Azure AD erişim gözden geçirmesi nedir?
Azure Active Directory (Azure AD) erişim incelemeleri kuruluşların grup üyeliklerini, kurumsal uygulamalara erişimi ve rol atamalarını verimli bir şekilde yönetmelerini sağlar. Yalnızca doğru kişilerin sürekli erişime sahip olduğundan emin olmak için kullanıcının erişimi düzenli olarak gözden geçir olabilir.
Erişim gözden incelemelerine hızlı bir genel bakış sağlayan bir video şu şekildedir:
Erişim gözden incelemeleri neden önemlidir?
Azure AD, kuruluş içindeki kullanıcılarla ve dış kullanıcılarla işbirliğine olanak sağlar. Kullanıcılar gruplara katılabilir, konukları davetlayabilir, bulut uygulamalarına bağlanarak iş veya kişisel cihazlarından uzaktan çalışabiliyor. Self servis kullanmanın kolay olması, daha iyi erişim yönetimi özelliklerine ihtiyaçlara neden oldu.
- Yeni çalışanlar katıldıklarına göre, üretken olmak için ihtiyaçları olan erişime sahip olduğundan nasıl emin olursunuz?
- Ekipler şirket içinde hareket etti veya şirketten ayrıldı. Eski erişimlerinin kaldırıldıklarından nasıl emin olursunuz?
- Aşırı erişim hakları, güvenlik ihlallerine neden olabilir.
- Aşırı erişim hakkı, erişim denetimi eksikliğini işaret ettiklerine göre denetim bulgularına da yol aç olabilir.
- Kaynak sahipleriyle proaktif bir şekilde etkileşime girmeli ve kaynaklarına erişimi olanları düzenli olarak gözden geçirmeleri gerekir.
Erişim gözden incelemelerini ne zaman kullanasınız?
- Ayrıcalıklı rollerde çok fazla kullanıcı var: Kaç kullanıcının yönetim erişimine sahip olduğunu, bunların kaç tane Genel Yönetici olduğunu ve yönetici görevi için atandıktan sonra kaldırılmış davet edilen konuklar veya iş ortakları olup olmadığını kontrol etmek iyi bir fikirdir. Genel Yöneticiler gibi Azure AD rollerinde rol atama kullanıcılarını veya Azure AD Yönetici (PIM) deneyiminde Kullanıcı Erişimi Yöneticisi gibi Azure kaynakları rollerini Privileged Identity Management onaylarsınız.
- Otomasyon mümkün olamay olduğunda: Güvenlik gruplarında veya Microsoft 365 Gruplarında dinamik üyelik için kurallar oluşturabilirsiniz, ancak İk verileri Azure AD'de yoksa veya kullanıcıların değiştirmelerini eğitmek için gruptan ayrıldıktan sonra hala erişime ihtiyacı varsa ne olur? Daha sonra, hala erişime ihtiyacı olanların sürekli erişime sahip olmasını sağlamak için bu grupta bir gözden geçirme oluşturabilirsiniz.
- Bir grup yeni bir amaç için kullanılırken: Azure AD'ye eşitlenen bir grubunuz varsa veya Salesforce uygulamasını Satış ekibi grubunda yer alan herkes için etkinleştirmeyi planlıyorsanız, grup sahibinden farklı bir risk içeriğinde kullanılmadan önce grup üyeliğini gözden geçirmesini istemek yararlı olabilir.
- İş açısından kritik veri erişimi: Belirli kaynaklar için, BELIRLI kaynaklar için, IT dışındaki kişilerden düzenli olarak oturum açmalarını istemek ve denetim amacıyla neden erişime ihtiyaçları olduğunu gerekçelendirmek gerekebilir.
- İlkenin özel durum listesini korumak için: İdeal bir dünyada, tüm kullanıcılar erişim ilkelerini takip eder ve kuruluş kaynaklarına erişimin güvenliğini sağlar. Ancak, bazen özel durumlar yapmalarını gerektiren iş durumları vardır. IT yöneticisi olarak bu görevi yönetebilir, ilke özel durumlarının gözetimi dışında tutularak denetçilere bu özel durumların düzenli olarak gözden geçirildiklerinin kanıtını sebilirsiniz.
- Grup sahiplerinden gruplarında hala konuklara ihtiyaç olduğunu onaylamalarını isteme: Çalışan erişimi bazı şirket içi Kimlik ve Erişim Yönetimi (IAM) ile otomatikleştirilmiş olabilir, ancak davet edilen konuklara sahip değildir. Bir grup konuklara iş için hassas içerik erişimi veriyorsa, konukların hala erişim için yasal bir iş ihtiyacı olduğunu onaylamak grup sahibinin sorumluluğundadır.
- Gözden almaların düzenli aralıklarla tekrarlandırmalarını slarının: Kullanıcıların yinelenen erişim gözden geçirmelerini haftalık, aylık, üç aylık veya yıllık gibi ayarlanmış sıklıklarda ayarlayabilirsiniz ve gözden geçirenlere her incelemenin başında bildirilecek. Gözden geçirenler kolay bir arabirimle ve akıllı önerilerin yardımıyla erişimi onaylar veya reddeder.
Not
Erişim gözden geçirmelerini denemeye hazırsanız Gruplar veya uygulamalar için erişim gözden geçirmesi oluşturma'ya göz atabilirsiniz
İncelemeleri nerede oluşturabilirsiniz?
Neleri gözden geçirmek istediğinize bağlı olarak, Erişim gözden geçirmenizi Azure AD erişim gözden geçirmeleri, Azure AD kurumsal uygulamaları (önizlemede) veya Azure AD PIM'de oluşturabilirsiniz.
| Kullanıcıların erişim hakları | Gözden geçirenler | içinde oluşturulan gözden geçirme | Gözden geçiren deneyimi |
|---|---|---|---|
| Güvenlik grubu üyeleriOffice üyelerini seçin | Belirtilen gözden geçirenlerGrup sahipleriKendi kendine gözden geçirme | Azure AD erişim gözden geçirmeleriAzure AD grupları | Erişim paneli |
| Bağlı bir uygulamaya atanmış | Belirtilen gözden geçirenlerKendi kendine gözden geçirme | Azure AD erişim gözden geçirmeleriAzure AD kurumsal uygulamaları (önizlemede) | Erişim paneli |
| Azure AD rolü | Belirtilen gözden geçirenlerKendi kendine gözden geçirme | Azure AD PIM | Azure portal |
| Azure kaynak rolü | Belirtilen gözden geçirenlerKendi kendine gözden geçirme | Azure AD PIM | Azure portal |
Lisans gereksinimleri
Bu özelliğin kullanılması için bir Azure AD Premium P2 lisansı gerekir. Gereksinimlerinize uygun lisans bulmak için bkz. ücretsiz, Office 365 uygulamaları ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.
Kaç lisansa sahip olmak gerekir?
Dizininizin en az aşağıdaki Azure AD Premium P2 gerçekleştirecek çalışan sayısı kadar lisansa ihtiyacı vardır:
- Gözden geçiren olarak atanan üye kullanıcılar
- Kendi kendine gözden geçirme işlemi yapan üye kullanıcılar
- Erişim gözden geçirmesi yapan grup sahibi üye kullanıcılar
- Erişim gözden geçirmesi yapan uygulama sahibi olarak üye kullanıcılar
Konuk kullanıcılar için lisanslama gereksinimleri, kullandığınız lisanslama modeline bağlıdır. Ancak aşağıdaki konuk kullanıcıların etkinlikleri, kullanım için Azure AD Premium P2 kabul edilir:
- Gözden geçiren olarak atanan konuk kullanıcılar
- Kendi kendine gözden geçirme işlemi yapan konuk kullanıcılar
- Erişim gözden geçirmesi yapan grup sahibi olarak konuk kullanıcılar
- Erişim gözden geçirmesi yapan uygulama sahibi olarak konuk kullanıcılar
Azure AD Premium P2 genel yönetici veya Kullanıcı Yöneticisi rollerine sahip kullanıcılar için erişim gözden incelemeleri ayar eden, ayarları yapılandıran veya incelemelerden alınan kararları uygulayan kullanıcılar için lisans gerekli değildir.
Azure AD konuk kullanıcı erişimi, 1:5 oranlı faturalama modelinin yerini alan aylık etkin kullanıcılar (MAU) faturalama modelini temel alır. Daha fazla bilgi için bkz. Azure AD Dış Kimlikler fiyatlandırması.
Lisanslar hakkında daha fazla bilgi için bkz. Azure Active Directory portalını kullanarak lisansları atama veya kaldırma.
Örnek lisans senaryoları
Sahip olmak zorunda olduğunuz lisans sayısını belirlemenize yardımcı olacak bazı örnek lisans senaryoları burada vetir.
| Senaryo | Hesaplama | Lisans sayısı |
|---|---|---|
| Yönetici, 75 kullanıcı ve 1 grup sahibi ile A Grubu'nda bir erişim gözden geçirmesi oluşturur ve grup sahibini gözden geçiren olarak atar. | Gözden geçiren olarak grup sahibi için 1 lisans | 1 |
| Yönetici, 500 kullanıcı ve 3 grup sahibi ile Grup B'nin erişim gözden geçirmesini oluşturur ve 3 grup sahibini gözden geçiren olarak atar. | Her grup sahibi için gözden geçiren olarak 3 lisans | 3 |
| Yönetici, 500 kullanıcılı Grup B'nin erişim gözden geçirmesini oluşturur. Bunu kendi kendine gözden geçirme yapar. | Gözden geçirenler olarak her kullanıcı için 500 lisans | 500 |
| Bir yönetici, 50 üye kullanıcı ve 25 konuk kullanıcı ile C Grubu'nda bir erişim gözden geçirmesi oluşturur. Bunu kendi kendine gözden geçirme yapar. | Her kullanıcı için kendi kendini gözden geçirenler olarak 50 lisans.* | 50 |
| Bir yönetici, 6 üye kullanıcı ve 108 konuk kullanıcı ile Grup D'nin erişim gözden geçirmesini oluşturur. Bunu kendi kendine gözden geçirme yapar. | Her kullanıcı için kendi kendine gözden geçirenler olarak 6 lisans. Konuk kullanıcılar aylık bir etkin kullanıcı (MAU) temelinde faturalandırılır. Ek lisans gerekmez. * | 6 |
* Azure AD dış kimlikleri (Konuk Kullanıcı) fiyatlandırması, aylık etkin kullanıcıları (MAU) temel alır. Bu, bir takvim ayı içinde kimlik doğrulama etkinliği olan benzersiz kullanıcıların sayısıdır. bu model, kiracınızdaki Azure AD Premium her bir lisans için beş adede kadar konuk kullanıcıya izin veren 1:5 orandaki faturalandırma modelinin yerini alır. Kiracınız bir aboneliğe bağlandığında ve konuk kullanıcılarla işbirliği yapmak için dış kimlikler özelliklerini kullandığınızda, MAU tabanlı faturalandırma modeli kullanılarak otomatik olarak faturalandırılırsınız. Daha fazla bilgi için bkz. Azure AD dış kimlikleri için faturalandırma modeli.