Aracılığıyla paylaş

Koşullu Erişim ilkelerinin dışında tutulan kullanıcıları yönetmek için erişim gözden geçirmelerini kullanma

  • Makale

İdeal bir dünyada, tüm kullanıcılar kuruluşunuzun kaynaklarına erişimin güvenliğini sağlamak için erişim ilkelerini izler. Ancak, bazen istisna yapmanızı gerektiren iş senaryoları olabilir. Bu makale, dışlamaların gerekli olabileceği bazı durum örneklerinin üzerinden geçmektedir. BT yöneticisi olarak, Microsoft Entra erişim incelemelerini kullanarak bu görevi yönetebilir ve politika istisnalarının gözden kaçmasını önleyebilirsiniz. Ayrıca, bu istisnaların düzenli olarak gözden geçirildiğine dair kanıt sağlayarak denetçilere destek verebilirsiniz.

Not

Microsoft Entra erişim gözden geçirmelerini kullanmak için geçerli bir Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi, Enterprise Mobility + Security E5 ücretli veya deneme lisansı gereklidir. Daha fazla bilgi için bkz . Microsoft Entra sürümleri.

Kullanıcıları neden ilkelerden dışlayasınız?

Yönetici olarak, çok faktörlü kimlik doğrulaması (MFA) gerektirmek ve kimlik doğrulama isteklerini belirli ağlarla veya cihazlarla sınırlamak için Microsoft Entra Koşullu Erişim kullanmaya karar verdiğinizi varsayalım. Dağıtım planlaması sırasında, tüm kullanıcıların bu gereksinimleri karşılayamadığını fark ediyorsunuz. Örneğin, şirket içi ağınızın bir parçası değil, uzak ofislerden çalışan kullanıcılarınız olabilir. Bu cihazların değiştirilmesini beklerken desteklenmeyen cihazları kullanarak bağlanan kullanıcıları da barındırmanız gerekir. Kısacası, işletmenin bu kullanıcıların oturum açması ve işlerini yapması gerekir, böylece koşullu erişim ilkelerinin dışında tutabilirsiniz.

Başka bir örnek olarak, Conditional Access'ta kullanıcıların kiracılarına erişmesine izin vermek istemediğiniz bir dizi ülke ve bölgeyi belirtmek için adlandırılmış konumları kullanıyor olabilirsiniz.

Ne yazık ki bazı kullanıcıların bu engellenen ülkelerden/bölgelerden oturum açmak için geçerli bir nedeni olabilir. Örneğin, kullanıcılar iş için seyahat ediyor olabilir ve şirket kaynaklarına erişmeleri gerekebilir. Bu durumda, bu ülkeleri/bölgeleri engelleyen Koşullu Erişim ilkesi, ilkenin dışında tutulan kullanıcılar için bir bulut güvenlik grubu kullanabilir. Seyahat ederken erişime ihtiyacı olan kullanıcılar, Microsoft Entra self servis Grup yönetimini kullanarak kendilerini gruba ekleyebilir.

Diğer bir örnek, kullanıcılarınızın çoğu için eski kimlik doğrulamasını engelleyen bir Koşullu Erişim ilkesine sahip olmanız olabilir. Ancak, belirli kaynaklara erişmek için eski kimlik doğrulama yöntemlerini kullanması gereken bazı kullanıcılarınız varsa, bu kullanıcıları eski kimlik doğrulama yöntemlerini engelleyen ilkenin dışında tutabilirsiniz.

Not

Microsoft, güvenlik duruşunuzu geliştirmek için kiracınızda eski protokollerin kullanımını engellemenizi kesinlikle önerir.

Dışlamalar neden zorlayıcı?

Microsoft Entra Id'de Koşullu Erişim ilkesinin kapsamını bir kullanıcı kümesi olarak belirleyebilirsiniz. Microsoft Entra rollerini, tek tek kullanıcıları veya konukları seçerek de dışlamaları yapılandırabilirsiniz. Bunu unutmayın: Dışlamalar yapılandırıldığında, politika amacı dışlanan kullanıcılara uygulanamaz. Dışlamalar bir kullanıcı listesi kullanılarak veya eski şirket içi güvenlik grupları kullanılarak yapılandırıldıysa, dışlamalar üzerinde sınırlı görünürlüğe sahip olursunuz. Sonuç olarak:

  • Kullanıcılar dışlandıklarının farkında olmayabilir.

  • Kullanıcılar ilkeyi atlamak için güvenlik grubuna katılabilir.

  • Dışlanan kullanıcılar dışlama için daha önce uygun olabilir ancak artık bu haklara sahip değildir.

Genellikle, bir dışlamayı ilk kez yapılandırdığınızda, ilkeyi atlayan kullanıcıların kısa bir listesi olur. Zaman içinde dışlama özelliğine daha fazla kullanıcı eklenir ve liste büyür. Bir noktada listeyi gözden geçirmeniz ve bu kullanıcıların her birinin hala dışlama için uygun olduğunu onaylamanız gerekir. Dışlama listesini teknik açıdan yönetmek nispeten kolay olabilir, ancak iş kararlarını kim verir ve bunların tümünün denetlenebilir olmasını nasıl sağlarsınız? Ancak dışlama işlemini bir Microsoft Entra grubu kullanarak yapılandırırsanız erişim gözden geçirmelerini telafi denetimi olarak kullanabilir, görünürlüğü artırabilir ve dışlanan kullanıcı sayısını azaltabilirsiniz.

Koşullu Erişim ilkesinde dışlama grubu oluşturma

Yeni bir Microsoft Entra grubu ve bu gruba uygulanmayan bir Koşullu Erişim ilkesi oluşturmak için bu adımları izleyin.

Dışlama grubu oluşturma

  1. Microsoft Entra yönetim merkezinde en az Bir Kullanıcı Yöneticisi olarak oturum açın.

  2. Kimlik>Gruplar>Tüm gruplar bölümüne göz atın.

  3. Yeni Grup seçeneğini belirleyin.

  4. Grup türü listesinde Güvenlik'i seçin. Bir ad ve açıklama belirtin.

  5. Üyelik türünü Atanan olarak ayarladığınızdan emin olun.

  6. Bu dışlama grubunun parçası olması gereken kullanıcıları seçin ve ardından Oluştur'u seçin.

Microsoft Entra Id'de yeni grup bölmesi

Grubu dışlayan bir Koşullu Erişim ilkesi oluşturma

Artık bu dışlama grubunu kullanan bir Koşullu Erişim ilkesi oluşturabilirsiniz.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.

  2. Koruma> göz atın.

  3. Yeni politika oluştur'u seçin.

  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.

  5. Atamalar'ın altında Kullanıcılar ve gruplar'ı seçin.

  6. Ekle sekmesinde Tüm Kullanıcılar'ı seçin.

  7. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve oluşturduğunuz dışlama grubunu seçin.

    Not

    En iyi uygulama olarak, kiracınıza erişiminizin engellenmemesini sağlamak için test ederken, ilkeden en az bir yönetici hesabını hariç tutmanız önerilir.

  8. Kurumsal gereksinimlerinize göre Koşullu Erişim ilkesini ayarlamaya devam edin.

Koşullu Erişim'de dışlanan kullanıcıları seçme bölmesi

Şimdi Koşullu Erişim ilkelerindeki dışlamaları yönetmek için erişim gözden geçirmelerini kullanabileceğiniz iki örneği ele alalım.

Örnek 1: Engellenen ülkelerden/bölgelerden erişen kullanıcılar için erişim gözden geçirmesi

Belirli ülkelerden/bölgelerden erişimi engelleyen bir Koşullu Erişim ilkeniz olduğunu varsayalım. İlkenin dışında tutulan bir grup içerir. İşte grup üyelerinin gözden geçirildiği önerilen erişim değerlendirmesi.

Örnek 1 için erişim inceleme bölmesi oluşturun

Not

Erişim gözden geçirmeleri oluşturmak için en azından Kimlik İdaresi Yöneticisi veya Kullanıcı Yöneticisi rolü gereklidir. Erişim gözden geçirmesi oluşturma hakkında adım adım kılavuz için bkz. Gruplar ve uygulamalar için erişim gözden geçirmesi oluşturma.

  1. Gözden geçirme her hafta gerçekleşir.

  2. Bu dışlama grubunu en güncel şekilde tuttuğunuzdan emin olmak için gözden geçirme hiçbir zaman sona ermiyor.

  3. Bu grubun tüm üyeleri gözden geçirme kapsamındadır.

  4. Her kullanıcının bu engellenen ülkelerden/bölgelerden hala erişmesi gerektiğini kendi kendine doğrulamaları ve bu nedenle grubun üyesi olmaları gerekir.

  5. Kullanıcı gözden geçirme isteğine yanıt vermezse gruptan otomatik olarak kaldırılır ve bu ülkelere/bölgelere seyahat ederken artık kiracıya erişimi olmaz.

  6. Kullanıcılara erişim gözden geçirmesinin başlangıcı ve tamamlanması hakkında bilgi vermek için e-posta bildirimlerini etkinleştirin.

Örnek 2: Eski kimlik doğrulamasıyla erişen kullanıcılar için erişim gözden geçirmesi

Eski kimlik doğrulaması ve eski istemci sürümlerini kullanan kullanıcılar için erişimi engelleyen bir Koşullu Erişim ilkeniz olduğunu ve ilkenin dışında tutulan bir grup içerdiğini varsayalım. İşte grubun üyelerinin gözden geçirildiği önerilen bir erişim incelemesi.

Örneğin 2 için erişim gözden geçirme bölmesi oluştur

  1. Bu gözden geçirmenin yinelenen bir gözden geçirme olması gerekir.

  2. Gruptaki herkesin gözden geçirilmesi gerekir.

  3. İşletme birimi sahiplerini seçili gözden geçirenler olarak listelenecek şekilde yapılandırılabilir.

  4. Sonuçları otomatik olarak uygulayın ve eski kimlik doğrulama yöntemlerini kullanmaya devam etmek için onaylanmamış kullanıcıları kaldırın.

  5. Büyük grupları gözden geçirenlerin kolayca karar vermeleri için önerileri etkinleştirmek yararlı olabilir.

  6. Kullanıcılara erişim gözden geçirmesinin başlangıcı ve tamamlanması hakkında bilgi verilmesi için posta bildirimlerini etkinleştirin.

Önemli

Çok sayıda dışlama grubunuz varsa ve bu nedenle birden çok erişim gözden geçirmesi oluşturmanız gerekiyorsa, Microsoft Graph bunları program aracılığıyla oluşturmanıza ve yönetmenize olanak tanır. Başlamak için, erişim gözden geçirmeleri API başvurusuna ve Microsoft Graph'teki erişim gözden geçirmeleri API'sini kullanarak öğreticiye bakın.

Erişim gözden geçirme sonuçları ve denetim günlükleri

Artık her şey hazır durumda, grubu, Koşullu Erişim ilkesini ve erişim gözden geçirmelerini oluşturduğunuza göre, bu incelemelerin sonuçlarını izleme ve takip etme zamanı geldi.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

  2. Kimlik idaresi>Erişim gözden geçirmelerine göz atın.

  3. Dışlama ilkesi oluşturduğunuz grupla birlikte kullandığınız Access incelemesini seçin.

  4. Listede kalması onaylanan ve kaldırılan kişileri görmek için Sonuçlar'ı seçin.

    Erişim gözden geçirme sonuçları kimin onaylandığını gösterir

  5. Bu gözden geçirme sırasında gerçekleştirilen eylemleri görmek için Denetim günlükleri'ni seçin.

BT yöneticisi olarak, ilkelerinizde dışlama gruplarını yönetmenin bazen kaçınılmaz olduğunu biliyorsunuz. Ancak, bu grupların bakımının yapılması, işletme sahibi veya kullanıcıların kendileri tarafından düzenli olarak gözden geçirilmesi ve erişim gözden geçirmeleri ile bu değişikliklerin denetlenmesi daha kolay hale getirilebilir.

Sonraki adımlar