Azure AD Privileged Identity Management nedir?

Privileged Identity Management (PIM), Azure Active Directory önemli kaynaklara erişimi yönetmenize, denetlemenize ve izlemenize olanak sağlayan bir Azure Active Directory (Azure AD) hizmetidir. Bu kaynaklar Azure AD, Azure ve diğer Microsoft Online Services'daki Microsoft 365 veya Microsoft Intune. Aşağıdaki videoda, önemli PIM kavramları ve özellikleri tanıtmaktadır.

Kullanım nedenleri

Kuruluşlar güvenli bilgilere veya kaynaklara erişimi olan kişi sayısını en aza indirmek ister çünkü bu,

  • kötü amaçlı bir aktör erişim elde
  • yetkili bir kullanıcı, hassas bir kaynağı yanlışlıkla etkiliyor

Ancak, kullanıcıların yine de Azure AD, Azure, Microsoft 365 veya SaaS uygulamalarında ayrıcalıklı işlemler gerçekleştirmektedir. Kuruluşlar, kullanıcılara Azure ve Azure AD kaynaklarına tam zamanında ayrıcalıklı erişim izni vermekte ve bu kullanıcıların ayrıcalıklı erişimle neler yaptığının denetiminde olabilir.

Lisans gereksinimleri

Bu özelliğin kullanılması için bir Azure AD Premium P2 lisansı gerekir. Gereksinimlerinize uygun lisans bulmak için bkz. ücretsiz, Office 365 uygulamaları ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.

Kullanıcıların lisansları hakkında daha fazla bilgi için bkz.Privileged Identity Management.

Ne işe geliyor?

Privileged Identity Management kaynaklar üzerinde aşırı, gereksiz veya kötüye kullanılan erişim izinlerinin risklerini azaltmak için zaman tabanlı ve onay tabanlı rol etkinleştirmesi sağlar. Aşağıdaki temel özelliklerden bazıları Privileged Identity Management:

  • Azure AD ve Azure kaynaklarına tam zamanında ayrıcalıklı erişim sağlama
  • Başlangıç ve bitiş tarihlerini kullanarak kaynaklara zaman sınırı erişimi atama
  • Ayrıcalıklı rolleri etkinleştirmek için onay gerektir
  • Herhangi bir rolü etkinleştirmek için çok faktörlü kimlik doğrulamasını zorlama
  • Kullanıcıların etkinleştirme nedenlerini anlamak için gerekçe kullanma
  • Ayrıcalıklı roller etkinleştirildiğinde bildirim al
  • Kullanıcıların hala rollere ihtiyacı olduğundan emin olmak için erişim gözdenlerini yürütme
  • İç veya dış denetim için denetim geçmişini indirme

Onunla ne yapabilirim?

Veri kümesi Privileged Identity Management sol gezinti menüsünde Görevler, Yönetme ve Etkinlik seçeneklerini görüntülenir. Yönetici olarak, Azure AD rollerini yönetme, Azure kaynak rollerini yönetme veya ayrıcalıklı erişim grupları gibi seçenekler arasında seçim yapabilirsiniz. Neleri yönetmek istediğinize karar verdiyseniz, bu seçenek için uygun seçenek kümesine sahip olursanız.

Uygulamanın Privileged Identity Management ekran Azure portal

Kim ne yapar?

Privileged Identity Management'daki Azure AD rolleri için, diğer yöneticilerin atamalarını yalnızca Ayrıcalıklı Rol Yöneticisi veya Genel Yönetici rolünde olan bir kullanıcı yönetebilir. Genel Yöneticiler, Güvenlik Yöneticileri, Genel Okuyucular ve Güvenlik Okuyucuları, azure ad rollerine atamaları da Privileged Identity Management.

