Koşullu Erişim dağıtımını planlama
Koşullu Erişim dağıtımınızı planlamak, uygulama ve kaynaklar için kuruluşun erişim stratejisini elde etmek için kritik öneme sahip.
Mobil ve buluta özel bir dünyada kullanıcılarınız, çeşitli cihaz ve uygulamaları kullanarak her yerden kuruluş kaynaklarına erişer. Sonuç olarak, bir kaynağa kimlerin erişene odaklanması artık yeterli değildir. Ayrıca kullanıcının nerede olduğunu, kullanılan cihazı, erişilen kaynağı ve daha fazlasını da göz önünde bulundurabilirsiniz.
Azure Active Directory (Azure AD) Koşullu Erişim, kararları otomatikleştirmek ve kaynak için kuruluş erişim ilkelerini zorunlu hale uygulamak için kullanıcı, cihaz ve konum gibi sinyalleri analiz eder. Multi-Factor Authentication (MFA) gibi erişim denetimlerini uygulamak için Koşullu Erişim ilkelerini kullanabilirsiniz. Koşullu Erişim ilkeleri, güvenlik için gerektiğinde kullanıcılardan MFA isteminde kalmanıza ve gerek kalmadan kullanıcıların yolundan çıkmanıza olanak sağlar.
Microsoft, temel bir güvenlik düzeyini sağlayan güvenlik varsayılanları olarak adlandırılan standart koşullu ilkeler sağlar. Ancak, kuruluşta güvenlik varsayılanları teklifinden daha fazla esneklik gerekiyor olabilir. Güvenlik varsayılanlarını daha ayrıntılı bir şekilde özelleştirmek ve gereksinimlerinizi karşılayacak yeni ilkeler yapılandırmak için Koşullu Erişim'i kullanabilirsiniz.
Learn
Başlamadan önce Koşullu Erişim'in nasıl çalıştığını ve ne zaman kullan gerektiğini anlayasınız.
Avantajlar
Koşullu Erişim dağıtmanın avantajları:
Üretkenliği artırın. Yalnızca MFA gibi bir oturum açma koşuluyla kullanıcıları kesintiye uğratmak için bir veya daha fazla sinyal gerekir. Koşullu Erişim ilkeleri, kullanıcılardan ne zaman MFA istendiğini, ne zaman erişimin engellenmiş olduğunu ve ne zaman güvenilir bir cihaz kullanmaları gerektiğini denetlemeye olanak sağlar.
Riski yönetme. Risk değerlendirmesini ilke koşullarıyla otomatikleşmek, riskli oturum açmaların aynı anda tanımlandı ve düzeltildi veya engellenmiş olduğu anlamına gelir. Anomalileri ve şüpheli olaylarıalgılayan Koşullu Erişimi Kimlik Koruması ile eşleştirme, kaynaklara erişim engellenmiş veya geçitli olduğunda hedeflemeye olanak sağlar.
Uyumluluk ve idareyi ele anın. Koşullu Erişim, uygulamalara erişimi denetlemeniz, onay için kullanım koşulları sunmanıza ve uyumluluk ilkelerine göre erişimi kısıtlamanıza olanak sağlar.
Maliyeti yönetme. Erişim ilkelerini Azure AD'ye taşıma, Koşullu Erişim için özel veya şirket içi çözümlere ve bunların altyapı maliyetlerine olan bağlıliği azaltır.
Lisans gereksinimleri
Bkz. Koşullu Erişim lisans gereksinimleri.
Ek özellikler gerekli ise ilgili lisanslara da ihtiyacınız olabilir. Daha fazla bilgi için bkz. Azure Active Directory fiyatlandırması.
Önkoşullar
Azure AD Premium veya deneme Azure AD Premium çalışan bir Azure AD kiracısı. Gerekirse ücretsiz bir tane oluşturun.
Koşullu Erişim yönetici ayrıcalıklarına sahip bir hesap.
