Microsoft Entra Id'de özel güvenlik özniteliklerine erişimi yönetme

  • Makale

Kuruluşunuzdaki kişilerin özel güvenlik öznitelikleriyle etkili bir şekilde çalışabilmesi için uygun erişimi vermelisiniz. Özel güvenlik özniteliklerine eklemeyi planladığınız bilgilere bağlı olarak, özel güvenlik özniteliklerini kısıtlamak veya bunları kuruluşunuzda geniş kapsamlı bir şekilde erişilebilir hale getirmek isteyebilirsiniz. Bu makalede, özel güvenlik özniteliklerine erişimin nasıl yönetileceğini açıklanmaktadır.

Önkoşullar

Özel güvenlik özniteliklerine erişimi yönetmek için aşağıdakilere sahip olmanız gerekir:

Önemli

Varsayılan olarak, Genel Yönetici istrator ve diğer yönetici rollerinin özel güvenlik özniteliklerini okuma, tanımlama veya atama izinleri yoktur.

1. Adım: Özniteliklerinizi düzenlemeyi belirleme

Her özel güvenlik özniteliği tanımı bir öznitelik kümesinin parçası olmalıdır. Öznitelik kümesi, ilgili özel güvenlik özniteliklerini gruplandırma ve yönetmenin bir yoludur. Kuruluşunuz için öznitelik kümelerini nasıl eklemek istediğinizi belirlemeniz gerekir. Örneğin, departmanlara, ekiplere veya projelere dayalı öznitelik kümeleri eklemek isteyebilirsiniz. Özel güvenlik özniteliklerine erişim izni verebilmek, öznitelik kümelerinizi nasıl düzenlediğinize bağlıdır.

Diagram showing an attribute set by department.

2. Adım: Gerekli kapsamı belirleme

Kapsam, erişimin uygulandığı kaynak kümesidir. Özel güvenlik öznitelikleri için, rolleri kiracı kapsamında veya öznitelik kümesi kapsamında atayabilirsiniz. Geniş erişim atamak istiyorsanız, kiracı kapsamında roller atayabilirsiniz. Ancak, erişimi belirli öznitelik kümeleriyle sınırlamak istiyorsanız, öznitelik kümesi kapsamında roller atayabilirsiniz.

Diagram showing tenant scope and attribute set scope.

Microsoft Entra rol atamaları ek bir modeldir, bu nedenle etkili izinleriniz rol atamalarınızın toplamıdır. Örneğin, bir kullanıcıya kiracı kapsamında bir rol atarsanız ve aynı kullanıcıya öznitelik kümesi kapsamında aynı rolü atarsanız, kullanıcının kiracı kapsamında izinleri olmaya devam eder.

3. Adım: Kullanılabilir rolleri gözden geçirme

Kuruluşunuzdaki özel güvenlik öznitelikleriyle çalışmak için kimlerin erişmesi gerektiğini belirlemeniz gerekir. Özel güvenlik özniteliklerine erişimi yönetmenize yardımcı olmak için dört Microsoft Entra yerleşik rolü vardır. Varsayılan olarak, Genel Yönetici istrator ve diğer yönetici rollerinin özel güvenlik özniteliklerini okuma, tanımlama veya atama izinleri yoktur. Gerekirse, Bir Genel Yönetici istrator bu rolleri kendilerine atayabilir.

Aşağıdaki tabloda özel güvenlik öznitelikleri rollerinin üst düzey bir karşılaştırması sağlanmaktadır.

İzin Genel Yönetici Öznitelik Tanımı Yönetici Öznitelik Ataması Yönetici Öznitelik Tanımı Okuyucusu Öznitelik Atama Okuyucusu
Öznitelik kümelerini okuma
Öznitelik tanımlarını okuma
Kullanıcılar ve uygulamalar için öznitelik atamalarını okuma (hizmet sorumluları)
Öznitelik kümelerini ekleme veya düzenleme
Öznitelik tanımlarını ekleme, düzenleme veya devre dışı bırakma
Kullanıcılara ve uygulamalara öznitelik atama (hizmet sorumluları)

4. Adım: Temsilci stratejinizi belirleme

Bu adım, özel güvenlik özniteliklerine erişimi yönetmenin iki yolunu açıklar. İlk yol, bunları merkezi olarak yönetmek ve ikinci yol da yönetimi başkalarına devretmektir.

Öznitelikleri merkezi olarak yönetme

Kiracı kapsamında Öznitelik Tanımı Yönetici istrator ve Öznitelik Ataması Yönetici istrator rolleri atanmış bir yönetici özel güvenlik özniteliklerinin tüm yönlerini yönetebilir. Aşağıdaki diyagramda özel güvenlik özniteliklerinin tek bir yönetici tarafından nasıl tanımlandığı ve atandığı gösterilmektedir.

Diagram of custom security attributes managed centrally.

  1. Yönetici (Xia), kiracı kapsamında hem Öznitelik Tanımı Yönetici istrator hem de Öznitelik Ataması Yönetici istrator rollerine sahiptir. Yönetici öznitelik kümeleri ekler ve öznitelikleri tanımlar.
  2. Yönetici, Microsoft Entra nesnelerine öznitelikler atar.

Öznitelikleri merkezi olarak yönetmek, bir veya iki yönetici tarafından yönetilebileceği avantaja sahiptir. Bunun dezavantajı, yöneticinin özel güvenlik özniteliklerini tanımlamak veya atamak için çeşitli istekler almasıdır. Bu durumda, yönetim temsilcisi seçmek isteyebilirsiniz.

Temsilci seçme ile öznitelikleri yönetme

Bir yönetici, özel güvenlik özniteliklerinin nasıl tanımlanıp atanması gerektiğiyle ilgili tüm durumları bilmiyor olabilir. Genellikle ilgili departmanlar, ekipler veya projeler içindeki kullanıcılar kendi alanları hakkında en fazla bilgi sahibi olan kullanıcılardır. Tüm özel güvenlik özniteliklerini yönetmek için bir veya iki yönetici atamak yerine, öznitelik kümesi kapsamında yönetim temsilcisi atayabilirsiniz. Bu, diğer yöneticilerin işlerini yapması ve gereksiz erişimden kaçınması için gereken izinleri vermek için en düşük ayrıcalık uygulamasını da izler. Aşağıdaki diyagramda, özel güvenlik özniteliklerinin yönetiminin birden çok yöneticiye nasıl temsilci seçilebileceği gösterilmektedir.

Diagram of custom security attributes managed with delegation.

  1. Kiracı kapsamında atanan Öznitelik Tanımı Yönetici istrator rolüne sahip yönetici (Xia) öznitelik kümeleri ekler. Yöneticinin ayrıca başkalarına rol atama (Ayrıcalıklı Rol Yönetici istratörü) ve her öznitelik kümesi için özel güvenlik özniteliklerini okuyabilen, tanımlayabilen veya atayabilen temsilcilere de izinleri vardır.
  2. Temsilci olarak atanan Öznitelik Tanımı Yönetici istrator'lar (Alice ve Bob), kendilerine erişim verilen öznitelik kümelerinde öznitelikleri tanımlar.
  3. Temsilci öznitelik ataması Yönetici istrators (Chandra ve Bob) öznitelik kümelerinden Microsoft Entra nesnelerine öznitelikler atar.

5. Adım: Uygun rolleri ve kapsamı seçin

Özniteliklerinizin nasıl düzenlenip kimlerin erişmesi gerektiğini daha iyi anladıktan sonra uygun özel güvenlik özniteliği rollerini ve kapsamını seçebilirsiniz. Aşağıdaki tablo seçimde size yardımcı olabilir.

Bu erişimi vermek istiyorum Bu rolü ata Kapsam
Öznitelik Tanımı Yönetici istrator Icon for tenant scope.
Kiracı
Öznitelik Tanımı Yönetici istrator Icon for attribute set scope.
Öznitelik kümesi
Öznitelik Ataması Yönetici istrator Icon for tenant scope.
Kiracı
Öznitelik Ataması Yönetici istrator Icon for attribute set scope.
Öznitelik kümesi
  • Kiracıdaki tüm öznitelik kümelerini okuma
  • Kiracıdaki tüm öznitelik tanımlarını okuma
 Öznitelik Tanımı Okuyucusu Icon for tenant scope.
Kiracı
  • Kapsamlı öznitelik kümesindeki öznitelik tanımlarını okuma
  • Diğer öznitelik kümeleri okunamıyor
 Öznitelik Tanımı Okuyucusu Icon for attribute set scope.
Öznitelik kümesi
  • Kiracıdaki tüm öznitelik kümelerini okuma
  • Kiracıdaki tüm öznitelik tanımlarını okuma
  • Kullanıcılar için kiracıdaki tüm öznitelik atamalarını okuma
  • Uygulamalar için kiracıdaki tüm öznitelik atamalarını okuma (hizmet sorumluları)
 Öznitelik Atama Okuyucusu Icon for tenant scope.
Kiracı
  • Kapsamlı öznitelik kümesindeki öznitelik tanımlarını okuma
  • Kullanıcılar için kapsamlı bir öznitelik kümesinde öznitelikleri kullanan öznitelik atamalarını okuma
  • Uygulamalar (hizmet sorumluları) için kapsamlı bir öznitelik kümesinde öznitelikleri kullanan öznitelik atamalarını okuma
  • Diğer öznitelik kümelerindeki öznitelikler okunamıyor
  • Diğer öznitelik kümelerinde öznitelik kullanan öznitelik atamaları okunamıyor
 Öznitelik Atama Okuyucusu Icon for attribute set scope.
Öznitelik kümesi

6. Adım: Rol atama

Uygun kişilere erişim vermek için bu adımları izleyerek özel güvenlik özniteliği rollerinden birini atayın.

Öznitelik kümesi kapsamında rol atama

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Aşağıdaki örneklerde Engineering adlı öznitelik kümesi kapsamındaki bir sorumluya özel güvenlik özniteliği rolünün nasıl atanacakları gösterilmektedir.

  1. Microsoft Entra yönetim merkezinde Öznitelik Ataması Yönetici istrator olarak oturum açın.

  2. Koruma>Özel güvenlik özniteliklerine göz atın.

  3. Erişim izni vermek istediğiniz öznitelik kümesini seçin.

  4. Roller ve yöneticiler'i seçin.

    Screenshot of assigning attribute roles at attribute set scope.

  5. Özel güvenlik özniteliği rolleri için atamalar ekleyin.

    Not

    Microsoft Entra Privileged Identity Management (PIM) kullanıyorsanız, öznitelik kümesi kapsamındaki uygun rol atamaları şu anda desteklenmiyor. Öznitelik kümesi kapsamındaki kalıcı rol atamaları desteklenir.

Kiracı kapsamında rol atama

Aşağıdaki örneklerde, kiracı kapsamındaki bir sorumluya özel güvenlik özniteliği rolünün nasıl atanacakları gösterilmektedir.

  1. Microsoft Entra yönetim merkezinde Öznitelik Ataması Yönetici istrator olarak oturum açın.

  2. Kimlik>Rolleri ve yöneticiler>Rolleri ve yöneticiler'e göz atın.

    Screenshot of assigning attribute roles at tenant scope.

  3. Özel güvenlik özniteliği rolleri için atamalar ekleyin.

Özel güvenlik özniteliği denetim günlükleri

Bazen denetim veya sorun giderme amacıyla özel güvenlik özniteliği değişiklikleri hakkında bilgi almanız gerekebilir. Birisi tanımlarda veya atamalarda değişiklik yaptığında etkinlikler günlüğe kaydedilir.

Özel güvenlik özniteliği denetim günlükleri, yeni bir tanım ekleme veya kullanıcıya öznitelik değeri atama gibi özel güvenlik öznitelikleriyle ilgili etkinliklerin geçmişini sağlar. Günlüğe kaydedilen özel güvenlik özniteliğiyle ilgili etkinlikler şunlardır:

  • Öznitelik kümesi ekleme
  • Öznitelik kümesine özel güvenlik özniteliği tanımı ekleme
  • Öznitelik kümesini güncelleştirme
  • ServicePrincipal'a atanan öznitelik değerlerini güncelleştirme
  • Kullanıcıya atanan öznitelik değerlerini güncelleştirme
  • Öznitelik kümesindeki özel güvenlik özniteliği tanımını güncelleştirme

Öznitelik değişiklikleri için denetim günlüklerini görüntüleme

Özel güvenlik özniteliği denetim günlüklerini görüntülemek için Microsoft Entra yönetim merkezinde oturum açın, Denetim Günlükleri'ne gidin ve Özel Güvenlik'i seçin. Özel güvenlik özniteliği denetim günlüklerini görüntülemek için aşağıdaki rollerden birine atanmış olmanız gerekir. Varsayılan olarak, Genel Yönetici istrator'ın bu denetim günlüklerine erişimi yoktur.

Screenshot of audit logs with Custom Security tab selected.

