Azure AD Identity Governance nedir?

Azure Active Directory (Azure AD) Kimlik İdaresi, kuruluşta güvenlik ve çalışan üretkenliğine yönelik ihtiyacı doğru süreçler ve görünürlükle dengelemenize olanak sağlar. Doğru kişilerin doğru kaynaklara doğru erişime sahip olduğundan emin olmak için size özellikler sağlar. Bu ve ilgili Azure AD ve Enterprise Mobility + Security özellikleri, kritik varlıklara erişimi koruyarak, izlemek ve denetleerek erişim riskini azaltırken çalışan ve iş ortağı üretkenliğini de sağlar.

Identity Governance, kuruluşlara çalışan, iş ortağı ve satıcı arasında ve hem şirket içinde hem de bulutlarda hizmet ve uygulamalar genelinde aşağıdaki görevleri gerçekleştirme olanağı sağlar:

  • Kimlik yaşam döngüsünü yönetme
  • Erişim yaşam döngüsünü yönetme
  • Yönetim için güvenli ayrıcalıklı erişim

Özellikle kuruluşların şu dört önemli sorusuna yanıt bu konuda yardımcı olması amaçlanan bir hedeftir:

  • Hangi kullanıcıların hangi kaynaklara erişimi olması gerekir?
  • Bu kullanıcılar bu erişimle ne yapıyor?
  • Erişimi yönetmek için etkili kuruluş denetimleri var mı?
  • Denetçiler denetimlerin çalıştığını doğrular mı?

Kimlik yaşam döngüsü

Kimlik İdaresi, kuruluşların üretkenlik arasında bir dengeyi başarmalarına yardımcı olur- Bir kişi kuruluşuma katma gibi ihtiyaçları olan kaynaklara ne kadar hızlı erişim elde ediyor? Güvenlik: Kişinin iş durumundaki değişiklikler gibi erişim zaman içinde nasıl değişsin? Kimlik yaşam döngüsü yönetimi, Kimlik İdaresi'nin temelini sağlar ve uygun ölçekte etkili idare için uygulamalar için kimlik yaşam döngüsü yönetim altyapısının modernleştirmesi gerekir.

Kimlik yaşam döngüsü

Birçok kuruluş için çalışanların kimlik yaşam döngüsü, bir HCM (insan sermaye yönetimi) sisteminde bu kullanıcının gösterimine bağlanır. Azure AD Premium, kullanıcı hazırlama planlama kılavuzunun bulut İk uygulamasında açıklandığı gibi, hem Active Directory hem de Azure Active Directory'de Workday ve SuccessFactors'ta temsil edilen kişiler için kullanıcı Azure Active Directory otomatik olarak sürdürür. Azure AD Premium, sapHCM, Oracle eBusiness ve Oracle PeopleSoft gibi şirket içi HCM sistemlerinden kayıtları içeri aktaran Microsoft Identity Manager da içerir.

Senaryolar her geçen gün daha fazla kuruluş dışındaki kişilerle işbirliği gerektirir. Azure AD B2B işbirliği, bir yandan kendi kurumsal verileriniz üzerinde denetim sahibi olurken diğer yandan kuruluş uygulamalarını ve hizmetlerini herhangi bir kuruluşun konuk kullanıcılarıyla ve dış iş ortaklarıyla güvenli bir şekilde paylaşmanızı sağlar. Azure AD yetkilendirme yönetimi, erişim isteğine izin verilen kuruluş kullanıcılarını seçmenize ve kuruluşun dizinine B2B konukları olarak eklenmenize olanak sağlar ve erişime ihtiyaç kalmadan bu konukların kaldırılmasını sağlar.

Erişim yaşam döngüsü

Kuruluşların, kullanıcının kimliği oluşturulduğunda bir kullanıcı için başlangıçta sağlananın ötesinde erişimi yönetmek için bir işleme ihtiyacı vardır. Ayrıca, kurumsal kuruluşların erişim ilkesi ve denetimlerini sürekli olarak geliştirebilir ve zorunlu hale getirirken verimli bir şekilde ölçeklendirebilir olması gerekir.

