Aracılığıyla paylaş

Microsoft Entra ile ilgili temel bilgiler

  • Makale

Microsoft Entra ID, Azure kaynakları ve güvenen uygulamalar için bir kimlik ve erişim sınırı sağlar. Ortam ayrımı gereksinimlerinin çoğu, tek bir Microsoft Entra kiracısında temsilcili yönetimle karşılanabilir. Bu yapılandırma, sistemlerinizin yönetim yükünü azaltır. Ancak, tam kaynak ve kimlik yalıtımı gibi bazı belirli durumlar birden çok kiracı gerektirir.

Ortam ayrımı mimarinizi ihtiyaçlarınıza göre belirlemeniz gerekir. Göz önünde bulundurulacak alanlar şunlardır:

  • Kaynak ayrımı. Bir kaynak, kullanıcı nesneleri gibi dizin nesnelerini değiştirebiliyorsa ve değişiklik diğer kaynaklara engel olacaksa, kaynağın çok kiracılı bir mimaride yalıtılması gerekebilir.

  • Yapılandırma ayrımı. Kiracı genelindeki yapılandırmalar tüm kaynakları etkiler. Kiracı genelindeki bazı yapılandırmaların etkisi, Koşullu Erişim ilkeleri ve diğer yöntemlerle kapsamlı olabilir. Koşullu Erişim ilkeleriyle kapsamı oluşturulamaz farklı kiracı yapılandırmalarına ihtiyacınız varsa, çok kiracılı bir mimariye ihtiyacınız olabilir.

  • Yönetim ayrımı. Yönetim gruplarının, aboneliklerin, kaynak gruplarının, kaynakların ve bazı ilkelerin yönetimine tek bir kiracı içinde temsilci atayabilirsiniz. Genel Yönetici her zaman kiracı içindeki her şeye erişebilir. Ortamın yöneticileri başka bir ortamla paylaşmadığından emin olmanız gerekiyorsa, çok kiracılı bir mimariye ihtiyacınız vardır.

Güvenli kalmak için tüm kiracılarda kimlik sağlama, kimlik doğrulama yönetimi, kimlik idaresi, yaşam döngüsü yönetimi ve işlemler için en iyi yöntemleri izlemeniz gerekir.

Terminoloji

Bu terim listesi genellikle Microsoft Entra Id ile ilişkilendirilir ve bu içerikle ilgilidir:

Microsoft Entra kiracısı. Kuruluşunuz bir Microsoft bulut hizmeti aboneliğine kaydolduğunda otomatik olarak oluşturulan ayrılmış ve güvenilen bir Microsoft Entra Id örneği. Aboneliklere örnek olarak Microsoft Azure, Microsoft Intune veya Microsoft 365 verilebilir. Microsoft Entra kiracısı genellikle tek bir kuruluşu veya güvenlik sınırını temsil eder. Microsoft Entra kiracısı, kiracı kaynakları için kimlik ve erişim yönetimi (IAM) gerçekleştirmek için kullanılan kullanıcıları, grupları, cihazları ve uygulamaları içerir.

Ortam. Bu içerik bağlamında ortam, bir veya daha fazla Microsoft Entra kümesiyle ilişkili Azure abonelikleri, Azure kaynakları ve uygulamalardan oluşan bir koleksiyondur. Microsoft Entra kiracısı, bu kaynaklara erişimi idare etmek için kimlik denetim düzlemi sağlar.

Üretim ortamı. Bu içerik bağlamında üretim ortamı, son kullanıcıların doğrudan etkileşime geçebilecekleri altyapı ve hizmetlerle canlı ortamdır. Örneğin, şirkete veya müşteriye yönelik bir ortam.

Üretim dışı ortam. Bu içerik bağlamında, üretim dışı ortam aşağıdakiler için kullanılan bir ortamı ifade eder:

  • Geliştirme

  • Test Etme

  • Laboratuvar amaçları

Üretim dışı ortamlar genellikle korumalı alan ortamları olarak adlandırılır.

