Konum koşulu, Azure Active Directory koşullu erişim nedir?What is the location condition in Azure Active Directory Conditional Access?

İle Azure Active Directory (Azure AD) koşullu erişim, nasıl yetkili kullanıcılar denetleyebilir, bulut uygulamalarınızı erişebilirsiniz.With Azure Active Directory (Azure AD) Conditional Access, you can control how authorized users can access your cloud apps. Koşullu erişim ilkesinin konum koşulu kullanıcılarınızın ağ konumlarına erişim denetimleri ayarlarını bağlamasına olanak tanır.The location condition of a Conditional Access policy enables you to tie access controls settings to the network locations of your users.

Bu makalede konum koşulu yapılandırmak gereken bilgileri sağlar.This article provides you with the information you need to configure the location condition.

KonumlarLocations

Azure AD cihazları ve uygulamaları için çoklu oturum açma sağlar ve hizmetlere her yerden genel internet'te.Azure AD enables single sign-on to devices, apps, and services from anywhere on the public internet. Konum koşulu ile bir kullanıcının ağ konumuna dayalı bulut uygulamalarınıza erişimi denetleyebilirsiniz.With the location condition, you can control access to your cloud apps based on the network location of a user. Konum koşulu için yaygın kullanım örnekleri şunlardır:Common use cases for the location condition are:

  • Şirket ağı devre dışı olduklarında hizmet erişen kullanıcılar için çok faktörlü kimlik doğrulaması gerektiren.Requiring multi-factor authentication for users accessing a service when they are off the corporate network.
  • Bir hizmetin belirli ülke veya bölgelerden erişen kullanıcılar için erişimi engelliyor.Blocking access for users accessing a service from specific countries or regions.

Bir ağ konumu ya da temsil ettiğini belirtilen konum veya çok faktörlü kimlik doğrulaması güvenilen IP'ler için bir etiket konumdur.A location is a label for a network location that either represents a named location or multi-factor authentication Trusted IPs.

Adlandırılmış konumlarNamed locations

Adlandırılmış konumlar ile mantıksal gruplandırmaları olan IP adresi aralıkları veya ülke ve bölge oluşturabilirsiniz.With named locations, you can create logical groupings of IP address ranges or countries and regions.

Adlandırılmış konumlarınıza erişebileceğiniz Yönet koşullu erişim bölümü.You can access your named locations in the Manage section of the Conditional Access page.

Koşullu erişim adlandırılmış konumlar

Adlandırılmış bir konuma aşağıdaki bileşenlere sahiptir:A named location has the following components:

Yeni bir konum adlı oluşturun

  • Ad -adlandırılmış bir konuma görünen adı.Name - The display name of a named location.

  • IP aralıklarını -bir veya daha fazla IPv4 adres aralıklarını CIDR biçiminde.IP ranges - One or more IPv4 address ranges in CIDR format. Bir IPv6 adres aralığı belirtilmesi desteklenmiyor.Specifying an IPv6 address range is not supported.

    Not

    IPv6 adresi rangess şu anda adlandırılmış bir konumda yer alamaz.IPv6 address rangess cannot currently be included in a named location. Bu measn IPv6 aralıkları bir koşullu erişim ilkesinden dışarıda bırakılamaz.This measn IPv6 ranges cannot be excluded from a Conditional Access policy.

  • Güvenilen konum olarak işaretle -güvenilen bir konum belirtmek adlandırılmış bir konum için ayarlayabileceğiniz bir bayrak.Mark as trusted location - A flag you can set for a named location to indicate a trusted location. Genellikle, güvenilen konumları BT departmanınız tarafından denetlenen ağ alanlardır.Typically, trusted locations are network areas that are controlled by your IT department. Koşullu erişim yanı sıra güvenilen adlandırılmış konumlar ayrıca Azure kimlik koruması ve Azure AD güvenlik raporları tarafından azaltmak için kullanılan hatalı pozitif sonuçları.In addition to Conditional Access, trusted named locations are also used by Azure Identity Protection and Azure AD security reports to reduce false positives.

  • Ülkeler/bölgeler -bu seçenek, bir veya daha fazla ülke veya bölge adlandırılmış bir konuma tanımlamak için seçmenize olanak sağlar.Countries/Regions - This option enables you to select one or more country or region to define a named location.

  • Bilinmeyen alanları dahil et -belirli bir ülke veya bölge için bazı IP adreslerini eşlenmedi.Include unknown areas - Some IP addresses are not mapped to a specific country or region. Bu seçenek, bu IP adresleri adlandırılmış bir konumda dahil edilip edilmeyeceğini seçmenize olanak tanır.This option allows you to choose if these IP addresses should be included in the named location. Belirtilen konum kullanarak ilke bilinmeyen konumlara uygulanmasını gerektiren bu ayarı kullanın.Use this setting when the policy using the named location should apply to unknown locations.

