ise ilkenizde, çok faktörlü kimlik doğrulaması (MFA) zorunlu kılar.One common use case is service accounts if your policy enforces multifactor authentication (MFA).

Kullanıcılar belirli kümelerini hedefleyen yeni bir ilke dağıtımı için kullanışlıdır.Targeting specific sets of users is useful for the deployment of a new policy. Yeni bir ilke yalnızca ilk kümesi ilkesi davranışını doğrulamak için kullanıcı hedeflemelidir.In a new policy, you should target only an initial set of users to validate the policy behavior.

Bulut uygulamaları ve eylemleriCloud apps and actions

Bulut uygulaması, bir Web sitesi, hizmeti veya Azure AD uygulama ara sunucusu tarafından korunan bir uç nokta ' dir.A cloud app is a website, service, or endpoint protected by Azure AD Application Proxy. Desteklenen bulut uygulamalarının ayrıntılı bir açıklaması için bkz. bulut uygulamaları atamaları.For a detailed description of supported cloud apps, see cloud apps assignments. Bulut uygulamaları veya Eylemler koşulu bir koşullu erişim ilkesinde zorunludur.The Cloud apps or actions condition is mandatory in a Conditional Access policy. İlkenizde, yi yapabilecekleriniz tüm bulut uygulamaları veya uygulamalarla belirtin uygulamaları Seç.In your policy, you can either select All cloud apps or specify apps with Select apps.

Kuruluşlar, aşağıdaki seçeneklerden birini seçebilirsiniz:Organizations can choose from the following:

  • Tüm bulut uygulamaları kuruluş genelinde uygulamak için temel ilkeleri uygularken.All cloud apps when applying baseline policies to apply to the entire organization. Oturum açma riski algılandığında herhangi bir bulut uygulamasında için çok faktörlü kimlik doğrulaması gerektiren ilkeleri için bu seçimi kullanın.Use this selection for policies that require multi-factor authentication when sign-in risk is detected for any cloud app. Tüm bulut uygulamaları için uygulanan bir ilke erişimi için geçerlidir. tüm Web siteleri ve Hizmetleri.A policy applied to All cloud apps applies to access to all websites and services. Bu ayar Select uygulamalar listesinde görünen bulut uygulamalarına sınırlı değildir.This setting isn't limited to the cloud apps that appear on the Select apps list.
  • Uygulamaları seçin ilkeniz tarafından hedef belirli hizmetler için.Select apps to target specific services by your policy. Örneğin, SharePoint Online'a erişmek için uyumlu bir cihaz kullanıcılarının gerektirebilir.For example, you can require users to have a compliant device to access SharePoint Online. SharePoint içeriği eriştiklerinde Bu ilke, diğer hizmetlere de uygulanır.This policy is also applied to other services when they access SharePoint content. Microsoft Teams buna bir örnektir.An example is Microsoft Teams.

Not

Bir ilkenin belirli uygulamaları hariç tutabilirsiniz.You can exclude specific apps from a policy. Ancak, bu uygulamalar yine de erişim hizmetleri için uygulanan ilkelerle tabidir.However, these apps are still subject to the policies applied to the services they access.

Kullanıcı eylemlerini bir kullanıcı tarafından gerçekleştirilen görevlerdir.User actions are tasks that can be performed by a user. Yalnızca şu anda desteklenen eylemi kaydetme güvenlik bilgilerini (Önizleme) , olanak sağlayan birleşik bir kayıt için etkin kullanıcılar kendi güvenlik kaydetmeyi denediğinizde zorlamak koşullu erişim ilkesi bilgiler.The only currently supported action is Register security information (preview), which allows Conditional Access policy to enforce when users who are enabled for combined registration attempt to register their security information. Daha fazla bilgi makalesinde bulunabilir birleştirilmiş güvenlik bilgileri kayıt (Önizleme) etkinleştir.More information can be found in the article, Enable combined security information registration (preview).

Oturum açma riskiSign-in risk

Oturum açma riski bir oturum açma kullanıcı hesabının meşru sahibi tarafından yapılan değildi olasılığını (yüksek, Orta veya düşük) bir göstergesidir.A sign-in risk is an indicator of the likelihood (high, medium, or low) that a sign-in wasn't made by the legitimate owner of a user account. Azure AD oturum açma sırasında bir kullanıcı oturum açma risk düzeyini hesaplar.Azure AD calculates the sign-in risk level during a user's sign-in. Koşullu erişim ilkesi koşulu olarak hesaplanan oturum açma risk düzeyini kullanabilirsiniz.You can use the calculated sign-in risk level as condition in a Conditional Access policy.