Testuser gibi bildiğiniz bir parolaya sahip yönetici olmayan bir kullanıcı. Kullanıcı oluşturmanız gerekirse bkz. Hızlı Başlangıç: Yeni kullanıcı ekleme Azure Active Directory.
Yönetici olmayan kullanıcının üyesi olduğu bir grup. Bir grup oluşturmanız gerekirse, bkz. Grup oluşturma ve Azure Active Directory.
Eğitim kaynakları
Koşullu Erişim hakkında bilgi edinmek için aşağıdaki kaynaklar yararlı olabilir:
Videolar
- Koşullu Erişim nedir?
- Koşullu Erişim nasıl dağıt musunuz?
- Koşullu Erişim ilkelerini son kullanıcılara nasıl kullanabilirim?
- Kullanıcıları Koşullu Erişim ilkelerine dahil etmek veya dışlamak
- Cihaz denetimleriyle Koşullu Erişim
- Azure AD MFA ile Koşullu Erişim
- Enterprise Mobility + Security'da Koşullu Erişim
PluralSight'ta çevrimiçi kurslar
- Microsoft Azure'de Kimlik Yönetimi'Microsoft Azure
- Microsoft Azure için Kimlik Doğrulaması Tasarlama
- Microsoft Azure için Tasarım Yetkilendirmesi
Dağıtım projesini planlama
Ortamınıza bu dağıtımın stratejisini belirlerken kuruluş ihtiyaçlarını göz önünde bulundurabilirsiniz.
Doğru paydaşlarla etkileşim kurma
Teknoloji projeleri başarısız olduğunda, bunlar genellikle etki, sonuçlar ve sorumluluklara ilişkin eşleşmeyen beklentiler nedeniyle bunu yapar. Bu tuzaklardan kaçınmak için doğru paydaşlarla birlikte çalışma ve proje rollerinin net olduğundan emin olmak.
İletişimi planlama
İletişim, yeni hizmetlerden herhangi birini başarıyla elde etmek için kritik öneme sahip. Kullanıcılarınızı deneyimlerinin nasıl değiştirecek, ne zaman değişecekleri ve sorun yaşamaları durumuna karşı nasıl destek kazanacakları hakkında proaktif olarak iletişim kurma.
Pilot planlama
Ortamınız için yeni ilkeler hazır olduğunda, bunları üretim ortamındaki aşamalarda dağıtın. İlk olarak, bir test ortamındaki küçük bir kullanıcı kümesine bir ilke uygulama ve ilkenin beklendiği gibi davranacağını doğrulayın. Bkz. Pilot için en iyi yöntemler.
Not
Yöneticilere özgü yeni ilkeler için tüm yöneticileri hariç tut. Bu, yöneticilerin ilkeye erişmeye devam etmelerini ve önemli bir etki varsa değişiklik yapmalarını veya iptal etmelerini sağlar. Tüm kullanıcılara başvurmadan önce ilkeyi her zaman daha küçük kullanıcı gruplarıyla doğrula.
Koşullu Erişim ilkesi bileşenlerini anlama
Koşullu Erişim ilkeleri if-then deyimleridir: Bir atama karşısa, bu erişim denetimlerini uygulama.
Koşullu Erişim ilkelerini yapılandıran koşullar atama olarak adlandırılan bir uygulamadır. Koşullu Erişim ilkeleri, belirli atamalara göre kuruluş uygulamalarına erişim denetimleri uygulamanıza olanak sağlar.
Daha fazla bilgi için bkz. Koşullu Erişim ilkesi bina.
İlkeden etkilenecek kullanıcılar ve gruplar
İlkenin uygulaneceği bulut uygulamaları veya eylemleri
İlkenin geçerli olduğu koşullar.
Erişim denetimleri ayarları, bir ilkenin nasıl zorlan bir ilke olduğunu belirler:
Bulut uygulamalarına erişim izni verin veya erişimi engelin.