Microsoft Graph API'sini kullanarak özel güvenlik özniteliği denetim günlüklerini alma hakkında bilgi için kaynak türüne customSecurityAttributeAuditbakın. Daha fazla bilgi için bkz . Microsoft Entra denetim günlükleri.

Tanılama ayarları

Özel güvenlik özniteliği denetim günlüklerini ek işleme amacıyla farklı hedeflere aktarmak için tanılama ayarlarını kullanırsınız. Özel güvenlik öznitelikleri için tanılama ayarları oluşturmak ve yapılandırmak için Öznitelik Günlüğü Yönetici istrator rolüne atanmalısınız.

İpucu

Microsoft, öznitelik atamalarının yanlışlıkla ortaya çıkarılmaması için özel güvenlik özniteliği denetim günlüklerinizi dizin denetim günlüklerinizden ayrı tutmanızı önerir.

Aşağıdaki ekran görüntüsünde özel güvenlik öznitelikleri için tanılama ayarları gösterilmektedir. Daha fazla bilgi için bkz . Tanılama ayarlarını yapılandırma.

Screenshot of diagnostic settings with Custom security attributes tab selected.

Denetim günlükleri davranışındaki değişiklikler

Günlük işlemlerinizi etkileyebilecek genel kullanılabilirlik için özel güvenlik özniteliği denetim günlüklerine değişiklikler yapıldı. Önizleme sırasında özel güvenlik özniteliği denetim günlüklerini kullandıysanız, denetim günlüğü işlemlerinizin kesintiye uğramadığından emin olmak için gerçekleştirmeniz gereken eylemler şunlardır.

  • Yeni denetim günlükleri konumunu kullan
  • Denetim günlüklerini görüntülemek için Öznitelik Günlüğü rolleri atama
  • Denetim günlüklerini dışarı aktarmak için yeni tanılama ayarları oluşturma

Yeni denetim günlükleri konumunu kullan

Önizleme sırasında özel güvenlik özniteliği denetim günlükleri dizin denetim günlükleri uç noktasına yazılmıştır. Ekim 2023'te, özel güvenlik özniteliği denetim günlükleri için özel olarak yeni bir uç nokta eklendi. Aşağıdaki ekran görüntüsünde dizin denetim günlükleri ve yeni özel güvenlik özniteliği denetim günlüklerinin konumu gösterilmektedir. Microsoft Graph API'sini kullanarak özel güvenlik özniteliği denetim günlüklerini almak için kaynak türüne customSecurityAttributeAuditbakın.

Screenshot of audit logs that shows Directory and Custom Security tabs.

Özel güvenlik denetim günlüklerinin hem dizine hem de özel güvenlik öznitelikleri denetim günlüğü uç noktalarına yazıldığı bir geçiş dönemi vardır. Bundan sonra, özel güvenlik özniteliği denetim günlüklerini bulmak için özel güvenlik öznitelikleri denetim günlüğü uç noktasını kullanmanız gerekir.

Aşağıdaki tabloda, geçiş dönemi boyunca özel güvenlik öznitelikleri denetim günlüklerini bulabileceğiniz uç nokta listelenir.

Olay tarihi Dizin uç noktası Özel güvenlik öznitelikleri uç noktası
Ekim 2023
Şubat 2024

Denetim günlüklerini görüntülemek için Öznitelik Günlüğü rolleri atama

Önizleme sırasında özel güvenlik özniteliği denetim günlükleri, dizin denetim günlüklerindeki Genel Yönetici istrator veya Güvenlik Yönetici istrator rolleri kullanılarak görüntülenebilir. Artık yeni uç noktayı kullanarak özel güvenlik özniteliği denetim günlüklerini görüntülemek için bu rolleri kullanamazsınız. Özel güvenlik özniteliği denetim günlüklerini görüntülemek için, Size Öznitelik Günlüğü Okuyucusu veya Öznitelik Günlüğü Yönetici istrator rolü atanmalıdır.

Denetim günlüklerini dışarı aktarmak için yeni tanılama ayarları oluşturma

Önizleme sırasında, denetim günlüklerini dışarı aktarmayı yapılandırdıysanız, geçerli tanılama ayarlarınıza özel güvenlik denetimi özniteliği denetim günlükleri gönderilir. Özel güvenlik denetimi özniteliği denetim günlüklerini almaya devam etmek için, önceki Tanılama ayarları bölümünde açıklandığı gibi yeni tanılama ayarları oluşturmanız gerekir.

Sonraki adımlar