Koşullu Erişim dağıtımını planlama

  • Makale

Koşullu Erişim dağıtımınızı planlamak, kuruluşunuzun uygulamalar ve kaynaklara yönelik erişim stratejisine ulaşmak için kritik öneme sahiptir. Koşullu Erişim ilkeleri büyük yapılandırma esnekliği sağlar. Ancak bu esneklik, istenmeyen sonuçlardan kaçınmak için dikkatli bir şekilde planlamanız gerektiği anlamına da gelir.

Microsoft Entra Koşullu Erişim , kararları otomatikleştirmek ve kaynaklar için kurumsal erişim ilkelerini zorunlu kılmak için kullanıcı, cihaz ve konum gibi sinyalleri birleştirir. Bu Koşullu Erişim ilkeleri güvenliği ve üretkenliği dengelemenize, gerektiğinde güvenlik denetimlerini zorunlu tutmanıza ve gerekmediğinde kullanıcının yolundan uzak durmanıza yardımcı olur.

Koşullu Erişim, Microsoft'un Sıfır Güven güvenlik ilkesi altyapısının temelini oluşturur.

Üst düzey Koşullu Erişime genel bakış gösteren diyagram.

Microsoft, Microsoft Entra Id P1 veya P2 olmayan kiracılarda temel bir güvenlik düzeyinin etkinleştirildiğinden emin olan güvenlik varsayılanları sağlar. Koşullu Erişim ile, güvenlik varsayılanlarıyla aynı korumayı sağlayan ancak ayrıntı düzeyine sahip ilkeler oluşturabilirsiniz. Koşullu Erişim ilkeleri oluşturma, güvenlik varsayılanlarını etkinleştirmenizi engellediğinden, Koşullu Erişim ve güvenlik varsayılanlarının birleştirilmesi amaçlanmamıştır.

Önkoşullar

  • Microsoft Entra Id P1, P2 veya deneme lisansı etkinleştirilmiş çalışan bir Microsoft Entra kiracısı. Gerekirse ücretsiz bir tane oluşturun.
    • Koşullu Erişim ilkelerine Microsoft Entra Kimlik Koruması risk eklemek için Microsoft Entra Id P2 gereklidir.
  • Koşullu Erişim ile etkileşim kuran Yönetici istrator'ların, gerçekleştirdikleri görevlere bağlı olarak aşağıdaki rol atamalarından birine sahip olması gerekir. Sıfır Güven en az ayrıcalık ilkesine uymak için Ayrıcalıklı Kimlik Yönetimi'ni (PIM) kullanarak ayrıcalıklı rol atamalarını tam zamanında etkinleştirmeyi göz önünde bulundurun.
  • Gerçek kullanıcılara dağıtmadan önce ilkelerin beklendiği gibi çalıştığını doğrulamanıza olanak tanıyan bir test kullanıcısı (yönetici değil). Kullanıcı oluşturmanız gerekiyorsa bkz . Hızlı Başlangıç: Microsoft Entra Id'ye yeni kullanıcılar ekleme.
  • Test kullanıcısının üyesi olduğu bir grup. Grup oluşturmanız gerekiyorsa bkz . Microsoft Entra Id'de grup oluşturma ve üye ekleme.

Değişiklik iletişim kurulur

İletişim, yeni işlevlerin başarısı için kritik öneme sahiptir. Kullanıcılarınızla deneyimlerinin nasıl değiştiğini, ne zaman değiştiğini ve sorunlarla karşılaşmaları durumunda nasıl destek alınabileceğinizi proaktif olarak iletmeniz gerekir.

Koşullu Erişim ilkesi bileşenleri

Koşullu Erişim ilkeleri, kaynaklarınıza kimlerin erişebileceği, hangi kaynaklara erişebileceği ve hangi koşullar altında olabileceği hakkındaki soruları yanıtlar. İlkeler erişim vermek, oturum denetimleriyle erişimi sınırlamak veya erişimi engellemek için tasarlanabilir. Aşağıdaki gibi if-then deyimlerini tanımlayarak bir Koşullu Erişim ilkesi oluşturursunuz:

Bir ödev karşılanırsa Erişim denetimlerini uygulama
Finans'ta Bordro uygulamasına erişen bir kullanıcıysanız Çok faktörlü kimlik doğrulaması ve uyumlu cihaz gerektirme
Bordro uygulamasına erişen Finans üyesi değilseniz Erişimi engelle
Kullanıcı riskiniz yüksekse Çok faktörlü kimlik doğrulaması ve güvenli parola değişikliği gerektir

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

  • Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
  • Microsoft Entra Bağlan Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA, program aracılığıyla tamamlanmadığı için bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
    • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Doğru soruları sorun

Atamalar ve Erişim Denetimleri hakkında sık sorulan bazı sorular aşağıdadır. Her ilkeyi oluşturmadan önce ilkeyle ilgili soruların yanıtlarını belgeleyin.