Oturum açma risk düzeyleri

Bu koşulu kullanmak için ihtiyacınız Azure Active Directory kimlik koruması etkin.To use this condition, you need to have Azure Active Directory Identity Protection enabled.

Bu koşul için yaygın kullanım örnekleri aşağıdaki korumalar ilkelerdir:Common use cases for this condition are policies that have the following protections:

  • Bir yüksek oturum açma riski kullanıcılarla engelleyin.Block users with a high sign-in risk. Bu koruma potansiyel olarak yasal olmayan kullanıcılar, bulut uygulamalarınıza erişmesini engeller.This protection prevents potentially non-legitimate users from accessing your cloud apps.
  • Orta ölçekli bir oturum açma riski olan kullanıcılar için çok faktörlü kimlik doğrulaması gerektirir.Require multifactor authentication for users with a medium sign-in risk. Çok faktörlü kimlik doğrulamasını zorunlu tutarak, oturum açmanın meşru bir hesap sahibi tarafından yapılan ek güvence sağlayabilir.By enforcing multifactor authentication, you can provide additional confidence that the sign-in is done by the legitimate owner of an account.

Daha fazla bilgi için oturumu risk algılandığında erişimi engelle.For more information, see block access when a session risk is detected.

Cihaz platformlarıDevice platforms

Cihaz platformu, Cihazınızda çalıştırılan işletim sistemi tarafından belirlenir.The device platform is characterized by the operating system that runs on your device. Azure AD kullanıcı aracısı gibi cihaz tarafından sağlanan bilgileri kullanarak platform tanımlar.Azure AD identifies the platform by using information provided by the device, such as user agent. Bu bilgiler, doğrulanmamış.This information is unverified. Tüm platformlar bir ilke uygulanmış olmasını öneririz.We recommend that all platforms have a policy applied to them. İlke ya da erişimi engellemek, Intune ilkelerle uyumluluğu gerektiren veya cihaz etki alanına katılmış olması gerekir.The policy should either block access, require compliance with Microsoft Intune policies, or require the device be domain joined. Tüm cihaz platformları için bir ilkeyi uygulayabilmeniz için varsayılandır.The default is to apply a policy to all device platforms.

Cihaz platformlarını yapılandırın

Desteklenen cihaz platformları listesi için bkz. cihaz platformu koşul.For a list of the supported device platforms, see device platform condition.

Bu durum, bulut uygulamalarınıza erişimi kısıtlayan bir ilke için bir ortak kullanım örneği yönetilen cihazlar.A common use case for this condition is a policy that restricts access to your cloud apps to managed devices. Cihaz platformu koşulu dahil olmak üzere daha fazla senaryo için bkz. Azure Active Directory uygulama tabanlı koşullu erişim.For more scenarios including the device platform condition, see Azure Active Directory app-based Conditional Access.

Cihaz durumuDevice state

Cihaz durumu koşulunu ve koşullu erişim ilkesi uyumsuz olarak işaretlenmiş aygıtlar Azure AD'ye katılmış karma dışlar.The device state condition excludes hybrid Azure AD joined devices and devices marked as compliant from a Conditional Access policy.

Cihaz durumlarını yapılandırın

Bu durum, ek bir oturum güvenliği sağlamak için yalnızca bir yönetilmeyen cihaza bir ilkenin uygulanacağı yararlıdır.This condition is useful when a policy should apply only to an unmanaged device to provide additional session security. Örneğin, bir cihazın yönetilmeyen olduğunda yalnızca Microsoft Cloud App Security oturum denetimi uygular.For example, only enforce the Microsoft Cloud App Security session control when a device is unmanaged.

KonumlarLocations

Konumları kullanarak bağlantı burada denendi göre koşullar tanımlayabilirsiniz.By using locations, you can define conditions based on where a connection was attempted.

Konumları yapılandırın

Bu koşul için yaygın kullanım örnekleri aşağıdaki koruma ilkeleriyle şunlardır:Common use cases for this condition are policies with the following protections:

  • Şirket ağı devre dışı olduklarında hizmet erişen kullanıcılar için çok faktörlü kimlik doğrulaması gerektirir.Require multi-factor authentication for users accessing a service when they're off the corporate network.
  • Bir hizmetin belirli ülke veya bölgelerden erişen kullanıcılar için erişimi engelleyin.Block access for users accessing a service from specific countries or regions.

Daha fazla bilgi için konum koşulu, Azure Active Directory koşullu erişim nedir?.For more information, see What is the location condition in Azure Active Directory Conditional Access?.