Adlandırılmış konumlar yapılandırabileceğiniz sayısı, Azure AD'de ilgili nesne boyutu tarafından sınırlanır.The number of named locations you can configure is constrained by the size of the related object in Azure AD. Konumlara göre aşağıdaki sınırlamaları yapılandırabilirsiniz:You can configure locations based on of the following limitations:

  • Bir adlı 1200 IP aralıklarına sahip konum.One named location with up to 1200 IP ranges.
  • Her birine atanan bir IP aralığı 90 adlı konumlarıyla en fazla.A maximum of 90 named locations with one IP range assigned to each of them.

Koşullu erişim ilkesi, IPv4 ve IPv6 trafiği için geçerlidir.Conditional Access policy applies to IPv4 and IPv6 traffic. Şu anda adlandırılmış konumlar yapılandırılması için IPv6 aralıkları izin vermez.Currently named locations do not allow IPv6 ranges to be configured. Bu sınırlama aşağıdaki durumlarda neden olur:This limitation causes the following situations:

  • Koşullu erişim ilkesi için özel IPv6 aralıkları hedeflenemezConditional Access policy cannot be targeted to specific IPv6 ranges
  • Koşullu erişim ilkesini belirli IPv6 aralıkları dışarıda tutulamazConditional Access policy cannot exclude specific IPV6 ranges

Bir ilke, "Herhangi bir yere" uygulamak için yapılandırılmışsa, IPv4 ve IPv6 trafiği için geçerli olur.If a policy is configured to apply to “Any location”, it will apply to IPv4 and IPv6 traffic. Belirtilen ülke ve bölge için yapılandırılmış adlandırılmış konumlar yalnızca IPv4 adreslerini destekler.Named locations configured for specified countries and regions only support IPv4 addresses. IPv6 trafiğidir yalnızca "Bilinmeyen alanları dahil et" seçeneğini seçtiyseniz dahil.IPv6 traffic is only included if the option to “include unknown areas” selected.

Güvenilen IP'lerTrusted IPs

Ayrıca, kuruluşunuzun yerel intranet temsil eden IP adresi aralıklarını yapılandırabilirsiniz multi-Factor authentication hizmeti ayarlarını.You can also configure IP address ranges representing your organization's local intranet in the multi-factor authentication service settings. Bu özellik, 50 adede kadar IP adresi aralıklarını yapılandırmanızı sağlar.This feature enables you to configure up to 50 IP address ranges. IP adresi aralıklarını CIDR biçimindedir.The IP address ranges are in CIDR format. Daha fazla bilgi için güvenilen IP'ler.For more information, see Trusted IPs.

Güvenilen IP'ler yapılandırılmış varsa, bunlar olarak görünmesini MFA güvenilen IP'ler konum koşulu için konumları listesinde.If you have Trusted IPs configured, they show up as MFA Trusted IPS in the list of locations for the location condition.

Çok faktörlü kimlik doğrulaması atlanıyorSkipping multi-factor authentication

Çok faktörlü kimlik doğrulaması Hizmeti Ayarları sayfasında, Kurumsal intranet kullanıcıları seçerek belirleyebilirsiniz Atla intranetimde bulunan Federasyon kullanıcılardan gelen istekleri için multi-Factor authentication.On the multi-factor authentication service settings page, you can identify corporate intranet users by selecting Skip multi-factor authentication for requests from federated users on my intranet. Bu ayar gösteren şirket içi AD FS tarafından verilen, talep ağ verilecek güvenilen ve kurumsal ağ üzerinde olarak kullanıcıyı tanımlamak için kullanılır.This setting indicates that the inside corporate network claim, which is issued by AD FS, should be trusted and used to identify the user as being on the corporate network. Daha fazla bilgi için koşullu erişim kullanarak güvenilen IP'ler özelliği etkinleştirmek.For more information, see Enable the Trusted IPs feature by using Conditional Access.

Bu seçenek denetledikten sonra adlandırılmış konumu dahil olmak üzere MFA güvenilen IP'ler tüm ilkeler için bu seçenek ile uygulanır.After checking this option, including the named location MFA Trusted IPS will apply to any policies with this option selected.

