Sürekli erişim değerlendirmesi (önizleme) kullanarak konum ilkelerini kesinlikle zorunlu kılma

Konum ilkelerini kesin olarak zorunlu kılma, Koşullu Erişim ilkelerinde kullanılan, sürekli erişim değerlendirmesi (CAE) için yeni bir zorlama modudur. Bu yeni mod, kaynak sağlayıcısı tarafından algılanan IP adresine Koşullu Erişim ilkesi tarafından izin verilmiyorsa erişimin hemen durdurulmasıyla kaynaklar için koruma sağlar. Bu seçenek, CAE konum zorlamasının en yüksek güvenlik kalıcılığıdır ve yöneticilerin ağ ortamlarında kimlik doğrulaması ve erişim isteklerinin yönlendirmesini anlamasını gerektirir. Outlook e-posta istemcisi ve Exchange Online gibi CAE özellikli istemcilerin ve kaynak sağlayıcılarının konum değişikliklerini nasıl değerlendirdiğini gözden geçirmek için Sürekli erişim değerlendirmesine giriş makalemize bakın.

Konum zorlama modu	Önerilen ağ topolojisi	Kaynak tarafından algılanan IP adresi izin verilenler listesinde değilse	Sosyal haklar	Yapılandırma
Standart (Varsayılan)	Tüm topolojiler için uygundur	Kısa süreli belirteç yalnızca Microsoft Entra Id izin verilen bir IP adresi algılarsa verilir. Aksi takdirde erişim engellenir	CAE zorlamasının üretkenliği etkileyeceği bölünmüş tünel ağ dağıtımlarında CAE öncesi konum algılama moduna geri döner. CAE yine de diğer olayları ve ilkeleri zorunlu kılar.	Yok (Varsayılan Ayar)
Kesin olarak zorlanan konum ilkeleri	Çıkış IP adresleri hem Microsoft Entra Kimliği hem de tüm kaynak sağlayıcısı trafiği için ayrılmış ve numaralandırılabilir	Erişim engellendi	En güvenli, ancak iyi anlaşılmış ağ yolları gerektirir	1. Küçük bir popülasyonla IP adresi varsayımlarını test edin 2. Oturum denetimleri altında "Kesinlikle zorla" seçeneğini etkinleştirin

Kesin olarak zorlanan konum ilkelerini yapılandırma

1. Adım - Hedef kullanıcılarınız için Koşullu Erişim konum tabanlı ilke yapılandırma

Yöneticiler, katı konum zorlaması gerektiren bir Koşullu Erişim ilkesi oluşturmadan önce, Koşullu Erişim konum tabanlı ilkelerde açıklanan ilkeler gibi ilkeleri rahatça kullanmaları gerekir. Bunun gibi ilkeler, sonraki adıma geçmeden önce kullanıcıların bir alt kümesiyle test edilmelidir. Yönetici istrator'lar, katı zorlamayı etkinleştirmeden önce test ederek kimlik doğrulaması sırasında Microsoft Entra Kimliği tarafından görülen izin verilen ve gerçek IP adresleri arasındaki tutarsızlıkları önleyebilir.

2. Adım - İlkeyi kullanıcıların küçük bir alt kümesinde test edin

Test kullanıcılarının bir alt kümesinde katı konum zorlaması gerektiren ilkeleri etkinleştirdikten sonra, Microsoft Entra oturum açma günlüklerindeki filtre IP adresini (kaynak tarafından görülür) kullanarak test deneyiminizi doğrulayın. Bu doğrulama, yöneticilerin katı konum zorlamasının CAE özellikli kaynak sağlayıcısı tarafından görülen izin verilmeyen BIR IP'ye sahip kullanıcıları engelleyebilecekleri senaryoları bulmalarına olanak tanır.

Yöneticiler katı konum zorlaması gerektiren Koşullu Erişim ilkelerini açmadan önce şunları yapmalıdır:

• Microsoft Entra Kimliği'ne yönelik tüm kimlik doğrulama trafiğinin ve kaynak sağlayıcılarına erişim trafiğinin bilinen ayrılmış çıkış IP'lerinden olduğundan emin olun.
  • Exchange Online, Teams, SharePoint Online ve Microsoft Graph gibi
• Kullanıcılarının Microsoft Entra Kimliği'ne ve kaynak sağlayıcılarına erişebileceği tüm IP adreslerinin IP tabanlı adlandırılmış konumlarına eklendiğinden emin olun.
• Genel Güvenli Erişim aracılığıyla Microsoft 365 dışı uygulamalara trafik göndermediklerinden emin olun.
  • Bu Microsoft 365 dışı uygulamalar için kaynak IP geri yüklemesi desteklenmez. Genel Güvenli Erişim ile katı konum zorlamanın etkinleştirilmesi, kullanıcı güvenilir bir IP konumunda olsa bile erişimi engeller.
• CAE'yi desteklemeyen ilkeleri olmadığından emin olmak için Koşullu Erişim ilkelerini gözden geçirin. Daha fazla bilgi için bkz . CAE tarafından desteklenen CA ilkeleri.

Yöneticiler bu doğrulamayı gerçekleştirmezse kullanıcıları olumsuz etkilenebilir. Microsoft Entra Id veya CAE tarafından desteklenen bir kaynağa gelen trafik paylaşılan veya tanımlanamaz bir çıkış IP'si üzerinden geliyorsa Koşullu Erişim ilkelerinizde katı konum zorlamayı etkinleştirmeyin.

3. Adım - Adlandırılmış konumlarınıza eklenmesi gereken IP adreslerini tanımlamak için CAE Çalışma Kitabını kullanma

Henüz yapmadıysanız, Microsoft Entra Id ve IP adresi (kaynak tarafından görülür) tarafından görülen IP adresi arasındaki IP uyuşmazlığı belirlemek için "Sürekli Erişim Değerlendirme Analizler" genel şablonunu kullanarak yeni bir Azure Çalışma Kitabı oluşturun. Bu durumda, bölünmüş tünel ağ yapılandırmanız olabilir. Sıkı konum zorlama etkinleştirildiğinde kullanıcılarınızın yanlışlıkla kilitlenmediğinden emin olmak için yöneticiler şunları yapmalıdır:

• CAE Çalışma Kitabı'nda tanımlanan IP adreslerini araştırın ve tanımlayın.

• Tanımlanan adlandırılmış konumlarına bilinen kuruluş çıkış noktalarıyla ilişkili genel IP adreslerini ekleyin.

  

  Aşağıdaki ekran görüntüsünde, istemcinin engellenen bir kaynağa erişimine ilişkin bir örnek gösterilmektedir. Bu blok, istemcinin oturumunu iptal etmek için CAE katı konum zorlamasının tetiklenmesini gerektiren ilkeler nedeniyledir.

  

  Bu davranış oturum açma günlüklerinde doğrulanabilir. Kullanıcılarda Koşullu Erişim'den beklenmeyen engellerle karşılaşılıyorsa IP adresini (kaynak tarafından görülür) arayın ve bu IP'yi adlandırılmış konumlara eklemeyi araştırın.

  

  Koşullu Erişim İlkesi ayrıntıları sekmesine baktığımızda engellenen oturum açma olaylarıyla ilgili daha fazla ayrıntı sağlanır.

  

4. Adım - Dağıtıma devam et

Hedef kullanıcı tabanınıza Konum İlkelerini Kesin Olarak Uygula uygulanana kadar 2. ve 3. adımları genişleyen kullanıcı gruplarıyla yineleyin. Kullanıcı deneyimini etkilememek için dikkatli bir şekilde dağıt.

Oturum açma günlükleriyle ilgili sorunları giderme

Yönetici istrator'lar ile ilgili servis taleplerini bulmak için Oturum açma günlüklerini araştırabilirIP adresi (kaynak tarafından görülür).

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.
2. Kimlik>İzleme ve sistem durumu>Oturum açma günlüklerine göz atın.
3. Gereksiz bilgileri filtrelemek için filtreler ve sütunlar ekleyerek gözden geçirecek olayları bulun.

   1. IP adresi (kaynak tarafından görülür) sütununu ekleyin ve kapsamı daraltmak için boş öğeleri filtreleyin. Microsoft Entra Kimliği tarafından görülen IP kaynağın gördüğü IP adresiyle eşleştiğinde IP adresi (kaynak tarafından görülür) boş olur.

      

      IP adresi (kaynak tarafından görülür) filtre içeriyor, aşağıdaki örneklerde boş değil:

İlk kimlik doğrulaması

1. CaE belirteci kullanılarak kimlik doğrulaması başarılı olur.

   

2. IP adresi (kaynak tarafından görülür) Microsoft Entra Id tarafından görülen IP adresinden farklıdır. Kaynak tarafından görülen IP adresi bilinse de, kaynak kullanıcıyı kaynak tarafından görülen IP adresini yeniden değerlendirmesi için yeniden yönlendirene kadar zorlama yoktur.

   

3. Kaynak düzeyinde katı konum zorlama uygulanmadığından Microsoft Entra kimlik doğrulaması başarılıdır.

   

Yeniden değerlendirme için kaynak yeniden yönlendirme

1. Kimlik doğrulaması başarısız olur ve CAE belirteci verilmez.

   

2. IP adresi (kaynak tarafından görülür) Microsoft Entra Id tarafından görülen IP'den farklıdır.

   

3. IP adresi (kaynak tarafından görülür) Koşullu Erişim'de bilinen bir adlandırılmış konum olmadığından kimlik doğrulaması başarılı değil.

   

İlgili içerik

• Microsoft Entra Id'de sürekli erişim değerlendirmesi
• Beyan sınamaları, beyan istekleri ve istemci özellikleri
• Uygulamalarınızda sürekli erişim değerlendirmesi özellikli API'leri kullanma
• Sürekli erişim değerlendirmesiyle oturum açma işlemleri izleme ve sorunlarını giderme