Nasıl Yapılır: Azure Active Directory'de koşullu erişim dağıtımınızı planlamaHow To: Plan your Conditional Access deployment in Azure Active Directory

Koşullu erişim dağıtımınızı planlama, uygulamalar ve kaynaklar için gerekli erişim stratejisi, kuruluşunuzda elde emin olmak önemlidir.Planning your Conditional Access deployment is critical to make sure you achieve the required access strategy for apps and resources in your organization. Çoğu vermek veya seçtiğiniz koşullar altında kullanıcılarınızın erişimi engellemek için ihtiyaç duyduğunuz çeşitli ilkeler tasarlamak için dağıtımınızın planlama aşamasında zaman ayırın.Spend most of your time during the planning phase of your deployment to design the various policies you require to grant or block access to your users under the conditions you choose. Bu belge, güvenli ve etkili koşullu erişim ilkeleri uygulamak için atmanız gereken adımları açıklar.This document explains the steps you should take to implement secure and effective Conditional Access policies. Başlamadan önce anladığınızdan emin olun nasıl koşullu erişim çalışır ve hangi durumlarda kullanmalıdır.Before you begin, make sure you understand how Conditional Access works and when you should use it.

Bilmeniz gerekenlerWhat you should know

Koşullu erişim, kuruluşunuzun uygulama ve kaynakları, tek başına bir özelliği yerine erişimi denetlemenize olanak tanıyan bir altyapı olarak düşünebilirsiniz.Think of Conditional Access as a framework that allows you to control access to your organization’s apps and resources, instead of a stand-alone feature. Sonuç olarak, bazı koşullu erişim ayarlarını yapılandırılacak ek özellikleri gerektirir.Consequently, some Conditional Access settings require additional features to be configured. Örneğin, belirli bir yanıt veren bir ilke yapılandırabilirsiniz oturum açma risk düzeyini.For example, you can configure a policy that responds to a specific sign-in risk level. Ancak, bir oturum açma risk düzeyini temel alan bir ilke gerektirir Azure Active Directory kimlik koruması etkinleştirilecek.However, a policy that is based on a sign-in risk level requires Azure Active Directory identity protection to be enabled.

Ek özellik gerekmez, ilgili lisansları almak gerekebilir.If additional features are required, you might also need to get related licenses. Örneğin, koşullu erişim Özelliği Azure AD Premium P1 olsa da, kimlik koruması, bir Azure AD Premium P2 lisansı gerektirir.For example, while Conditional Access is Azure AD Premium P1 feature, identity protection requires an Azure AD Premium P2 license.

Koşullu erişim ilkeleri iki tür vardır: temel ve standart.There are two types of Conditional Access policies: baseline and standard. A temel ilke önceden tanımlanmış bir koşullu erişim ilkesi.A baseline policy is a predefined Conditional Access policy. Bu ilkelerin etkin güvenlik temel düzeyde en az sahip olduğunuzdan emin olmaktır.The goal of these policies is to make sure that you have at least the baseline level of security enabled. Temel ilkeler.Baseline policies. Temel ilkeleri, Azure AD tüm sürümlerinde kullanılabilir ve yalnızca sınırlı özelleştirme seçenekleri sağlar.Baseline policies are available in all editions of Azure AD, and they provide only limited customization options. Bir senaryo daha fazla esneklik gerekiyorsa, temel ilke devre dışı bırakın ve gereksinimlerinizi standart özel bir ilke uygulayın.If a scenario requires more flexibility, disable the baseline policy, and implement your requirements in a custom standard policy.

Standart bir koşullu erişim ilkesi, iş gereksinimleriniz İlkesi ayarlamak için tüm ayarlarını özelleştirebilirsiniz.In a standard Conditional Access policy, you can customize all settings to adjust the policy to your business requirements. Standart ilkeleri, bir Azure AD Premium P1 lisansı gerekir.Standard policies require an Azure AD Premium P1 license.