Privileged Identity Management'daki Azure kaynak rolleri için, diğer yöneticilerin atamalarını yalnızca bir abonelik yöneticisi, kaynak Sahibi veya bir kaynak Kullanıcı Erişimi yöneticisi yönetebilir. Ayrıcalıklı Rol Yöneticileri, Güvenlik Yöneticileri veya Güvenlik Okuyucusu olan kullanıcıların varsayılan olarak azure kaynak rollerine yönelik atamaları görüntüleme erişimi Privileged Identity Management.

Atamaları genişletme ve yenileme

Zaman bağlı sahip veya üye atamalarınızı ayardikten sonra, bir atamanın süresi dolsa ne olur? sorusunu sorabilirsiniz. Bu yeni sürümde, bu senaryo için iki seçenek sağlariz:

  • Extend: Bir rol ataması süre sonu yaklaşacaksa, kullanıcı Privileged Identity Management ataması için bir uzantı isteğinde bulunan rol ataması kullanabilir
  • Renew: Bir rol ataması zaten dolduğunda, kullanıcı rol Privileged Identity Management yenileme isteğinde Privileged Identity Management atamayı kullanabilir

Kullanıcı tarafından başlatılan her iki eylem de Genel Yönetici veya Ayrıcalıklı Rol Yöneticisi'nin onayını gerektirir. Yöneticilerin atama süre sonu sürelerini yönetmeye ihtiyaçları yok. Uzantı veya yenileme isteklerinin basit onay veya reddetme için gelmesini beklemeniz gerekir.

Senaryolar

Privileged Identity Management aşağıdaki senaryoları destekler:

Ayrıcalıklı Rol Yöneticisi izinleri

  • Belirli roller için onay etkinleştirmek
  • İstekleri onaylamak için onaylayan kullanıcıları veya grupları belirtme
  • Tüm ayrıcalıklı roller için istek ve onay geçmişini görüntülemek

Onaylayan izinleri

  • Bekleyen onayları (istekler) görüntülemek
  • Rol yükseltme isteklerini onaylama veya reddetme (tek ve toplu)
  • Onayım veya reddetmem için gerekçe sağlama

Uygun rol kullanıcı izinleri

  • Onay gerektiren bir rolün etkinleştirilmesini istemek
  • Etkinleştirme isteğinizin durumunu görüntülemek
  • İstek onaylanmışsa Azure AD'deki görevinizi tamamlamak

Ayrıcalıklı erişim Azure AD gruplarını yönetme (önizleme)

Privileged Identity Management (PIM) içinde, artık ayrıcalıklı erişim gruplarının üyeliği veya sahipliği için uygunluk atalabiliyoruz. Bu önizlemeden başlayarak, bulut gruplarına Azure Active Directory (Azure AD) yerleşik rolleri atayabilirsiniz ve grup üyesi ile sahip uygunluğunu ve etkinleştirmesini yönetmek için PIM kullanabilirsiniz. Azure AD'de rol atanabilir gruplar hakkında daha fazla bilgi için bkz. Azure AD'de rol atamalarını yönetmek için bulut Azure Active Directory (önizleme).

Önemli

Exchange, Güvenlik ve Uyumluluk merkezi veya SharePoint'e yönetici erişimi için bir role ayrıcalıklı erişim grubu atamak için, azure AD portalı Rolleri ve Yöneticileri deneyimini kullanın; ayrıcalıklı erişim grupları deneyiminde değil, kullanıcı veya grubu grupta etkinleştirme için uygun hale dönüştürebilirsiniz.

Her grup için farklı tam zamanında ilkeler

Bazı kuruluşlar, iş ortaklarını Azure AD kuruluşuna konuk olarak davet etmek için Azure AD işletmelerden işletmeye (B2B) işbirliği gibi araçları kullanır. Ayrıcalıklı bir role yapılan tüm atamalar için tek bir tam zamanında ilke yerine, kendi ilkelerine sahip iki farklı ayrıcalıklı erişim grubu oluşturabilirsiniz. Güvenilen çalışanlarınız için daha az katı gereksinimleri ve iş ortaklarının atanan gruplarında etkinleştirme isteği yaptıklarında onay iş akışı gibi daha katı gereksinimleri zorunlu hale dönüştürebilirsiniz.

