Microsoft Entra Id'de özel güvenlik özniteliklerine erişimi yönetme
Kuruluşunuzdaki kişilerin özel güvenlik öznitelikleriyle etkili bir şekilde çalışabilmesi için uygun erişimi vermelisiniz. Özel güvenlik özniteliklerine eklemeyi planladığınız bilgilere bağlı olarak, özel güvenlik özniteliklerini kısıtlamak veya bunları kuruluşunuzda geniş kapsamlı bir şekilde erişilebilir hale getirmek isteyebilirsiniz. Bu makalede, özel güvenlik özniteliklerine erişimin nasıl yönetileceğini açıklanmaktadır.
Önkoşullar
Özel güvenlik özniteliklerine erişimi yönetmek için aşağıdakilere sahip olmanız gerekir:
- Öznitelik Ataması Yönetici istrator
- Microsoft Graph PowerShell kullanırken Microsoft.Graph modülü
Önemli
Varsayılan olarak, Genel Yönetici istrator ve diğer yönetici rollerinin özel güvenlik özniteliklerini okuma, tanımlama veya atama izinleri yoktur.
1. Adım: Özniteliklerinizi düzenlemeyi belirleme
Her özel güvenlik özniteliği tanımı bir öznitelik kümesinin parçası olmalıdır. Öznitelik kümesi, ilgili özel güvenlik özniteliklerini gruplandırma ve yönetmenin bir yoludur. Kuruluşunuz için öznitelik kümelerini nasıl eklemek istediğinizi belirlemeniz gerekir. Örneğin, departmanlara, ekiplere veya projelere dayalı öznitelik kümeleri eklemek isteyebilirsiniz. Özel güvenlik özniteliklerine erişim izni verebilmek, öznitelik kümelerinizi nasıl düzenlediğinize bağlıdır.
2. Adım: Gerekli kapsamı belirleme
Kapsam, erişimin uygulandığı kaynak kümesidir. Özel güvenlik öznitelikleri için, rolleri kiracı kapsamında veya öznitelik kümesi kapsamında atayabilirsiniz. Geniş erişim atamak istiyorsanız, kiracı kapsamında roller atayabilirsiniz. Ancak, erişimi belirli öznitelik kümeleriyle sınırlamak istiyorsanız, öznitelik kümesi kapsamında roller atayabilirsiniz.
Microsoft Entra rol atamaları ek bir modeldir, bu nedenle etkili izinleriniz rol atamalarınızın toplamıdır. Örneğin, bir kullanıcıya kiracı kapsamında bir rol atarsanız ve aynı kullanıcıya öznitelik kümesi kapsamında aynı rolü atarsanız, kullanıcının kiracı kapsamında izinleri olmaya devam eder.
3. Adım: Kullanılabilir rolleri gözden geçirme
Kuruluşunuzdaki özel güvenlik öznitelikleriyle çalışmak için kimlerin erişmesi gerektiğini belirlemeniz gerekir. Özel güvenlik özniteliklerine erişimi yönetmenize yardımcı olmak için dört Microsoft Entra yerleşik rolü vardır. Gerekirse, en azından Privileged Role Yönetici istrator rolüne sahip biri bu rolleri atayabilir.
- Öznitelik Tanımı Yönetici istrator
- Öznitelik Ataması Yönetici istrator
- Öznitelik Tanımı Okuyucusu
- Öznitelik Atama Okuyucusu
Aşağıdaki tabloda özel güvenlik öznitelikleri rollerinin üst düzey bir karşılaştırması sağlanmaktadır.
