Koşullu Erişim ilkesinde konum koşulunu kullanma

Genel bakış makalesinde açıklandığı gibi Koşullu Erişim ilkeleri, karar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri birleştiren en temel if-then deyimidir. Karar alma sürecine dahil edilebilen sinyallerden biri konumdur.

Conceptual Conditional signal plus decision to get enforcement

Kuruluşlar bu konumu aşağıdaki gibi yaygın görevler için kullanabilir:

  • Şirket ağı dışındayken bir hizmete erişen kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme.
  • Belirli ülkelerden veya bölgelerden bir hizmete erişen kullanıcılar için erişimi engelleme.

Konum, bir istemcinin Azure Active Directory'ye sağladığı genel IP adresine veya Microsoft Authenticator uygulaması tarafından sağlanan GPS koordinatlarına göre belirlenir. Koşullu Erişim ilkeleri varsayılan olarak tüm IPv4 ve IPv6 adresleri için geçerlidir.

Adlandırılmış konumlar

Konumlar, Azure portalında Azure Active Directory>Güvenliği>Koşullu Erişim>Adlandırılmış konumları altında adlandırılır. Bu adlandırılmış ağ konumları, kuruluşun genel merkezi ağ aralıkları, VPN ağ aralıkları veya engellemek istediğiniz aralıklar gibi konumları içerebilir. Adlandırılmış konumlar IPv4/IPv6 adres aralıkları veya ülkeler tarafından tanımlanabilir.

Named locations in the Azure portal

IP adresi aralıkları

Adlandırılmış konumu IPv4/IPv6 adres aralıklarına göre tanımlamak için şunları sağlamanız gerekir:

  • Konum için bir Ad
  • Bir veya daha fazla IP aralığı
  • İsteğe bağlı olarak Güvenilen konum olarak işaretle

New IP locations in the Azure portal

IPv4/IPv6 adres aralıkları tarafından tanımlanan adlandırılmış konumlar aşağıdaki sınırlamalara tabidir:

  • En fazla 195 adlandırılmış konum yapılandırma
  • Adlandırılmış konum başına en fazla 2000 IP aralığı yapılandırma
  • Hem IPv4 hem de IPv6 aralıkları desteklenir
  • Özel IP aralıkları yapılandırılamıyor
  • Bir aralıkta yer alan IP adreslerinin sayısı sınırlıdır. IP aralığı tanımlarken yalnızca /8'den büyük CIDR maskelerine izin verilir.

Güvenilen konumlar

Yöneticiler, ip adresi aralıkları tarafından tanımlanan konumları, güvenilen adlandırılmış konumlar olarak adlandırabilir.

Güvenilen adlandırılmış konumlardan yapılan oturum açma işlemleri, Azure AD Kimlik Koruması'nın risk hesaplamasının doğruluğunu artırarak, güvenilir olarak işaretlenmiş bir konumdan kimlik doğrulaması yapan kullanıcının oturum açma riskini azaltır. Ayrıca, güvenilen adlandırılmış konumlar Koşullu Erişim ilkelerinde hedeflenebilir. Örneğin, çok faktörlü kimlik doğrulama kaydını güvenilen konumlarla kısıtlayabilirsiniz.

Ülkeler

Kuruluşlar ülke konumunu IP adresine veya GPS koordinatlarına göre belirleyebilir.

Adlandırılmış konumu ülkeye göre tanımlamak için şunları sağlamanız gerekir:

  • Konum için bir Ad
  • Konumu IP adresine veya GPS koordinatlarına göre belirlemeyi seçin
  • Bir veya daha fazla ülke ekleme
  • İsteğe bağlı olarak Bilinmeyen ülkeleri/bölgeleri dahil et'i seçin

Country as a location in the Azure portal

Konumu IP adresine göre belirle (yalnızca IPv4) seçeneğini belirlerseniz sistem, kullanıcının oturum açmakta olduğu cihazın IP adresini toplar. Kullanıcı oturum açtığında, Azure AD kullanıcının IPv4 adresini bir ülke veya bölgeyle çözümler ve eşleme düzenli aralıklarla güncelleştirilir. Kuruluşlar, iş yapmadıkları ülkelerden gelen trafiği engellemek için ülkeler tarafından tanımlanan adlandırılmış konumları kullanabilir.

Not

IPv6 adreslerinden oturum açma işlemleri ülkelere veya bölgelere eşlenemez ve bilinmeyen alanlar olarak kabul edilir. Yalnızca IPv4 adresleri ülkelere veya bölgelere eşlenebilir.

Konumu GPS koordinatlarına göre belirle'yi seçerseniz, kullanıcının mobil cihazında Microsoft Authenticator uygulamasının yüklü olması gerekir. Sistem, kullanıcının mobil cihazının GPS konumunu toplamak için saat başı kullanıcının Microsoft Authenticator uygulamasıyla iletişim kurar.

