Bir uygulamaya erişimi yönetme
Bir uygulama kuruluşunuzun kimlik sistemiyle tümleştirildikten sonra sürekli erişim yönetimi, kullanım değerlendirmesi ve raporlama zor olmaya devam eder. Çoğu durumda, BT Yönetici istrator'ların veya yardım masasının uygulamalarınıza erişimi yönetmede sürekli etkin bir rol alması gerekir. Bazen atama, genel veya bölüm bt ekibi tarafından gerçekleştirilir. Genellikle atama kararının, BT'nin atamayı yapmadan önce onayını gerektiren iş karar alıcısına devredilmesi amaçlanır.
Diğer kuruluşlar, Rol Tabanlı Erişim Denetimi (RBAC) veya Öznitelik Tabanlı Erişim Denetimi (ABAC) gibi mevcut bir otomatik kimlik ve erişim yönetimi sistemiyle tümleştirmeye yatırım yapar. Hem tümleştirme hem de kural geliştirme özel ve pahalı olma eğilimindedir. Her iki yönetim yaklaşımını da izlemek veya raporlamak kendi ayrı, maliyetli ve karmaşık bir yatırımdır.
Microsoft Entra Id nasıl yardımcı olur?
Microsoft Entra ID, yapılandırılmış uygulamalar için kapsamlı erişim yönetimini destekleyerek kuruluşların temsilci seçme ve yönetici yönetimi dahil olmak üzere otomatik, öznitelik tabanlı atamadan (ABAC veya RBAC senaryoları) kadar doğru erişim ilkelerine kolayca ulaşmasını sağlar. Microsoft Entra ID ile tek bir uygulama için birden çok yönetim modelini bir araya getirerek kolayca karmaşık ilkeler elde edebilir ve hatta yönetim kurallarını aynı hedef kitleye sahip uygulamalar arasında yeniden kullanabilirsiniz.
Microsoft Entra Kimliği ile kullanım ve atama raporlama tamamen tümleşiktir ve yöneticilerin atama durumunu, atama hatalarını ve hatta kullanımı kolayca raporlamasına olanak tanır.
Uygulamaya kullanıcı ve grup atama
Microsoft Entra uygulama ataması iki birincil atama moduna odaklanır:
Tek tek atama Dizin Genel Yönetici istrator izinlerine sahip bir BT yöneticisi tek tek kullanıcı hesaplarını seçebilir ve onlara uygulamaya erişim izni verebilir.
Grup tabanlı atama (Microsoft Entra Id P1 veya P2 gerektirir) Dizin Genel Yönetici istrator izinlerine sahip bir BT yöneticisi uygulamaya bir grup atayabilir. Belirli kullanıcıların erişimi, uygulamaya erişmeye çalıştıkları sırada grubun üyesi olup olmadıklarına göre belirlenir. Başka bir deyişle, yönetici etkili bir şekilde "atanan grubun herhangi bir geçerli üyesinin uygulamaya erişimi var" şeklinde bir atama kuralı oluşturabilir. Yöneticiler bu atama seçeneğini kullanarak, öznitelik tabanlı dinamik gruplar, dış sistem grupları (örneğin, şirket içi Active Directory veya Workday) ya da Yönetici istrator tarafından yönetilen veya self servis yönetilen gruplar gibi Microsoft Entra grup yönetimi seçeneklerinden yararlanabilir. Tek bir grup birden çok uygulamaya kolayca atanabilir ve atama benzimi olan uygulamaların atama kurallarını paylaşabilmesini sağlayarak genel yönetim karmaşıklığını azaltır.
Not
İç içe grup üyelikleri şu anda uygulamalara grup tabanlı atama için desteklenmemektedir.
Yöneticiler bu iki atama modunu kullanarak istenen atama yönetimi yaklaşımını elde edebilir.
Uygulama için kullanıcı ataması gerektirme
Belirli uygulama türlerinde, kullanıcıların uygulamaya atanmalarını zorunlu bırakma seçeneğiniz vardır. Bunu yaptığınızda, uygulamaya açıkça atadığınız kullanıcılar dışında herkesin oturum açmasını engellersiniz. Aşağıdaki uygulama türleri bu seçeneği destekler:
- SAML tabanlı kimlik doğrulaması ile federasyon çoklu oturum açma (SSO) için yapılandırılmış uygulamalar
- Microsoft Entra Ön Kimlik Doğrulaması kullanan uygulamaları Uygulama Ara Sunucusu
- Bir kullanıcı veya yönetici bu uygulamaya onay verdikten sonra OAuth 2.0 / OpenID Connect Kimlik Doğrulaması kullanan Microsoft Entra uygulama platformunda oluşturulan uygulamalar. Bazı kurumsal uygulamalar, kimlerin oturum açmasına izin verildiğinde daha fazla denetim sunar.
Kullanıcı ataması gerekli olduğunda yalnızca uygulamaya atadığınız (doğrudan kullanıcı ataması veya grup üyeliği tabanlı atama ile) kullanıcılar oturum açabilir. Uygulamaya Uygulamalarım portalından veya doğrudan bağlantı kullanarak erişebilirler.
Kullanıcı ataması gerekli olmadığında, atanmamış kullanıcılar uygulamayı Uygulamalarım görmez, ancak yine de uygulamanın kendisinde (SP ile başlatılan oturum açma olarak da bilinir) oturum açabilirler veya uygulamanın Özellikler sayfasında (IDP tarafından başlatılan oturum açma olarak da bilinir) Kullanıcı Erişimi URL'sini kullanabilirler. Kullanıcı atama yapılandırmalarını gerektirme hakkında daha fazla bilgi için bkz. Uygulama yapılandırma
Bu ayar, Uygulamalarım bir uygulamanın görünüp görünmediğini etkilemez. Uygulamaya bir kullanıcı veya grup atadıktan sonra uygulamalar kullanıcıların Uygulamalarım erişim panellerinde görünür.
Not
Bir uygulama atama gerektirdiğinde, bu uygulama için kullanıcı onayına izin verilmez. Bu, kullanıcıların söz konusu uygulama için onay vermelerine izin verildiğinde de geçerlidir. Atama gerektiren uygulamalara kiracı genelinde yönetici onayı verdiğinizden emin olun.
Bazı uygulamalarda, kullanıcı ataması gerektirme seçeneği uygulamanın özelliklerinde kullanılamaz. Bu gibi durumlarda, hizmet sorumlusunda appRoleAssignmentRequired özelliğini ayarlamak için PowerShell'i kullanabilirsiniz.
Uygulamalara erişmek için kullanıcı deneyimini belirleme
Microsoft Entra ID, kuruluşunuzdaki son kullanıcılara uygulama dağıtmak için çeşitli özelleştirilebilir yollar sağlar:
- Microsoft Entra Uygulamalarım
- Microsoft 365 uygulama başlatıcısı
- Federasyon uygulamalarına doğrudan oturum açma (service-pr)
- Birleştirilmiş, parola tabanlı veya var olan uygulamalara yönelik ayrıntılı bağlantılar
Kurumsal uygulamaya atanan kullanıcıların bunu Uygulamalarım ve Microsoft 365 uygulama başlatıcısında görüp göremeyeceğini belirleyebilirsiniz.
Örnek: Microsoft Entra Id ile karmaşık uygulama ataması
Salesforce gibi bir uygulamayı düşünün. Birçok kuruluşta Salesforce öncelikli olarak pazarlama ve satış ekipleri tarafından kullanılır. Genellikle pazarlama ekibinin üyeleri Salesforce'a yüksek ayrıcalıklı erişime sahipken, satış ekibinin üyeleri sınırlı erişime sahiptir. Çoğu durumda, bilgi çalışanlarının geniş bir nüfusu uygulamaya erişimi kısıtlamıştır. Bu kuralların özel durumları, konuları karmaşıklaştırır. Genellikle pazarlama veya satış liderliği ekiplerinin bir kullanıcıya erişim izni vermesi veya bu genel kurallardan bağımsız olarak rollerini değiştirmesi gerekir.
Microsoft Entra Id ile Salesforce gibi uygulamalar çoklu oturum açma (SSO) ve otomatik sağlama için önceden yapılandırılabilir. Uygulama yapılandırıldıktan sonra, bir Yönetici istrator uygun grupları oluşturmak ve atamak için tek seferlik eylem gerçekleştirebilir. Bu örnekte, bir yönetici aşağıdaki atamaları yürütebilir:
Dinamik gruplar , departman veya rol gibi öznitelikler kullanılarak pazarlama ve satış ekiplerinin tüm üyelerini otomatik olarak temsil etmek için tanımlanabilir:
- Pazarlama gruplarının tüm üyeleri Salesforce'taki "pazarlama" rolüne atanabilir
- Satış ekibi gruplarının tüm üyeleri Salesforce'taki "satış" rolüne atanabilir. Daha fazla geliştirme, farklı Salesforce rollerine atanan bölgesel satış ekiplerini temsil eden birden çok grup kullanabilir.
Özel durum mekanizmasını etkinleştirmek için her rol için bir self servis grubu oluşturulabilir. Örneğin, "Salesforce pazarlama özel durumu" grubu self servis grubu olarak oluşturulabilir. Grup Salesforce pazarlama rolüne atanabilir ve pazarlama liderliği ekibi sahibi yapılabilir. Pazarlama liderliği ekibinin üyeleri kullanıcıları ekleyebilir veya kaldırabilir, bir katılma ilkesi ayarlayabilir, hatta tek tek kullanıcıların katılma isteklerini onaylayabilir veya reddedebilir. Bu mekanizma, sahipler veya üyeler için özel eğitim gerektirmeyen uygun bir bilgi çalışanı deneyimi aracılığıyla desteklenir.
Bu durumda, atanan tüm kullanıcılar Salesforce'a otomatik olarak sağlanır. Farklı gruplara eklendiklerinde rol atamaları Salesforce'ta güncelleştirilecektir. Kullanıcılar salesforce'Uygulamalarım, Office web istemcileri aracılığıyla veya kurumsal Salesforce oturum açma sayfasına giderek Salesforce'a erişebilir. Yönetici istrator'lar Microsoft Entra ID raporlamayı kullanarak kullanımı ve atama durumunu kolayca görüntüleyebilir.
Yönetici istrator'lar Belirli roller için erişim ilkeleri ayarlamak için Microsoft Entra Koşullu Erişim. Bu ilkeler, şirket ortamı dışında erişime izin verilip verilmeyeceğini ve hatta çeşitli durumlarda erişim elde etmek için çok faktörlü kimlik doğrulaması veya cihaz gereksinimlerini içerebilir.
Microsoft uygulamalarına erişim
Microsoft Uygulamaları (Exchange, SharePoint, Yammer vb.) üçüncü taraf SaaS uygulamalarından veya çoklu oturum açma için Microsoft Entra Id ile tümleştirdiğiniz diğer uygulamalardan biraz farklı atanır ve yönetilir.
Bir kullanıcının Microsoft tarafından yayımlanan bir uygulamaya erişmenin üç ana yolu vardır.
Microsoft 365 veya diğer ücretli paketlerdeki uygulamalar için kullanıcılara lisans ataması yoluyla doğrudan kullanıcı hesaplarına veya grup tabanlı lisans atama özelliğimizi kullanan bir grup üzerinden erişim verilir.
Microsoft'un veya üçüncü bir tarafın herkesin kullanması için serbestçe yayımladığını uygulamalar için kullanıcılara kullanıcı onayı aracılığıyla erişim izni verilebilir. Kullanıcılar, Microsoft Entra iş veya okul hesaplarıyla uygulamada oturum açar ve hesaplarındaki bazı sınırlı veri kümesine erişmesine izin verir.
Microsoft'un veya üçüncü bir tarafın herkesin kullanması için serbestçe yayımladığını uygulamalar için, kullanıcılara yönetici onayı aracılığıyla da erişim izni verilebilir. Bu, yöneticinin uygulamanın kuruluştaki herkes tarafından kullanılabileceğini belirlediği anlamına gelir, bu nedenle uygulamada Genel Yönetici istrator hesabıyla oturum açar ve kuruluştaki herkese erişim verir.
Bazı uygulamalar bu yöntemleri birleştirir. Örneğin, bazı Microsoft uygulamaları bir Microsoft 365 aboneliğinin parçasıdır ancak yine de onay gerektirir.
Kullanıcılar, Office 365 portalları aracılığıyla Microsoft 365 uygulamalarına erişebilir. Ayrıca, dizininizin Kullanıcı ayarlarında Office 365 görünürlük düğmesiyle microsoft 365 uygulamalarını Uygulamalarım gösterebilir veya gizleyebilirsiniz.
Kurumsal uygulamalarda olduğu gibi, kullanıcıları Microsoft Entra yönetim merkezi aracılığıyla veya PowerShell kullanarak belirli Microsoft uygulamalarına atayabilirsiniz.