Bir istekte birden çok rol ataması etkinleştirme

Ayrıcalıklı erişim grupları önizlemesi ile, iş yüküne özgü yöneticilere tek bir tam zamanında istekle birden çok rol için hızlı erişim sabilirsiniz. Örneğin Katman 3 Office Yöneticilerinizin olayları her gün ayrıntılı bir şekilde araştırmak için Exchange Yöneticisi, Office Apps Yöneticisi, Teams Yöneticisi ve Arama Yöneticisi rollerine tam zamanında erişmesi gerekir. Bugünden önce, biraz zaman alan bir işlem olan dört ardışık istek gerekir. Bunun yerine, "Katman 3 Office Yöneticileri" adlı bir rol atanabilir grup oluşturabilir, bunu daha önce bahsedilen dört rolün her biri (veya herhangi bir Azure AD yerleşik rolü) için ataabilir ve grubun Etkinlik bölümünde Ayrıcalıklı Erişim için etkinleştirebilirsiniz. Ayrıcalıklı erişim etkinleştirildikten sonra, grubun üyeleri için tam zamanında ayarları yapılandırabilirsiniz ve yönetici ve sahiplerinizi uygun olarak atabilirsiniz. Yöneticiler gruba yükseltme yaptıklarında dört Azure AD rolüne de üye olur.

Konuk kullanıcıları davet edin ve azure kaynak rollerini Privileged Identity Management

Azure Active Directory (Azure AD) konuk kullanıcıları, Dış konuk kullanıcıları ve satıcıları Azure AD'de konuk olarak yönetabilmek için Azure AD'de işletmeden işletmeye (B2B) işbirliği özelliklerine dahil olur. Örneğin, belirli Azure kaynaklarına erişim atama, atama süresi ve bitiş tarihi belirtme veya etkin atama ya da etkinleştirmede iki aşamalı doğrulama gerektirme gibi konuklarla Azure kimlik görevleri için bu Privileged Identity Management özelliklerini kullanabilirsiniz. Kuruluşa bir konuk davet etme ve erişimini yönetme hakkında daha fazla bilgi için bkz. Azure AD portalında B2Bişbirliği kullanıcıları ekleme.

Konukları ne zaman davet etmek istiyorum?

Burada, ne zaman kuruluşa konuklar davet olabileceğiniz hakkında birkaç örnek verilmiştir:

  • Yalnızca bir e-posta hesabı olan bir dış serbest çalışan satıcının proje için Azure kaynaklarınıza erişmesine izin verme.
  • Harcama uygulamanıza erişmek için Federasyon Hizmetleri'şirket içi Active Directory kullanan büyük bir kuruluşta dış iş ortağına izin verme.
  • Sorunları gidermek için, kuruluşta yer alan destek mühendislerinin (Microsoft desteği gibi) Azure kaynağınıza geçici olarak erişmesine izin verme.

B2B konukları kullanarak işbirliği nasıl çalışır?

B2B işbirliğini kullanıyorsanız, dış bir kullanıcıyı konuk olarak kuruluşa davet etmek için kullanabilirsiniz. Konuk, kuruluşta bir kullanıcı olarak yönetilebilir, ancak bir konuğun Azure AD kuruluşunda değil, kendi ev kuruluşunda kimliği doğrulanmış olması gerekir. Bu, konuğun artık kendi ev kuruluşuna erişimi yoksa, bu konuğun da sizin kuruluşa erişimini kaybetmesi anlamına gelir. Örneğin, konuk kuruluşundan ayrılırsa, sizin herhangi bir şey yapmak zorunda kalmadan Azure AD'de kendileriyle paylaşılan tüm kaynaklara erişimi otomatik olarak kaybederler. B2B işbirliği hakkında daha fazla bilgi için bkz. B2B'de Azure Active Directory erişimi nedir?.

Konuk kullanıcının giriş dizininde nasıl kimlik doğrulaması olduğunu gösteren diyagram

Sonraki adımlar