İzin | Öznitelik Tanımı Yönetici | Öznitelik Ataması Yönetici | Öznitelik Tanımı Okuyucusu | Öznitelik Atama Okuyucusu |
---|---|---|---|---|
Öznitelik kümelerini okuma | ✅ | ✅ | ✅ | ✅ |
Öznitelik tanımlarını okuma | ✅ | ✅ | ✅ | ✅ |
Kullanıcılar ve uygulamalar için öznitelik atamalarını okuma (hizmet sorumluları) | ✅ | ✅ | ||
Öznitelik kümelerini ekleme veya düzenleme | ✅ | |||
Öznitelik tanımlarını ekleme, düzenleme veya devre dışı bırakma | ✅ | |||
Kullanıcılara ve uygulamalara öznitelik atama (hizmet sorumluları) | ✅ |
4. Adım: Temsilci stratejinizi belirleme
Bu adım, özel güvenlik özniteliklerine erişimi yönetmenin iki yolunu açıklar. İlk yol, bunları merkezi olarak yönetmek ve ikinci yol da yönetimi başkalarına devretmektir.
Öznitelikleri merkezi olarak yönetme
Kiracı kapsamında Öznitelik Tanımı Yönetici istrator ve Öznitelik Ataması Yönetici istrator rolleri atanmış bir yönetici özel güvenlik özniteliklerinin tüm yönlerini yönetebilir. Aşağıdaki diyagramda özel güvenlik özniteliklerinin tek bir yönetici tarafından nasıl tanımlandığı ve atandığı gösterilmektedir.
- Yönetici (Xia), kiracı kapsamında hem Öznitelik Tanımı Yönetici istrator hem de Öznitelik Ataması Yönetici istrator rollerine sahiptir. Yönetici öznitelik kümeleri ekler ve öznitelikleri tanımlar.
- Yönetici, Microsoft Entra nesnelerine öznitelikler atar.
Öznitelikleri merkezi olarak yönetmek, bir veya iki yönetici tarafından yönetilebileceği avantaja sahiptir. Bunun dezavantajı, yöneticinin özel güvenlik özniteliklerini tanımlamak veya atamak için çeşitli istekler almasıdır. Bu durumda, yönetim temsilcisi seçmek isteyebilirsiniz.
Temsilci seçme ile öznitelikleri yönetme
Bir yönetici, özel güvenlik özniteliklerinin nasıl tanımlanıp atanması gerektiğiyle ilgili tüm durumları bilmiyor olabilir. Genellikle ilgili departmanlar, ekipler veya projeler içindeki kullanıcılar kendi alanları hakkında en fazla bilgi sahibi olan kullanıcılardır. Tüm özel güvenlik özniteliklerini yönetmek için bir veya iki yönetici atamak yerine, öznitelik kümesi kapsamında yönetim temsilcisi atayabilirsiniz. Bu, diğer yöneticilerin işlerini yapması ve gereksiz erişimden kaçınması için gereken izinleri vermek için en düşük ayrıcalık uygulamasını da izler. Aşağıdaki diyagramda, özel güvenlik özniteliklerinin yönetiminin birden çok yöneticiye nasıl temsilci seçilebileceği gösterilmektedir.
- Kiracı kapsamında atanan Öznitelik Tanımı Yönetici istrator rolüne sahip yönetici (Xia) öznitelik kümeleri ekler. Yöneticinin ayrıca başkalarına rol atama (Ayrıcalıklı Rol Yönetici istratörü) ve her öznitelik kümesi için özel güvenlik özniteliklerini okuyabilen, tanımlayabilen veya atayabilen temsilcilere de izinleri vardır.
- Temsilci olarak atanan Öznitelik Tanımı Yönetici istrator'lar (Alice ve Bob), kendilerine erişim verilen öznitelik kümelerinde öznitelikleri tanımlar.
- Temsilci öznitelik ataması Yönetici istrators (Chandra ve Bob) öznitelik kümelerinden Microsoft Entra nesnelerine öznitelikler atar.
5. Adım: Uygun rolleri ve kapsamı seçin
Özniteliklerinizin nasıl düzenlenip kimlerin erişmesi gerektiğini daha iyi anladıktan sonra uygun özel güvenlik özniteliği rollerini ve kapsamını seçebilirsiniz. Aşağıdaki tablo seçimde size yardımcı olabilir.