Kullanıcının Microsoft Authenticator uygulamasından konumunu ilk kez paylaşması gerektiğinde, kullanıcı uygulamada bir bildirim alır. Kullanıcının uygulamayı açması ve konum izinleri vermesi gerekir.

Sonraki 24 saat boyunca, kullanıcı kaynağa erişmeye devam ediyorsa ve uygulamaya arka planda çalışma izni verildiyse, cihazın konumu saatte bir kez sessizce paylaşılır. 24 saat sonra kullanıcının uygulamayı açması ve bildirimi onaylaması gerekir. Kullanıcı GPS konumunu her paylaştığında uygulama jailbreak algılaması yapar (Intune MAM SDK'sı ile aynı mantığı kullanarak). Cihaz jailbreak uygulanmışsa, konum geçerli kabul edilmez ve kullanıcıya erişim verilmez.

Yalnızca rapor modunda GPS tabanlı adlandırılmış konumlara sahip bir Koşullu Erişim ilkesi, oturum açmaları engellenmese bile kullanıcılardan GPS konumlarını paylaşmalarını ister.

GPS konumu parolasız kimlik doğrulama yöntemleriyle çalışmaz.

Birden çok koşullu erişim ilkesi uygulaması, tüm Koşullu Erişim ilkeleri uygulanmadan önce kullanıcılardan GPS konumlarını isteyebilir. Koşullu Erişim ilkelerinin uygulanma şekli nedeniyle, konum denetimini geçerse ancak başka bir ilkede başarısız olursa kullanıcının erişimi reddedilebilir. İlke uygulama hakkında daha fazla bilgi için Koşullu Erişim ilkesi oluşturma makalesine bakın.

Önemli

Kullanıcılar saatte bir Azure AD'nin Authenticator uygulamasında konumlarını denetlediğini bildiren istemler alabilir. Önizleme yalnızca bu davranışın kabul edilebilir olduğu veya erişimin belirli bir ülke/bölgeyle sınırlandırılması gereken çok hassas uygulamaları korumak için kullanılmalıdır.

Bilinmeyen ülkeleri/bölgeleri dahil et

Bazı IP adresleri, tüm IPv6 adresleri dahil olmak üzere belirli bir ülke veya bölgeyle eşlenmez. Bu IP konumlarını yakalamak için Coğrafi konum tanımlarken Bilinmeyen ülkeleri/bölgeleri ekle kutusunu işaretleyin. Bu seçenek, bu IP adreslerinin adlandırılmış konuma eklenip eklenmediğini seçmenizi sağlar. Adlandırılmış konumu kullanan ilke bilinmeyen konumlara uygulanacaksa bu ayarı kullanın.

MFA güvenilen IP'lerini yapılandırma

Çok faktörlü kimlik doğrulama hizmeti ayarlarında kuruluşunuzun yerel intranetini temsil eden IP adresi aralıklarını da yapılandırabilirsiniz. Bu özellik en fazla 50 IP adresi aralığı yapılandırmanızı sağlar. IP adresi aralıkları CIDR biçimindedir. Daha fazla bilgi için bkz . Güvenilen IP'ler.

Yapılandırılmış Güvenilen IP'leriniz varsa, konum koşulunun konum listesinde MFA Güvenilen IP'leri olarak gösterilir.

Çok faktörlü kimlik doğrulamasını atlama

Çok faktörlü kimlik doğrulama hizmeti ayarları sayfasında, intranetimdeki federasyon kullanıcılarından gelen istekler için çok faktörlü kimlik doğrulamasını atla'yı seçerek şirket intranet kullanıcılarını tanımlayabilirsiniz. Bu ayar, AD FS tarafından verilen şirket içi ağ talebine güvenilmesi ve kullanıcının şirket ağında olduğunu belirlemek için kullanılması gerektiğini gösterir. Daha fazla bilgi için bkz. Koşullu Erişim kullanarak Güvenilen IP'ler özelliğini etkinleştirme.

Bu seçeneği işaretledikten sonra, adlandırılmış konum MFA Güvenilen IP'leri de dahil olmak üzere, bu seçenek belirlenmiş tüm ilkelere uygulanır.