Kimlik. Kimlik, kimliği doğrulanabilir ve kaynağa erişim için yetkilendirilebilen bir dizin nesnesidir. İnsan kimlikleri ve insan olmayan kimlikler için kimlik nesneleri vardır. İnsan olmayan varlıklar şunlardır:

  • Uygulama nesneleri

  • İş yükü kimlikleri (eski adıyla hizmet ilkeleri)

  • Yönetilen kimlikler

  • Cihazlar

İnsan kimlikleri , bir kuruluştaki kişileri genel olarak temsil eden kullanıcı nesneleridir. Bu kimlikler doğrudan Microsoft Entra Kimliği'nde oluşturulur ve yönetilir veya belirli bir kuruluş için şirket içi Active Directory Microsoft Entra Id ile eşitlenir. Bu tür kimlikler yerel kimlikler olarak adlandırılır. Microsoft Entra B2B işbirliği kullanılarak bir iş ortağı kuruluşundan veya sosyal kimlik sağlayıcısından davet edilen kullanıcı nesneleri de olabilir. Bu içerikte, bu kimlik türlerini dış kimlikler olarak adlandırıyoruz.

İnsan olmayan kimlikler , bir insanla ilişkilendirilmemiş kimlikleri içerir. Bu kimlik türü, çalıştırmak için kimlik gerektiren bir uygulama gibi bir nesnedir. Bu içerikte, bu tür bir kimliği iş yükü kimliği olarak adlandırıyoruz. Uygulama nesneleri ve hizmet sorumluları da dahil olmak üzere bu kimlik türünü açıklamak için çeşitli terimler kullanılır.

  • Uygulama nesnesi. Bir Microsoft Entra uygulaması, uygulama nesnesi tarafından tanımlanır. nesnesi, uygulamanın kaydedildiği Microsoft Entra kiracısında bulunur. Kiracı, uygulamanın "ev" kiracısı olarak bilinir.

    • Tek kiracılı uygulamalar yalnızca "ev" kiracısından gelen kimlikleri yetkilendirmek için oluşturulur.

    • Çok kiracılı uygulamalar, herhangi bir Microsoft Entra kiracısından kimlik doğrulamasına izin verir.

  • Hizmet sorumlusu nesnesi. Özel durumlar olsa da, uygulama nesneleri bir uygulamanın tanımı olarak kabul edilebilir. Hizmet sorumlusu nesneleri bir uygulamanın örneği olarak kabul edilebilir. Hizmet sorumluları genellikle bir uygulama nesnesine başvurur ve bir uygulama nesnesine dizinler arasında birden çok hizmet sorumlusu tarafından başvurulur.

Hizmet sorumlusu nesneleri , görevleri insan müdahalesinden bağımsız olarak gerçekleştirebilen dizin kimlikleridir. Hizmet sorumlusu, Microsoft Entra kiracısında bir kullanıcı veya uygulamanın erişim ilkesini ve izinlerini tanımlar. Bu mekanizma, oturum açma sırasında kullanıcının veya uygulamanın kimlik doğrulaması ve kaynak erişimi sırasında yetkilendirme gibi temel özellikleri etkinleştirir.

Microsoft Entra Id, uygulama ve hizmet sorumlusu nesnelerinin parolayla (uygulama gizli dizisi olarak da bilinir) veya bir sertifikayla kimlik doğrulaması yapmasına olanak tanır. Hizmet sorumluları için parola kullanımı önerilmez ve mümkün olduğunda bir sertifika kullanmanızı öneririz.

  • Azure kaynakları için yönetilen kimlikler. Yönetilen kimlikler, Microsoft Entra Id'deki özel hizmet sorumlularıdır. Bu hizmet sorumlusu türü, kodunuzda kimlik bilgilerini depolamaya veya gizli dizi yönetimini işlemeye gerek kalmadan Microsoft Entra kimlik doğrulamasını destekleyen hizmetlerde kimlik doğrulaması yapmak için kullanılabilir. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nelerdir?