Oturum denetimleri, belirli bulut uygulamaları içinde sınırlı deneyimler sağlar.
İlkelerinizi oluşturmak için doğru soruları sorma
İlkeler, kaynaklarınıza kimin erişmesi gerektiği, hangi kaynaklara erişmesi gerektiği ve hangi koşullar altında olması gerektiğiyle ilgili soruları yanıtlar. İlkeler erişim vermek veya erişimi engellemek için tasar olabilir. İlkenizin neyi başarmaya çalıştığı hakkında doğru soruları sormayı başarmanızı sağlar.
İlkeyi oluşturmadan önce her ilkeye ilişkin soruların yanıtlarını belgeye ekleyin.
Atamalar hakkında sık sorulan sorular
İlkeye dahil edilecek veya ilkeden hariç tutulacak kullanıcılar ve gruplar hangileridir?
Bu ilke tüm kullanıcıları, belirli kullanıcı grubunu, dizin rollerini veya dış kullanıcıları mı içerir?
Bulut uygulamaları veya eylemleri
İlke hangi uygulamalara uygulanacak?
Bu ilke hangi kullanıcı eylemlerine tabi olacak?
hangi cihaz platformları ilkeye dahil edilecek veya ilkenin dışında tutulacak?
Kuruluşun güvenilen konumları nedir?
hangi konumlar ilkeye dahil edilecek veya ilkenin dışında tutulacak?
İlkeye hangi istemci uygulama türleri (tarayıcı, mobil, masaüstü istemcileri, eski kimlik doğrulama yöntemlerine sahip uygulamalar) dahil edilecek veya ilkenin dışında tutulacak?
Azure AD'ye Katılmış cihazları veya Hibrit Azure AD'ye katılmış cihazları ilkelerden dışlamanız gereken ilkeleriniz var mı?
Kimlik Koruması kullanıyorsanız,oturum açma riski korumasını dahil etmek istiyor musunuz?
Erişim denetimleri hakkında sık sorulan sorular
Aşağıdakilerden birini veya daha fazlasını gerektirerek kaynaklara erişim vermek istiyor musunuz?
MFA gerektirme
Cihazın uyumlu olarak işaretlerini gerektirme
Hibrit Azure AD'ye katılmış cihaz gerektirme
Onaylı istemci uygulaması gerektirme
Uygulama koruma ilkesi gerektir
Bulut uygulamalarına aşağıdaki erişim denetimlerini uygulamak istiyor musunuz?
Uygulama tarafından zorlanan izinleri kullanma
Koşullu Erişim Uygulama Denetimi
Oturum açma sıklığını zorlama
Kalıcı tarayıcı oturumlarını kullanma
Erişim belirteci verme
Erişim belirteçlerini nasıl verilenleri anlamak önemlidir.
Not
Atama gerekli yoksa ve Koşullu Erişim ilkesi yoksa, varsayılan davranış bir erişim belirteci yapmaktır.
Örneğin, aşağıdakilerin bulunduğu bir ilke düşünün:
Kullanıcı Grup 1'de ise, MFA'ya App 1'e erişmeye zorlar.
Grup 1'de yer alan bir kullanıcı uygulamaya erişmeye çalışırsa "if" koşulu karşılanmaz ve bir belirteç çıkar. Grup 1 dışındaki kullanıcıları dışlamak için diğer tüm kullanıcıları engellemek için ayrı bir ilke gerekir.
En iyi yöntemleri izleme
Koşullu Erişim çerçevesi size harika bir yapılandırma esnekliği sağlar. Ancak, büyük esneklik, istenmeyen sonuçlardan kaçınmak için her yapılandırma ilkesinden önce bu ilkeyi dikkatli bir şekilde incelemelisiniz.