Uzun süreli oturum ömrüne sahip mobil ve masaüstü uygulamaları için Koşullu Erişim düzenli aralıklarla yeniden değerlendirilir. Varsayılan değer saatte bir kezdir. Şirket içi ağ talebi yalnızca ilk kimlik doğrulaması sırasında verildiğinde, Azure AD'nin güvenilir IP aralıkları listesi olmayabilir. Bu durumda, kullanıcının hala şirket ağında olup olmadığını belirlemek daha zordur:

  1. Kullanıcının IP adresinin güvenilen IP aralıklarından birinde olup olmadığını denetleyin.
  2. Kullanıcının IP adresinin ilk üç sekizlisinin, ilk kimlik doğrulamasının IP adresinin ilk üç sekizlisi ile eşleşip eşleşmediğini denetleyin. IP adresi, şirket içi ağ talebi ilk olarak verildiği ve kullanıcı konumu doğrulandığında ilk kimlik doğrulamasıyla karşılaştırılır.

Her iki adım da başarısız olursa, bir kullanıcının artık güvenilir ip üzerinde olmadığı kabul edilir.

İlkedeki konum koşulu

Konum koşulunu yapılandırırken şunları ayırt edebilirsiniz:

  • Herhangi bir konum
  • Tüm güvenilir konumlar
  • Seçili konumlar

Herhangi bir konum

Varsayılan olarak, Herhangi bir konum seçildiğinde ilkenin tüm IP adreslerine uygulanmasına neden olur ve bu da İnternet'te herhangi bir adres anlamına gelir. Bu ayar, adlandırılmış konum olarak yapılandırdığınız IP adresleriyle sınırlı değildir. Herhangi bir konum'u seçtiğinizde, belirli konumları ilkenin dışında tutabilirsiniz. Örneğin, kapsamı şirket ağı dışında tüm konumlara ayarlamak için güvenilen konumlar dışındaki tüm konumlara bir ilke uygulayabilirsiniz.

Tüm güvenilir konumlar

Bu seçenek şunlar için geçerlidir:

  • Güvenilir konum olarak işaretlenmiş tüm konumlar
  • MFA Güvenilen IP'leri (yapılandırıldıysa)

Seçili konumlar

Bu seçenekle, bir veya daha fazla adlandırılmış konum seçebilirsiniz. Bu ayara sahip bir ilkenin uygulanabilmesi için kullanıcının seçili konumlardan herhangi birinden bağlanması gerekir. Adlandırılmış ağlar listesini gösteren adlandırılmış ağ seçimi denetimini seçtiğinizde açılır. Liste ayrıca ağ konumunun güvenilir olarak işaretlenip işaretlenmediğini de gösterir. MFA Güvenilen IP'leri olarak adlandırılan konum, çok faktörlü kimlik doğrulama hizmeti ayarı sayfasında yapılandırılabilir IP ayarlarını eklemek için kullanılır.

IPv6 trafiği

Varsayılan olarak, Koşullu Erişim ilkeleri tüm IPv6 trafiğine uygulanır. İlkelerin belirli IPv6 aralıkları için uygulanmasını istemiyorsanız, belirli IPv6 adres aralıklarını Koşullu Erişim ilkesinden hariç tutabilirsiniz. Örneğin, şirket ağınızdaki kullanımlar için bir ilkeyi zorlamamak istiyorsanız ve şirket ağınız genel IPv6 aralıklarında barındırılıyorsa.

Azure AD Oturum açma etkinlik raporlarında IPv6 trafiğini tanımlama

Azure AD oturum açma etkinlik raporlarına giderek kiracınızdaki IPv6 trafiğini keşfedebilirsiniz. Etkinlik raporunu açtıktan sonra "IP adresi" sütununu ekleyin. Bu sütun, IPv6 trafiğini tanımlamanızı sağlayacaktır.

Ayrıca, rapordaki bir satıra tıklayıp oturum açma etkinliği ayrıntılarındaki "Konum" sekmesine giderek de istemci IP'sini bulabilirsiniz.

Kiracımda ne zaman IPv6 trafiği olacak?

Azure Active Directory (Azure AD) şu anda IPv6 kullanan doğrudan ağ bağlantılarını desteklememektedir. Ancak, kimlik doğrulama trafiğinin başka bir hizmet üzerinden proksitlendiği bazı durumlar vardır. Bu durumlarda, ilke değerlendirmesi sırasında IPv6 adresi kullanılır.

Azure AD'ye çıkan IPv6 trafiğinin çoğu Microsoft Exchange Online'dan gelir. Kullanılabilir olduğunda, Exchange IPv6 bağlantılarını tercih eder. Dolayısıyla, exchange için belirli IPv4 aralıkları için yapılandırılmış koşullu erişim ilkeleriniz varsa, kuruluşunuzun IPv6 aralıklarını da eklediğinizden emin olmak istersiniz. IPv6 aralıklarının dahil edilmemesi, aşağıdaki iki durumda beklenmeyen davranışlara neden olur:

