Ortak Koşullu Erişim ilkesi: Tüm kullanıcılar için MFA gerektir
Microsoft Kimlik Güvenliği Direktörü Alex Weinert'in blog gönderisinde Pa$$word'niz önemli değildir:
Parolanız önemli değil, ancak MFA önemli! Çalışmalarımıza dayanarak, MFA kullanıyorsanız hesabınızın gizliliğinin ihlal edilme olasılığı %99,9'dan daha azdır.
Bu makaledeki yönergeler, kuruluşunuzun ortamınız için bir MFA ilkesi oluşturmasında yardımcı olur.
Kullanıcı dışlamaları
Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:
- Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
- Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
- Microsoft Entra Bağlan Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA, program aracılığıyla tamamlanmadığı için bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
Uygulama dışlamaları
Kuruluşların kullanımda olan birçok bulut uygulaması olabilir. Bu uygulamaların tümü eşit güvenlik gerektirmeyebilir. Örneğin, bordro ve katılım başvuruları MFA gerektirebilir, ancak kafeterya büyük olasılıkla gerektirmez. Yönetici istrator'lar belirli uygulamaları ilkelerinden hariç tutmayı seçebilir.
Abonelik etkinleştirme
Kullanıcıların Windows'un bir sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan ve erişimi denetlemek için Koşullu Erişim ilkelerini kullanan kuruluşların Dışlanan Bulut Uygulamalarını Seç'i kullanarak aşağıdaki bulut uygulamalarından birini Koşullu Erişim ilkelerinden dışlamaları gerekir:
Evrensel Mağaza Hizmeti API'leri ve Web Uygulaması, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.
İş İçin Windows Mağazası, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.
Uygulama kimliği her iki örnekte de aynı olsa da, bulut uygulamasının adı kiracıya bağlıdır.
Koşullu Erişim ilkelerindeki dışlamaları yapılandırma hakkında daha fazla bilgi için bkz . Uygulama dışlamaları.
Bir cihaz uzun bir süre çevrimdışı olduğunda, bu Koşullu Erişim dışlaması yapılmadığında cihaz otomatik olarak yeniden etkinleştirilmeyebilir. Bu Koşullu Erişim dışlama ayarının ayarlanması, Abonelik Etkinleştirme'nin sorunsuz bir şekilde çalışmaya devam etmesini sağlar.
KB5034848 veya sonraki bir sürüme sahip Windows 11, sürüm 23H2'den başlayarak, Abonelik Etkinleştirme'nin yeniden etkinleştirilmesi gerektiğinde kullanıcılardan bildirim bildirimiyle kimlik doğrulaması istenir. Bildirimde aşağıdaki ileti gösterilir:
Hesabınız kimlik doğrulaması gerektiriyor
Bilgilerinizi doğrulamak için lütfen iş veya okul hesabınızda oturum açın.
Ayrıca Etkinleştirme bölmesinde aşağıdaki ileti görüntülenebilir:
Bilgilerinizi doğrulamak için lütfen iş veya okul hesabınızda oturum açın.
Kimlik doğrulaması istemi genellikle bir cihaz uzun bir süre çevrimdışı olduğunda oluşur. Bu değişiklik, KB5034848 veya sonraki bir sürüme sahip Windows 11, sürüm 23H2 için Koşullu Erişim ilkesinde dışlama gereksinimini ortadan kaldırır. Bildirim yoluyla kullanıcı kimlik doğrulaması istemi istenmiyorsa, Koşullu Erişim ilkesi windows 11, sürüm 23H2 ve KB5034848 veya sonraki sürümlerle kullanılabilir.
Şablon dağıtımı
Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.
Koşullu Erişim ilkesi oluşturma
Aşağıdaki adımlar, tüm kullanıcıların çok faktörlü kimlik doğrulamasını zorunlu kılması için bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur.
- En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
- Koruma>Koşullu Erişim'e göz atın.
- Yeni ilke oluştur'u seçin.
- İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
- Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
- Ekle'nin altında Tüm kullanıcılar'ı seçin
- Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
- Hedef kaynaklar>Bulut uygulamaları>dahil et'in altında Tüm bulut uygulamaları'nı seçin.
- Dışla'nın altında, çok faktörlü kimlik doğrulaması gerektirmeyen uygulamaları seçin.
- Erişim denetimleri>Ver'in altında Erişim ver, Çok faktörlü kimlik doğrulaması gerektir'i ve Seç'i seçin.
- Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
- İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.
Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.
Adlandırılmış konumlar
Kuruluşlar, Adlandırılmış konumlar olarak bilinen bilinen ağ konumlarını Koşullu Erişim ilkelerine dahil etmeyi seçebilir. Bu adlandırılmış konumlar, bir ana ofis konumu için olanlar gibi güvenilir IPv4 ağları içerebilir. Adlandırılmış konumları yapılandırma hakkında daha fazla bilgi için Microsoft Entra Koşullu Erişim'de konum koşulu nedir? makalesine bakın.
Önceki örnek ilkede bir kuruluş, kurumsal ağlarından bir bulut uygulamasına erişiyorsa çok faktörlü kimlik doğrulaması gerektirmemeyi tercih edebilir. Bu durumda ilkeye aşağıdaki yapılandırmayı ekleyebilirler:
- Atamalar'ın altında Koşul Konumları'nı> seçin.
- Evet'i yapılandırın.
- Herhangi bir konumu dahil edin.
- Tüm güvenilen konumları dışla.
- Bitti'yi seçin.
- Bitti'yi seçin.
- İlke değişikliklerinizi kaydedin .