Her uygulamaya Koşullu Erişim ilkeleri uygulama
Koşullu Erişim ilkesi koşulu bir erişim denetimi tetiklemezse erişim belirteçleri varsayılan olarak verilen belirteçlerdir. Her uygulamanın en az bir koşullu erişim ilkesi uygulanmış olduğundan emin olmak
Önemli
Blok ve tüm uygulamaları tek bir ilkede kullanırken çok dikkatli olun. Bu, yöneticileri Azure Yönetim Portalı'nın dışında bırakır ve Dışlamalar Microsoft Yönetim Portalı gibi önemli uç noktalar için Graph.
Koşullu Erişim ilkelerinin sayısını en aza indirme
Her uygulama için bir ilke oluşturmak verimli değildir ve karmaşık yönetime yol açtır. Her Azure AD kiracısı için en fazla 195 Koşullu Erişim olabilir. Uygulamalarınızı analiz etmeniz ve bunları aynı erişim gereksinimlerine sahip ilkeler olarak gruplamanızı öneririz. Örneğin, tüm Microsoft 365 veya tüm İk uygulamaları aynı kullanıcılar için aynı gereksinimlere sahipse, tek bir ilke oluşturun ve her uygulama için bir ilke eklemek yerine bu uygulamaların hepsini dahil edin.
Acil durum erişim hesaplarını ayarlama
Bir ilkeyi yanlış yapılandırıyorsanız, bu ilke kuruluşları Azure portal. Kuruluşta iki veya daha fazla acil durum erişim hesabı oluşturarak yanlışlıkla yönetici kilitlenmesi etkisini hafifletin.
- İlke yönetimine ayrılmış ve tüm ilkelerinizin dışında bırakılan bir kullanıcı hesabı oluşturun.
Yalnızca rapor modunu ayarlama
Yaygın dağıtım girişimlerinden etkilenen kullanıcıların sayısını ve adlarını tahmin etmek zor olabilir, örneğin:
- eski kimlik doğrulamasını engelleme
- MFA gerektirme
- oturum açma riski ilkelerini uygulama
Yalnızca rapor modu, yöneticilerin Kendi ortamında etkinleştirmeden önce Koşullu Erişim ilkelerinin etkisini değerlendirmesine olanak sağlar.
Koşullu Erişim ilkesi üzerinde yalnızca rapor modunu yapılandırmayı öğrenin.
Kesintiyi planlama
IT sistemlerinizin güvenliğini sağlamak için MFA veya ağ konumu gibi tek bir erişim denetimine güveniyorsanız, tek erişim denetimi kullanılamaz hale gelirse veya yanlış yapılandırılmışsa erişim hatalarına karşı duyarlı olursınız. Öngörülemeyen kesintiler sırasında kilitlenme riskini azaltmak için, kuruluş için benimsenen stratejiler plan edin.
İlkeleriniz için adlandırma standartlarını ayarlama
Adlandırma standardı, ilkeleri Azure yönetici portalında açmadan ilkeleri bulmanıza ve amaçlarını anlamanıza yardımcı olur. İlkenizi şu şekilde göstermenizi öneririz:
Bir Sıra Numarası
Uygulandığı bulut uygulaması
Yanıt
Who için geçerli
Uygulandığında (varsa)
Örnek; Dış ağlardan Dynamics CRP uygulamasına erişen pazarlama kullanıcıları için MFA gerektirmeye yönelik bir ilke şöyle olabilir:
Açıklayıcı bir ad, Koşullu Erişim uygulamanıza genel bir bakış tutmanıza yardımcı olur. Dizi Numarası, bir konuşmada bir ilkeye başvurulmanız gerekirse yararlıdır. Örneğin, bir yöneticiyle telefonda konuşarak bir sorunu çözmek için ca01 ilkesi açmalarını sorabilirsiniz.
Acil durum erişim denetimleri için adlandırma standartları
Etkin ilkelerinize ek olarak, kesinti veya acil durum senaryolarında ikincil resilient erişimdenetimleri olarak hareket eden devre dışı ilkeleri de gerçekleştirin. Contingency ilkeleri için adlandırma standart şu şekilde olmalıdır:
Adı diğer ilkeler arasında öne çıkararak başlangıçta ACIL DURUMDA ETKINLEŞTIR'i etkinleştirin.