  • Eski kimlik doğrulamasıyla Exchange Online'a bağlanmak için bir posta istemcisi kullanıldığında, Azure AD bir IPv6 adresi alabilir. İlk kimlik doğrulama isteği Exchange'e gider ve ardından Azure AD'ye iletilir.
  • Tarayıcıda Outlook Web Access (OWA) kullanıldığında, tüm Koşullu Erişim ilkelerinin karşılanmamış olmaya devam ettiğini düzenli aralıklarla doğrular. Bu denetim, bir kullanıcının izin verilen bir IP adresinden caddenin aşağısındaki kafe gibi yeni bir konuma taşınmış olabileceği durumları yakalamak için kullanılır. Bu durumda, bir IPv6 adresi kullanılırsa ve IPv6 adresi yapılandırılmış bir aralıkta değilse, kullanıcı oturumunu kesintiye uğratmış olabilir ve yeniden kimlik doğrulaması için Azure AD'ye yönlendirilebilir.

Azure sanal ağları kullanıyorsanız bir IPv6 adresinden gelen trafiğiniz olur. Koşullu Erişim ilkesi tarafından engellenen sanal ağ trafiğiniz varsa Azure AD oturum açma günlüğünüzü denetleyin. Trafiği belirledikten sonra kullanılan IPv6 adresini alabilir ve ilkenizin dışında tutabilirsiniz.

Not

Tek bir adres için BIR IP CIDR aralığı belirtmek istiyorsanız ,/128 bit maskesini uygulayın. IPv6 adresini 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a görürseniz ve bu tek adresi aralık olarak hariç tutmak istiyorsanız, 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128 kullanırsınız.

Bilmeniz gerekenler

Konum ne zaman değerlendirilir?

Koşullu Erişim ilkeleri aşağıdaki durumlarda değerlendirilir:

  • Kullanıcı başlangıçta bir web uygulamasında, mobil uygulamada veya masaüstü uygulamasında oturum açar.
  • Modern kimlik doğrulaması kullanan bir mobil veya masaüstü uygulaması, yeni erişim belirteci almak için yenileme belirteci kullanır. Varsayılan olarak bu denetim saatte bir kez yapılır.

Bu denetim, modern kimlik doğrulaması kullanan mobil ve masaüstü uygulamaları için ağ konumunun değiştirilmesinden sonra bir saat içinde konum değişikliği algılanması anlamına gelir. Modern kimlik doğrulaması kullanmayan mobil ve masaüstü uygulamaları için ilke her belirteç isteğine uygulanır. İsteğin sıklığı uygulamaya göre değişebilir. Benzer şekilde, web uygulamaları için ilke ilk oturum açmada uygulanır ve web uygulamasındaki oturumun ömrü için uygundur. Uygulamalar arasında oturum ömründeki farklılıklar nedeniyle, ilke değerlendirmesi arasındaki süre de farklılık gösterir. Uygulama her yeni oturum açma belirteci istediğinde ilke uygulanır.

Varsayılan olarak, Azure AD saatlik olarak bir belirteç gönderir. Şirket ağından taşındıktan sonra, ilke bir saat içinde modern kimlik doğrulaması kullanan uygulamalar için uygulanır.

Kullanıcı IP adresi

İlke değerlendirmesinde kullanılan IP adresi, kullanıcının genel IP adresidir. Özel ağdaki cihazlar için bu IP adresi intranetteki kullanıcının cihazının istemci IP adresi değildir; ağ tarafından genel İnternet'e bağlanmak için kullanılan adrestir.

Adlandırılmış konumları toplu olarak karşıya yükleme ve indirme

Adlandırılmış konumları oluşturduğunuzda veya güncelleştirdiğinizde, toplu güncelleştirmeler için IP aralıklarına sahip bir CSV dosyasını karşıya yükleyebilir veya indirebilirsiniz. Karşıya yükleme, listedeki IP aralıklarını dosyadaki bu aralıklarla değiştirir. Dosyanın her satırı CIDR biçiminde bir IP Adresi aralığı içerir.

Bulut proxy'leri ve VPN'ler

Bulutta barındırılan bir ara sunucu veya VPN çözümü kullandığınızda, Azure AD'nin bir ilkeyi değerlendirirken kullandığı IP adresi proxy'nin IP adresidir. Kullanıcının genel IP adresini içeren X-Forwarded-For (XFF) üst bilgisi, güvenilir bir kaynaktan geldiği doğrulanmadığından kullanılmaz, bu nedenle IP adresinin numaralandırılması için bir yöntem sunulur.

Bir bulut proxy'si söz konusu olduğunda, karma Azure AD'ye katılmış bir cihaz gerektirmek için kullanılan bir ilke veya AD FS'den şirket içi corpnet talebi kullanılabilir.

API desteği ve PowerShell

Adlandırılmış konumlar için Graph API'sinin önizleme sürümü mevcuttur. Daha fazla bilgi için bkz . namedLocation API'sine.

Sonraki adımlar