Microsoft Entra Kimlik Yönetimi nedir?
Microsoft Entra Kimlik Yönetimi kuruluşların üretkenliği artırmasına, güvenliği güçlendirmesine ve uyumluluk ve mevzuat gereksinimlerini daha kolay karşılamasına olanak tanıyan bir kimlik idaresi çözümüdür. kimlik ve erişim süreci otomasyonu, iş gruplarına temsilci seçme ve daha fazla görünürlük ile doğru kişilerin doğru kaynaklara doğru erişime sahip olduğundan emin olmak için Microsoft Entra Kimlik Yönetimi kullanabilirsiniz. Microsoft Entra Kimlik Yönetimi'de yer alan özelliklerle birlikte ilgili Microsoft Entra, Microsoft Security ve Microsoft Azure ürünlerinde yer alan özelliklerle, kritik varlıklara erişimi koruyarak, izleyerek ve denetleyerek kimlik ve erişim risklerini azaltabilirsiniz.
Özellikle, Microsoft Entra Kimlik Yönetimi kuruluşların hem şirket içinde hem de bulutlarda hizmetler ve uygulamalar arasında erişime yönelik bu dört önemli sorunun ele alınmasına yardımcı olur:
- Hangi kullanıcıların hangi kaynaklara erişimi olmalıdır?
- Bu kullanıcılar bu erişimle ne yapıyor?
- Erişimi yönetmek için kurumsal denetimler var mı?
- Denetçiler denetimlerin etkili bir şekilde çalıştığını doğrulayabilir mi?
Microsoft Entra Kimlik Yönetimi ile çalışanlar, iş ortakları ve satıcılar için aşağıdaki senaryoları uygulayabilirsiniz:
- Kimlik yaşam döngüsü idaresi
- Erişim yaşam döngüsünü yönetme
- Yönetim için güvenli ayrıcalıklı erişim
Kimlik yaşam döngüsü
Kimlik İdaresi, kuruluşların üretkenlik arasında bir denge kurmasına yardımcı olur - Bir kişi, kuruluşuma katıldığında olduğu gibi ihtiyaç duyduğu kaynaklara ne kadar hızlı erişebilir? Ve güvenlik - Bu kişinin çalışma durumundaki değişiklikler gibi zaman içinde erişimleri nasıl değişmelidir? Kimlik yaşam döngüsü yönetimi, Kimlik İdaresi'nin temelini oluşturur ve uygun ölçekte etkili idare, uygulamalar için kimlik yaşam döngüsü yönetim altyapısının modernleştirilmesini gerektirir.
Birçok kuruluş için, çalışanlar ve diğer çalışanlar için kimlik yaşam döngüsü, söz konusu kişinin bir HCM (insan sermayesi yönetimi) veya İk sistemindeki temsiline bağlıdır. Kuruluşların, çalışanın 1. günde üretken olabilmesi için bu sistemden gelen sinyali temel alan yeni bir çalışan için kimlik oluşturma sürecini otomatikleştirmesi gerekir. Ayrıca kuruluşların, çalışan kuruluşa ayrıldığında bu kimliklerin ve erişimin kaldırıldığından emin olması gerekir.
Microsoft Entra Kimlik Yönetimi'de, aşağıdakileri kullanarak bu kişiler için kimlik yaşam döngüsünü otomatikleştirebilirsiniz:
- hem Active Directory hem de Microsoft Entra Id'de kullanıcı kimliklerini otomatik olarak korumak için Workday ve SuccessFactors'tan alma dahil olmak üzere kuruluşunuzun İk kaynaklarından gelen sağlama.
- yaşam döngüsü iş akışları , yeni bir çalışanın kuruluşta çalışmaya başlaması için zamanlanması gibi belirli önemli olaylarda çalışan iş akışı görevlerini otomatik hale getirmek için, kuruluşta bulundukları süre boyunca ve kuruluştaki durumlarını değiştirdiklerinden. Örneğin, bir iş akışı, yeni bir kullanıcının yöneticisine geçici erişim geçişi olan bir e-posta veya kullanıcıya ilk gününde bir hoş geldiniz e-postası gönderecek şekilde yapılandırılabilir.
- kullanıcının özniteliklerindeki değişikliklere bağlı olarak kullanıcının grup üyeliklerini, uygulama rollerini ve SharePoint site rollerini eklemek ve kaldırmak için yetkilendirme yönetiminde otomatik atama ilkeleri.
- kullanıcı sağlama , SCIM, LDAP ve SQL aracılığıyla yüzlerce bulut ve şirket içi uygulamaya bağlayıcılar içeren diğer uygulamalarda kullanıcı hesapları oluşturmak, güncelleştirmek ve kaldırmak için.
Kuruluşların işbirliği yapabilmeleri veya kaynaklara erişebilmeleri için iş ortakları, tedarikçiler ve diğer konuklar için ek kimliklere de ihtiyacı vardır.
Microsoft Entra Kimlik Yönetimi'da, aşağıdakilerden hangisini ve ne kadar süreyle erişmesi gerektiğini belirlemek için iş gruplarını etkinleştirebilirsiniz:
- kullanıcılarının kuruluşunuzun kaynaklarına erişim istemesine izin verilen diğer kuruluşları belirtebileceğiniz yetkilendirme yönetimi . Bu kullanıcıların isteği onaylandığında, yetkilendirme yönetimi tarafından kuruluşunuzun dizinine B2B konuğu olarak otomatik olarak eklenir ve uygun erişim atanır. Yetkilendirme yönetimi, erişim hakları sona erdiğinde veya iptal edildiğinde B2B konuk kullanıcısını kuruluşunuzun dizininden otomatik olarak kaldırır.
- zaten kuruluşunuzun dizininde bulunan mevcut konukların yinelenen gözden geçirmelerini otomatik hale getiren ve erişime gerek kalmadığında bu kullanıcıları kuruluşunuzun dizininden kaldıran erişim gözden geçirmeleri.
Daha fazla bilgi için bkz . Kimlik yaşam döngüsü yönetimi nedir?
Erişim yaşam döngüsü
Kuruluşların, bir kullanıcının kimliği oluşturulduğunda kullanıcı için başlangıçta sağlananların ötesinde erişimi yönetmek için bir işleme ihtiyacı vardır. Ayrıca, kurumsal kuruluşların erişim ilkesi ve denetimlerini sürekli olarak geliştirebilmeleri ve uygulayabilmeleri için verimli bir şekilde ölçeklenebilmeleri gerekir.
BT departmanları Microsoft Entra Kimlik Yönetimi kullanıcıların çeşitli kaynaklarda hangi erişim haklarına sahip olması gerektiğini ve görev ayrımı veya iş değişikliğinde erişimi kaldırma gibi hangi uygulama denetimlerinin gerekli olduğunu kurabilir. Microsoft Entra ID' nin yüzlerce bulut ve şirket içi uygulamasına bağlayıcıları vardır ve kuruluşunuzun AD gruplarına, diğer şirket içi dizinlere veya veritabanlarına dayanan, SAP dahil soap veya REST API'si olan ya da SCIM, SAML veya OpenID Bağlan gibi standartlar uygulayan diğer uygulamalarını tümleştirebilirsiniz. Bir kullanıcı bu uygulamalardan birinde oturum açmayı denediğinde, Microsoft Entra Id Koşullu Erişim ilkelerini zorunlu kılar. Örneğin, Koşullu Erişim ilkeleri, bir kullanım koşullarını görüntülemeyi ve kullanıcının uygulamaya erişmeden önce bu koşulları kabul ettiğinden emin olmayı içerebilir. Daha fazla bilgi için, uygulamalara erişimi idare etmek, uygulamaları tümleştirmek ve ilkeleri dağıtmak için kuruluş ilkeleri tanımlama da dahil olmak üzere ortamınızdaki uygulamalaraerişimi yönetme bölümüne bakın.
Uygulamalar ve gruplar arasındaki erişim değişiklikleri, öznitelik değişikliklerine göre otomatikleştirilebilir. Microsoft Entra yaşam döngüsü iş akışları ve Microsoft Entra yetkilendirme yönetimi , uygulamalara ve kaynaklara erişimin güncelleştirilmesi için kullanıcıları otomatik olarak gruplara veya erişim paketlerine ekler ve kaldırır. Kullanıcılar ayrıca kuruluş içindeki koşulları farklı gruplara değiştiğinde taşınabilir ve hatta tüm gruplardan veya erişim paketlerinden tamamen kaldırılabilir.
Daha önce şirket içi kimlik idaresi ürünü kullanan kuruluşlar, kuruluş rol modellerini Microsoft Entra Kimlik Yönetimi geçirebiliyor.
Ayrıca BT, erişim yönetimi kararlarını iş karar alıcılarına devredebilir. Örneğin, bir şirketin Avrupa'daki pazarlama uygulamasında gizli müşteri verilerine erişmek isteyen çalışanların yöneticilerinden, departman sorumlusundan veya kaynak sahibinden ve güvenlik riski sorumlusundan onay almaları gerekebilir. Yetkilendirme yönetimi , kullanıcıların grup ve ekip üyelikleri, uygulama rolleri ve SharePoint Online rollerinden oluşan paketler arasında nasıl erişim isteğinde bulunacaklarını tanımlamanızı ve erişim isteklerinde görev ayrımı denetimlerini zorunlu kılmanızı sağlar.
Kuruluşlar, şirket içi uygulamalar da dahil olmak üzere hangi konuk kullanıcıların erişimi olduğunu da denetleyebilir. Daha sonra bu erişim hakları, yeniden erişim onayı için yinelenen Microsoft Entra erişim gözden geçirmeleri kullanılarak düzenli olarak gözden geçirilebilir.
Ayrıcalıklı erişim yaşam döngüsü
Ayrıcalıklı erişimin idaresi, özellikle yönetici haklarıyla ilişkili kötüye kullanım olasılığının kuruluşa neden olabileceği göz önünde bulundurulduğunda modern Kimlik İdaresi'nin önemli bir parçasıdır. Yönetim haklarını üstlenen çalışanların, satıcıların ve yüklenicilerin hesaplarına ve ayrıcalıklı erişim haklarına tabi olması gerekir.
Microsoft Entra Privileged Identity Management (PIM), Microsoft Entra, Azure, diğer Microsoft Online Services ve diğer uygulamalar genelinde kaynaklar için erişim haklarının güvenliğini sağlamaya yönelik ek denetimler sağlar. Microsoft Entra PIM tarafından sağlanan tam zamanında erişim ve rol değişikliği uyarı özellikleri, çok faktörlü kimlik doğrulaması ve Koşullu Erişim'e ek olarak kuruluşunuzun kaynaklarının (dizin rolleri, Microsoft 365 rolleri, Azure kaynak rolleri ve grup üyelikleri) güvenliğini sağlamaya yardımcı olacak kapsamlı bir idare denetimleri kümesi sağlar. Diğer erişim biçimlerinde olduğu gibi, kuruluşlar da ayrıcalıklı yönetici rollerindeki tüm kullanıcılar için yinelenen erişimi yeniden onaylamayı yapılandırmak için erişim gözden geçirmelerini kullanabilir.
Lisans gereksinimleri
Bu özelliğin kullanılması için Microsoft Entra Kimlik Yönetimi lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz. lisanslamayla ilgili temel bilgileri Microsoft Entra Kimlik Yönetimi.
Başlarken
Kimlik idaresi için Microsoft Entra Id'yi yapılandırmadan önce Önkoşullar'a göz atın. Ardından yetkilendirme yönetimi, erişim gözden geçirmeleri, yaşam döngüsü iş akışları ve Privileged Identity Management'ı kullanmaya başlamak için Microsoft Entra yönetim merkezindeki İdare panosunu ziyaret edin.
Yetkilendirme yönetimindeki kaynaklara erişimi yönetme, bir onay işlemi aracılığıyla dış kullanıcıları Microsoft Entra Id'ye ekleme, uygulamalarınıza ve uygulamanın mevcut kullanıcılarına erişimi yönetme öğreticileri de vardır.
Her kuruluşun kendi benzersiz gereksinimleri olsa da, aşağıdaki yapılandırma kılavuzları Microsoft'un daha güvenli ve üretken bir iş gücü sağlamak için izlemenizi önerdiği temel ilkeleri de sağlar.
- Kaynak erişim yaşam döngüsünü yönetmek için bir erişim gözden geçirmesi dağıtımı planlama
- kimlik ve cihaz erişim yapılandırmalarını Sıfır Güven
- Ayrıcalıklı erişimin güvenliğini sağlama
Ayrıca dağıtımınızı planlamak veya ortamınızdaki uygulamalar ve diğer sistemlerle tümleştirmek için Microsoft'un hizmetlerinden ve tümleştirme iş ortaklarından biriyle etkileşim kurmak isteyebilirsiniz.
Kimlik İdaresi özellikleri hakkında geri bildiriminiz varsa geri bildiriminizi göndermek için Microsoft Entra yönetim merkezinde Geri bildiriminiz mi var? öğesini seçin. Ekip, geri bildirimlerinizi düzenli olarak inceler.
Otomasyon ile kimlik idaresi görevlerini basitleştirme
Bu kimlik idaresi özelliklerini kullanmaya başladıktan sonra yaygın kimlik idaresi senaryolarını kolayca otomatikleştirebilirsiniz. Aşağıdaki tabloda her senaryo için otomasyonu kullanmaya başlama gösterilmektedir:
| Otomatikleştirme senaryosu | Otomasyon kılavuzu |
|---|---|
| Çalışanlar için AD ve Microsoft Entra kullanıcı hesaplarını otomatik olarak oluşturma, güncelleştirme ve silme | Bulut İk'yi Microsoft Entra kullanıcı sağlamayı planlama |
| Üye kullanıcının özniteliklerindeki değişikliklere bağlı olarak bir grubun üyeliğini güncelleştirme | Dinamik grup oluşturma |
| Lisans atama | grup tabanlı lisanslama |
| Kullanıcının özniteliklerindeki değişikliklere bağlı olarak kullanıcının grup üyeliklerini, uygulama rollerini ve SharePoint site rollerini ekleme ve kaldırma | Yetkilendirme yönetiminde erişim paketi için otomatik atama ilkesi yapılandırma |
| Belirli bir tarihte kullanıcının grup üyeliklerini, uygulama rollerini ve SharePoint site rollerini ekleme ve kaldırma | Yetkilendirme yönetiminde erişim paketi için yaşam döngüsü ayarlarını yapılandırma |
| Kullanıcı erişim istediğinde veya aldığında veya erişim kaldırıldığında özel iş akışlarını çalıştırma | Yetkilendirme yönetiminde Logic Apps'i tetikleme |
| Microsoft gruplarında ve Teams'de düzenli olarak konuk üyeliklerinin incelenmesi ve reddedilen konuk üyeliklerinin kaldırılması | Erişim gözden geçirmesi oluşturma |
| Gözden geçiren tarafından reddedilen konuk hesaplarını kaldırma | Artık kaynak erişimi olmayan dış kullanıcıları gözden geçirme ve kaldırma |
| Erişim paketi ataması olmayan konuk hesaplarını kaldırma | Dış kullanıcıların yaşam döngüsünü yönetme |
| Kullanıcıları kendi dizinlerine veya veritabanlarına sahip şirket içi ve bulut uygulamalarına sağlama | Kullanıcı atamaları veya kapsam filtreleri ile otomatik kullanıcı sağlamayı yapılandırma |
| Diğer zamanlanmış görevler | Microsoft.Graph.Identity.Governance PowerShell modülü aracılığıyla Azure Otomasyonu ve Microsoft Graph ile kimlik idaresi görevlerini otomatikleştirme |
Ek - Kimlik İdaresi özelliklerinde yönetmek için en az ayrıcalıklı roller
Kimlik İdaresi'nde yönetim görevlerini gerçekleştirmek için en az ayrıcalıklı rolü kullanmak en iyi yöntemdir. Bu görevleri gerçekleştirmek için gerektiğinde bir rolü etkinleştirmek için Microsoft Entra PIM kullanmanızı öneririz. Kimlik İdaresi özelliklerini yapılandırmak için en az ayrıcalıklı dizin rolleri şunlardır:
| Özellik | En az ayrıcalıklı rol |
|---|---|
| Yetkilendirme yönetimi | Kimlik İdaresi Yönetici istrator |
| Erişim gözden geçirmeleri | Kullanıcı Yönetici(Ayrıcalıklı Rol Yönetici istrator gerektiren Azure veya Microsoft Entra rollerinin erişim gözden geçirmeleri dışında) |
| Privileged Identity Management | Ayrıcalıklı Rol Yöneticisi |
| Kullanım koşulları | Güvenlik Yönetici istrator veya Koşullu Erişim Yönetici istrator |
Not
Yetkilendirme yönetimi için en az ayrıcalıklı rol, Kullanıcı Yönetici istrator rolünden Kimlik İdaresi Yönetici istrator rolüne değiştirildi.