Bu erişimi vermek istiyorum | Bu rolü ata | Kapsam |
---|---|---|
|
Öznitelik Tanımı Yönetici istrator | Kiracı |
|
Öznitelik Tanımı Yönetici istrator | Öznitelik kümesi |
|
Öznitelik Ataması Yönetici istrator | Kiracı |
|
Öznitelik Ataması Yönetici istrator | Öznitelik kümesi |
|
Öznitelik Tanımı Okuyucusu | Kiracı |
|
Öznitelik Tanımı Okuyucusu | Öznitelik kümesi |
|
Öznitelik Atama Okuyucusu | Kiracı |
|
Öznitelik Atama Okuyucusu | Öznitelik kümesi |
6. Adım: Rol atama
Uygun kişilere erişim vermek için bu adımları izleyerek özel güvenlik özniteliği rollerinden birini atayın.
Öznitelik kümesi kapsamında rol atama
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Aşağıdaki örneklerde Engineering adlı öznitelik kümesi kapsamındaki bir sorumluya özel güvenlik özniteliği rolünün nasıl atanacakları gösterilmektedir.
Microsoft Entra yönetim merkezinde Öznitelik Ataması Yönetici istrator olarak oturum açın.
Koruma>Özel güvenlik özniteliklerine göz atın.
Erişim izni vermek istediğiniz öznitelik kümesini seçin.
Roller ve yöneticiler'i seçin.
Özel güvenlik özniteliği rolleri için atamalar ekleyin.
Not
Microsoft Entra Privileged Identity Management (PIM) kullanıyorsanız, öznitelik kümesi kapsamındaki uygun rol atamaları şu anda desteklenmiyor. Öznitelik kümesi kapsamındaki kalıcı rol atamaları desteklenir.
Kiracı kapsamında rol atama
Aşağıdaki örneklerde, kiracı kapsamındaki bir sorumluya özel güvenlik özniteliği rolünün nasıl atanacakları gösterilmektedir.
Microsoft Entra yönetim merkezinde Öznitelik Ataması Yönetici istrator olarak oturum açın.
Kimlik>Rolleri ve yöneticiler>Rolleri ve yöneticiler'e göz atın.
Özel güvenlik özniteliği rolleri için atamalar ekleyin.
Özel güvenlik özniteliği denetim günlükleri
Bazen denetim veya sorun giderme amacıyla özel güvenlik özniteliği değişiklikleri hakkında bilgi almanız gerekebilir. Birisi tanımlarda veya atamalarda değişiklik yaptığında etkinlikler günlüğe kaydedilir.
Özel güvenlik özniteliği denetim günlükleri, yeni bir tanım ekleme veya kullanıcıya öznitelik değeri atama gibi özel güvenlik öznitelikleriyle ilgili etkinliklerin geçmişini sağlar. Günlüğe kaydedilen özel güvenlik özniteliğiyle ilgili etkinlikler şunlardır:
- Öznitelik kümesi ekleme
- Öznitelik kümesine özel güvenlik özniteliği tanımı ekleme
- Öznitelik kümesini güncelleştirme
- ServicePrincipal'a atanan öznitelik değerlerini güncelleştirme
- Kullanıcıya atanan öznitelik değerlerini güncelleştirme
- Öznitelik kümesindeki özel güvenlik özniteliği tanımını güncelleştirme
Öznitelik değişiklikleri için denetim günlüklerini görüntüleme
Özel güvenlik özniteliği denetim günlüklerini görüntülemek için Microsoft Entra yönetim merkezinde oturum açın, Denetim Günlükleri'ne gidin ve Özel Güvenlik'i seçin. Özel güvenlik özniteliği denetim günlüklerini görüntülemek için aşağıdaki rollerden birine atanmış olmanız gerekir. Gerekirse, en azından Privileged Role Yönetici istrator rolüne sahip biri bu rolleri atayabilir.
Microsoft Graph API'sini kullanarak özel güvenlik özniteliği denetim günlüklerini alma hakkında bilgi için kaynak türüne customSecurityAttributeAudit
bakın. Daha fazla bilgi için bkz . Microsoft Entra denetim günlükleri.
