Azure'da kimlik yönetim güvenliğine genel bakış

  • Makale
  • Okumak için 7 dakika

Kimlik yönetimi, güvenlik sorumlularınınkimlik doğrulama ve yetkilendirme işlemidir. Ayrıca, bu sorumlular (kimlikler) hakkındaki bilgilerin denetlenmesini da içerir. Güvenlik sorumluları (kimlikler), hizmetler, uygulamalar, kullanıcılar, gruplar vb. içerebilir. Microsoft kimlik ve erişim yönetimi çözümleri, şirket veri merkezinde ve buluta uygulamalara ve kaynaklara erişimi korumaya yardımcı olur. Bu koruma, Multi-Factor Authentication ve koşullu erişim ilkeleri gibi ek doğrulama düzeyleri sunar. Gelişmiş güvenlik raporlaması, denetim ve uyarı aracılığıyla kuşkulu etkinlikleri izlemek, olası güvenlik sorunlarını azaltmaya yardımcı olur. Azure Active Directory Premium , binlerce bulut yazılım hizmeti (SaaS) uygulaması ve şirket içinde çalıştırdığınız web uygulamalarına erişim için çoklu oturum açma (SSO) sağlar.

Azure Active Directory (Azure AD) güvenlik avantajlarından yararlanarak şunları yapabilirsiniz:

  • Karma kuruluşunuzdaki her kullanıcı için tek bir kimlik oluşturup yönetebilir ve kullanıcıları, grupları ve cihazları eşitleyebilirsiniz.
  • Önceden tümleştirilmiş binlerce SaaS uygulaması da dahil olmak üzere uygulamalarınıza SSO erişimi sağlayın.
  • Hem şirket içi hem de bulut uygulamaları için Multi-Factor Authentication tabanlı kurallar kullanarak uygulama erişimi güvenliğini sağlayabilirsiniz.
  • Azure AD Uygulama Ara Sunucusu aracılığıyla şirket içi Web uygulamalarına güvenli uzaktan erişim sağlayın.

Bu makalenin amacı, kimlik yönetimine yardımcı olan çekirdek Azure Güvenlik özelliklerine genel bir bakış sağlamaktır. Ayrıca, daha fazla bilgi edinmek için her bir özelliğin ayrıntılarını veren makalelerin bağlantılarını sunuyoruz.

Makale Aşağıdaki temel Azure kimlik yönetimi özelliklerine odaklanmaktadır:

  • Çoklu oturum açma
  • Ters proxy
  • Multi-Factor Authentication
  • Azure rol tabanlı erişim denetimi (Azure RBAC)
  • Güvenlik izleme, uyarılar ve makine öğrenimi tabanlı raporlar
  • Tüketici kimliği ve erişim yönetimi
  • Cihaz kaydı
  • Privileged Identity Management
  • Kimlik koruması
  • Karma kimlik yönetimi/Azure AD Connect
  • Azure AD erişim gözden geçirmeleri

Çoklu oturum açma

SSO, tek bir kullanıcı hesabı kullanarak yalnızca bir kez oturum açarak, iş yapmak için ihtiyacınız olan tüm uygulamalara ve kaynaklara erişebiliyor demektir. Oturum açtıktan sonra, ihtiyacınız olan tüm uygulamalara (örneğin, bir parola yazmanız) ikinci bir kez erişebilirsiniz.

birçok kuruluş, kullanıcı üretkenliği için Microsoft 365, Box ve Salesforce gibi SaaS uygulamalarına bağımlıdır. Tarihsel olarak, BT personeli her bir SaaS uygulamasında kullanıcı hesaplarını tek tek oluşturmak ve güncelleştirmek için gereklidir ve kullanıcıların her bir SaaS uygulaması için bir parolayı hatırlamaları gerekiyordu.

Azure AD, şirket içi Active Directory ortamlarını buluta genişleterek, kullanıcıların yalnızca etki alanına katılmış cihazlara ve şirket kaynaklarına değil, aynı zamanda kendi işleri için ihtiyaç duydukları tüm Web ve SaaS uygulamalarına oturum açmasını sağlamak üzere birincil kurumsal hesaplarını kullanmalarına olanak sağlar.

Yalnızca birden çok Kullanıcı adı grubunu ve parolayı yönetmek zorunda olmayan kullanıcılar, kuruluş gruplarına ve bunların çalışan durumlarına göre uygulama erişimini otomatik olarak sağlayabilir veya devre dışı bırakabilirsiniz. Azure AD, Kullanıcı erişimini SaaS uygulamaları genelinde merkezi olarak yönetebileceğiniz güvenlik ve erişim idare denetimleri sunmaktadır.

Daha fazla bilgi edinin:

Ters proxy

Azure AD Uygulama Ara Sunucusu, özel ağınızdaki SharePoint siteleri, Outlook Web Appve ııstabanlı uygulamalar gibi şirket içi uygulamaları yayımlamanıza olanak sağlar ve ağınız dışındaki kullanıcılara güvenli erişim sağlar. Uygulama proxy 'Si, Azure AD 'nin desteklediği binlerce SaaS uygulaması ile birçok şirket içi Web uygulaması türü için uzaktan erişim ve SSO sağlar. Çalışanlar kendi cihazlarındaki uygulamalarınızda oturum açabilir ve bu bulut tabanlı proxy aracılığıyla kimlik doğrulaması yapabilir.

