PIM'de Azure kaynağının ve Microsoft Entra rollerinin erişim gözden geçirmesini oluşturma
Kullanıcılarınız tarafından ayrıcalıklı Azure kaynağına ve Microsoft Entra rollerine erişim gereksinimi zaman içinde değişir. Eski rol atamalarıyla ilişkili riski azaltmak için erişimi düzenli olarak gözden geçirmeniz gerekir. Azure kaynağına ve Microsoft Entra rollerine ayrıcalıklı erişim için erişim gözden geçirmeleri oluşturmak için Microsoft Entra Privileged Identity Management'ı (PIM) kullanabilirsiniz. Ayrıca otomatik olarak yinelenen erişim gözden geçirmeleri de yapılandırabilirsiniz. Bu makalede, bir veya birden fazla erişim gözden geçirmesi oluşturma işlemi açıklanır.
Önkoşullar
Privileged Identity Management'ın kullanılması için lisans gerekir. Lisanslama hakkında daha fazla bilgi için bkz. Microsoft Entra Kimlik Yönetimi lisanslama temelleri .
PIM lisansları hakkında daha fazla bilgi için bkz . Privileged Identity Management'ı kullanmak için lisans gereksinimleri.
Azure kaynakları için erişim gözden geçirmeleri oluşturmak için, Azure kaynakları için Sahip veya Kullanıcı Erişimi Yönetici istrator rolüne atanmalısınız. Microsoft Entra rolleri için erişim gözden geçirmeleri oluşturmak için size en azından Ayrıcalıklı Rol Yönetici istrator rolü atanmalıdır.
Hizmet Sorumluları için Erişim Gözden Geçirmeleri'nin kullanılması, Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi lisansına ek olarak Microsoft Entra İş Yükü Kimliği Premium planı gerektirir.
- İş Yükü Kimlikleri Premium lisansı: Microsoft Entra yönetim merkezindeki İş Yükü Kimlikleri dikey penceresinde lisansları görüntüleyebilir ve alabilirsiniz.
Not
Access gözden geçirmeleri, her gözden geçirme örneğinin başında erişimin anlık görüntüsünü yakalar. Gözden geçirme işlemi sırasında yapılan değişiklikler sonraki gözden geçirme döngüsüne yansıtılır. Temelde, her yeni yinelenmenin başlamasıyla, kullanıcılarla ilgili ilgili veriler, gözden geçirilen kaynaklar ve ilgili gözden geçirenler alınır.
Erişim gözden geçirmeleri oluşturma
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Microsoft Entra yönetim merkezinde önkoşul rollerinden birine atanmış bir kullanıcı olarak oturum açın.
Kimlik idaresi>Privileged Identity Management'a göz atın.
Microsoft Entra rolleri için Microsoft Entra rolleri'ne tıklayın. Azure kaynakları için Azure kaynakları'yı seçin
Microsoft Entra rolleri için Yönet'in altında Microsoft Entra rollerini yeniden seçin. Azure kaynakları için yönetmek istediğiniz aboneliği seçin.
Yönet'in altında Access gözden geçirmeleri'ni ve ardından Yeni'yi seçerek yeni bir erişim gözden geçirmesi oluşturun.
Erişim gözden geçirmesini adlandırın. İsteğe bağlı olarak incelemeye bir açıklama verin. Ad ve açıklama gözden geçirenlere gösterilir.
Başlangıç tarihini ayarlayın. Varsayılan olarak, erişim gözden geçirmesi bir kez gerçekleşir, oluşturulduğu anda başlar ve bir ay içinde biter. Başlangıç ve bitiş tarihlerini, gelecekte ve istediğiniz kadar gün içinde bir erişim gözden geçirmesi başlatacak şekilde değiştirebilirsiniz.
Erişim gözden geçirmesinin yinelenen olmasını sağlamak için Sıklık ayarını Bir kez olan Haftalık, Aylık, Üç Aylık, Yıllık veya Altı aylık olarak değiştirin. Yinelenen serinin her gözden geçirmesinin gözden geçirenlerin girişi için kaç gün açık olacağını tanımlamak için Süre kaydırıcısını veya metin kutusunu kullanın. Örneğin, örtüşen incelemeleri önlemek için aylık gözden geçirme için ayarlayabileceğiniz maksimum süre 27 gündür.
Yinelenen erişim gözden geçirme serisinin nasıl sonlandırılacağını belirtmek için Bitiş ayarını kullanın. Seri üç yolla sona erebilir: belirli bir tarihe kadar veya tanımlı sayıda oluşum tamamlandıktan sonra sürekli olarak çalıştırılır ve gözden geçirmeleri süresiz olarak başlatır. Siz veya gözden geçirmeleri yönetebilen başka bir yönetici, Ayarlar'daki tarihi değiştirerek seriyi o tarihte sona erecek şekilde oluşturabilirsiniz.