  • Cihaz kimliği: Cihaz kimliği, kimlik doğrulama akışındaki cihazın meşru olduğunu ve teknik gereksinimleri karşıladığını doğrulamak için bir işlemden geçtiğini doğrular. Cihaz bu işlemi başarıyla tamamladıktan sonra, kuruluşun kaynaklarına erişimi daha fazla denetlemek için ilişkili kimlik kullanılabilir. Microsoft Entra Id ile cihazlar bir sertifikayla kimlik doğrulaması yapabilir.

Bazı eski senaryolarda insan olmayan senaryolarda kullanılmak üzere bir insan kimliği gerekiyordu. Örneğin, betikler veya toplu işler gibi şirket içi uygulamalarda kullanılan hizmet hesaplarının Microsoft Entra Kimliği'ne erişmesi gerektiğinde. Bu düzen önerilmez ve sertifikaları kullanmanızı öneririz. Ancak, kimlik doğrulaması için parolayla bir insan kimliği kullanırsanız, Microsoft Entra hesaplarınızı Microsoft Entra çok faktörlü kimlik doğrulaması ile koruyun.

Karma kimlik. Karma kimlik, şirket içi ve bulut ortamlarına yayılan bir kimliktir. Bu, şirket içi ve bulut kaynaklarına erişmek için aynı kimliği kullanabilmenin avantajını sağlar. Bu senaryodaki yetki kaynağı genellikle bir şirket içi dizindir ve sağlama, sağlamayı kaldırma ve kaynak atama ile ilgili kimlik yaşam döngüsü de şirket içinden yönlendirilir. Daha fazla bilgi için bkz . Karma kimlik belgeleri.

Dizin nesneleri. Microsoft Entra kiracısı aşağıdaki yaygın nesneleri içerir:

  • Kullanıcı nesneleri , şu anda hizmet sorumlularını desteklemeyen hizmetler için insan kimliklerini ve insan olmayan kimlikleri temsil eder. Kullanıcı nesneleri kişisel ayrıntılar, grup üyelikleri, cihazlar ve kullanıcıya atanan roller dahil olmak üzere kullanıcı hakkında gerekli bilgilere sahip öznitelikler içerir.

  • Cihaz nesneleri , Bir Microsoft Entra kiracısıyla ilişkili cihazları temsil eder. Cihaz nesneleri, cihaz hakkında gerekli bilgilere sahip öznitelikler içerir. Buna işletim sistemi, ilişkili kullanıcı, uyumluluk durumu ve Microsoft Entra kiracısıyla ilişkilendirmenin yapısı dahildir. Bu ilişkilendirme, cihazın etkileşim ve güven düzeyine bağlı olarak birden çok form alabilir.

    • Karma Etki Alanına Katıldı. Kuruluşa ait olan ve hem şirket içi Active Directory hem de Microsoft Entra kimliğine katılmış cihazlar. Genellikle bir kuruluş tarafından satın alınan ve yönetilen ve System Center Configuration Manager tarafından yönetilen bir cihaz.

    • Microsoft Entra Etki Alanına Katıldı. Kuruluşa ait olan ve kuruluşun Microsoft Entra kiracısına katılmış cihazlar. Genellikle Microsoft Entra Id'ye katılmış ve Microsoft Intune gibi bir hizmet tarafından yönetilen bir kuruluş tarafından satın alınan ve yönetilen bir cihazdır.

    • Microsoft Entra kaydedildi. Şirket kaynaklarına erişmek için kullanılan kişisel bir cihaz gibi kuruluşa ait olmayan cihazlar. Kuruluşlar, cihazın Mobil Cihaz Yönetimi (MDM) aracılığıyla kaydedilmesini veya kaynaklara erişmek için kayıt olmadan Mobil Uygulama Yönetimi (MAM) aracılığıyla uygulanmasını gerektirebilir. Bu özellik Microsoft Intune gibi bir hizmet tarafından sağlanabilir.

  • Grup nesneleri kaynak erişimi atama, denetim uygulama veya yapılandırma amacıyla nesneler içerir. Grup nesneleri ad, açıklama, grup üyeleri, grup sahipleri ve grup türü gibi grup hakkında gerekli bilgilere sahip öznitelikler içerir. Microsoft Entra Id'deki gruplar, kuruluşun gereksinimlerine göre birden çok form alır ve Microsoft Entra Kimliği'nde ustalaşabilir veya şirket içi Active Directory Etki Alanı Hizmetleri'nden (AD DS) eşitlenebilir.

    • Atanan gruplar. Atanan gruplar'da kullanıcılar gruba el ile eklenir veya gruptan kaldırılır, şirket içi AD DS'den eşitlenir veya otomatik betikli iş akışının bir parçası olarak güncelleştirilir. Atanan grup şirket içi AD DS'den eşitlenebilir veya Microsoft Entra Id'de barındırılabilir.

    • Dinamik üyelik grupları. Dinamik gruplarda, kullanıcılar tanımlı özniteliklere göre gruba otomatik olarak atanır. Bu, grup üyeliğinin kullanıcı nesneleri içinde tutulan verilere göre dinamik olarak güncelleştirilmesini sağlar. Dinamik bir grup yalnızca Microsoft Entra Id'de barındırılabilir.

Microsoft Hesabı (MSA). Microsoft Hesaplarını (MSA) kullanarak Azure abonelikleri ve kiracıları oluşturabilirsiniz. Microsoft Hesabı, kişisel bir hesaptır (kuruluş hesabının aksine) ve geliştiriciler tarafından ve deneme senaryoları için yaygın olarak kullanılır. Kullanıldığında, kişisel hesap her zaman bir Microsoft Entra kiracısında konuk yapılır.

Microsoft Entra işlevsel alanları

Bunlar, Microsoft Entra Id tarafından sağlanan ve yalıtılmış ortamlarla ilgili işlevsel alanlardır. Microsoft Entra Id'nin özellikleri hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id nedir?.

Kimlik Doğrulaması

Kimlik Doğrulaması. Microsoft Entra ID, OpenID Connect, OAuth ve SAML gibi açık standartlarla uyumlu kimlik doğrulama protokolleri için destek sağlar. Microsoft Entra Id, kuruluşların Microsoft Entra tümleşik uygulamalarına erişimin kimliğini doğrulamak için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gibi mevcut şirket içi kimlik sağlayıcılarını federasyona olanak sağlayan özellikler de sağlar.

Microsoft Entra ID, kuruluşların kaynaklara erişimi güvenli bir şekilde sağlamak için kullanabileceği sektör lideri güçlü kimlik doğrulama seçenekleri sağlar. Microsoft Entra çok faktörlü kimlik doğrulaması, cihaz kimlik doğrulaması ve parolasız özellikler, kuruluşların iş gücünün gereksinimlerine uygun güçlü kimlik doğrulama seçenekleri dağıtmasına olanak sağlar.

Çoklu oturum açma (SSO) . Çoklu oturum açma ile kullanıcılar, etki alanına katılmış cihazlar, şirket kaynakları, hizmet olarak yazılım (SaaS) uygulamaları ve tüm Microsoft Entra tümleşik uygulamaları gibi dizine güvenen tüm kaynaklara erişmek için bir hesapla bir kez oturum açar. Daha fazla bilgi için bkz . Microsoft Entra Id'de uygulamalarda çoklu oturum açma.

Yetkilendirme

Kaynak erişim ataması. Microsoft Entra ID, kaynaklara erişim sağlar ve bu erişimin güvenliğini sağlar. Microsoft Entra Id'de bir kaynağa erişim atama işlemi iki yolla yapılabilir:

  • Kullanıcı ataması: Kullanıcıya doğrudan kaynağa erişim atanır ve kullanıcıya uygun rol veya izin atanır.

  • Grup ataması: Kaynağa bir veya daha fazla kullanıcı içeren bir grup atanır ve gruba uygun rol veya izin atanır

Uygulama erişim ilkeleri. Microsoft Entra ID, kuruluşunuzun uygulamalarına erişimi daha fazla denetlemeye ve güvenli bir şekilde erişmeye yönelik özellikler sağlar.

Koşullu Erişim. Microsoft Entra Koşullu Erişim ilkeleri, Microsoft Entra kaynaklarına erişirken kullanıcı ve cihaz bağlamını yetkilendirme akışına getiren araçlardır. Kuruluşlar, kullanıcı, risk, cihaz ve ağ bağlamı temelinde kimlik doğrulamasına izin vermek, reddetmek veya geliştirmek için Koşullu Erişim ilkelerinin kullanımını incelemelidir. Daha fazla bilgi için Microsoft Entra Koşullu Erişim belgelerine bakın.

Microsoft Entra Kimlik Koruması. Bu özellik, kuruluşların kimlik tabanlı riskleri algılama ve düzeltme işlemlerini otomatikleştirmesine, riskleri araştırmasına ve risk algılama verilerini daha fazla analiz için üçüncü taraf yardımcı programlara aktarmasına olanak tanır. Daha fazla bilgi için bkz. Microsoft Entra Kimlik Koruması genel bakış.

Yönetim

Kimlik yönetimi. Microsoft Entra ID, kullanıcı, grup ve cihaz kimliklerinin yaşam döngüsünü yönetmek için araçlar sağlar. Microsoft Entra Connect , kuruluşların mevcut şirket içi kimlik yönetimi çözümünü buluta genişletmesine olanak tanır. Microsoft Entra Connect, Microsoft Entra Id'de bu kimliklerin sağlamasını, sağlamasını kaldırmayı ve güncelleştirmeleri yönetir.

Microsoft Entra ID, kuruluşların kimlikleri yönetmesine veya Microsoft Entra kimlik yönetimini mevcut iş akışları veya otomasyonla tümleştirmesine olanak sağlayan bir portal ve Microsoft Graph API'si de sağlar. Microsoft Graph hakkında daha fazla bilgi edinmek için bkz . Microsoft Graph API'sini kullanma.

Cihaz yönetimi. Microsoft Entra Id, bulut ve şirket içi cihaz yönetimi altyapılarıyla yaşam döngüsünü ve tümleştirmeyi yönetmek için kullanılır. Ayrıca, bulut veya şirket içi cihazlardan kuruluş verilerinize erişimi denetlemek için ilkeler tanımlamak için de kullanılır. Microsoft Entra ID, dizindeki cihazların yaşam döngüsü hizmetlerini ve kimlik doğrulamasını etkinleştirmek için kimlik bilgisi sağlamayı sağlar. Ayrıca, sistemdeki bir cihazın güven düzeyi olan anahtar özniteliğini de yönetir. Bu ayrıntı, kaynak erişim ilkesi tasarlanırken önemlidir. Daha fazla bilgi için Bkz. Microsoft Entra Cihaz Yönetimi belgeleri.

Yapılandırma yönetimi. Microsoft Entra ID, hizmetin bir kuruluşun gereksinimlerine göre yapılandırıldığından emin olmak için yapılandırılması ve yönetilmesi gereken hizmet öğelerine sahiptir. Bu öğeler etki alanı yönetimi, SSO yapılandırması ve uygulama yönetimini içerir ancak birkaçıdır. Microsoft Entra ID, kuruluşların bu öğeleri yönetmesine veya mevcut süreçlerle tümleştirmesine olanak sağlayan bir portal ve Microsoft Graph API'si sağlar. Microsoft Graph hakkında daha fazla bilgi edinmek için bkz . Microsoft Graph API'sini kullanma.

İdare

Kimlik yaşam döngüsü. Microsoft Entra ID, dış kimlikler dahil olmak üzere dizinde kimlik oluşturma, alma, silme ve güncelleştirme özellikleri sağlar. Microsoft Entra ID, kuruluşunuzun gereksinimlerine uygun şekilde korundığından emin olmak için kimlik yaşam döngüsünü otomatikleştirmeye yönelik hizmetler de sağlar. Örneğin, belirli bir süre boyunca oturum açmamış dış kullanıcıları kaldırmak için Erişim Gözden Geçirmeleri'ni kullanma.

Raporlama ve analiz. Kimlik idaresinin önemli bir yönü, kullanıcı eylemlerine görünürlükdür. Microsoft Entra Id, ortamınızın güvenlik ve kullanım desenleri hakkında içgörüler sağlar. Bu içgörüler şunlarla ilgili ayrıntılı bilgileri içerir:

  • Kullanıcılarınızın erişimi

  • Nereden eriştiği

  • Kullandıkları cihazlar

  • Erişmek için kullanılan uygulamalar

Microsoft Entra Id ayrıca Microsoft Entra Id içinde gerçekleştirilen eylemler hakkında bilgi sağlar ve güvenlik riskleri hakkında raporlar sağlar. Daha fazla bilgi için bkz . Microsoft Entra raporları ve izleme.

Denetim. Denetim, Microsoft Entra ID içindeki belirli özellikler tarafından yapılan tüm değişiklikler için günlükler aracılığıyla izlenebilirlik sağlar. Denetim günlüklerinde bulunan etkinliklere örnek olarak Kullanıcı, uygulama, grup, rol ve ilke ekleme veya kaldırma gibi Microsoft Entra ID içindeki tüm kaynaklarda yapılan değişiklikler verilebilir. Microsoft Entra Id'de raporlama, oturum açma etkinliklerini, riskli oturum açmaları ve riskli olarak işaretlenmiş kullanıcıları denetlemenizi sağlar. Daha fazla bilgi için bkz . Azure portalında etkinlik raporlarını denetleme.

Erişim sertifikası. Erişim sertifikası, kullanıcının belirli bir noktada kaynağa erişim hakkına sahip olduğunu kanıtlama işlemidir. Microsoft Entra access gözden geçirmeleri, grupların veya uygulamaların üyeliklerini sürekli olarak gözden geçirir ve erişimin gerekli olup olmadığını veya kaldırılması gerektiğini saptamak için içgörü sağlar. Bu, kuruluşların yalnızca doğru kişilerin erişimine devam ettiğinden emin olmak için grup üyeliklerini, kurumsal uygulamalara erişimi ve rol atamalarını etkili bir şekilde yönetmesine olanak tanır. Daha fazla bilgi için bkz . Microsoft Entra erişim gözden geçirmeleri nedir?

Ayrıcalıklı erişim. Microsoft Entra Privileged Identity Management (PIM), Azure kaynaklarına yönelik aşırı, gereksiz veya hatalı erişim izinlerinin risklerini azaltmak için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlar. Ayrıcalıkların açığa çıkarma süresini düşürerek ve raporlar ve uyarılar aracılığıyla kullanımlarına yönelik görünürlüğü artırarak ayrıcalıklı hesapları korumak için kullanılır.

Self servis yönetimi

Kimlik bilgisi kaydı. Microsoft Entra ID, bir kuruluşun yardım masasının iş yükünü azaltmak için kullanıcı kimliği yaşam döngüsünün tüm yönlerini ve self servis özelliklerini yönetmeye yönelik özellikler sağlar.

Grup yönetimi. Microsoft Entra ID, kullanıcıların kaynak erişimi için bir grupta üyelik istemesine ve kaynakların veya işbirliğinin güvenliğini sağlamak için kullanılabilecek gruplar oluşturmasına olanak tanıyan özellikler sağlar. Uygun denetimlerin yerine konması için bu özellikler kuruluş tarafından denetlenebilir.

Tüketici Kimliği ve Erişim Yönetimi (IAM)

Azure AD B2C. Azure AD B2C, kuruluşunuzun müşteriye yönelik uygulamaları için tüketicilere kimlik sağlamak üzere bir Azure aboneliğinde etkinleştirilebilen bir hizmettir. Burası ayrı bir kimlik adasıdır ve bu kullanıcılar kuruluşun Microsoft Entra kiracısında görünmez. Azure AD B2C, Azure aboneliğiyle ilişkili kiracıdaki yöneticiler tarafından yönetilir.

Sonraki adımlar