Azure AD erişim gözden geçirmesi nedir?What are Azure AD access reviews?

Azure Active Directory (Azure AD) erişim gözden geçirmeleri, kuruluşların grup üyeliklerini verimli bir şekilde yönetmesine, kurumsal uygulamalara erişime ve rol atamalarına olanak tanır.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. Kullanıcının erişimi, yalnızca doğru kişilerin erişmeye devam ettiğinden emin olmak için düzenli olarak incelenebilir.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Erişim incelemelerine hızlı bir genel bakış sağlayan bir video aşağıda verilmiştir:Here's a video that provides a quick overview of access reviews:

Erişim gözden geçirmeleri neden önemlidir?Why are access reviews important?

Azure AD, kuruluşunuzun içinde ve iş ortakları gibi harici kuruluşlardaki kullanıcılarla işbirliği yapmanızı sağlar.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Kullanıcılar gruplara katılabilir, konukları davet edebilir, bulut uygulamalarına bağlanabilir ve kendi iş veya kişisel cihazlarından uzaktan çalışabilir.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. Self Servis 'nin gücünden yararlanma kolaylığı, daha iyi erişim yönetimi özelliklerine ihtiyaç duymasına yol açmıştır.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Yeni çalışanlar katılırsanız, doğru erişimi sağlamak için bunların üretken olmasını nasıl sağlayabilirsiniz?As new employees join, how do you ensure they have the right access to be productive?
  • İnsanlar takımları taşıdıkça veya şirketten ayrıldığında, özellikle de konukları içeriyorsa eski erişiminin kaldırılmasına nasıl emin olabilirsiniz?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Aşırı erişim hakları, erişim üzerinde denetim olmaması durumunda bulmalar ve bulguları denetlemeye yol açabilir.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Kaynaklarına kimlerin erişimi olduğunu düzenli olarak gözden geçirdiklerinden emin olmak için kaynak sahipleriyle önceden önlem almanız gerekir.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Erişim gözden geçirmeleri ne zaman kullanılır?When to use access reviews?

  • Ayrıcalıklı rollerde çok fazla sayıda Kullanıcı: Kaç kullanıcının yönetim erişimi olduğunu, bunların kaç tane genel yönetici olduğunu ve bir yönetim görevi için atandıktan sonra kaldırılmayan davet konukları veya iş ortakları olduğunu kontrol etmek iyi bir fikirdir.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Genel Yöneticiler gibi Azure AD rollerinde rol atama kullanıcılarını veya Azure AD Privileged Identity Management (PIM) deneyiminde Kullanıcı erişimi Yöneticisi gibi Azure kaynakları rollerini yeniden ayarlayabilirsiniz.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Otomasyon uygulanabilir olmadığında: Güvenlik gruplarında veya Office 365 gruplarında dinamik üyelik için kurallar oluşturabilirsiniz, ancak HR verileri Azure AD 'de değilse veya kullanıcıların değiştirme işlerini eğitmek üzere gruptan ayrıldıktan sonra hala erişime ihtiyacı varsa ne olur?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Daha sonra, hala erişime ihtiyacı olan kişilerin erişmeye devam ettiğinden emin olmak için bu grupta bir gözden geçirme oluşturabilirsiniz.You can then create a review on that group to ensure those who still need access should have continued access.
  • Yeni bir amaç için bir grup kullanıldığında: Azure AD ile eşitlenecek bir grubunuz varsa veya satış ekibi grubundaki herkes için uygulama Salesforce 'ı etkinleştirmeyi planlıyorsanız, Grup sahibinden farklı bir risk Co 'da kullanılan gruptan önce grup üyeliğini gözden geçirmesini istemek yararlı olacaktır. Erik.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • İş açısından kritik veri erişimi: belirli kaynaklar IÇIN, BT dışındaki kişilerin düzenli olarak oturumu açmasını ve denetim amacıyla erişmesi gereken nedenleri hakkında bir gerekçe vermesini istemek gerekebilir.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Bir ilkenin özel durum listesini korumak için: İdeal bir dünyada, tüm kullanıcılar kuruluşunuzun kaynaklarına erişimi güvenli hale getirmek için erişim ilkelerini takip edecektir.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Ancak bazen özel durumlar oluşturmanız gereken iş durumları vardır.However, sometimes there are business cases that require you to make exceptions. BT Yöneticisi olarak, bu görevi yönetebilir, ilke özel durumlarının fazla ilerlemesinin önüne kaçabilir ve bu özel durumların düzenli olarak inceleneceğini prova ile Denetçiler sağlayabilirsiniz.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Grup sahiplerini, gruplarında hala Konuk olmaları gerektiğini onaylamasını isteyin: Çalışan erişimi, bazı şirket içi ıAM ile otomatikleştirilebilir, ancak davet konukları konuklarıyla otomatik olabilir.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Bir grup, iş açısından gizli içeriğe Konuklar erişimi veriyorsa, konukların hala erişim için meşru bir iş ihtiyacı olduğunu onaylamak için Grup sahibinin sorumluluğundadır.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Gözden geçirmeler düzenli aralıklarla Yinele: Kullanıcılara haftalık, aylık, üç aylık veya yıllık olarak ayarlanan sıklıklara yönelik yinelenen erişim İncelemeleri ayarlayabilirsiniz ve her İnceleme başlangıcında gözden geçirenler bilgilendirilir.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Gözden geçirenler kolay bir arabirimle ve akıllı önerilerin yardımıyla erişimi onaylayabilir veya reddedebilir.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

