Azure AD erişim gözden geçirmesi nedir?What are Azure AD access reviews?

Azure Active Directory (Azure AD) erişim gözden geçirmeleri, kuruluşların grup üyeliklerini verimli bir şekilde yönetmesine, kurumsal uygulamalara erişime ve rol atamalarına olanak tanır.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Kullanıcının erişimi, yalnızca doğru kişilerin erişmeye devam ettiğinden emin olmak için düzenli olarak incelenebilir.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Erişim incelemelerine hızlı bir genel bakış sağlayan bir video aşağıda verilmiştir:Here's a video that provides a quick overview of access reviews:

Erişim gözden geçirmeleri neden önemlidir?Why are access reviews important?

Azure AD, kuruluşunuzun içinde ve iş ortakları gibi harici kuruluşlardaki kullanıcılarla işbirliği yapmanızı sağlar.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Kullanıcılar gruplara katılabilir, konukları davet edebilir, bulut uygulamalarına bağlanabilir ve kendi iş veya kişisel cihazlarından uzaktan çalışabilir.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Self Servis 'nin gücünden yararlanma kolaylığı, daha iyi erişim yönetimi özelliklerine ihtiyaç duymasına yol açmıştır.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Yeni çalışanlar katılırsanız, doğru erişimi sağlamak için bunların üretken olmasını nasıl sağlayabilirsiniz?As new employees join, how do you ensure they have the right access to be productive?
  • İnsanlar takımları taşıdıkça veya şirketten ayrıldığında, özellikle de konukları içeriyorsa eski erişiminin kaldırılmasına nasıl emin olabilirsiniz?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Aşırı erişim hakları, erişim üzerinde denetim olmaması durumunda bulmalar ve bulguları denetlemeye yol açabilir.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Kaynaklarına kimlerin erişimi olduğunu düzenli olarak gözden geçirdiklerinden emin olmak için kaynak sahipleriyle önceden önlem almanız gerekir.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Erişim gözden geçirmeleri ne zaman kullanılır?When to use access reviews?

  • Ayrıcalıklı rollerde çok fazla sayıda Kullanıcı: Kaç kullanıcının yönetim erişimi olduğunu, bunların kaç tane genel yönetici olduğunu ve bir yönetim görevi için atandıktan sonra kaldırılmayan davet konukları veya iş ortakları olduğunu kontrol etmek iyi bir fikirdir.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Genel Yöneticiler gibi Azure AD rollerinde rol atama kullanıcılarını veya Azure AD Privileged Identity Management (PIM) deneyiminde Kullanıcı erişimi Yöneticisi gibi Azure kaynakları rollerini yeniden ayarlayabilirsiniz.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Otomasyon uygulanabilir olmadığında: Güvenlik gruplarında veya Office 365 gruplarında dinamik üyelik için kurallar oluşturabilirsiniz, ancak HR verileri Azure AD 'de değilse veya kullanıcıların değiştirme işlerini eğitmek üzere gruptan ayrıldıktan sonra hala erişime ihtiyacı varsa ne olur?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 Groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Daha sonra, hala erişime ihtiyacı olan kişilerin erişmeye devam ettiğinden emin olmak için bu grupta bir gözden geçirme oluşturabilirsiniz.You can then create a review on that group to ensure those who still need access should have continued access.
  • Yeni bir amaç için bir grup kullanıldığında: Azure AD ile eşitlenecek bir grubunuz varsa veya satış ekibi grubundaki herkes için uygulama Salesforce 'ı etkinleştirmeyi planlıyorsanız, Grup sahibinden farklı bir risk içeriğinde kullanılan gruptan önce grup üyeliğini gözden geçirmesini istemek yararlı olacaktır.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • İş açısından kritik veri erişimi: belirli kaynaklar IÇIN, BT dışındaki kişilerin düzenli olarak oturumu açmasını ve denetim amacıyla erişmesi gereken nedenleri hakkında bir gerekçe vermesini istemek gerekebilir.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Bir ilkenin özel durum listesini korumak için: İdeal bir dünyada, tüm kullanıcılar kuruluşunuzun kaynaklarına erişimi güvenli hale getirmek için erişim ilkelerini takip edecektir.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Ancak bazen özel durumlar oluşturmanız gereken iş durumları vardır.However, sometimes there are business cases that require you to make exceptions. BT Yöneticisi olarak, bu görevi yönetebilir, ilke özel durumlarının fazla ilerlemesinin önüne kaçabilir ve bu özel durumların düzenli olarak inceleneceğini prova ile Denetçiler sağlayabilirsiniz.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Grup sahiplerini, gruplarında hala Konuk olmaları gerektiğini onaylamasını isteyin: Çalışan erişimi, bazı şirket içi ıAM ile otomatikleştirilebilir, ancak davet konukları konuklarıyla otomatik olabilir.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Bir grup, iş açısından gizli içeriğe Konuklar erişimi veriyorsa, konukların hala erişim için meşru bir iş ihtiyacı olduğunu onaylamak için Grup sahibinin sorumluluğundadır.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Gözden geçirmeler düzenli aralıklarla Yinele: Kullanıcılara haftalık, aylık, üç aylık veya yıllık olarak ayarlanan sıklıklara yönelik yinelenen erişim İncelemeleri ayarlayabilirsiniz ve her İnceleme başlangıcında gözden geçirenler bilgilendirilir.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Gözden geçirenler kolay bir arabirimle ve akıllı önerilerin yardımıyla erişimi onaylayabilir veya reddedebilir.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

İncelemeleri nerede oluşturursunuz?Where do you create reviews?

Gözden geçirmek istediğinize bağlı olarak, Azure AD erişim gözden geçirmeleriyle, Azure AD kurumsal uygulamalarında (önizlemede) veya Azure AD PıM 'de erişim incelemenizi oluşturacaksınız.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Kullanıcıların erişim haklarıAccess rights of users Gözden geçirenler şu şekilde olabilirReviewers can be İnceleme oluşturma tarihiReview created in Gözden geçiren deneyimReviewer experience
Güvenlik grubu üyeleriSecurity group members
Office grubu üyeleriOffice group members
Belirtilen gözden geçirenlerSpecified reviewers
Grup sahipleriGroup owners
Kendi kendini gözden geçirmeSelf-review
Azure AD erişim gözden geçirmeleriAzure AD access reviews
Azure AD gruplarıAzure AD groups
Erişim paneliAccess panel
Bağlı bir uygulamaya atandıAssigned to a connected app Belirtilen gözden geçirenlerSpecified reviewers
Kendi kendini gözden geçirmeSelf-review
Azure AD erişim gözden geçirmeleriAzure AD access reviews
Azure AD kurumsal uygulamaları (önizlemede)Azure AD enterprise apps (in preview)
Erişim paneliAccess panel
Azure AD rolüAzure AD role Belirtilen gözden geçirenlerSpecified reviewers
Kendi kendini gözden geçirmeSelf-review
Azure AD PıMAzure AD PIM Azure PortalAzure portal
Azure Kaynak rolüAzure resource role Belirtilen gözden geçirenlerSpecified reviewers
Kendi kendini gözden geçirmeSelf-review
Azure AD PıMAzure AD PIM Azure PortalAzure portal

Erişim gözden geçirmeleri eklemeOnboard access reviews

Erişim gözden geçirmeleri eklemek için aşağıdaki adımları izleyin.To onboard access reviews, follow these steps.

  1. Erişim incelemelerini yönetmek ve genel yönetici veya Kullanıcı Yöneticisi olarak oturum açmak için Azure Portal gidin.Go to the Azure portal to manage access reviews and sign in as a Global administrator or User administrator.

  2. Arama yapın ve Azure Active Directoryseçin.Search for and select Azure Active Directory.

    Azure Active Directory arama Azure portal

  3. Identity idareseçin.Select Identity Governance.

  4. Erişim İncelemeleri' ne tıklayın.Click Access reviews.

    Erişim İncelemeleri başlangıç sayfası

  5. Sayfasında, Şimdi Ekle düğmesine tıklayın.On the page, click the Onboard now button.

    Bulunan erişim İncelemeleri

Erişim incelemeleri hakkında bilgi edininLearn about access reviews

Erişim gözden geçirmeleri oluşturma ve gerçekleştirme hakkında daha fazla bilgi edinmek için şu kısa tanıtımı izleyin:To learn more about creating and performing access reviews, watch this short demo:

Kuruluşunuzda erişim gözden geçirmeleri dağıtmaya hazırsanız, bu adımları izleyerek, yöneticilerinizi eğitin, eğitmeniz ve ilk erişim incelemenizi oluşturmanız gerekir!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Lisans gereksinimleriLicense requirements

Bu özelliğin kullanılması için bir Azure AD Premium P2 lisansı gerekir.Using this feature requires an Azure AD Premium P2 license. Gereksinimleriniz için doğru lisans bulmak için bkz. ücretsiz, temel ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Kaç lisansa sahip olmanız gerekir?How many licenses must you have?

Aşağıdaki görevleri yerine getirmek istediğiniz çalışanlara sahip olduğunuz için, dizininizde en az sayıda Azure AD Premium P2 lisansa sahip olduğundan emin olun:Ensure that your directory has at least as many Azure AD Premium P2 licenses as you have employees that will be performing the following tasks:

  • Gözden geçirenler olarak atanan üye ve Konuk kullanıcılarMember and guest users who are assigned as reviewers
  • Kendi kendine İnceleme gerçekleştiren üye ve Konuk kullanıcılarMember and guest users who perform a self-review
  • Erişim gözden geçirmesi gerçekleştiren Grup sahipleriGroup owners who perform an access review
  • Erişim gözden geçirmesi gerçekleştiren uygulama sahipleriApplication owners who perform an access review

Aşağıdaki görevler için Azure AD Premium P2 lisansları gerekli değildir :Azure AD Premium P2 licenses are not required for the following tasks:

  • Genel yönetici veya Kullanıcı Yöneticisi rollerine sahip kullanıcılar için erişim gözden geçirmeleri ayarlama, ayarları yapılandırma veya kararların kararlarını uygulama hakkında herhangi bir lisans gerekmez.No licenses are required for the users with the Global Administrator or User Administrator roles that set up access reviews, configure settings, or apply the decisions from the reviews.

Kendi kuruluşunuzun kullanıcılarından birine atadığınız her ücretli Azure AD Premium P2 lisansı için, dış Kullanıcı tahsisatından beş adede kadar Konuk kullanıcıya davet etmek için Azure AD işletmeden işletmeye (B2B) kullanabilirsiniz.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Bu Konuk kullanıcılar Azure AD Premium P2 özelliklerini de kullanabilir.These guest users can also use Azure AD Premium P2 features. Daha fazla bilgi için bkz. Azure AD B2B işbirliği Lisanslama Kılavuzu.For more information, see Azure AD B2B collaboration licensing guidance.

Lisanslar hakkında daha fazla bilgi için bkz. Azure Active Directory portalını kullanarak lisans atama veya kaldırma.For more information about licenses, see Assign or remove licenses using the Azure Active Directory portal.

Örnek lisans senaryolarıExample license scenarios

Sahip olmanız gereken lisans sayısını belirlemenize yardımcı olacak bazı örnek lisans senaryoları aşağıda verilmiştir.Here are some example license scenarios to help you determine the number of licenses you must have.

SenaryoScenario HesaplamaCalculation Lisans sayısıNumber of licenses
Yönetici, 75 Kullanıcı ve 1 Grup sahibi ile A grubu için bir erişim incelemesi oluşturur ve Grup sahibini gözden geçiren olarak atar.An administrator creates an access review of Group A with 75 users and 1 group owner, and assigns the group owner as the reviewer. 1 Grup sahibi için gözden geçiren olarak lisans1 license for the group owner as reviewer 11
Yönetici, 500 Kullanıcı ve 3 Grup sahibi olan B grubunun erişim incelemesini oluşturur ve 3 Grup sahibini gözden geçirenler olarak atar.An administrator creates an access review of Group B with 500 users and 3 group owners, and assigns the 3 group owners as reviewers. Her grup sahibi için gözden geçirenler olarak 3 lisans3 licenses for each group owner as reviewers 33
Yönetici, 500 Kullanıcıyla Grup B 'ye erişim incelemesi oluşturur.An administrator creates an access review of Group B with 500 users. Kendi kendine İnceleme yapar.Makes it a self-review. Her Kullanıcı için kendi kendini gözden geçirenler olarak 500 lisans500 licenses for each user as self-reviewers 500500
Yönetici, 50 üye kullanıcıları ve 25 Konuk kullanıcıyla Grup C 'nin erişim incelemesini oluşturur.An administrator creates an access review of Group C with 50 member users and 25 guest users. Kendi kendine İnceleme yapar.Makes it a self-review. Her Kullanıcı için kendi kendine gözden geçirenler olarak 50 lisans.50 licenses for each user as self-reviewers.
(Konuk kullanıcılar gereken 1:5 oranına göre ele alınmıştır)(guest users are covered in the required 1:5 ratio)
5050
Yönetici, 6 üye kullanıcısı ve 108 Konuk kullanıcıyla Grup D 'ye yönelik bir erişim incelemesi oluşturur.An administrator creates an access review of Group D with 6 member users and 108 guest users. Kendi kendine İnceleme yapar.Makes it a self-review. Her bir kullanıcı için kendi kendine gözden geçirenler olarak 6 lisans ve gerekli 1:5 oranında tüm 108 Konuk kullanıcıları kapsayacak ek lisanslar.6 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio. 6*5 = 30 Konuk kullanıcıyı kapsayan 6 lisans.6 licenses, which cover 6*5=30 guest users. Kalan (108-6*5) = 78 Konuk kullanıcılar için 78/5 = 16 ek lisans gerekir.For the remaining (108-6*5)=78 guest users, 78/5=16 additional licenses are required. Bu nedenle Total, 6 + 16 = 22 lisans gerekir.Thus in total, 6+16=22 licenses are required. 2222

Sonraki adımlarNext steps