Taslak ilkeleriDraft policies

Azure Active Directory koşullu erişim, bulut uygulamalarınızın koruma yepyeni bir düzeye getirmek sağlar.Azure Active Directory Conditional Access enables you to bring the protection of your cloud apps to a new level. Bu yeni düzeyinde bir bulut uygulaması nasıl erişebileceğiniz bir statik erişim yapılandırması yerine bir dinamik ilke değerlendirmesi temel alır.In this new level, how you can access a cloud app is based on a dynamic policy evaluation instead of a static access configuration. Bir koşullu erişim ilkesi ile bir yanıt tanımlama (bunu) erişim durumuna (bu durumda).With a Conditional Access policy, you define a response (do this) to an access condition (when this happens).

Neden ve yanıt

Bu planlama modelini kullanarak, uygulamak istediğiniz her bir koşullu erişim ilkesini tanımlayın.Define every Conditional Access policy you want to implement using this planning model. Planlama alıştırma:The planning exercise:

  • Her ilke için bir koşul ve yanıtlar anahat yardımcı olur.Helps you to outline the responses and conditions for each policy.
  • Kuruluşunuz için iyi belgelendirilmiş koşullu erişim ilkesi katalog sonuçlanır.Results in a well-documented Conditional Access policy catalog for your organization.

Kataloğunuzu ilke uygulamanızı kuruluşunuzun iş gereksinimlerini yansıtan olup olmadığını değerlendirmek için kullanabilirsiniz.You can use your catalog to assess whether your policy implementation reflects your organization's business requirements.

Kuruluşunuz için koşullu erişim ilkeleri oluşturmak için aşağıdaki örnek şablonu kullanın:Use the following example template to create Conditional Access policies for your organization:

Zaman bu olur:When this happens: Ardından yapın bu:Then do this:
Erişim denemesi yapılır:An access attempt is made:
-Bulut uygulaması için
- kullanıcılar ve gruplar
- To a cloud app*
- By users and groups*

Kullanarak:Using:
-Koşul 1 (örneğin, Corp ağın dışında)- Condition 1 (for example, outside Corp network)
-Koşul 2 (örneğin, cihaz platformları)- Condition 2 (for example, device platforms)
Uygulama erişimi engelleBlock access to the application
Erişim denemesi yapılır:An access attempt is made:
-Bulut uygulaması için
- kullanıcılar ve gruplar
- To a cloud app*
- By users and groups*

Kullanarak:Using:
-Koşul 1 (örneğin, Corp ağın dışında)- Condition 1 (for example, outside Corp network)
-Koşul 2 (örneğin, cihaz platformları)- Condition 2 (for example, device platforms)
İle erişim verin (AND):Grant access with (AND):
-Gereksinim 1 (örneğin, MFA)- Requirement 1 (for example, MFA)
-Gereksinim 2 (örneğin, cihaz uyumluluk)- Requirement 2 (for example, Device compliance)
Erişim denemesi yapılır:An access attempt is made:
-Bulut uygulaması için
- kullanıcılar ve gruplar
- To a cloud app*
- By users and groups*

Kullanarak:Using:
-Koşul 1 (örneğin, Corp ağın dışında)- Condition 1 (for example, outside Corp network)
-Koşul 2 (örneğin, cihaz platformları)- Condition 2 (for example, device platforms)
İle erişim verin (veya):Grant access with (OR):
-Gereksinim 1 (örneğin, MFA)- Requirement 1 (for example, MFA)
-Gereksinim 2 (örneğin, cihaz uyumluluk)- Requirement 2 (for example, Device compliance)

En azından bu durumda asıl tanımlar (kimin) bir bulut uygulamasına erişmeye çalışır (ne).At a minimum, when this happens defines the principal (who) that attempts to access a cloud app (what). Gerekli de ekleyebilirsiniz, nasıl erişim denemesi gerçekleştirilir.If necessary, you can also include how an access attempt is performed. Koşullu erişimi'nde öğeleri tanımlayan kim, ne ve nasıl koşullar bilinir.In Conditional Access, the elements that define the who, what, and how are known as conditions. Daha fazla bilgi için Azure Active Directory koşullu erişim koşulları nelerdir?For more information, see What are conditions in Azure Active Directory Conditional Access?