İstemci uygulamalarıClient apps

Varsayılan olarak, şu uygulamalar için koşullu erişim ilkesi uygular:By default, a Conditional Access policy applies to the following apps:

  • Tarayıcı uygulamaları -tarayıcı uygulamalarıdır SAML kullanarak Web siteleri WS-Federation ve Openıd Connect web SSO protokoller.Browser apps - Browser apps include websites using the SAML, WS-Federation, or OpenID Connect web SSO protocols. Bu bir OAuth gizli istemci kayıtlı herhangi bir Web sitesi veya web hizmeti için de geçerlidir.This also applies to any website or web service that has been registered as an OAuth confidential client. Örneğin, Office 365 SharePoint Web sitesi.For example, the Office 365 SharePoint website.
  • Mobil ve Masaüstü uygulamaları modern kimlik doğrulaması kullanan -bu uygulamaları, telefon uygulamaları ve Office Masaüstü uygulamalarını içerir.Mobile and desktop apps using modern authentication - These apps include the Office desktop apps and phone apps.

Ayrıca, bir modern kimlik doğrulaması, örneğin kullanmayan belirli istemci uygulamalarında ilkeyi hedef alabilirsiniz:Additionally, you can target a policy to specific client apps that are not using modern authentication, for example:

İstemci uygulamaları

Bu koşul için yaygın kullanım örnekleri aşağıdaki gereksinimlere sahip ilkelerdir:Common use cases for this condition are policies with the following requirements:

  • Yönetilen bir cihazı gerektiren verileri indirmek için bir cihaz mobil ve Masaüstü uygulamaları için.Require a managed device for mobile and desktop applications that download data to a device. Aynı zamanda, tüm cihazlardan tarayıcı erişimi izin verin.At the same time, allow browser access from any device. Bu senaryo için yönetilmeyen bir cihazı kaydetme ve eşitleme belgeleri engeller.This scenario prevents saving and syncing documents to an unmanaged device. Cihaz kaybolur veya çalınırsa, bu yöntem ile veri kaybı için olasılık azaltabilir.With this method, you can reduce the probability for data loss if the device is lost or stolen.
  • Yönetilen bir cihazı gerektiren Exchange Online'a erişmek için ActiveSync kullanarak uygulamalar için.Require a managed device for apps using ActiveSync to access Exchange Online.
  • Eski bir kimlik doğrulama bloğu Azure AD'ye (diğer istemciler)Block legacy authentication to Azure AD (other clients)
  • Web uygulamalarından erişimi engellemek, ancak Mobil ve Masaüstü uygulamalardan erişime izin verBlock access from web applications but allow access from mobile and desktop applications.

Exchange ActiveSync istemcileriExchange ActiveSync clients

Yalnızca seçebilirsiniz Exchange ActiveSync istemcileri varsa:You can only select Exchange ActiveSync clients if:

  • Microsoft Office 365 Exchange Online, seçtiğiniz tek bulut uygulamasıdır.Microsoft Office 365 Exchange Online is the only cloud app you've selected.

    Bulut uygulamaları

  • Bir ilkede yapılandırılabilecek diğer koşullar yoktur.You don't have other conditions configured in a policy. Ancak, bu koşul yalnızca uygulanacak kapsamını daraltmak daraltabilirsiniz desteklenen platformlar.However, you can narrow down the scope of this condition to apply only to supported platforms.

    İlkeyi yalnızca desteklenen platformlara Uygula

Ne zaman erişim engellendi bir yönetilen cihaz olan gerekli, etkilenen kullanıcılar bunları Intune kullanacak şekilde yol gösteren tek bir posta alın.When access is blocked because a managed device is required, the affected users get a single mail that guides them to use Intune.

Etkilenen kullanıcılar, onaylanmış bir uygulama gerekiyorsa, yükleme ve Outlook mobil istemciyi kullanma yönergeleri alın.If an approved app is required, the affected users get guidelines to install and use the Outlook mobile client.

MFA gerekliyse, temel kimlik doğrulaması kullanan istemciler, mfa'yı desteklemeyen çünkü diğer durumlarda, örneğin, etkilenen kullanıcılar, engellenir.In other cases, for example, if MFA is required, the affected users are blocked, because clients using Basic authentication don't support MFA.

Kullanıcılar ve gruplar için bu ayarı yalnızca hedefleyebilirsiniz.You can only target this setting to users and groups. Konuklar veya rollerini desteklemez.It doesn’t support guests or roles. Bir konuk veya rol durumu yapılandırdıysanız, koşullu erişim ilkesi kullanıcıya veya uygulanacaksa belirleyemediğinden tüm kullanıcılar engellenir.If a guest or role condition is configured, all users are blocked because Conditional Access can't determine if the policy should apply to the user or not.

Daha fazla bilgi için bkz.For more information, see:

Sonraki adımlarNext steps