Nasıl Yapılır: Oturum açma risk ilkesini yapılandırmaHow To: Configure the sign-in risk policy

Azure Active Directory, risk olay türlerini gerçek zamanlı ve çevrimdışı olarak algılar.Azure Active Directory detects risk event types in real-time and offline. Bir kullanıcının oturum açması için algılanan her risk olayı, riskli oturum açma adlı bir mantıksal kavram 'e katkıda bulunur.Each risk event that has been detected for a sign-in of a user contributes to a logical concept called risky sign-in. Riskli oturum açma, bir kullanıcı hesabının meşru sahibi tarafından gerçekleştirilmiş olabilecek bir oturum açma girişimine yönelik bir göstergedir.A risky sign-in is an indicator for a sign-in attempt that might not have been performed by the legitimate owner of a user account.

Oturum açma riski ilkesi nedir?What is the sign-in risk policy?

Azure AD, kullanıcının her oturum açmasını analiz eder.Azure AD analyzes each sign-in of a user. Çözümlemenin amacı, oturum açma işlemiyle birlikte gelen şüpheli eylemleri algılamadır.The objective of the analysis is to detect suspicious actions that come along with the sign-in. Örneğin, anonim bir IP adresi kullanılarak yapılan oturum açma işlemi mi, yoksa bilmediğiniz bir konumdan başlatılan oturum açma mı?For example, is the sign-in done using an anonymous IP address, or is the sign-in initiated from an unfamiliar location? Azure AD 'de sistemin algılayabildiği şüpheli eylemler risk olayları olarak da bilinir.In Azure AD, the suspicious actions the system can detect are also known as risk events. Azure AD, oturum açma sırasında algılanan risk olaylarına bağlı olarak bir değeri hesaplar.Based on the risk events that have been detected during a sign-in, Azure AD calculates a value. Bu değer, oturum açmanın meşru Kullanıcı tarafından gerçekleştirilmediğini (düşük, orta, yüksek) temsil eder.The value represents the probability (low, medium, high) that the sign-in is not performed by the legitimate user. Olasılığa, oturum açma risk düzeyidenir.The probability is called sign-in risk level.

Oturum açma risk ilkesi, belirli bir oturum açma risk düzeyi için yapılandırabileceğiniz otomatik bir yanıttır.The sign-in risk policy is an automated response you can configure for a specific sign-in risk level. Yanıtlarınızda kaynaklarınıza erişimi engelleyebilir veya erişim kazanmak için Multi-Factor Authentication (MFA) sınamasını geçirmeyi zorunlu kılabilirsiniz.In your response, you can block access to your resources or require passing a multi-factor authentication (MFA) challenge to gain access.

Nasıl yaparım? oturum açma risk ilkesine erişin mi?How do I access the sign-in risk policy?

Oturum açma risk ilkesi, Azure AD kimlik koruması sayfasındaki Yapılandır bölümünde bulunur.The sign-in risk policy is in the Configure section on the Azure AD Identity Protection page.

Oturum açma risk ilkesiSign-in risk policy

İlke ayarlarıPolicy settings

Oturum açma risk ilkesini yapılandırırken şunları ayarlamanız gerekir:When you configure the sign-in risk policy, you need to set:

  • İlkenin geçerli olduğu kullanıcılar ve gruplar:The users and groups the policy applies to:

    Kullanıcılar ve gruplar

  • İlkeyi tetikleyen oturum açma risk düzeyi:The sign-in risk level that triggers the policy:

    Oturum açma risk düzeyi

  • Oturum açma riski düzeyi karşılandığında uygulanmasını istediğiniz erişimin türü:The type of access you want to be enforced when your sign-in risk level has been met:

    Access

  • İlkenizin durumu:The state of your policy:

    İlkeyi zorla

İlke yapılandırma iletişim kutusu, yeniden yapılandırmanın etkilerini tahmin etmek için size bir seçenek sağlar.The policy configuration dialog provides you with an option to estimate the impact of reconfiguration.

Tahmini etki

Bilmeniz gerekenlerWhat you should know

MFA gerektirecek bir oturum açma risk güvenlik ilkesi yapılandırabilirsiniz:You can configure a sign-in risk security policy to require MFA:

MFA gerektirme

Ancak, güvenlik nedenleriyle bu ayar yalnızca MFA için kaydedilmiş kullanıcılar için geçerlidir.However, for security reasons, this setting only works for users that have already been registered for MFA. Kimlik koruması, henüz MFA için kaydedilmediyse kullanıcılara MFA gereksinimini engeller.Identity protection blocks users with an MFA requirement if they are not registered for MFA yet.

Riskli oturum açma işlemleri için MFA 'yı zorunlu kılmak istiyorsanız şunları yapmalısınız:If you want to require MFA for risky sign-ins, you should:

  1. Etkilenen kullanıcılar için Multi-Factor Authentication kayıt ilkesini etkinleştirin.Enable the multi-factor authentication registration policy for the affected users.
  2. Etkilenen kullanıcıların MFA kaydı gerçekleştirmek için riskli olmayan bir oturumda oturum açmasını gerektir.Require the affected users to sign in to a non-risky session to perform an MFA registration.

Bu adımların tamamlanması, çok faktörlü kimlik doğrulamasının riskli oturum açma için gerekli olmasını sağlar.Completing these steps ensures that multi-factor authentication is required for a risky sign-in.

Oturum açma risk ilkesi:The sign-in risk policy is:

  • Modern kimlik doğrulaması kullanan tüm tarayıcı trafiğine ve oturum açma işlemleri için geçerlidir.Applied to all browser traffic and sign-ins using modern authentication.
  • ADFS gibi federe ıDP 'de WS-Trust uç noktasını devre dışı bırakarak eski güvenlik protokollerini kullanan uygulamalara uygulanmaz.Not applied to applications using older security protocols by disabling the WS-Trust endpoint at the federated IDP, such as ADFS.

İlgili Kullanıcı deneyimine genel bir bakış için bkz.:For an overview of the related user experience, see:

En iyi uygulamalarBest practices

Yüksek bir eşik seçilmesi, bir ilkenin tetiklenme sayısını azaltır ve kullanıcılara etkiyi en aza indirir.Choosing a High threshold reduces the number of times a policy is triggered and minimizes the impact to users.

Ancak, ilkeden riskli olarak işaretlenmiş düşük ve Orta düzeyde oturum açma işlemlerini dışlayıp, bir saldırganın güvenliği aşılmış bir kimlikle yararlanmasını engellemeyebilir.However, it excludes Low and Medium sign-ins flagged for risk from the policy, which may not block an attacker from exploiting a compromised identity.

İlke ayarlanırken,When setting the policy,

  • Çok faktörlü kimlik doğrulamasına sahip olmayan ve olmayan kullanıcıları hariç tutExclude users who do not/cannot have multi-factor authentication
  • İlkenin etkinleştirilmesi pratik olmayan yerel ayarlarda (örneğin, yardım masasına erişim yok) kullanıcıları hariç tutunExclude users in locales where enabling the policy is not practical (for example no access to helpdesk)
  • Büyük olasılıkla çok sayıda hatalı pozitif sonuç üreten kullanıcıları hariç tut (geliştiriciler, Güvenlik analistleri)Exclude users who are likely to generate many false-positives (developers, security analysts)
  • İlk ilke toplaması sırasında yüksek bir eşik kullanın veya son kullanıcılar tarafından görülen zorlukları en aza indirmeli.Use a High threshold during initial policy roll-out, or if you must minimize challenges seen by end users.
  • Kuruluşunuz daha fazla güvenlik gerektiriyorsa, düşük bir eşik kullanın.Use a Low threshold if your organization requires greater security. Düşük bir eşiğin seçilmesi, ek kullanıcı oturum açma güçlükleri sunarak daha fazla güvenlik sağlar.Selecting a Low threshold introduces additional user sign-in challenges, but increased security.

Çoğu kuruluş için önerilen varsayılan değer, Orta eşiğe yönelik bir kuralı, kullanılabilirlik ve güvenlik arasında bir denge altına alacak şekilde yapılandırmaktır.The recommended default for most organizations is to configure a rule for a Medium threshold to strike a balance between usability and security.

Sonraki adımlarNext steps

Azure AD Kimlik Koruması genel bakış almak için bkz. Azure AD kimlik koruması genel bakış.To get an overview of Azure AD Identity Protection, see the Azure AD Identity Protection overview.