Tanılama ayarları
Özel güvenlik özniteliği denetim günlüklerini ek işleme amacıyla farklı hedeflere aktarmak için tanılama ayarlarını kullanırsınız. Özel güvenlik öznitelikleri için tanılama ayarları oluşturmak ve yapılandırmak için Öznitelik Günlüğü Yönetici istrator rolüne atanmalısınız.
İpucu
Microsoft, öznitelik atamalarının yanlışlıkla ortaya çıkarılmaması için özel güvenlik özniteliği denetim günlüklerinizi dizin denetim günlüklerinizden ayrı tutmanızı önerir.
Aşağıdaki ekran görüntüsünde özel güvenlik öznitelikleri için tanılama ayarları gösterilmektedir. Daha fazla bilgi için bkz . Tanılama ayarlarını yapılandırma.
Denetim günlükleri davranışındaki değişiklikler
Günlük işlemlerinizi etkileyebilecek genel kullanılabilirlik için özel güvenlik özniteliği denetim günlüklerine değişiklikler yapıldı. Önizleme sırasında özel güvenlik özniteliği denetim günlüklerini kullandıysanız, denetim günlüğü işlemlerinizin kesintiye uğramadığından emin olmak için gerçekleştirmeniz gereken eylemler şunlardır.
- Yeni denetim günlükleri konumunu kullan
- Denetim günlüklerini görüntülemek için Öznitelik Günlüğü rolleri atama
- Denetim günlüklerini dışarı aktarmak için yeni tanılama ayarları oluşturma
Yeni denetim günlükleri konumunu kullan
Önizleme sırasında özel güvenlik özniteliği denetim günlükleri dizin denetim günlükleri uç noktasına yazılmıştır. Ekim 2023'te, özel güvenlik özniteliği denetim günlükleri için özel olarak yeni bir uç nokta eklendi. Aşağıdaki ekran görüntüsünde dizin denetim günlükleri ve yeni özel güvenlik özniteliği denetim günlüklerinin konumu gösterilmektedir. Microsoft Graph API'sini kullanarak özel güvenlik özniteliği denetim günlüklerini almak için kaynak türüne customSecurityAttributeAudit
bakın.
Özel güvenlik denetim günlüklerinin hem dizine hem de özel güvenlik öznitelikleri denetim günlüğü uç noktalarına yazıldığı bir geçiş dönemi vardır. Bundan sonra, özel güvenlik özniteliği denetim günlüklerini bulmak için özel güvenlik öznitelikleri denetim günlüğü uç noktasını kullanmanız gerekir.
Aşağıdaki tabloda, geçiş dönemi boyunca özel güvenlik öznitelikleri denetim günlüklerini bulabileceğiniz uç nokta listelenir.
Olay tarihi | Dizin uç noktası | Özel güvenlik öznitelikleri uç noktası |
---|---|---|
Ekim 2023 | ✅ | ✅ |
Şubat 2024 | ✅ |
Denetim günlüklerini görüntülemek için Öznitelik Günlüğü rolleri atama
Önizleme sırasında özel güvenlik özniteliği denetim günlükleri, dizin denetim günlüklerinde en azından Güvenlik Yönetici istrator rolüne sahip olanlar tarafından görüntülenebilir. Artık yeni uç noktayı kullanarak özel güvenlik özniteliği denetim günlüklerini görüntülemek için bu rolleri kullanamazsınız. Özel güvenlik özniteliği denetim günlüklerini görüntülemek için, Size Öznitelik Günlüğü Okuyucusu veya Öznitelik Günlüğü Yönetici istrator rolü atanmalıdır.
Denetim günlüklerini dışarı aktarmak için yeni tanılama ayarları oluşturma
Önizleme sırasında, denetim günlüklerini dışarı aktarmayı yapılandırdıysanız, geçerli tanılama ayarlarınıza özel güvenlik denetimi özniteliği denetim günlükleri gönderilir. Özel güvenlik denetimi özniteliği denetim günlüklerini almaya devam etmek için, önceki Tanılama ayarları bölümünde açıklandığı gibi yeni tanılama ayarları oluşturmanız gerekir.