İle Bunu yapmak, bir erişim durumuna ilkenizin yanıtı tanımlayın.With then do this, you define the response of your policy to an access condition. Uygulamanızın yanıt engellemek veya ek gereksinimleri, örneğin, çok faktörlü kimlik doğrulaması (MFA) erişim.In your response, you either block or grant access with additional requirements, for example, multi-factor authentication (MFA). Eksiksiz bir genel bakış için bkz. Azure Active Directory koşullu erişim denetimleri erişim nelerdir?For a complete overview, see What are access controls in Azure Active Directory Conditional Access?

Erişim denetimleri koşullarla bir koşullu erişim ilkesini temsil eder.The combination of conditions with your access controls represents a Conditional Access policy.

Neden ve yanıt

Daha fazla bilgi için ne bir ilkeyi çalışması için gerekli olan.For more information, see what's required to make a policy work.

Bu noktada, ilkelerinize yönelik standart bir adlandırma karar vermek üzere zamanı geldi.At this point, it's a good time to decide on a naming standard for your policies. Adlandırma standardı, ilkeleri bulun ve Azure Yönetim Portalı'nda açmaya gerek kalmadan kendi amacı anlamak yardımcı olur.The naming standard helps you to find policies and understand their purpose without opening them in the Azure admin portal. Gösterilecek ilkenizi adlandırın:Name your policy to show:

  • Bir sıra numarasıA sequence number
  • Geçerli bulut uygulamasıThe cloud app it applies to
  • YanıtThe response
  • Kimler için geçerlidirWho it applies to
  • (Eğer varsa) geçerli olduğundaWhen it applies (if applicable)

Adlandırma standardı

Açıklayıcı bir ad, koşullu erişim uygulamanızı genel bir bakış tutmaya yardımcı olurken, sıra numarası bir konuşma ilkesinde başvurmak gerekiyorsa yararlıdır.While a descriptive name helps you to keep an overview of your Conditional Access implementation, the sequence number is helpful if you need to reference a policy in a conversation. Örneğin, diğer yönetici telefonla görüşmek, ilke bir sorunu çözmek için EM063 açacak biçimde isteyebilirsiniz.For example, if you talk a fellow administrator on the phone, you can ask them to open policy EM063 to solve an issue.

Örneğin, şu ad ilke pazarlama Dynamics CRP uygulamasını kullanarak dış ağlardaki kullanıcıları için MFA gerektiriyorsa durumları:For example, the following name states that the policy requires MFA for marketing users on external networks using the Dynamics CRP app:

CA01 - Dynamics CRP: Require MFA For marketing When on external networks

Etkin ilkeler yanı sıra, ikincil olarak davranan de devre dışı uygulama ilkeleri için tavsiye edilir esnek erişim denetimleri kesinti/Acil Durum senaryolarda.In addition to your active policies, it is advisable to also implement disabled policies that act as secondary resilient access controls in outage/emergency scenarios. Yedek ilkeleri, adlandırma standardı, birkaç daha fazla öğe içermelidir:Your naming standard for the contingency policies should include a few more items:

  • ENABLE IN EMERGENCY diğer ilkelere göze adı başında.ENABLE IN EMERGENCY at the beginning to make the name stand out among the other policies.
  • Uygulanması gereken kesintisi adı.The name of disruption it should apply to.
  • Hangi sırayla ilkeleri etkinleştirilmesi gerektiğini bilmeniz yönetici yardımcı olmak için bir sıralama sıra numarası.An ordering sequence number to help the administrator to know in which order policies should be enabled.

Örneğin, aşağıdaki ad Bu ilke ilk ilke dört MFA kesintisi ise etkinleştirmelisiniz dışında olduğunu gösterir:For example, the following name indicates that this policy is the first policy out of four you should enable if there is an MFA disruption:

EM01 - ENABLE IN EMERGENCY, MFA Disruption[1/4] - Exchange SharePoint: Require hybrid Azure AD join For VIP users

İlkeleri planlamaPlan policies

Koşullu erişim ilkesi çözümünüzü planlarken, aşağıdaki sonuçları elde etmek için ilkeler oluşturmaya ihtiyacınız olup olmadığını değerlendirin.When planning your Conditional Access policy solution, assess whether you need to create policies to achieve the following outcomes.