Oturum süreleri uzun ömürlü, mobil ve Masaüstü uygulamalar için koşullu erişim düzenli aralıklarla değerlendirilir.For mobile and desktop applications, which have long lived session lifetimes, Conditional Access is periodically reevaluated. Varsayılan bir kez bir saattir.The default is once an hour. İç şirket ağına talep yalnızca ilk kimlik doğrulaması yapıldığı sırada verilen, güvenilen IP aralıkları listesini Azure AD'ye sahip olmayabilir.When the inside corporate network claim is only issued at the time of the initial authentication, Azure AD may not have a list of trusted IP ranges. Bu durumda, kullanıcı hala şirket ağında olup olmadığını belirlemek daha zordur:In this case, it is more difficult to determine if the user is still on the corporate network:

  1. Kullanıcının IP adresi güvenilen IP aralıkları birinde olup olmadığını denetleyin.Check if the user’s IP address is in one of the trusted IP ranges.
  2. İlk üç sekizlisinin aynı kullanıcının IP adresi IP adresi ilk kimlik doğrulaması için ilk üç sekizlisinin aynı eşleşip eşleşmediğini kontrol edin.Check whether the first three octets of the user’s IP address match the first three octets of the IP address of the initial authentication. İlk IP adresini karşılaştırılır iç kurumsal ağ talep kimlik doğrulaması ilk verildiği ve kullanıcı konumu doğrulandı.The IP address is compared with the initial authentication when the inside corporate network claim was originally issued and the user location was validated.

Her iki adım başarısız olursa, bir kullanıcı artık bir güvenilen IP olarak değerlendirilir.If both steps fail, a user is considered to be no longer on a trusted IP.

Konum koşulu yapılandırmaLocation condition configuration

Konum koşulu yapılandırdığınızda ayırt etmek için seçeneğiniz vardır:When you configure the location condition, you have the option to distinguish between:

  • Herhangi bir yerdeAny location
  • Tüm Güvenilen KonumlarAll trusted locations
  • Seçili konumlarSelected locations

Konum koşulu yapılandırma

Herhangi bir yerdeAny location

Varsayılan olarak, seçerek herhangi bir konuma herhangi bir Internet adresi yani tüm IP adresleri için uygulanacak bir ilke neden olur.By default, selecting Any location causes a policy to be applied to all IP addresses, which means any address on the Internet. Bu ayar adlandırılmış konumu olarak yapılandırdığınız IP adreslerini sınırlı değildir.This setting is not limited to IP addresses you have configured as named location. Seçtiğinizde, herhangi bir konuma, belirli konumlara bir ilkeden yine de hariç tutabilirsiniz.When you select Any location, you can still exclude specific locations from a policy. Örneğin, şirket ağı dışında tüm konumlara kapsamını ayarlamak için güvenilen konumları hariç tüm konumlara bir ilke uygulayabilirsiniz.For example, you can apply a policy to all locations except trusted locations to set the scope to all locations, except the corporate network.

Tüm Güvenilen KonumlarAll trusted locations

Bu seçenek için geçerlidir:This option applies to:

  • Güvenilen konum olarak işaretlenmiş tüm konumlarAll locations that have been marked as trusted location
  • MFA güvenilen IP'ler (yapılandırılmışsa)MFA Trusted IPS (if configured)

Seçili konumlarSelected locations

Bu seçenek ile bir veya daha fazla adlandırılmış konumlar seçebilirsiniz.With this option, you can select one or more named locations. Bu ayar, uygulamak ile bir ilke için bir kullanıcı seçili konumlardan birini bağlanması gerekir.For a policy with this setting to apply, a user needs to connect from any of the selected locations. Tıkladığınızda seçin adlandırılmış ağlar listesi gösteren adlandırılmış ağ seçim denetim açar.When you click Select the named network selection control that shows the list of named networks opens. Ağ konumu işaretli listede de gösterilir olarak güvenilir.The list also shows if the network location has been marked as trusted. Belirtilen konum adlı MFA güvenilen IP'ler çok faktörlü kimlik doğrulaması hizmeti ayar sayfasında yapılandırılabilir IP ayarları eklemek için kullanılır.The named location called MFA Trusted IPs is used to include the IP settings that can be configured in the multi-factor authentication service setting page.

Bilmeniz gerekenlerWhat you should know

Ne zaman bir konum olarak kabul edilir?When is a location evaluated?

Koşullu erişim ilkeleri değerlendirilir olduğunda:Conditional Access policies are evaluated when:

  • Bir kullanıcı ilk kez bir web uygulaması, mobil veya masaüstü uygulamasına oturum açtığında.A user initially signs in to a web app, mobile or desktop application.
  • Modern kimlik doğrulaması kullanan bir mobil veya masaüstü uygulaması, yeni bir erişim belirteci almak için bir yenileme belirteci kullanır.A mobile or desktop application that uses modern authentication, uses a refresh token to acquire a new access token. Varsayılan olarak bu onay bir kez bir saattir.By default this check is once an hour.

Bu denetim için mobile anlamına gelir ve Masaüstü uygulamaları, modern kimlik doğrulaması kullanan bir saat içinde ağ konumunu değiştirme konumunda bir değişiklik algılanır.This check means for mobile and desktop applications using modern authentication, a change in location would be detected within an hour of changing the network location. Modern kimlik doğrulaması kullanmayan mobil ve Masaüstü uygulamalar için her bir belirteç isteğinde ilke uygulanır.For mobile and desktop applications that don’t use modern authentication, the policy is applied on each token request. İstek sıklığını uygulama göre farklılık gösterebilir.The frequency of the request can vary based on the application. Benzer şekilde, web uygulamaları için ilke ilk oturum açma işleminde uygulanır ve konumundaki web uygulaması oturumunun ömrü boyunca geçerlidir.Similarly, for web applications, the policy is applied at initial sign-in and is good for the lifetime of the session at the web application. Uygulamalar arasında oturum süreleri farklılıkları nedeniyle, ilke değerlendirmesi arasındaki süreyi de değişir.Due to differences in session lifetimes across applications, the time between policy evaluation will also vary. Uygulamanın yeni bir oturum açma belirteci, istekleri her zaman ilke uygulanır.Each time the application requests a new sign-in token, the policy is applied.

Varsayılan olarak, Azure AD üzerinden saatlik olarak bir belirteç verir.By default, Azure AD issues a token on an hourly basis. Bir saat içinde Kurumsal ağa taşıdıktan sonra modern kimlik doğrulaması kullanan uygulamalar için ilke uygulanmaz.After moving off the corporate network, within an hour the policy is enforced for applications using modern authentication.

Kullanıcının IP adresiUser IP address

İlkesi değerlendirmesi içine kullanılan IP adresini, kullanıcının genel IP adresidir.The IP address that is used in policy evaluation is the public IP address of the user. Özel bir ağ cihazlarında için bu IP adresi kullanıcı cihazının intranet üzerindeki istemci IP'si değil, bu ağın genel internet'e bağlanmak için kullandığı adresidir.For devices on a private network, this IP address is not the client IP of the user’s device on the intranet, it is the address used by the network to connect to the public internet.

Uyarı

Cihazınız yalnızca bir IPv6 adresi varsa, konum koşulu yapılandırılması desteklenmiyor.If your device has only an IPv6 address, configuring the location condition is not supported.

Toplu karşıya yükleme ve adlandırılmış konumları indirmeBulk uploading and downloading of named locations

Oluşturma veya güncelleştirme adlandırılmış konumlar, toplu güncelleştirmeler için yükleme veya kullanabilirsiniz IP aralıklarını içeren bir CSV dosyalarını indirme.When you create or update named locations, for bulk updates, you can upload or download a CSV file with the IP ranges. Karşıya yükleme IP aralıkları listesinde bu dosya ile değiştirir.An upload replaces the IP ranges in the list with those from the file. Dosyanın her satırı CIDR biçiminde bir IP adresi aralığı içerir.Each row of the file contains one IP Address range in CIDR format.

Bulut Ara sunucuları ve VPNCloud proxies and VPNs

Bulutta barındırılan proxy ya da VPN çözümü kullandığınızda, bir ilke değerlendirmesi proxy IP adresi olduğu IP adresini Azure AD kullanır.When you use a cloud hosted proxy or VPN solution, the IP address Azure AD uses while evaluating a policy is the IP address of the proxy. Bir IP adresi faking bir yöntem sunmak şekilde güvenilir bir kaynaktan geldiği doğrulama olduğundan kullanıcının genel IP adresini içeren X-Forwarded-For (XFF) üst bilgisi kullanılmaz.The X-Forwarded-For (XFF) header that contains the user’s public IP address is not used because there is no validation that it comes from a trusted source, so would present a method for faking an IP address.

Bir yerde, bir etki alanına katılmış cihaz kullanılabilir zorunlu tutmak için kullanılan bir ilke veya içeriden bir bulut proxy olduğunda talebi AD fs'den.When a cloud proxy is in place, a policy that is used to require a domain joined device can be used, or the inside corpnet claim from AD FS.

API desteği ve PowerShellAPI support and PowerShell

API ve PowerShell henüz desteklenmiyor veya koşullu erişim ilkeleri adlandırılmış konumlar için.API and PowerShell is not yet supported for named locations, or for Conditional Access policies.

Sonraki adımlarNext steps