Kullanıcılar veya iş yükü kimlikleri

  • hangi kullanıcılar, gruplar, dizin rolleri veya iş yükü kimlikleri ilkeye dahil edilir veya ilkenin dışında tutulur?
  • hangi acil durum erişim hesapları veya grupları ilkenin dışında tutulmalıdır?

Bulut uygulamaları veya eylemleri

Bu ilke herhangi bir uygulama, kullanıcı eylemi veya kimlik doğrulama bağlamı için geçerli olacak mı? Evet ise:

  • İlke hangi uygulamalara veya hizmetlere uygulanacak?
  • Hangi kullanıcı eylemleri bu ilkeye tabidir?
  • Bu ilke hangi kimlik doğrulama bağlamlarına uygulanacak?
Uygulamalar için filtre uygulama

Uygulamaları ayrı ayrı belirtmek yerine uygulamaları dahil etmek veya hariç tutmak için uygulamalar için filtre kullanmak kuruluşlara yardımcı olur:

  • İstediğiniz sayıda uygulamayı kolayca ölçeklendirin ve hedeflendirin.
  • Benzer ilke gereksinimlerine sahip uygulamaları kolayca yönetin.
  • Tek tek ilkelerin sayısını azaltın.
  • İlkeleri düzenlerken hataları azaltma: uygulamaları ilkeye el ile eklemenize/kaldırmanıza gerek yoktur. Yalnızca öznitelikleri yönetin.
  • İlke boyutu kısıtlamalarının üstesinden gelin.

Koşullar

  • hangi cihaz platformları ilkeye dahil edilir veya ilkenin dışında tutulur?
  • Kuruluşun bilinen ağ konumları nelerdir?
    • İlkeye hangi konumlar dahil edilir veya ilkenin dışında tutulur?
  • hangi istemci uygulama türleri ilkeye dahil edilir veya ilkenin dışında tutulur?
  • Belirli cihaz özniteliklerini hedeflemeniz gerekiyor mu?
  • Microsoft Entra Kimlik Koruması kullanıyorsanız oturum açma veya kullanıcı riskini dahil etmek istiyor musunuz?
Kullanıcı ve oturum açma riski

Microsoft Entra ID P2 lisansına sahip kuruluşlar, Koşullu Erişim ilkelerine kullanıcı ve oturum açma riski ekleyebilir. Bu eklemeler, çok faktörlü kimlik doğrulaması veya yalnızca bir kullanıcı veya oturum açma riskli olarak kabul edildiğinde güvenli parola değişikliği gerektirerek güvenlik önlemlerinin uyuşmalarını azaltmaya yardımcı olabilir.

Risk ve ilkedeki kullanımı hakkında daha fazla bilgi için Risk nedir? makalesine bakın.

Denetimleri engelleme veya verme

Aşağıdakilerden birini veya daha fazlasını gerektirerek kaynaklara erişim vermek istiyor musunuz?

  • Çok faktörlü kimlik doğrulaması
  • Cihaz uyumlu olarak işaretli
  • Microsoft Entra karma birleştirilmiş cihaz kullanma
  • Onaylı bir istemci uygulaması kullanma
  • Uygulama koruması ilkesi uygulandı
  • Parola değiştirme
  • Kullanım Koşulları kabul edildi

Erişimi engelleme, uygun bilgilerle uygulamanız gereken güçlü bir denetimdir. Blok deyimlerine sahip ilkelerin istenmeyen yan etkileri olabilir. Denetimi büyük ölçekte etkinleştirmeden önce doğru test ve doğrulama çok önemlidir. Yönetici istrator'lar Koşullu Erişim yalnızca rapor modu ve değişiklik yaparken Koşullu Erişim'deki Durum aracı.

Oturum denetimleri

Bulut uygulamalarında aşağıdaki erişim denetimlerinden herhangi birini zorunlu kılmak istiyor musunuz?

  • Uygulama tarafından zorlanan kısıtlamaları kullanma
  • Koşullu Erişim Uygulaması denetimini kullanma
  • Oturum açma sıklığını zorunlu kılma
  • Kalıcı tarayıcı oturumlarını kullanma
  • Sürekli erişim değerlendirmesini özelleştirme

İlkeleri birleştirme

İlke oluştururken ve atarken erişim belirteçlerinin nasıl çalıştığını dikkate almanız gerekir. Erişim belirteçleri , istekte bulunan kullanıcıların yetkilendirilmiş ve kimliği doğrulanmış olup olmadığına bağlı olarak erişim izni verir veya erişimi reddeder. İstek sahibi iddia ettikleri kişi olduğunu kanıtlayabilirse korumalı kaynaklara veya işlevlere erişebilir.

Koşullu Erişim ilkesi koşulu erişim denetimini tetiklemiyorsa erişim belirteçleri varsayılan olarak verilir.

Bu ilke, uygulamanın kendi erişimi engelleme özelliğini engellemez.

Örneğin, aşağıdaki durumlarda basitleştirilmiş bir ilke örneğini göz önünde bulundurun:

Kullanıcılar: FİnANS GRUBU
Erişim: BORDRO UYGULAMASI
Erişim denetimi: Çok faktörlü kimlik doğrulaması

  • A kullanıcısı FİnANS GRUBUNDA yer alır ve BORDRO UYGULAMASına erişmek için çok faktörlü kimlik doğrulaması gerçekleştirmesi gerekir.
  • B kullanıcısı FINANS GRUBUNDA değil, bir erişim belirteci verilir ve çok faktörlü kimlik doğrulaması gerçekleştirmeden BORDRO UYGULAMASI'na erişmesine izin verilir.

Finans grubu dışındaki kullanıcıların bordro uygulamasına erişememesini sağlamak için, aşağıdaki basitleştirilmiş ilke gibi diğer tüm kullanıcıları engellemek için ayrı bir ilke oluşturulabilir:

Kullanıcılar: Tüm Kullanıcıları Dahil Et / FİnANS GRUBUNU Dışla
Erişim: BORDRO UYGULAMASI
Erişim denetimi: Erişimi engelle

Artık Kullanıcı B BORDRO UYGULAMASına erişmeye çalıştığında engellenir.

Öneriler

Koşullu Erişim kullanımı ve diğer müşterileri destekleme ile ilgili öğrenmelerimizi göz önünde bulundurarak, öğrenmelerimize dayalı birkaç öneri aşağıdadır.

Her uygulamaya Koşullu Erişim ilkeleri uygulama

Her uygulamada en az bir Koşullu Erişim ilkesi uygulandığına emin olun. Güvenlik açısından bakıldığında, Tüm bulut uygulamalarını kapsayan bir ilke oluşturmak ve ardından ilkenin uygulanmasını istemediğiniz uygulamaları dışlamak daha iyidir. Bu uygulama, her yeni uygulama eklediğinizde Koşullu Erişim ilkelerini güncelleştirmenize gerek olmamasını sağlar.

İpucu

Blok ve tüm uygulamaları tek bir ilkede kullanırken çok dikkatli olun. Bu, yöneticileri kilitler ve Microsoft Graph gibi önemli uç noktalar için dışlamalar yapılandırılamaz.

Koşullu Erişim ilkelerinin sayısını en aza indirme

Her uygulama için ilke oluşturmak verimli değildir ve zor yönetime yol açar. Koşullu Erişim kiracı başına 195 ilke sınırına sahiptir. Bu 195 ilke sınırı yalnızca rapor modu, açık veya kapalı dahil olmak üzere herhangi bir durumda Koşullu Erişim ilkelerini içerir.

Uygulamalarınızı analiz edip aynı kullanıcılar için aynı kaynak gereksinimlerine sahip uygulamalar halinde gruplandırmanızı öneririz. Örneğin, tüm Microsoft 365 uygulamaları veya tüm İk uygulamaları aynı kullanıcılar için aynı gereksinimlere sahipse, tek bir ilke oluşturun ve geçerli olduğu tüm uygulamaları ekleyin.

Koşullu Erişim ilkeleri bir JSON dosyasında bulunur ve bu dosya, tek bir ilkenin ötesine geçmesini beklemediğimiz bir boyut sınırına bağlıdır. İlkenizde uzun bir GUID listesi kullanırsanız bu sınıra gelebilirsiniz. Bu sınırlarla karşılaşırsanız aşağıdaki gibi alternatifler öneririz:

  • Her kullanıcıyı ayrı ayrı listelemek yerine Kullanıcıları dahil etmek veya dışlamak için grupları veya rolleri kullanın.
  • Tek tek belirtmek yerine uygulamaları dahil etmek veya hariç tutmak için uygulamalar için filtre kullanın.

Yalnızca rapor modunu yapılandırma

Varsayılan olarak, şablondan oluşturulan her ilke yalnızca rapor modunda oluşturulur. Kuruluşların, her ilkeyi açmadan önce amaçlanan sonucu elde etmek için kullanımı test etmesini ve izlemesini öneririz.

İlkeleri yalnızca rapor modunda etkinleştirin. İlkeyi yalnızca rapor modunda kaydettikten sonra, oturum açma günlüklerinde gerçek zamanlı oturum açma işlemleri üzerindeki etkisini görebilirsiniz. Oturum açma günlüklerinden bir olay seçin ve her bir yalnızca rapor ilkesinin sonucunu görmek için Yalnızca rapor sekmesine gidin.

Koşullu Erişim ilkelerinizin toplam etkilerini Analizler ve Raporlama çalışma kitabında görüntüleyebilirsiniz. Çalışma kitabına erişmek için bir Azure İzleyici aboneliğiniz olması ve oturum açma günlüklerinizi log analytics çalışma alanına akışla aktarmanız gerekir.

Kesintiyi planlama

Öngörülemeyen kesintiler sırasında kilitlenme riskini azaltmak için kuruluşunuz için dayanıklılık stratejileri planlayın.

İlkeleriniz için adlandırma standartlarını ayarlama

Adlandırma standardı, azure yönetici portalında açmadan ilkeleri bulmanıza ve amaçlarını anlamanıza yardımcı olur. İlkenizi gösterecek şekilde adlandırmanızı öneririz:

  • Sıra Numarası
  • Geçerli olduğu bulut uygulamaları
  • Yanıt
  • Geçerli olduğu kişiler
  • Geçerli olduğunda

İlkeler için örnek adlandırma standartlarını gösteren diyagram.

Örnek: Dış ağlardan Dynamics CRP uygulamasına erişen pazarlama kullanıcıları için MFA gerektiren bir ilke şunlar olabilir:

Örnek adlandırma standardlarını gösteren diyagram.

Açıklayıcı ad, Koşullu Erişim uygulamanıza genel bir bakış sağlamanıza yardımcı olur. Konuşmadaki bir ilkeye başvurmanız gerekiyorsa Sıra Numarası yararlı olur. Örneğin, telefonda bir yöneticiyle konuştuğunuzda, bir sorunu çözmek için ilke CA01'ini açmasını isteyebilirsiniz.

Acil durum erişim denetimleri için adlandırma standartları

Etkin ilkelerinize ek olarak, kesinti veya acil durum senaryolarında ikincil dayanıklı erişim denetimleri gibi davranan devre dışı ilkeler uygulayın. Acil durum ilkeleri için adlandırma standardınız şunları içermelidir:

  • İLKELERDE ETKİnLeşerek adın diğer ilkeler arasında öne çıkmasını sağlayın.
  • Geçerli olması gereken kesintinin adı.
  • Yöneticinin hangi sipariş ilkelerinin etkinleştirilmesi gerektiğini bilmesine yardımcı olacak bir sıralama sırası numarası.

Örnek: Aşağıdaki ad, bir MFA kesintisi olduğunda bu ilkenin etkinleştirileceği dört ilkeden ilki olduğunu gösterir:

  • EM01 - ACIL DURUMDA ETKİnLEŞTİrme: MFA Kesintisi [1/4] - Exchange SharePoint: VIP kullanıcıları için Microsoft Entra karma katılımını zorunlu kılabilir.

Hiçbir zaman oturum açmayı beklemediğiniz ülkeleri/bölgeleri engelleme

Microsoft Entra Id, adlandırılmış konumlar oluşturmanıza olanak tanır. İzin verilen ülkelerin/bölgelerin listesini oluşturun ve ardından bu "izin verilen ülkeler/bölgeler" dışlama olarak bir ağ engelleme ilkesi oluşturun. Bu seçenek, daha küçük coğrafi konumları temel alan müşteriler için daha az ek yük oluşturur. Acil durum erişim hesaplarınızı bu ilkeden muaf tutmayı unutmayın.

Koşullu Erişim ilkelerini dağıtma

Hazır olduğunuzda Koşullu Erişim ilkelerinizi aşamalar halinde dağıtın.

Koşullu Erişim ilkelerinizi oluşturma

İlk başlangıç için Koşullu Erişim ilkesi şablonlarına ve Microsoft 365 kuruluşları için ortak güvenlik ilkelerine bakın. Bu şablonlar, Microsoft önerilerini dağıtmanın kullanışlı bir yoludur. Acil durum erişim hesaplarınızı dışladığınızdan emin olun.

İlkenin etkisini değerlendirme

İlkelerinizin etkisini değişiklik yapmadan önce ve sonra değerlendirmek için aşağıdaki araçları kullanmanızı öneririz. Simülasyon çalıştırması, Koşullu Erişim ilkesinin etkisi hakkında iyi bir fikir verir; düzgün yapılandırılmış bir geliştirme ortamında gerçek bir test çalıştırmasının yerini almaz.

İlkelerinizi test edin

İlkenin dışlama ölçütlerini test ettiğinizden emin olun. Örneğin, bir kullanıcıyı veya grubu MFA gerektiren bir ilkenin dışında tutabilirsiniz. Dışlanan kullanıcılardan MFA istenip istenmediğini test edin çünkü diğer ilkelerin birleşimi bu kullanıcılar için MFA gerektirebilir.

Test kullanıcılarıyla birlikte test planınızdaki her testi gerçekleştirin. Beklenen sonuçlarla gerçek sonuçları karşılaştırmak için test planı önemlidir. Aşağıdaki tabloda bazı örnek test çalışmaları özetlenmiştir. Koşullu Erişim ilkelerinizin yapılandırmasına bağlı olarak senaryoları ve beklenen sonuçları ayarlayın.

İlke Senaryo Beklenen Sonuç
Riskli oturum açma işlemleri Kullanıcı onaylanmamış bir tarayıcı kullanarak Uygulamada oturum açar Oturum açma işleminin kullanıcı tarafından yapılmamış olma olasılığına göre bir risk puanı hesaplar. Kullanıcının MFA kullanarak kendi kendine düzeltmesini gerektirir
Cihaz yönetimi Yetkili kullanıcı, yetkili bir cihazdan oturum açmayı dener Erişim izni verildi
Cihaz yönetimi Yetkili kullanıcı yetkisiz bir cihazdan oturum açmaya çalışır Erişim engellendi
Riskli kullanıcılar için parola değişikliği Yetkili kullanıcı güvenliği aşılmış kimlik bilgileriyle oturum açmayı dener (yüksek riskli oturum açma) Kullanıcıdan parolayı değiştirmesi istenir veya ilkenize göre erişim engellenir

Üretimde dağıtma

Etkiyi yalnızca rapor modunu kullanarak onayladıktan sonra, yönetici İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

İlkeleri geri alma

Yeni uygulanan ilkelerinizi geri almanız gerekirse aşağıdaki seçeneklerden birini veya birden fazlasını kullanın:

  • İlkeyi devre dışı bırakın. İlkenin devre dışı bırakılması, bir kullanıcı oturum açmaya çalıştığında bu ilkenin uygulanmamasını sağlar. İstediğiniz zaman geri dönüp ilkeyi kullanmak istediğinizde etkinleştirebilirsiniz.

  • Bir kullanıcıyı veya grubu ilkeden dışlama. Kullanıcı uygulamaya erişemezse, kullanıcıyı ilkenin dışında bırakabilirsiniz.

    Dikkat

    Dışlamalar, yalnızca kullanıcıya güvenildiği durumlarda tedbirli kullanılmalıdır. Kullanıcılar en kısa zamanda ilkeye veya gruba yeniden eklenmelidir.

  • bir ilke devre dışı bırakılırsa ve artık gerekli değilse, silin.

Koşullu Erişim ilkeleriyle ilgili sorunları giderme

Kullanıcının Koşullu Erişim ilkesiyle ilgili bir sorunu varsa, sorun gidermeyi kolaylaştırmak için aşağıdaki bilgileri toplayın.

  • Kullanıcı Asıl Adı
  • Kullanıcı görünen adı
  • İşletim sistemi adı
  • Zaman damgası (yaklaşık tamam)
  • Hedef uygulama
  • İstemci uygulama türü (tarayıcı ve istemci)
  • Bağıntı Kimliği (bu kimlik, oturum açma için benzersizdir)

Kullanıcı Diğer ayrıntılar bağlantısı bulunan bir ileti aldıysa, sizin için bu bilgilerin çoğunu toplayabilir.

Örnek hata iletisinin ekran görüntüleri ve diğer ayrıntılar.

Bilgileri topladıktan sonra aşağıdaki kaynaklara bakın:

  • Koşullu Erişim ile oturum açma sorunları – Hata iletilerini ve Microsoft Entra oturum açma günlüğünü kullanarak Koşullu Erişim ile ilgili beklenmeyen oturum açma sonuçlarını anlayın.
  • What-If aracını kullanma - İlkenin belirli bir durumda kullanıcıya neden uygulandığını veya uygulanmadığını veya bir ilkenin bilinen bir durumda geçerli olup olmadığını anlayın.

İlgili içerik