Geçerli olması gereken kesintinin adı.
Yöneticinin hangi sipariş ilkelerinin etkinleştirilmesi gerektiğini anlamanıza yardımcı olacak bir sıralama dizisi numarası.
Örnek
Aşağıdaki ad, bir MFA kesintisi olması durumunda bu ilkenin etkinleştirilen dört ilkeden ilki olduğunu gösterir:
EM01 - ACIL DURUMLARDA ETKINLEŞTIR: MFA Kesintisi [1/4] - Exchange SharePoint: VIP kullanıcıları için hibrit Azure AD'ye katılmayı gerektir.
Hiçbir zaman oturum açmasını beklemeyen ülkeleri dışlama.
Azure Active Directory adlandırılmış konumlar oluşturmanıza olanak sağlar. Oturum açmanın gerçekleşmesini asla beklemeyebilirsiniz tüm ülkeleri içeren adlandırılmış bir konum oluşturun. Ardından bu adlandırılmış konumdan Tüm uygulamalar engelleyen bir ilke oluşturun. Yöneticilerinizi bu ilkeden muaf tutulacak şekilde emin olun.
İlke dağıtımınızı planlama
Ortamınız için yeni ilkeler hazır olduğunda, istenmeyen sonuçları önlemek için her ilkeyi serbest bırakmadan önce gözden geçirmeyi unutmayın.
Ortak ilkeler
Koşullu Erişim ilkesi çözümlerinizi planlarken, aşağıdaki sonuçları elde etmek için ilke oluşturmanız gerekip gerekip gerek olmadığını değerlendirin.
- MFA gerektirme
- Güvenliği tehlikeye atılmış olabilecek hesaplara yanıt verme
- Yönetilen cihazları gerektirme
- Onaylı istemci uygulamaları gerektirme
- Hizmete erişimi
MFA gerektirme
MFA erişimi gerektiren yaygın kullanım örnekleri:
Güvenliği tehlikeye atılmış olabilecek hesaplara yanıt verme
Koşullu Erişim ilkeleriyle, güvenliği tehlikeye atılmış olabilecek kimlikler tarafından oturum açmalara otomatik yanıtlar uygulayabileceksiniz. Bir hesabın tehlikeye atılmış olma olasılığı risk düzeyleri şeklinde ifade edildi. Kimlik Koruması tarafından hesaplanan iki risk düzeyi vardır: oturum açma riski ve kullanıcı riski. Etkinleştirilebilir aşağıdaki üç varsayılan ilke.
Yönetilen cihazları gerektirme
Bulut kaynaklarınıza erişmek için desteklenen cihazların uzalama, kullanıcılarınızın verimliliğini artırmaya yardımcı olur. Büyük olasılıkla ortamınızdaki belirli kaynaklara bilinmeyen koruma düzeyi olan cihazların erişmesini istemezsiniz. Bu kaynaklar için kullanıcıların yalnızca yönetilen bir cihaz kullanarak erişebilmesi gerekir.
Onaylı istemci uygulamaları gerektirme
Çalışanlar hem kişisel hem de iş görevleri için mobil cihazlarını kullanır. KCG senaryolarında tüm cihazı mı yoksa yalnızca üzerindeki verileri mi yönetmeniz gerektiğine karar vermelisiniz. Yalnızca verileri ve erişimi yönetiyorsanız, Şirket verilerinizi koruyabilen onaylanan bulut uygulamaları isteyebilirsiniz . örneğin, e-postaya yalnızca bir genel posta programı aracılığıyla değil, Outlook mobil aracılığıyla erişilmesini sağlayabilirsiniz.
Erişimi engelleme
Tüm erişimi engelleme seçeneği güçlü. Örneğin, bir uygulamayı Azure AD 'ye geçirdiğinizde, ancak henüz hiç oturum açmasını sağlamak için de kullanılabilir. Erişimi engelle:
Bir kullanıcı için diğer tüm atamaları geçersiz kılar
, Tüm kuruluşunuzun kiracınızda oturum açmasını engelleme gücüne sahiptir
Önemli
Tüm kullanıcılar için erişimi engellemek üzere bir ilke oluşturursanız, acil durum erişim hesaplarını dışlamadığınızdan emin olun ve tüm yöneticileri ilkeden hariç tutun.
Kullanıcılarınıza erişimi engelleyebileceğiniz diğer yaygın senaryolar şunlardır:
Belirli ağ konumlarının bulut uygulamalarınıza erişmesini engelleyin. Bu ilkeyi, trafiğin gelmemesi gerektiğini bildiğiniz bazı ülkeleri engellemek için kullanabilirsiniz.
Azure AD eski kimlik doğrulamasını destekler. Ancak, eski kimlik doğrulaması MFA 'yı desteklemez ve birçok ortam, kimlik güvenliğini sağlamak için gereklidir. Bu durumda, eski kimlik doğrulama kullanan uygulamaları kiracı kaynaklarınıza erişmesini engelleyebilirsiniz.
Derleme ve test ilkeleri
Dağıtımınızın her aşamasında sonuçların beklendiği gibi olduğunu değerlendirdiğinizden emin olun.
Yeni ilkeler hazırlandığınızda, bunları üretim ortamında aşamalar halinde dağıtın:
Son kullanıcılara iç değişiklik iletişimi sağlayın.
Küçük bir Kullanıcı kümesiyle başlayın ve ilkenin beklendiği gibi davrandığını doğrulayın.
Bir ilkeyi daha fazla Kullanıcı içerecek şekilde genişlettiğinizde, tüm yöneticileri dışlayacak şekilde devam edin. Yönetici dışlama, bir değişiklik gerekliyse birisinin bir ilkeye hala erişmesini sağlar.
Yalnızca tüm kullanıcılara, tamamen test edildikten sonra bir ilke uygulayın. Bir ilkenin uygulanacağı en az bir yönetici hesabınız olduğundan emin olun.
Test kullanıcıları oluşturma
Üretim ortamınızdaki kullanıcıları yansıtan bir test kullanıcıları kümesi oluşturun. Test kullanıcıları oluşturmak, gerçek kullanıcıları etkilemeden ve uygulama ve kaynaklara erişimleri büyük olasılıkla kesintiye uğramadan önce ilkeleri beklendiği gibi çalışır şekilde doğrulamanızı sağlar.
Bazı kuruluşların bu amaçla test kiracılar vardır. Ancak, bir ilkenin sonucunu tam olarak test etmek için bir test kiracısındaki tüm koşulların ve uygulamaların yeniden oluşturulması zor olabilir.
Test planı oluşturma
Test planı, beklenen sonuçlarla gerçek sonuçlar arasında bir karşılaştırma yapmak için önemlidir. Bir şeyi test etmeden önce her zaman bir beklenmelidir. Aşağıdaki tabloda örnek test çalışmaları özetlenmektedir. Koşullu erişim ilkelerinizin nasıl yapılandırıldığına bağlı olarak senaryoları ve beklenen sonuçları ayarlayın.
| İlke | Senaryo | Beklenen Sonuç |
|---|---|---|
| İş olmadığında MFA gerektir | Güvenilen bir konum/iş sırasında yetkili kullanıcı uygulama oturumunu kapatır | Kullanıcıdan MFA istenmez |
| İş olmadığında MFA gerektir | Yetkili Kullanıcı, güvenilir bir konum/iş üzerinde olmadığı sürece uygulamada oturum açar | Kullanıcıdan MFA yapması istenir ve başarıyla oturum açabilir |
| MFA gerektir (yönetici için) | Genel yönetici uygulamada oturum açar | Yöneticiye MFA sorulur |
| Riskli oturum açma işlemleri | Kullanıcı onaylanmamış bir tarayıcı kullanarak uygulamada oturum açar | Yöneticiye MFA sorulur |
| Cihaz yönetimi | Yetkili Kullanıcı yetkili bir cihazdan oturum açmaya çalışır | Erişim Izni verildi |
| Cihaz yönetimi | Yetkili kullanıcı yetkisiz bir cihazdan oturum açmaya çalışır | Erişim engellendi |
| Riskli kullanıcılar için parola değiştirme | Yetkili Kullanıcı güvenliği tehlikeye giren kimlik bilgileriyle oturum açmaya çalışır (yüksek riskli oturum açma) | İlkenize göre kullanıcıdan parolayı değiştirmesi veya erişimin engellenmesi istenir |
Test ilkesini yapılandırma
Azure portal, koşullu erişim ilkelerini Azure Active Directory > güvenlik > koşullu erişim altında yapılandırırsınız.
Koşullu erişim ilkeleri oluşturma hakkında daha fazla bilgi edinmek istiyorsanız, bkz. Bu örnek: kullanıcı Azure Portal oturum AÇTıĞıNDA MFA istemek Için koşullu erişim ilkesi. Bu hızlı başlangıç şunları yapmanıza yardımcı olur:
Kullanıcı arabirimi hakkında bilgi sahibi olun
Koşullu erişimin nasıl çalıştığına ilişkin bir ilk izlenim alın
İlkeyi yalnızca rapor modunda etkinleştir
İlkenizin etkisini değerlendirmek için ilkeyi yalnızca rapor modundaetkinleştirerek başlayın. Yalnızca rapor ilkeleri oturum açma sırasında değerlendirilir, ancak atama denetimleri ve oturum denetimleri zorlanmaz. İlkeyi yalnızca rapor modunda kaydettiğinizde, oturum açma günlüklerinde gerçek zamanlı oturum açma işlemlerinin etkisini görebilirsiniz. Oturum açma günlüklerinden bir olay seçin ve yalnızca rapor olan her ilkenin sonucunu görmek için yalnızca rapor sekmesine gidin.
İlkeyi seçtiğinizde, ilke ayrıntıları ekranı kullanılarak ilkenin atamalarının ve erişim denetimlerinin nasıl değerlendirildiğini de görebilirsiniz. Bir ilkenin bir oturum açma için uygulanabilmesi için, yapılandırılmış atamaların her birinin karşılanması gerekir.
Analizler ve raporlama çalışma kitabını kullanarak ilkelerinizin etkisini anlayın
koşullu erişim ilkelerinizin toplam etkisini Analizler ve raporlama çalışma kitabında görüntüleyebilirsiniz. Çalışma kitabına erişmek için bir Azure Izleyici aboneliğine ihtiyacınız vardır ve oturum açma günlüklerinizi bir Log Analytics çalışma alanına akışıgerekir.
Durum aracını kullanarak oturum açma işlemlerinin benzetimini yapın
Koşullu erişim ilkenizi doğrulamak için başka bir yöntem de, kuramsal şartlar altında oturum açan bir kullanıcı için hangi ilkelerin uygulanacağını taklit eden, ne tür aracıkullanmaktır. Sınamak istediğiniz oturum açma özniteliklerini (Kullanıcı, uygulama, cihaz platformu ve konum gibi) seçin ve hangi ilkelerin uygulanacağını görüntüleyin.
Not
Sanal bir çalıştırma, koşullu erişim ilkesinin sahip olduğu etkiyi size iyi bir fikir sunurken, gerçek bir test çalıştırmasının yerini almaz.
İlkenizi test etme
Test planınızdan test kullanıcıları ile her bir testi gerçekleştirin.
Bir ilkenin dışlama ölçütünü test edin. Örneğin, MFA gerektiren bir ilkeden Kullanıcı veya grup dışlayabilirsiniz. Diğer ilkelerin birleşimi bu kullanıcılar için MFA gerektirebileceğinden, dışlanan kullanıcılardan MFA için istenirse test edin.
Geri alma ilkeleri
Yeni uygulanan ilkelerinizi geri almanız gerekiyorsa, aşağıdaki seçeneklerden birini veya daha fazlasını kullanın:
- İlkeyi devre dışı bırakın. Bir ilkeyi devre dışı bırakmak, bir Kullanıcı oturum açmaya çalıştığında uygulanmadığından emin olur. Her zaman geri dönüp ilkeyi kullanmak istediğinizde etkinleştirebilirsiniz.
- Bir kullanıcıyı veya grubu ilkeden hariç tutun. Kullanıcı uygulamaya erişene kadar ilkeden dışlamayı seçebilirsiniz.
Not
Bu seçenek, yalnızca kullanıcının güvendiği durumlarda çok fazla kullanılmalı. Kullanıcının mümkün olan en kısa sürede ilkeye veya gruba yeniden eklenmesi gerekir.
- İlkeyi silin. İlke artık gerekli değilse silin.
Bulut uygulamalarına erişimi yönetme
Koşullu Erişim ilkelerinizi kontrol etmek ve yönetmek için aşağıdaki Yönet seçeneklerini kullanın:
Adlandırılmış konumlar
Koşullu Erişim ilkesi konum koşulu, erişim denetimi ayarlarını kullanıcılarının ağ konumlarına bağlamanızı sağlar. Adlandırılmış Konumlar ileIP adresi aralıklarının veya ülke ve bölgelerin mantıksal gruplamalarını oluşturabilirsiniz.
Özel denetimler
Özel denetimler, Azure AD dışındaki kimlik doğrulama gereksinimlerini karşılamak için kullanıcılarınızı uyumlu bir hizmete yeniden yönlendirmektedir. Bu denetimi karşılamak için kullanıcının tarayıcısı dış hizmete yeniden yönlendirildi, gerekli kimlik doğrulamasını gerçekleştiriyor ve azure AD'ye geri yönlendiriyor. Azure AD yanıtı doğrular ve kullanıcının kimliği başarıyla doğrulanmışsa kullanıcı Koşullu Erişim akışında devam eder.
Kullanım koşulları
Ortamınız içinde belirli bulut uygulamalarına erişmeden önce, kullanıcıdan kendi bulut uygulamalarınızı (ToU) kabul etmelerinden Kullanım koşulları edinebilirsiniz. Kullanım Koşulları oluşturmak için bu Hızlı Başlangıç'a göz atarak.
Koşullu erişim sorunlarını giderme
Bir kullanıcı Koşullu Erişim ilkesiyle ilgili bir soruna sahip olduğunda, sorun gidermeyi kolaylaştırmak için aşağıdaki bilgileri toplayın.
Kullanıcı ilkesi Adı
Kullanıcı görünen adı
İşletim sistemi adı
Zaman damgası (yaklaşık olarak tamam)
Hedef uygulama
İstemci uygulama türü (tarayıcı ve istemci)
Bağıntı Kimliği (oturum açma için benzersizdir)
Kullanıcı Daha fazla ayrıntı bağlantısı içeren bir ileti aldısa, bu bilgilerin çoğunu sizin için toplayabilirsiniz.
Bilgileri top verdiktan sonra aşağıdaki kaynaklara bakın:
Koşullu Erişim ile ilgili oturum açma sorunları – Hata iletilerini ve Azure AD oturum açma günlüklerini kullanarak Koşullu Erişim ile ilgili beklenmeyen oturum açma sonuçlarını anlama.
What-If aracını kullanma - Bir ilkenin belirli bir durumda kullanıcıya neden uygulandığını veya uygulanmadı olduğunu veya bir ilkenin bilinen bir durumda uygulanabilecek olup olmadığını anlama.
Sonraki Adımlar
Çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi