Koşullu Erişim ilkesiyle güvenlik bilgileri kaydını koruma
Koşullu Erişim ilkesindeki kullanıcı eylemleriyle kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulamasına ve self servis parola sıfırlamaya ne zaman ve nasıl kaydolduğunda ve nasıl kaydolduğunda güvenli hale getirilmesi mümkündür. Bu özellik, birleşik kaydı etkinleştiren kuruluşlar tarafından kullanılabilir. Bu işlevsellik, kuruluşların kayıt işlemini Koşullu Erişim ilkesindeki herhangi bir uygulama gibi işlemesine ve deneyimin güvenliğini sağlamak için Koşullu Erişim'in tüm gücünü kullanmasına olanak tanır. Microsoft Authenticator uygulamasında oturum açmış olan veya parolasız telefon oturum açma özelliğini etkinleştiren kullanıcılar bu ilkeye tabidir.
Geçmişte bazı kuruluşlar, kayıt deneyiminin güvenliğini sağlamak için güvenilir ağ konumunu veya cihaz uyumluluğunu kullanmış olabilir. Microsoft Entra Id'de Geçici Erişim Geçişi'nin eklenmesiyle, yöneticiler kullanıcılarına herhangi bir cihazdan veya konumdan kaydolmalarına izin veren zaman sınırlı kimlik bilgileri sağlayabilir. Geçici Erişim Geçişi kimlik bilgileri, çok faktörlü kimlik doğrulaması için Koşullu Erişim gereksinimlerini karşılar.
Kullanıcı dışlamaları
Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:
- İlkenin yanlış yapılandırılması nedeniyle kilitlenmeyi önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kilitlenir, acil durum erişimi yönetim hesabınız oturum açmak ve erişimi kurtarmak için adımlar atmak için kullanılabilir.
- Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
- Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve Hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
Şablon dağıtımı
Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.
Kaydın güvenliğini sağlamak için ilke oluşturma
Aşağıdaki ilke, birleşik kayıt deneyimini kullanarak kaydolmaya çalışan seçili kullanıcılar için geçerlidir. İlke, kullanıcıların güvenilir bir ağ konumunda olmasını ve çok faktörlü kimlik doğrulaması gerçekleştirmesini veya Geçici Erişim Geçişi kimlik bilgilerini kullanmasını gerektirir.
Uyarı
Dış kimlik doğrulama yöntemleri kullanıyorsanız, bunlar şu anda kimlik doğrulama gücüyle uyumsuz durumdadır ve Çok faktörlü kimlik doğrulaması izni gerektir denetimini kullanmanız gerekir.
- En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
- Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
- Yeni ilke'yi seçin.
- Ad alanına bu ilke için bir Ad girin. Örneğin, TAP ile Birleşik Güvenlik Bilgileri Kaydı.
- Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
Ekle'nin altında Tüm kullanıcılar'ı seçin.
Uyarı
Kullanıcıların birleşik kayıt için etkinleştirilmesi gerekir.
Dışla altında.
Tüm konuk ve dış kullanıcılar'ı seçin.
Not
Geçici Erişim Geçişi konuk kullanıcılar için çalışmaz.
Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
- Hedef kaynaklar>Kullanıcı eylemleri'nin altında Güvenlik bilgilerini kaydet'i işaretleyin.
- Koşul>Konumları altında.
- Yapılandır'ı Evet olarak ayarlayın.
- Herhangi bir konumu dahil edin.
- Tüm güvenilen konumları dışla.
- Yapılandır'ı Evet olarak ayarlayın.
- Erişim denetimleri>Ver'in altında Erişim ver'i seçin.
- Kimlik doğrulaması gücü gerektir'i ve ardından listeden uygun yerleşik veya özel kimlik doğrulama gücünü seçin.
- Seç'i seçin.
- Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
- İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.
Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.
Yöneticilerin, çok faktörlü kimlik doğrulamasının kaydolma gereksinimlerini karşı edebilmeleri için yeni kullanıcılara Geçici Erişim Geçişi kimlik bilgileri vermeleri gerekir. Bu görevi gerçekleştirme adımları, Microsoft Entra yönetim merkezindeki Geçici Erişim Geçişi Oluşturma bölümünde bulunur.
Kuruluşlar, 8a adımında Çok faktörlü kimlik doğrulaması gerektir seçeneğiyle veya yerine başka izin denetimleri gerektirebilir. Birden çok denetim seçerken, bu değişikliği yaparken seçilen denetimlerin tümünü veya birini zorunlu kılmak için uygun radyo düğmesi düğmesini seçtiğinizden emin olun.
Konuk kullanıcı kaydı
Dizininizde çok faktörlü kimlik doğrulamasına kaydolması gereken konuk kullanıcılar için aşağıdaki kılavuzu kullanarak güvenilen ağ konumlarının dışından kaydı engellemeyi seçebilirsiniz.
- En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
- Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
- Yeni ilke'yi seçin.
- Ad alanına bu ilke için bir Ad girin. Örneğin, Güvenilen Ağlarda Birleşik Güvenlik Bilgileri Kaydı.
- Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
- Ekle'nin altında Tüm konuk ve dış kullanıcılar'ı seçin.
- Hedef kaynaklar>Kullanıcı eylemleri'nin altında Güvenlik bilgilerini kaydet'i işaretleyin.
- Koşul>Konumları altında.
- Evet'i yapılandırın.
- Herhangi bir konumu dahil edin.
- Tüm güvenilen konumları dışla.
- Erişim'in altında İzin Ver'i denetler>.
- Erişimi engelle'yi seçin.
- Ardından Seç'i belirleyin.
- Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
- İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.
Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.