Daha fazla bilgi edinin:

Multi-Factor Authentication

Azure AD Multi-Factor Authentication, birden fazla doğrulama yönteminin kullanılmasını gerektiren bir kimlik doğrulama yöntemidir ve Kullanıcı oturum açma işlemlerine ve işlemlerine kritik ikinci bir güvenlik katmanı ekler. Multi-Factor Authentication, kullanıcıların basit bir oturum açma işlemi taleplerini karşılarken veri ve uygulamalara erişimi korumaya yardımcı olur. Bir dizi doğrulama seçeneği aracılığıyla güçlü kimlik doğrulaması sağlar: telefon görüşmeleri, SMS iletileri veya mobil uygulama bildirimleri veya doğrulama kodları ve üçüncü taraf OAuth belirteçleri.

Daha fazla bilgi edinin:

Azure RBAC

Azure RBAC, Azure 'da kaynakların ayrıntılı erişim yönetimi sağlayan Azure Resource Manager yerleşik bir yetkilendirme sistemidir. Azure RBAC, kullanıcıların sahip olduğu erişim düzeyini, ne kadar fazla kontrol etmenizi sağlar. Örneğin, bir kullanıcıyı bir kaynak grubundaki tüm kaynakları yönetmek için yalnızca sanal ağları ve başka bir kullanıcıyı yönetecek şekilde sınırlayabilirsiniz. Azure'da kullanabileceğiniz birçok yerleşik rol vardır. Dört temel yerleşik rol aşağıda listelenmiştir. İlk üçü tüm kaynak türleri için geçerlidir.

  • Sahip: Erişimi başkalarına verme hakkı dahil olmak üzere tüm kaynaklar üzerinde tam erişime sahiptir.
  • Katkıda Bulunan: Her türlü Azure kaynağını oluşturup yönetebilir, ancak başkalarına erişim izni veremez.
  • Okuyucu -mevcut Azure kaynaklarını görüntüleyebilir.
  • Kullanıcı Erişimi Yöneticisi: Azure kaynaklarına kullanıcı erişimini yönetmenizi sağlar.

Daha fazla bilgi edinin:

Güvenlik izleme, uyarılar ve makine öğrenimi tabanlı raporlar

Tutarsız erişim düzenlerini tanımlayan güvenlik izleme, uyarılar ve makine öğrenimi tabanlı raporlar işletmenizi korumanıza yardımcı olabilir. Azure AD erişim ve kullanım raporlarını, kuruluşunuzun dizininin bütünlüğü ve güvenliğine ilişkin görünürlük elde etmek için kullanabilirsiniz. Bu bilgilerle bir dizin Yöneticisi, olası güvenlik risklerini daha iyi bir şekilde tespit edebilir. böylece, bu riskleri hafifletmek için yeterli planlayabilirler.

Azure portal, raporlar aşağıdaki kategorilere ayrılır:

  • Anomali raporları: anormal olmak üzere bulduğumuz oturum açma olaylarını içerir. Amacınız, bu etkinlikleri haberdar etmek ve bir olayın şüpheli olup olmadığını belirlemenizi sağlamaktır.
  • Tümleşik uygulama raporları: bulut uygulamalarının kuruluşunuzda nasıl kullanıldığına ilişkin öngörüler sağlar. Azure AD, binlerce bulut uygulaması ile tümleştirme sunar.
  • Hata raporları: dış uygulamalara hesap sağladığınızda oluşabilecek hataları belirtin.
  • Kullanıcıya özel raporlar: belirli bir kullanıcı için cihaz oturum açma etkinlik verilerini görüntüler.
  • Etkinlik günlükleri: son 24 saat, son 7 gün veya son 30 gün içinde denetlenen tüm olayların bir kaydını içerir ve etkinlik değişikliklerini ve parola sıfırlama ve kayıt etkinliğini gruplandırın.

Daha fazla bilgi edinin:

Tüketici kimliği ve erişim yönetimi

Azure AD B2C, yüz milyonlarca kimliği ölçeklendirirken tüketiciye yönelik uygulamalar için yüksek düzeyde kullanılabilir, küresel bir kimlik yönetimi hizmetidir. Bu hizmet mobil platformlar ve web platformlarıyla tümleştirilebilir. Tüketicileriniz, var olan sosyal hesaplarını kullanarak veya yeni kimlik bilgileri oluşturarak özelleştirilebilen deneyimler aracılığıyla tüm uygulamalarınızda oturum açabilir.

Geçmişte, müşterileri kaydetmek ve uygulamalarına abone olmak isteyen uygulama geliştiricileri kendi kodlarını yazırdı. Ayrıca, kullanıcı adları ile parolaları depolamak için şirket içi veritabanlarını veya sistemleri kullanırlardı. Azure AD B2C, kuruluşunuzun tüketici kimlik yönetimini, güvenli, standartlara dayalı bir platformun ve büyük bir Genişletilebilir ilke kümesinin yardımıyla uygulamalarla tümleştirmenin daha iyi bir yolunu sunar.