İncelemeleri nerede oluşturursunuz?Where do you create reviews?

Gözden geçirmek istediğinize bağlı olarak, Azure AD erişim gözden geçirmeleriyle, Azure AD kurumsal uygulamalarında (önizlemede) veya Azure AD PıM 'de erişim incelemenizi oluşturacaksınız.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Kullanıcıların erişim haklarıAccess rights of users Gözden geçirenler şu şekilde olabilirReviewers can be İnceleme oluşturma tarihiReview created in Gözden geçiren deneyimReviewer experience
Güvenlik grubu üyeleriSecurity group members
Office grubu üyeleriOffice group members
Belirtilen gözden geçirenlerSpecified reviewers
Grup sahipleriGroup owners
Kendi kendini gözden geçirmeSelf-review
Azure AD erişim gözden geçirmeleriAzure AD access reviews
Azure AD gruplarıAzure AD groups
Erişim paneliAccess panel
Bağlı bir uygulamaya atandıAssigned to a connected app Belirtilen gözden geçirenlerSpecified reviewers
Kendi kendini gözden geçirmeSelf-review
Azure AD erişim gözden geçirmeleriAzure AD access reviews
Azure AD kurumsal uygulamaları (önizlemede)Azure AD enterprise apps (in preview)
Erişim paneliAccess panel
Azure AD rolüAzure AD role Belirtilen gözden geçirenlerSpecified reviewers
Kendi kendini gözden geçirmeSelf-review
Azure AD PıMAzure AD PIM Azure portalAzure portal
Azure Kaynak rolüAzure resource role Belirtilen gözden geçirenlerSpecified reviewers
Kendi kendini gözden geçirmeSelf-review
Azure AD PıMAzure AD PIM Azure portalAzure portal

Erişim gözden geçirmeleri ekleOnboard access reviews

Erişim gözden geçirmeleri eklemek için aşağıdaki adımları izleyin.To onboard access reviews, follow these steps.

  1. Genel yönetici veya Kullanıcı Yöneticisi olarak, erişim gözden geçirmeleri kullanmak istediğiniz Azure Portal oturum açın.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. Sol gezinti bölmesinde Azure Active Directory' ye tıklayın.In the left navigation, click Azure Active Directory.

  3. Sol taraftaki menüden kimlikYönetimi ' ne tıklayın.In the left menu, click Identity Governance.

  4. Erişim İncelemeleri' ne tıklayın.Click Access reviews.

    Erişim İncelemeleri başlangıç sayfası

  5. Sayfasında, Şimdi Ekle düğmesine tıklayın.On the page, click the Onboard now button.

    Bulunan erişim İncelemeleri

Erişim incelemeleri hakkında bilgi edininLearn about access reviews

Erişim gözden geçirmeleri oluşturma ve gerçekleştirme hakkında daha fazla bilgi edinmek için şu kısa tanıtımı izleyin:To learn more about creating and performing access reviews, watch this short demo:

Kuruluşunuzda erişim gözden geçirmeleri dağıtmaya hazırsanız, bu adımları izleyerek, yöneticilerinizi eğitin, eğitmeniz ve ilk erişim incelemenizi oluşturmanız gerekir!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Lisans gereksinimleriLicense requirements

Bu özelliği kullanarak bir Azure AD Premium P2 lisansı gerektirir.Using this feature requires an Azure AD Premium P2 license. Gereksinimleriniz için doğru lisans bulmak için bkz: ücretsiz, temel ve Premium sürümler genel kullanıma sunulan özellikleri karşılaştırma.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Hangi kullanıcıların Lisansı olmalıdır?Which users must have licenses?

Erişim incelemeleriyle etkileşim kuran her kullanıcının ücretli Azure AD Premium P2 lisansı olması gerekir.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. Örneklere şunlar dahildir:Examples include:

  • Erişim gözden geçirmesi oluşturan YöneticilerAdministrators who create an access review
  • Erişim gözden geçirmesi gerçekleştiren Grup sahipleriGroup owners who perform an access review
  • Gözden geçirenler olarak atanan kullanıcılarUsers assigned as reviewers
  • Kendi kendine İnceleme gerçekleştiren kullanıcılarUsers who perform a self-review

Ayrıca, Konuk kullanıcılardan kendi erişimini gözden geçirmesini isteyebilirsiniz.You can also ask guest users to review their own access. Kendi kuruluşunuzun kullanıcılarından birine atadığınız her ücretli Azure AD Premium P2 lisansı için, dış Kullanıcı tahsisatından beş adede kadar Konuk kullanıcıya davet etmek için Azure AD işletmeden işletmeye (B2B) kullanabilirsiniz.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Bu Konuk kullanıcılar Azure AD Premium P2 özelliklerini de kullanabilir.These guest users can also use Azure AD Premium P2 features. Daha fazla bilgi için bkz. Azure AD B2B işbirliği Lisanslama Kılavuzu.For more information, see Azure AD B2B collaboration licensing guidance.

Sahip olmanız gereken lisansların sayısını belirlemenize yardımcı olacak bazı örnek senaryolar aşağıda verilmiştir.Here are some example scenarios to help you determine the number of licenses you must have.

SenaryoScenario HesaplamaCalculation Gerekli sayıda lisansRequired number of licenses
Yönetici, 500 Kullanıcıyla Grup A 'nın erişim incelemesini oluşturur.An administrator creates an access review of Group A with 500 users. 3 Grup sahibini gözden geçirenler olarak atar.Assigns 3 group owners as reviewers. Her grup sahibine ait yönetici + 3 Lisansı için gözden geçirenler olarak 1 lisans.1 license for the administrator + 3 licenses for each group owner as reviewers. 44
Yönetici, 500 Kullanıcıyla Grup A 'nın erişim incelemesini oluşturur.An administrator creates an access review of Group A with 500 users. Kendi kendine İnceleme yapar.Makes it a self-review. 1 her kullanıcı için yönetici + 500 lisansı için kendi kendini gözden geçirenler olarak lisanslayın.1 license for the administrator + 500 licenses for each user as self-reviewers. 501501
Yönetici, 5 Kullanıcı ve 25 Konuk kullanıcıyla Grup B 'ye yönelik bir erişim incelemesi oluşturur.An administrator creates an access review of Group B with 5 users and 25 guest users. Kendi kendine İnceleme yapar.Makes it a self-review. 1 her kullanıcı için yönetici + 5 Lisansı için kendi kendini gözden geçirenler olarak lisanslayın.1 license for the administrator + 5 licenses for each user as self-reviewers.
(Konuk kullanıcılar gereken 1:5 oranına göre ele alınmıştır)(guest users are covered in the required 1:5 ratio)
66
Yönetici, 5 Kullanıcı ve 108 Konuk kullanıcıyla Grup C 'nin erişim incelemesini oluşturur.An administrator creates an access review of Group C with 5 users and 108 guest users. Kendi kendine İnceleme yapar.Makes it a self-review. 1 her kullanıcıya yönelik yönetici + 5 Lisansı, gerekli 1:5 oranında tüm 108 Konuk kullanıcıları kapsayacak şekilde, her bir kullanıcı için kendi kendine gözden geçirenler ve 16 ek lisans olarak lisanslayın.1 license for the administrator + 5 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio.
5*6 = 30 Konuk kullanıcıyı kapsayan 1 + 5 = 6 lisans.1+5=6 licenses, which cover 5*6=30 guest users. Kalan (108-5*6) = 78 Konuk kullanıcılar için 78/5 = 16 ek lisans gerekir.For the remaining (108-5*6)=78 guest users, 78/5=16 additional licenses are required. Bu nedenle Total, 6 + 16 = 22 lisans gerekir.Thus in total, 6+16=22 licenses are required.
2222

Kullanım için lisansları atama hakkında daha fazla bilgi için, bkz. Azure Active Directory portalını kullanarak lisans atama veya kaldırma.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

Sonraki adımlarNext steps