Erişim yaşam döngüsü

Genellikle, IT, erişim onayı kararlarını işletme kararlarını verenlere devreder. Ayrıca, IT kullanıcıların kendileri de dahil olabilir. Örneğin, Bir şirketin Avrupa'daki pazarlama uygulamasında gizli müşteri verilerine erişen kullanıcıların şirketin ilkelerini biliyor olmalıdır. Konuk kullanıcılar, davet edildikleri bir kuruluşta veri işleme gereksinimlerini fark etmiş olabilir.

Kuruluşlar, dinamik gruplar gibi teknolojiler aracılığıyla erişim yaşam döngüsü işlemini, SCIM ile tümleştirilmiş SaaS uygulamalarına veya uygulamalarına kullanıcı hazırlama ile birlikte otomatik hale edebilir. Kuruluşlar, hangi konuk kullanıcıların şirket içi uygulamalara erişimi olduğunu da kontrol ediyor. Bu erişim hakları daha sonra yinelenen Azure AD erişim gözden geçirmeleri kullanılarak düzenli olarak gözden geçir olabilir. Azure AD yetkilendirme yönetimi ayrıca kullanıcıların grup ve takım üyelikleri, uygulama rolleri ve çevrimiçi rol paketleri arasında nasıl erişim SharePoint tanımlamanıza olanak sağlar.

Kullanıcı uygulamalara erişmeyi denemesi, Azure AD Koşullu Erişim ilkelerini zorunlu alır. Örneğin, Koşullu Erişim ilkeleri bir kullanım koşullarını görüntülemeyi ve bir uygulamaya erişmeden önce kullanıcının bu koşulları kabul etmiş olmasını sağlamayı içerebilir.

Ayrıcalıklı erişim yaşam döngüsü

Geçmişte, ayrıcalıklı erişim diğer satıcılar tarafından Kimlik İdaresi'nin ayrı bir özelliği olarak açıklanmıştır. Ancak Microsoft olarak ayrıcalıklı erişimin idarenin Kimlik İdaresi'nin önemli bir parçası olduğunu düşünüyoruz. Özellikle bu yönetici haklarıyla ilişkili kötüye kullanımların bir kuruluşa neden olabilir. Yönetim haklarını alan çalışanların, satıcıların ve yüklenicilerin idaresi gerekir.

Ayrıcalıklı erişim yaşam döngüsü

Azure AD Privileged Identity Management (PIM), Azure AD, Azure ve diğer Microsoft Online Services genelinde kaynaklar için erişim haklarının güvenliğini sağlamak için uyarlanmış ek denetimler sağlar. Azure AD PIM tarafından sağlanan tam zamanında erişim ve rol değişikliği uyarı özellikleri, çok faktörlü kimlik doğrulaması ve Koşullu Erişim'e ek olarak, şirket kaynaklarının (dizin, Microsoft 365 ve Azure kaynak rolleri) güvenliğini sağlamak için kapsamlı bir idare denetimleri kümesi sağlar. Diğer erişim biçimlerinde olduğu gibi, kuruluşlar da yönetici rollerinde yer alan tüm kullanıcılar için yinelenen erişim yeniden onaylamayı yapılandırmak üzere erişim gözdenlerini kullanabilir.

Diğer Azure AD özelliklerinde idare özellikleri

Yukarıda listelenen özelliklere ek olarak, kimlik idaresi senaryolarını sağlamak için sık kullanılan ek Azure AD özellikleri şunlardır:

Özellik Senaryo Özellik
Kimlik yaşam döngüsü (çalışanlar) Yöneticiler, Workday veya SuccessFactors bulut İk veya şirket içi İk'dan kullanıcı hesabı sağlamayı etkinleştirebilirsiniz. bulut İk'den Azure AD kullanıcı hazırlamaya
Kimlik yaşam döngüsü (konuklar) Yöneticiler başka bir Azure AD kiracısı, doğrudan federasyon, Bir Kez Geçiş Kodu (OTP) veya Google hesaplarından self servis konuk kullanıcı eklemeyi etkinleştirebilirsiniz. Konuk kullanıcılar yaşam döngüsü ilkelerine tabi olarak otomatik olarak sağlanabilir ve sağlamaları geri yüklenir. B2B kullanarak yetkilendirme yönetimi
Yetkilendirme yönetimi Kaynak sahipleri; uygulamalar, Teams, Azure AD ve Microsoft 365 grupları ve çevrimiçi SharePoint içeren erişim paketleri oluşturabilir. Yetkilendirme yönetimi
Erişim istekleri Son kullanıcılar grup üyeliği veya uygulama erişimi isteğine sahip olabilir. Diğer kuruluşların konukları da dahil olmak üzere son kullanıcılar, erişim paketlerine erişim isteğite layabilir. Yetkilendirme yönetimi
İş akışı Kaynak sahipleri erişim istekleri için onaylayanları ve yükseltme onaylayanlarını ve rol etkinleştirme istekleri için onaylayanları tanımlayabilir. Yetkilendirme yönetimi ve PIM
İlke ve rol yönetimi Yönetici, uygulamalara çalışma zamanı erişimi için koşullu erişim ilkeleri tanımlayabilir. Kaynak sahipleri, erişim paketleri aracılığıyla kullanıcının erişimine yönelik ilkeler tanımlayabilir. Koşullu erişim ve Yetkilendirme yönetimi ilkeleri
Erişim sertifikası Yöneticiler, SaaS uygulamaları veya bulut grubu üyelikleri, Azure AD veya Azure Kaynağı rol atamaları için yinelenen erişim yeniden sertifikasyonu etkinleştirebilirsiniz. Kaynak erişimini otomatik olarak kaldırın, konuk erişimini engelin ve konuk hesaplarını silin. Erişim gözden incelemeleri, PIM'de de ortaya çıkar
Gerçekleştirme ve sağlama SCIM aracılığıyla dahil olmak üzere Azure AD'ye bağlı uygulamalarda otomatik sağlama ve sağlamayı SharePoint çevrimiçi sitelere sağlama. kullanıcı sağlama
Raporlama ve analiz Yöneticiler son kullanıcı hazırlama ve oturum açma etkinliğinin denetim günlüklerini alabilir. Erişim paketleri Azure İzleyici ve 'erişimi olanlarla' tümleştirme. Azure AD raporları ve izleme
Ayrıcalıklı erişim Tam zamanında ve zamanlanmış erişim, uyarı, Azure AD rolleri (özel roller dahil) ve Azure Kaynak rolleri için onay iş akışları. Azure AD PIM
Denetim Yöneticiler, yönetici hesaplarının oluşturulması hakkında uyarılmalarını sağlar. Azure AD PIM uyarıları

Başlarken

Yetkilendirme yönetimi, erişim incelemeleri, Privileged Identity Management ve Azure portal kullanmaya başlamak için kimlik yönetimi'nin Başlarken Kullanım koşulları.

Kimlik İdaresi'ne başlarken

Kimlik İdaresi özellikleri hakkında herhangi bir geri bildiriminiz varsa geri bildiriminizi göndermek için Azure portal geri bildirim mi var? 'a tıklayın. Ekip, geri bildiriminizi düzenli olarak gözden almaktadır.

Her müşteri için mükemmel bir çözüm veya öneri yoktur, ancak aşağıdaki yapılandırma kılavuzları Microsoft'un daha güvenli ve üretken bir iş gücü sağlamak için izlemenizi öneren temel ilkeleri de sağlar.

Ek - Kimlik İdaresi özelliklerinde yönetmek için en az ayrıcalıklı roller

Kimlik yönetimi 'nde Yönetim görevlerini gerçekleştirmek için en az ayrıcalıklı rolü kullanmak en iyi uygulamadır. Bu görevleri gerçekleştirmek için gerektiğinde bir rolü etkinleştirmek üzere Azure AD PıM kullanmanızı öneririz. Aşağıda, kimlik Idare özelliklerini yapılandırmak için en az ayrıcalıklı dizin rolü verilmiştir:

Özellik En az ayrıcalıklı rol
Yetkilendirme yönetimi Identity Idare Yöneticisi
Erişim gözden geçirmeleri Kullanıcı Yöneticisi (ayrıcalıklı rol yöneticisi gerektiren Azure veya Azure AD rolleri için erişim gözden geçirmeleri hariç)
Privileged Identity Management Ayrıcalıklı rol yöneticisi
Kullanım koşulları Güvenlik Yöneticisi veya koşullu erişim Yöneticisi

Not

Yetkilendirme Yönetimi için en az ayrıcalıklı rol, Kullanıcı Yöneticisi rolünden Identity Idare Yöneticisi rolüne değişmiştir.

Sonraki adımlar