Azure AD B2C kullandığınızda, Tüketicileriniz mevcut sosyal hesaplarını (Facebook, Google, Amazon, LinkedIn) kullanarak veya yeni kimlik bilgileri (e-posta adresi ve parola veya Kullanıcı adı ve parola) oluşturarak uygulamalarınıza kaydolabilir.

Daha fazla bilgi edinin:

Cihaz kaydı

Azure AD cihaz kaydı, cihaz tabanlı koşullu erişim senaryolarının temelini oluşturacak. Bir cihaz kaydedildiğinde Azure AD cihaz kaydı, bir Kullanıcı oturum açtığında cihazın kimliğini doğrulamak için kullandığı bir kimlikle cihaza sağlar. Daha sonra bulutta ve şirket içinde barındırılan uygulamalar için koşullu erişim ilkelerini zorlamak üzere, kimliği doğrulanmış cihaz ve cihazın öznitelikleri kullanılabilir.

Intune gibi bir mobil cihaz yönetimi çözümüyle birlikte kullanıldığında, Azure AD 'deki cihaz öznitelikleri cihaz hakkındaki ek bilgilerle güncelleştirilir. Daha sonra, güvenlik ve uyumluluk standartlarınızı karşılamak üzere cihazlardan erişimi zorlayan koşullu erişim kuralları oluşturabilirsiniz.

Daha fazla bilgi edinin:

Privileged Identity Management

azure ad Privileged Identity Management ile, ayrıcalıklı kimliklerinizi yönetebilir, denetleyebilir ve izleyebilir, azure ad 'deki kaynaklara ve Microsoft 365 ve Microsoft Intune gibi diğer Microsoft çevrimiçi hizmetler erişebilirsiniz.

kullanıcıların bazen Azure 'da veya Microsoft 365 kaynaklarında veya diğer SaaS uygulamalarında ayrıcalıklı işlemler gerçekleştirmesi gerekir. Bu gerek genellikle kuruluşların Azure AD 'de kullanıcılara kalıcı ayrıcalıklı erişim vermesi gerektiği anlamına gelir. Kuruluşlar, kullanıcıların yönetici ayrıcalıklarıyla ne yaptığını yeterince izleyemediği için bulutta barındırılan kaynaklarla ilgili büyümekte olan bir güvenlik riskidir. Ayrıca, ayrıcalıklı erişimi olan bir kullanıcı hesabı tehlikeye atılırsa, bir ihlal, kuruluşun genel bulut güvenliğini etkileyebilir. Azure AD Privileged Identity Management, bu riskin azaltılmasına yardımcı olur.

Azure AD Privileged Identity Management ile şunları yapabilirsiniz:

  • Hangi kullanıcıların Azure AD yöneticileri olduğunu görün.
  • Microsoft 365 ve ıntune gibi Microsoft hizmetleri isteğe bağlı, tam zamanında (jıt) yönetici erişimini etkinleştirin.
  • Yönetici erişim geçmişi ve yönetici atamalarındaki değişiklikler hakkında rapor alın.
  • Ayrıcalıklı bir role erişim hakkında uyarı alın.

Daha fazla bilgi edinin:

Kimlik koruması

Azure AD Kimlik Koruması, risk algılamaları ve kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarına birleştirilmiş bir görünüm sağlayan bir güvenlik hizmetidir. Kimlik koruması, Azure AD anomalous etkinlik raporları aracılığıyla kullanılabilen mevcut Azure AD anomali algılama yetilerinden yararlanır. Kimlik koruması, anormallikleri gerçek zamanlı olarak tespit eden yeni risk algılama türleri de sunar.

Daha fazla bilgi edinin:

Karma kimlik yönetimi/Azure AD Connect

Microsoft’un kimlik çözümleri şirket içi ve bulut tabanlı çözümleri birleştirerek konumdan bağımsız olarak tüm kaynaklara kimlik doğrulaması ve yetkilendirme sağlamak üzere tek bir kullanıcı kimliği oluşturur. Buna hibrit kimlik denir. Azure AD Connect, Microsoft'un karma kimlik hedeflerinizi karşılamak ve gerçekleştirmek için tasarladığı araçtır. Bu sayede kullanıcılarınıza Azure AD ile tümleşik Microsoft 365, Azure ve SaaS uygulamaları için ortak bir kimlik sağlayabilirsiniz. Aşağıdaki özellikleri sağlar:

  • Eşitleme
  • AD FS ve Federasyon tümleştirmesi
  • Doğrudan kimlik doğrulama
  • Sistem Durumunu İzleme

Daha fazla bilgi edinin:

Azure AD erişim gözden geçirmeleri

Azure Active Directory (Azure AD) erişim gözden geçirmeleri, kuruluşların grup üyeliklerini, kurumsal uygulamalara erişimi ve ayrıcalıklı rol atamalarını verimli şekilde yönetmesine olanak sağlar.

Daha fazla bilgi edinin: