Ortamınızdaki uygulamalar için erişimi yönetme

  • Makale

Microsoft Entra Kimlik Yönetimi, kuruluşunuzun güvenlik ve çalışan üretkenliği gereksinimini doğru süreçler ve görünürlükle dengelemenizi sağlar. Özellikleri, doğru kişilerin kuruluşunuzdaki doğru kaynaklara doğru zamanda doğru erişime sahip olmasını sağlar.

Uyumluluk gereksinimleri veya risk yönetimi planları olan kuruluşların hassas veya iş açısından kritik uygulamaları vardır. Uygulama duyarlılığı, kuruluş müşterilerinin finansal bilgileri veya kişisel bilgileri gibi amacına veya içerdiği verilere dayalı olabilir. Bu uygulamalar için, kuruluştaki tüm kullanıcıların yalnızca bir alt kümesine erişim yetkisi verilir ve yalnızca belgelenmiş iş gereksinimlerine göre erişime izin verilmelidir. Kuruluşunuzun erişimi yönetme denetimlerinin bir parçası olarak Microsoft Entra özelliklerini kullanarak şunları yapabilirsiniz:

  • uygun erişimi ayarlama
  • uygulamalara kullanıcı sağlama
  • erişim denetimlerini zorunlu kılma
  • uyumluluk ve risk yönetimi hedeflerinizi karşılamak için bu denetimlerin nasıl kullanıldığını göstermek için raporlar oluşturun.

Uygulama erişim idaresi senaryosuna ek olarak, Microsoft Entra Kimlik Yönetimi özelliklerini ve diğer Microsoft Entra özelliklerini de diğer senaryolar için kullanabilirsiniz; örneğin, kullanıcıları başka kuruluşlardan gözden geçirme ve kaldırma veya Koşullu Erişim ilkelerinin dışında tutulan kullanıcıları yönetme. Kuruluşunuzun Microsoft Entra Id veya Azure'da birden çok yöneticisi varsa, B2B veya self servis grup yönetimi kullanıyorsa, bu senaryolar için bir erişim gözden geçirmesi dağıtımı planlamanız gerekir.

Lisans gereksinimleri

Bu özelliğin kullanılması için Microsoft Entra Kimlik Yönetimi lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz. lisanslamayla ilgili temel bilgileri Microsoft Entra Kimlik Yönetimi.

Uygulamalara idare erişimini kullanmaya başlama

Microsoft Entra Kimlik Yönetimi OpenID Bağlan, SAML, SCIM, SQL ve LDAP gibi standartlar kullanılarak birçok uygulamayla tümleştirilebilir. Bu standartlar aracılığıyla Microsoft Entra ID'yi birçok popüler SaaS uygulaması, şirket içi uygulama ve kuruluşunuzun geliştirdiği uygulamalarla kullanabilirsiniz. Aşağıdaki bölümde açıklandığı gibi Microsoft Entra ortamınızı hazırladıktan sonra, üç adımlı plan bir uygulamayı Microsoft Entra Id'ye bağlamayı ve bu uygulama için kullanılacak kimlik idaresi özelliklerini etkinleştirmeyi kapsar.

  1. Kuruluşunuzun uygulamaya erişimi idare etmek için ilkelerini tanımlama
  2. Yalnızca yetkili kullanıcıların uygulamaya erişebildiğinden emin olmak için uygulamayı Microsoft Entra Kimliği ile tümleştirin ve gözden geçirilmiş olan tüm kullanıcıların temelini ayarlamak için kullanıcının uygulamaya mevcut erişimini gözden geçirin. Bu, kimlik doğrulamasına ve kullanıcı sağlamaya izin verir
  3. Çoklu oturum açmayı (SSO) denetlemek ve bu uygulama için erişim atamalarını otomatikleştirmek için bu ilkeleri dağıtın

Kimlik idaresi için Microsoft Entra Id ve Microsoft Entra Kimlik Yönetimi yapılandırmadan önce önkoşullar

Microsoft Entra Kimlik Yönetimi uygulama erişimini yönetme işlemine başlamadan önce Microsoft Entra ortamınızın uygun şekilde yapılandırıldığını denetlemeniz gerekir.

  • Microsoft Entra Id ve Microsoft Online Services ortamınızın, uygulamaların tümleştirilmesi ve düzgün şekilde lisanslanması için uyumluluk gereksinimleri için hazır olduğundan emin olun. Uyumluluk, Microsoft, bulut hizmeti sağlayıcıları (CSP' ler) ve kuruluşlar arasında paylaşılan bir sorumluluktır. Uygulamalara erişimi yönetmek için Microsoft Entra Kimliğini kullanmak için kiracınızda aşağıdaki lisans birleşimlerinden birine sahip olmanız gerekir:

    • Microsoft Entra Kimlik Yönetimi ve önkoşulu, Microsoft Entra Id P1
    • Microsoft Entra Kimlik Yönetimi Microsoft Entra Id P2 ve önkoşulu için Microsoft Entra ID P2 veya Enterprise Mobility + Security (EMS) E5 için Yukarı Adım at

    Kiracınızın, uygulamalara erişim isteğinde bulunan veya bu uygulamalara erişimi onaylayan veya gözden geçirebilenler de dahil olmak üzere, idare edilen üye (konuk olmayan) kullanıcı sayısı kadar en az sayıda lisansa sahip olması gerekir. Bu kullanıcılar için uygun bir lisansla, kullanıcı başına en fazla 1500 uygulamaya erişimi yönetebilirsiniz.

  • Konuğun uygulamaya erişimini yönetecekseniz Microsoft Entra kiracınızı MAU faturalaması için bir aboneliğe bağlayın. Bu adım, konuk isteğinde bulunmadan veya erişimlerini gözden geçirmeden önce gereklidir. Daha fazla bilgi için bkz. Microsoft Entra Dış Kimlik için faturalama modeli.

  • Microsoft Entra Id'nin denetim günlüğünü ve isteğe bağlı olarak diğer günlükleri Azure İzleyici'ye gönderdiğinden emin olun. Microsoft Entra, denetim günlüğünde yalnızca 30 güne kadar denetim olaylarını depoladıkça Azure İzleyici isteğe bağlıdır ancak uygulamalara erişimi idare etmek için kullanışlıdır. Microsoft Entra ID raporlama verilerini ne kadar süreyle depolar? bölümünde açıklanan denetim verilerini varsayılan saklama süresinden daha uzun süre tutabilir ve geçmiş denetim verileriyle ilgili Azure İzleyici çalışma kitaplarını ve özel sorguları ve raporları kullanabilirsiniz. Microsoft Entra yapılandırmasını denetleyerek Çalışma Kitapları'na tıklayarak Microsoft Entra yönetim merkezindeki Microsoft Entra Id'de Azure İzleyici'yi kullanıp kullanmadığı görebilirsiniz. Bu tümleştirme yapılandırılmamışsa ve bir Azure aboneliğiniz varsa ve veya rollerindeysenizGlobal Administrator, Microsoft Entra Id'yi Azure İzleyici'yi kullanacak şekilde yapılandırabilirsiniz.Security Administrator

  • Microsoft Entra kiracınızdaki yüksek ayrıcalıklı yönetim rollerinde yalnızca yetkili kullanıcıların olduğundan emin olun. Yönetici istrators Global Yönetici istrator, Identity Governance Yönetici istrator, User Yönetici istrator, Application Yönetici istrator, Cloud Application Yönetici istrator ve Privileged Role Yönetici istrator kullanıcılarda ve uygulamalarında değişiklik yapabilir rol atamaları. Bu rollerin üyelikleri henüz gözden geçirilmemişse, bu dizin rollerinin erişim gözden geçirmesinin başlatıldığından emin olmak için Genel Yönetici istrator veya Privileged Role Yönetici istrator'da bulunan bir kullanıcıya ihtiyacınız vardır. Ayrıca, Azure İzleyici, Logic Apps ve Microsoft Entra yapılandırmanızın çalıştırılması için gereken diğer kaynakları barındıran aboneliklerde Azure rollerindeki kullanıcıların gözden geçirildiğinden emin olmanız gerekir.

  • Kiracınızın uygun yalıtıma sahip olup olmadığını denetleyin. Kuruluşunuz şirket içi Active Directory kullanıyorsa ve bu AD etki alanları Microsoft Entra Id'ye bağlıysa, bulutta barındırılan hizmetler için yüksek ayrıcalıklı yönetim işlemlerinin şirket içi hesaplardan yalıtıldığından emin olmanız gerekir. Microsoft 365 bulut ortamınızı şirket içi güvenliğin aşılmasına karşı korumak için sistemlerinizi yapılandırdığınızdan denetleyin.

Microsoft Entra ortamınızın hazır olduğunu denetledikten sonra uygulamalarınız için idare ilkelerini tanımlamaya devam edin.

Sonraki adımlar