Erişimi engelleBlock access

Erişimi engellemek için en güçlü seçenektir çünkü bu:The option to block access is powerful because it:

  • Bir kullanıcı için diğer tüm atamaları trumpsTrumps all other assignments for a user
  • Tüm kuruluşunuzu kiracınıza imzalama engelleyin gücüne sahipHas the power to block your entire organization from signing on to your tenant

Tüm kullanıcılar için erişimi engellemek istiyorsanız, en az bir kullanıcı (genellikle Acil Durum erişim hesapları) ilkeden dışlamanız gerekir.If you want to block access for all users, you should at least exclude one user (typically emergency access accounts) from the policy. Daha fazla bilgi için kullanıcıları ve grupları seçin.For more information, see select users and groups.

MFA gerektirmeRequire MFA

Kullanıcıların oturum açma deneyimini basitleştirmek için bulut uygulamalarınızdaki kullanıcı adı ve parola kullanarak oturum açmak izin vermek isteyebilirsiniz.To simplify the sign-in experience of your users, you might want to allow them to sign in to your cloud apps using a user name and a password. Ancak, genellikle, kendisi için daha güçlü bir hesap doğrulaması biçimini zorunlu tutmak için tavsiye edilir en azından bazı senaryolar vardır.However, typically, there are at least some scenarios for which it is advisable to require a stronger form of account verification. Bir koşullu erişim ilkesi ile MFA gereksinimi belirli senaryolar için sınırlayabilirsiniz.With a Conditional Access policy, you can limit the requirement for MFA to certain scenarios.

Erişim MFA gerektirmek için yaygın kullanım örnekleri şunlardır:Common use cases to require MFA are access:

Riskli olabilecek hesaplarına yanıtRespond to potentially compromised accounts

Koşullu erişim ilkeleriyle riskli olabilecek kimlikler gelen oturum açma işlemleri için otomatik yanıtları uygulayabilirsiniz.With Conditional Access policies, you can implement automated responses to sign-ins from potentially compromised identities. Bir hesap tehlikede olasılık risk düzeyleri biçiminde ifade edilir.The probability that an account has been compromised is expressed in form of risk levels. Kimlik koruması tarafından hesaplanan iki risk düzeyi vardır: oturum açma riski ve kullanıcı riski.There are two risk levels calculated by identity protection: sign-in risk and user risk. Oturum açma riski yanıt uygulamak için iki seçeneğiniz vardır:To implement a response to a sign-in risk, you have two options:

Daha fazla özelleştirme seçenekleri verdiğinden koşulu olarak oturum açma riski adresleme tercih edilen yöntemdir.Addressing the sign-in risk as condition is the preferred method because it gives you more customization options.

Kullanıcı risk düzeyi yalnızca olarak kullanılabilir kullanıcı riski İlkesi kimlik Koruması'nda.The user risk level is only available as user risk policy in identity protection.

Daha fazla bilgi için Azure Active Directory kimlik koruması nedir?For more information, see What is Azure Active Directory Identity Protection?

Yönetilen cihazları gerektirmeRequire managed devices

Bulut kaynaklarınıza erişmek için desteklenen cihazlar çoğalan kullanıcılarınızın verimliliğini artırmaya yardımcı olur.The proliferation of supported devices to access your cloud resources helps to improve the productivity of your users. Diğer taraftan, bilinmeyen koruma düzeyine sahip cihazlar tarafından erişilecek, ortamınızdaki belirli kaynaklara büyük olasılıkla istemezsiniz.On the flip side, you probably don't want certain resources in your environment to be accessed by devices with an unknown protection level. Etkilenen kaynaklar için kullanıcılar yalnızca yönetilen bir cihazı kullanarak erişebildiğinizden istemeniz gerekir.For the affected resources, you should require that users can only access them using a managed device. Daha fazla bilgi için yönetilen cihazlar için koşullu erişim ile bulut uygulaması erişimi zorunlu kılma.For more information, see How to require managed devices for cloud app access with Conditional Access.

Onaylı istemci uygulamaları gerektirmeRequire approved client apps

Yapmanız gereken ilk kararlardan biri (KCG) senaryolarında kendi cihazlarını getirmesine, cihazın tamamını ya da yalnızca üzerindeki verileri yönetmek için ihtiyacınız olan.One of the first decisions you need to make for bring your own devices (BYOD) scenarios, is whether you need to manage the entire device or just the data on it. Çalışanlarınızın mobil cihazları hem kişisel hem de iş görevleri için kullanın.Your employees use mobile devices for both personal and work tasks. Çalışanlarınızın üretken olabilirler, ancak ayrıca veri kayıplarını da önlemek istersiniz.While making sure your employees can be productive, you also want to prevent data loss. Azure Active Directory (Azure AD) koşullu erişimle şirket verilerinizi koruyabilirsiniz onaylı istemci uygulamaları için bulut uygulamalarınıza erişimi kısıtlayabilirsiniz.With Azure Active Directory (Azure AD) Conditional Access, you can restrict access to your cloud apps to approved client apps that can protect your corporate data. Daha fazla bilgi için bulut uygulama erişimi ile koşullu erişim için onaylı istemci uygulamalarını zorunlu kılma.For more information, see How to require approved client apps for cloud app access with Conditional Access.

Eski kimlik doğrulamasını engellemeBlock legacy authentication

Azure AD birkaç eski bir kimlik doğrulama dahil olmak üzere en yaygın olarak kullanılan kimlik doğrulama ve yetkilendirme protokolünü destekler.Azure AD supports several of the most widely used authentication and authorization protocols including legacy authentication. Nasıl kiracınızın kaynaklara erişimini eski kimlik doğrulaması kullanan uygulamalar engelleyebilir miyim?How can you prevent apps using legacy authentication from accessing your tenant's resources? Koşullu erişim ilkesi ile engellemek için önerilir.The recommendation is to just block them with a Conditional Access policy. Gerekirse, yalnızca belirli kullanıcı ve belirli ağ konumlarını eski kimlik doğrulaması tabanlı uygulamaları kullanmasını sağlar.If necessary, you allow only certain users and specific network locations to use apps that are based on legacy authentication. Daha fazla bilgi için eski kimlik doğrulaması için Azure AD koşullu erişim ile nasıl.For more information, see How to block legacy authentication to Azure AD with Conditional Access.

İlkenizi testTest your policy

Bir ilke üretime çalışırken önce test etmelisiniz beklendiği gibi çalıştığını doğrulamak için.Before rolling out a policy into production, you should test is to verify that it behaves as expected.

  1. Test kullanıcıları oluşturCreate test users
  2. Test planı oluşturmaCreate a test plan
  3. İlkeyi yapılandırınConfigure the policy
  4. Bir sanal oturum değerlendirEvaluate a simulated sign-in
  5. İlkenizi testTest your policy
  6. TemizlemeCleanup

Test kullanıcıları oluşturCreate test users

Bir ilkeyi test etmek için ortamınızdaki kullanıcılar benzer bir kullanıcı kümesini oluşturun.To test a policy, create a set of users that is similar to the users in your environment. Test kullanıcılarını oluşturulması, ilkelerinizi gerçek kullanıcıları etkilemeden ve potansiyel olarak uygulama ve kaynaklara olan erişimleri kesintiye önce beklendiği gibi çalıştığını doğrulamak sağlar.Creating test users allows you to verify that your policies work as expected before you impact real users and potentially disrupt their access to apps and resources.

Bazı kuruluşların test kiracılar bu amaçla vardır.Some organizations have test tenants for this purpose. Ancak, tüm koşullar ve tam olarak bir ilkenin sonucunu test etmek için bir test kiracısında uygulamaları yeniden oluşturmak zor olabilir.However, it can be difficult to recreate all conditions and apps in a test tenant to fully test the outcome of a policy.

Test planı oluşturmaCreate a test plan

Test planı beklenen sonuçları ve gerçek sonuçların arasında bir karşılaştırma olması önemlidir.The test plan is important to have a comparison between the expected results and the actual results. Her zaman bir test başlamadan önce bir Beklenti olmalıdır.You should always have an expectation before testing something. Aşağıdaki tabloda, test örnekleri özetlenmektedir.The following table outlines example test cases. Senaryolar ve beklenen sonuçları, CA ilkelerin nasıl yapılandırıldığına göre ayarlayın.Adjust the scenarios and expected results based on how your CA policies are configured.

İlkePolicy SenaryoScenario Beklenen sonuçExpected Result SonuçResult
Çalışmıyorken MFA gerektirmeRequire MFA when not at work Kullanıcı oturum açtığında yetkili uygulama while güvenilir bir konumda / işAuthorized user signs into App while on a trusted location / work MFA için kullanıcıdan değilUser isn't prompted to MFA
Çalışmıyorken MFA gerektirmeRequire MFA when not at work Kullanıcı oturum açtığında yetkili uygulama while güvenilen konumunda / işAuthorized user signs into App while not on a trusted location / work Kullanıcı MFA için istenir ve başarılı bir şekilde oturum açabilirsinizUser is prompted to MFA and can sign in successfully
(Yönetici için) MFA gerektirmeRequire MFA (for admin) Genel yönetici imzalar içine uygulamaGlobal Admin signs into App MFA yönetim istenirAdmin is prompted to MFA
Riskli oturum açma işlemleriRisky sign-ins Kullanıcı oturum açtığında içine uygulama kullanarak bir Tor tarayıcıUser signs into App using a Tor browser MFA yönetim istenirAdmin is prompted to MFA
Cihaz yönetimiDevice management Yetkili bir CİHAZDAN oturum açmak yetkili bir kullanıcı çalışırAuthorized user attempts to sign in from an authorized device Erişim izni verildiAccess Granted
Cihaz yönetimiDevice management Yetkisiz bir CİHAZDAN oturum açmak için denemelerini yetkiliAuthorized user attempts to sign in from an unauthorized device Erişim engellendiAccess blocked
Riskli kullanıcılar için parola değiştirmePassword change for risky users Tehlikeye atılmış kimlik bilgilerine (yüksek riskli oturum açın) oturum açmanız denemelerini yetkiliAuthorized user attempts to sign in with compromised credentials (high risk sign in) Kullanıcı parolasını değiştirmesi istenir ya da kendi ilkesine göre erişimi engellenirUser is prompted to change password or access is blocked based on your policy

İlkeyi yapılandırınConfigure the policy

Koşullu erişim ilkelerini yönetme el ile gerçekleştirilen bir görevdir.Managing Conditional Access policies is a manual task. Azure portalında koşullu erişim ilkelerinizi tek bir merkezi konumda - koşullu erişim sayfasının yönetebilirsiniz.In the Azure portal, you can manage your Conditional Access policies in one central location - the Conditional Access page. Koşullu erişim sayfasına bir giriş noktası güvenlik konusundaki Active Directory Gezinti Bölmesi.One entry point to the Conditional Access page is the Security section in the Active Directory navigation pane.

Koşullu Erişim

Koşullu erişim ilkeleri oluşturmak için bkz hakkında daha fazla bilgi edinmek istiyorsanız gerektiren MFA belirli uygulamalar için Azure Active Directory koşullu erişim ile.If you want to learn more about how to create Conditional Access policies, see Require MFA for specific apps with Azure Active Directory Conditional Access. Bu hızlı başlangıçta size yardımcı olur:This quickstart helps you to:

  • Kullanıcı arabirimi ile sahibi.Become familiar with the user interface.
  • Koşullu erişim nasıl çalıştığına ilişkin bir ilk izlenim alın.Get a first impression of how Conditional Access works.

Bir sanal oturum değerlendirEvaluate a simulated sign-in

Koşullu erişim ilkenizi yapılandırdığınıza göre büyük olasılıkla beklenen şekilde çalışıp çalışmadığını bilmek ister.Now that you have configured your Conditional Access policy, you probably want to know whether it works as expected. İlk adım, koşullu erişim kullanmak ne İlkesi aracı bir oturum açma, test kullanıcının benzetimini yapmak için.As a first step, use the Conditional Access what if policy tool to simulate a sign-in of your test user. Benzetim, bu oturum açma işleminin ilkeleriniz üzerindeki etkisini tahmin eder ve bir benzetim raporu oluşturur.The simulation estimates the impact this sign-in has on your policies and generates a simulation report.

Not

Sanal bir çalıştırma bir koşullu erişim ilkesinin etkisini izlenimi getirirken, gerçek bir test çalıştırması değiştirmez.While a simulated run gives you impression of the impact a Conditional Access policy has, it does not replace an actual test run.

İlkenizi testTest your policy

Test planınıza göre test çalışmalarını Çalıştır.Run test cases according to your test plan. Bu adımda, her bir ilkenin her ilke düzgün şekilde davranan emin olmak test kullanıcılarınız için bir uçtan uca test çalıştırın.In this step, you run through an end-to-end test of each policy for your test users to make sure each policy behaves correctly. Her testi yürütmek için yukarıda oluşturulan senaryoları kullanın.Use the scenarios created above to execute each test.

Dışlama ölçütleri ilkesinin test emin olmak önemlidir.It is important to make sure you test the exclusion criteria of a policy. Örneğin, bir kullanıcı veya grup MFA gerektiren bir ilkeden dışlayabilir.For example, you may exclude a user or group from a policy that requires MFA. Dışlanan kullanıcılar için MFA'yı istenirse diğer ilkeleri birleşimi söz konusu kullanıcılar için mfa'yı gerekli çünkü test edin.Test if the excluded users are prompted for MFA, because the combination of other policies might require MFA for those users.

TemizlemeCleanup

Temizleme yordamı, aşağıdaki adımlardan oluşur:The cleanup procedure consists of the following steps:

  1. Bu ilkeyi devre dışı.Disable the policy.
  2. Atanan kullanıcılar ve grupları kaldırın.Remove the assigned users and groups.
  3. Test kullanıcıları silin.Delete the test users.

Üretime taşımaMove to production

Yeni ilkeler ortamınız için hazır olduğunuzda, bunları aşamalar dağıtın:When new policies are ready for your environment, deploy them in phases:

  • Son kullanıcılara iç değişiklik iletişimi sağlar.Provide internal change communication to end users.
  • Küçük bir kullanıcı kümesini başlatın ve ilkenin beklendiği gibi çalıştığını doğrulayın.Start with a small set of users and verify that the policy behaves as expected.
  • Daha fazla kullanıcı eklemek için bir ilke genişlettiğinizde tüm yöneticiler hariç tutmak devam edin.When you expand a policy to include more users, continue to exclude all administrators. Yöneticiler hariç olmak üzere bir değişiklik olursa birinin hala erişim ilkesine sahip olmasını sağlar.Excluding administrators ensures that someone still has access to a policy if a change is required.
  • Bir ilke, yalnızca gerekli tüm kullanıcılar için geçerlidir.Apply a policy to all users only if it's required.

En iyi uygulama, en az bir kullanıcı hesabı oluşturun:As a best practice, create at least one user account that is:

  • İlke yönetimi için ayrılmışDedicated to policy administration
  • Tüm ilkelerden hariçExcluded from all your policies

Geri alma adımlarıRollback steps

Yeni uygulanan ilkelerinizi geri almak gerektiği durumlarda, geri almak için bir veya daha fazla aşağıdaki seçeneklerden birini kullanın:In case you need to roll back your newly implemented policies, use one or more of the following options to roll back:

  1. Bu ilkeyi devre dışı -ilke devre dışı bırakma emin değil geçerli bir kullanıcı oturum açmaya çalıştığında getirir.Disable the policy - Disabling a policy makes sure it doesn't apply when a user tries to sign in. Her zaman geri dönün ve kullanmak istediğiniz ilkeyi etkinleştirin.You can always come back and enable the policy when you’d like to use it.

    İlkeyi devre dışı bırakma

  2. Bir kullanıcıyı hariç tutma / Grup İlkesi'nden -bir kullanıcı uygulamaya erişemez ise, kullanıcı, ilkeden dışlamak seçebilirsinizExclude a user / group from a policy - If a user is unable to access the app, you can choose to exclude the user from the policy

    Exluce kullanıcılar

    Not

    Bu seçenek, gerektiğinde, yalnızca kullanıcı güvenilir olduğu durumlarda kullanılmalıdır.This option should be used sparingly, only in situations where the user is trusted. Kullanıcı ilke veya grup olabildiğince çabuk eklenmelidir.The user should be added back into the policy or group as soon as possible.

  3. İlkeyi silmek - ilke artık gerekli değilse silin.Delete the policy - If the policy is no longer required, delete it.

Sonraki adımlarNext steps

Kullanıma Azure AD koşullu erişim belgelerine kullanılabilir bilgilerin bir özetini almak için.Check out Azure AD Conditional Access Documentation to get an overview of the available information.