Azure AD Identity Governance nedir?What is Azure AD Identity Governance?

Azure Active Directory (Azure AD) Identity Idare, kuruluşunuzun güvenlik ve çalışanların verimliliğini doğru işlemlerle ve görünürlüğe dengelemenize olanak tanır.Azure Active Directory (Azure AD) Identity Governance allows you to balance your organization's need for security and employee productivity with the right processes and visibility. Doğru kişilerin doğru kaynaklara doğru erişimi olduğundan emin olmak için size yetenekler sağlar.It provides you with capabilities to ensure that the right people have the right access to the right resources. Bu ve ilgili Azure AD ve Enterprise Mobility + Security özellikleri, kritik varlıklara erişimi koruyarak, izleyerek ve denetleyerek, çalışan ve iş ortağı üretkenliğini sağlarken erişim riskini azaltmanıza olanak sağlar.These and related Azure AD and Enterprise Mobility + Security features allows you to mitigate access risk by protecting, monitoring, and auditing access to critical assets -- while ensuring employee and business partner productivity.

Kimlik yönetimi, kuruluşlara çalışanlar, iş ortakları ve satıcılar arasında ve hem şirket içi hem de bulutlarda bulunan hizmetler ve uygulamalar arasında aşağıdaki görevleri yapma olanağı sağlar:Identity Governance give organizations the ability to do the following tasks across employees, business partners and vendors, and across services and applications both on-premises and in clouds:

  • Kimlik yaşam döngüsü idaresiGovern the identity lifecycle
  • Erişim yaşam döngüsünü yönetirGovern access lifecycle
  • Yönetim için güvenli ayrıcalıklı erişimSecure privileged access for administration

Özellikle, kuruluşların bu dört önemli soruyu ele almak için tasarlanmıştır:Specifically, it is intended to help organizations address these four key questions:

  • Hangi kullanıcıların hangi kaynaklara erişimi olmalıdır?Which users should have access to which resources?
  • Bu erişimi hangi kullanıcılar yapıyor?What are those users doing with that access?
  • Erişimi yönetmeye yönelik etkili bir kurumsal denetim var mı?Are there effective organizational controls for managing access?
  • Denetçilerin çalıştığını doğrulaması yapılabilir mi?Can auditors verify that the controls are working?

Kimlik yaşam döngüsüIdentity lifecycle

Kimlik yönetimi, kuruluşların üretkenlik arasında bir denge elde etmesine yardımcı olur ve kuruluşa ne zaman katılabilecekleri gibi bir kişinin ihtiyacı olan kaynaklara ne kadar hızlı bir şekilde erişmesini sağlayabilir?Identity Governance helps organizations achieve a balance between productivity - How quickly can a person have access to the resources they need, such as when they join my organization? Ve güvenlik -bu kişinin iş durumundaki değişiklikler nedeniyle, zaman içinde erişimin ne zaman içinde değiştirilmesi gerekir?And security - How should their access change over time, such as due to changes to that person's employment status? Kimlik yaşam döngüsü yönetimi, kimlik yönetimi için temel ve ölçekteki etkili idare, uygulamalar için kimlik yaşam döngüsü yönetim altyapısını modernleştirmeyi gerektirir.Identity lifecycle management is the foundation for Identity Governance, and effective governance at scale requires modernizing the identity lifecycle management infrastructure for applications.

Kimlik yaşam döngüsü

Birçok kuruluşta, çalışanlar için kimlik yaşam döngüsü, bu kullanıcının bir HCM (insan büyük yönetim) sisteminde temsiline bağlıdır.For many organizations, identity lifecycle for employees is tied to the representation of that user in an HCM (human capital management) system. Azure AD Premium, Workday gelen sağlama öğreticisindeaçıklandığı gibi, her iki Active Directory ve Azure Active Directory iş gününde temsil edilen kişiler için Kullanıcı kimliklerini otomatik olarak korur.Azure AD Premium automatically maintains user identities for people represented in Workday in both Active Directory and Azure Active Directory, as described in the Workday inbound provisioning tutorial. Azure AD Premium ayrıca, SAP, Oracle eBusiness ve Oracle PeopleSoft gibi şirket içi HCM sistemlerinden kayıtları içeri aktarabilen Microsoft Identity Managerda içerir.Azure AD Premium also includes Microsoft Identity Manager, which can import records from on-premises HCM systems such as SAP, Oracle eBusiness, and Oracle PeopleSoft.

Giderek, senaryolar, kuruluşunuzun dışındaki kişilerle işbirliği gerektirir.Increasingly, scenarios require collaboration with people outside your organization. Azure AD B2B işbirliği, kuruluşunuzun uygulamalarını ve hizmetlerini herhangi bir kuruluştan Konuk kullanıcılar ve dış iş ortakları ile güvenli bir şekilde paylaşmanıza olanak sağlarken kendi şirket verileriniz üzerinde denetim sağlar.Azure AD B2B collaboration enables you to securely share your organization's applications and services with guest users and external partners from any organization, while maintaining control over your own corporate data. Azure AD Yetkilendirme Yönetimi , hangi kuruluşun kullanıcılarının erişim istemesine ve KURULUŞUNUZUN dizinine B2B konukları olarak eklenmesine izin verileceğini seçmenizi sağlar ve artık erişime gerek kalmadığında bu konukların kaldırılmasını sağlar.Azure AD entitlement management enables you to select which organization's users are allowed to request access and be added as B2B guests to your organization's directory, and ensures that these guests are removed when they no longer need access.

Erişim yaşam döngüsüAccess lifecycle

Kuruluşların, Kullanıcı kimliğinin oluşturulduğu zaman bir kullanıcı için başlangıçta sağlananların ötesinde erişimi yönetmek için bir işlem yapması gerekir.Organizations need a process to manage access beyond what was initially provisioned for a user when that user's identity was created. Ayrıca, kurumsal kuruluşların, erişim ilkesini ve denetimleri sürekli olarak geliştirip zorlayabilmeleri için verimli bir şekilde ölçeklendirilebilecek.Furthermore, enterprise organizations need to be able to scale efficiently to be able to develop and enforce access policy and controls on an ongoing basis.

Erişim yaşam döngüsü

Genellikle, iş karar mekanizmalarının onay kararlarını devreder.Typically, IT delegates access approval decisions to business decision makers. Ayrıca, kullanıcıların kendilerini de içerebilir.Furthermore, IT can involve the users themselves. Örneğin, Avrupa 'daki bir şirketin pazarlama uygulamasındaki gizli müşteri verilerine erişen kullanıcıların şirket ilkelerini bilmeleri gerekir.For example, users that access confidential customer data in a company's marketing application in Europe need to know the company's policies. Konuk kullanıcılar, davet edildikleri bir kuruluştaki veriler için işleme gereksinimlerini farkında olabilir.Guest users may be unaware of the handling requirements for data in an organization to which they have been invited.

Kuruluşlar, SIM ile tümleştirilmiş SaaS uygulamalarına veya uygulamalarına Kullanıcı sağlama ile bağlanmış Dinamik Gruplargibi teknolojiler aracılığıyla erişim yaşam döngüsü işlemini otomatikleştirebilir.Organizations can automate the access lifecycle process through technologies such as dynamic groups, coupled with user provisioning to SaaS apps or apps integrated with SCIM. Kuruluşlar ayrıca hangi Konuk kullanıcıların şirket içi uygulamalara erişebileceğinide denetleyebilir.Organizations can also control which guest users have access to on-premises applications. Bu erişim hakları daha sonra yinelenen Azure AD erişim İncelemelerikullanılarak düzenli olarak gözden geçirilebilir.These access rights can then be regularly reviewed using recurring Azure AD access reviews. Azure AD Yetkilendirme Yönetimi , kullanıcıların grup ve takım üyelikleri, uygulama rolleri ve SharePoint Online rollerinin paketleri arasında nasıl erişim isteyeceğini tanımlamanızı da sağlar.Azure AD entitlement management also enables you to define how users request access across packages of group and team memberships, application roles, and SharePoint Online roles.

Bir Kullanıcı uygulamalara erişmeye çalıştığında, Azure AD koşullu erişim ilkeleri uygular.When a user attempts to access applications, Azure AD enforces Conditional Access policies. Örneğin, koşullu erişim ilkeleri bir kullanım koşulları görüntülemeyi ve kullanıcının bir uygulamaya erişebilmek üzere Bu koşulları kabul etmesinin mümkün olmasını içerebilir.For example, Conditional Access policies can include displaying a terms of use and ensuring the user has agreed to those terms prior to being able to access an application.

Ayrıcalıklı erişim yaşam döngüsüPrivileged access lifecycle

Geçmişte, ayrıcalıklı erişim diğer satıcılar tarafından kimlik yönetimi 'nden ayrı bir özellik olarak açıklanmıştır.Historically, privileged access has been described by other vendors as a separate capability from Identity Governance. Ancak, Microsoft 'ta, ayrıcalıklı erişim 'in bir kimlik yönetimi 'nin önemli bir parçası olduğunu düşündük, özellikle de bu yönetici haklarıyla ilişkili kötüye kullanımı olasılığı kuruluşa neden olabilir.However, at Microsoft, we think governing privileged access is a key part of Identity Governance -- especially given the potential for misuse associated with those administrator rights can cause to an organization. Yönetim haklarını kullanan çalışanların, satıcıların ve yüklenicilerin yönetilmelidir.The employees, vendors, and contractors that take on administrative rights need to be governed.

Ayrıcalıklı erişim yaşam döngüsü

Azure AD Privileged Identity Management (PIM) , Azure AD, Azure ve diğer Microsoft çevrimiçi hizmetleri arasında kaynaklara yönelik erişim haklarının güvenliğini sağlamaya yönelik ek denetimler sağlar.Azure AD Privileged Identity Management (PIM) provides additional controls tailored to securing access rights for resources, across Azure AD, Azure, and other Microsoft Online Services. Azure AD PıM tarafından sağlanan tam zamanında erişim ve rol değişikliği uyarısı özellikleri, Multi-Factor Authentication ve koşullu erişim 'in yanı sıra, şirketinizin kaynaklarını güvenli hale getirmeye yardımcı olmak için kapsamlı bir idare denetimleri kümesi sağlar (Dizin, Office 365 ve Azure Kaynak rolleri).The just-in-time access, and role change alerting capabilities provided by Azure AD PIM, in addition to multi-factor authentication and Conditional Access, provide a comprehensive set of governance controls to help secure your company's resources (directory, Office 365, and Azure resource roles). Diğer erişim formlarında olduğu gibi, kuruluşlar yönetici rollerindeki tüm kullanıcılar için yinelenen erişim yeniden sertifika yapılandırmak üzere erişim gözden geçirmeleri kullanabilir.As with other forms of access, organizations can use access reviews to configure recurring access recertification for all users in administrator roles.

BaşlangıçGetting started

Yetkilendirme Yönetimi, erişim incelemeleri, Privileged Identity Management ve Kullanım koşulları kullanmaya başlamak için Azure portal kimlik yönetimi 'nin Başlarken sekmesine göz atın.Check out the Getting started tab of Identity Governance in the Azure portal to start using entitlement management, access reviews, Privileged Identity Management, and Terms of use.

Identity Idare Başlarken

Kimlik yönetimi özellikleriyle ilgili geri bildiriminiz varsa, görüşlerinizi göndermek için Azure portal geri bildirimde bulunun? öğesine tıklayın.If you have any feedback about Identity Governance features, click Got feedback? in the Azure portal to submit your feedback. Ekip geri bildirimlerinizi düzenli olarak inceler.The team regularly reviews your feedback.

Her müşteri için kusursuz bir çözüm veya öneri olmasa da, aşağıdaki yapılandırma kılavuzlarında, Microsoft 'un daha güvenli ve üretken bir iş gücünün sağlanması için izlemeniz önerilen temel ilkeler de sağlanmaktadır.While there is no perfect solution or recommendation for every customer, the following configuration guides also provide the baseline policies Microsoft recommends you follow to ensure a more secure and productive workforce.

Ek-kimlik Idare özelliklerinde yönetmek için en az ayrıcalıklı rollerAppendix - least privileged roles for managing in Identity Governance features

Kimlik yönetimi 'nde Yönetim görevlerini gerçekleştirmek için en az ayrıcalıklı rolü kullanmak en iyi uygulamadır.It's a best practice to use the least privileged role to perform administrative tasks in Identity Governance. Bu görevleri gerçekleştirmek için gerektiğinde bir rolü etkinleştirmek üzere Azure AD PıM kullanmanızı öneririz.We recommend that you use Azure AD PIM to activate a role as needed to perform these tasks. Aşağıda, kimlik Idare özelliklerini yapılandırmak için en az ayrıcalıklı dizin rolü verilmiştir:The following are the least privileged directory roles to configure Identity Governance features:

ÖzellikFeature En az ayrıcalıklı rolLeast privileged role
Yetkilendirme yönetimiEntitlement management Kullanıcı Yöneticisi (genel yönetici gerektiren kataloglara SharePoint Online siteleri ekleme hariç)User administrator (with the exception of adding SharePoint Online sites to catalogs, which requires Global administrator)
Erişim incelemeleriAccess reviews Kullanıcı Yöneticisi (ayrıcalıklı rol yöneticisi gerektiren Azure veya Azure AD rolleri için erişim gözden geçirmeleri hariç)User administrator (with the exception of access reviews of Azure or Azure AD roles, which requires Privileged role administrator)
Ayrıcalıklı Kimlik YönetimiPrivileged Identity Management Ayrıcalıklı rol yöneticisiPrivileged role administrator
Kullanım koşullarıTerms of use Güvenlik Yöneticisi veya koşullu erişim YöneticisiSecurity administrator or Conditional access administrator

Sonraki adımlarNext steps