Kullanıcı Kapsamı bölümünde incelemenin kapsamını seçin. Microsoft Entra rolleri için ilk kapsam seçeneği Kullanıcılar ve Gruplar'dır. Doğrudan atanan kullanıcılar ve rol atanabilir gruplar bu seçime dahil edilir. Azure kaynak rolleri için ilk kapsam Kullanıcılar'dır. Azure kaynak rollerine atanan gruplar, bu seçimle birlikte gözden geçirmede geçişli kullanıcı atamalarını görüntüleyecek şekilde genişletilir. Azure kaynağına veya Microsoft Entra rolüne doğrudan erişimi olan makine hesaplarını gözden geçirmek için Hizmet Sorumluları'nı da seçebilirsiniz.
Ya da yalnızca etkin olmayan kullanıcılar için erişim gözden geçirmeleri oluşturabilirsiniz. Kullanıcılar kapsamı bölümünde, Etkin Olmayan kullanıcıları (kiracı düzeyinde) yalnızca true olarak ayarlayın. İki durumlu düğme true olarak ayarlanırsa, gözden geçirmenin kapsamı yalnızca etkin olmayan kullanıcılara odaklanır. Ardından 730 güne (iki yıl) kadar etkin olmayan gün sayısıyla Etkin olmayan günler'i belirtin. Belirtilen gün sayısı için etkin olmayan kullanıcılar, gözden geçirmedeki tek kullanıcılar olacaktır.
Rol üyeliğini gözden geçir'in altında, gözden geçirilmesi gereken ayrıcalıklı Azure kaynağını veya Microsoft Entra rollerini seçin.
Not
Birden fazla rol seçildiğinde birden çok erişim gözden geçirmesi oluşturulur. Örneğin, beş rol seçildiğinde beş ayrı erişim gözden geçirmesi oluşturulur.
Atama türünde, gözden geçirmenin kapsamını sorumlunun role nasıl atandığıyla belirleyin. Yalnızca uygun ödevleri gözden geçirmek için (gözden geçirme oluşturulduğunda etkinleştirme durumundan bağımsız olarak) veya yalnızca etkin atamaları gözden geçirmek için etkin atamaları seçin. Türe bakılmaksızın tüm ödevleri gözden geçirmek için tüm etkin ve uygun ödevleri seçin.
Gözden Geçirenler bölümünde bir veya daha fazla kişiyi seçerek tüm kullanıcıları gözden geçirin. İsterseniz üyelerin kendi erişimlerini gözden geçirmesini de seçebilirsiniz.
- Seçili kullanıcılar - Gözden geçirmeyi tamamlamak üzere belirli bir kullanıcıyı seçmek için bu seçeneği kullanın. Bu seçenek, gözden geçirmenin kapsamı ne olursa olsun kullanılabilir ve seçilen gözden geçirenler kullanıcıları, grupları ve hizmet sorumlularını gözden geçirebilir.
- Üyeler (kendi kendine) - Kullanıcıların kendi rol atamalarını gözden geçirmesini sağlamak için bu seçeneği kullanın. Bu seçenek yalnızca gözden geçirmenin kapsamı Kullanıcılar ve Gruplar veya Kullanıcılar olarak belirlenmişse kullanılabilir. Microsoft Entra rolleri için, bu seçenek belirlendiğinde rol atanabilir gruplar gözden geçirmenin bir parçası olmayacaktır.
- Yönetici – Kullanıcının yöneticisinin rol atamasını gözden geçirmesini sağlamak için bu seçeneği kullanın. Bu seçenek yalnızca gözden geçirmenin kapsamı Kullanıcılar ve Gruplar veya Kullanıcılar olarak belirlenmişse kullanılabilir. Yönetici'yi seçtikten sonra, bir geri dönüş gözden geçireni belirtme seçeneğiniz de olur. Geri dönüş gözden geçirenlerden, kullanıcının dizinde belirtilen yöneticisi olmadığında kullanıcıyı gözden geçirmeleri istenir. Microsoft Entra rolleri için rol atanabilir gruplar seçilirse geri dönüş gözden geçiren tarafından gözden geçirilir.
Tamamlandıktan sonra ayarları
Gözden geçirme tamamlandıktan sonra ne olacağını belirtmek için Tamamlandıktan sonra ayarları bölümünü genişletin.
Reddedilen kullanıcıların erişimini otomatik olarak kaldırmak istiyorsanız Sonuçları kaynağa otomatik olarak uygula seçeneğini Etkinleştir olarak ayarlayın. Gözden geçirme tamamlandığında sonuçları el ile uygulamak istiyorsanız, anahtarı Devre Dışı Bırak olarak ayarlayın.
Gözden geçirme dönemi içinde gözden geçiren tarafından gözden geçirilmeyen kullanıcılar için ne olacağını belirtmek için Gözden geçiren yanıt vermiyorsa listesini kullanın. Bu ayar gözden geçirenler tarafından gözden geçirilmiş kullanıcıları etkilemez.
- Değişiklik yok - Kullanıcının erişimini değiştirmeden bırakın
- Erişimi kaldırma - Kullanıcının erişimini kaldırma
- Erişimi onaylama - Kullanıcının erişimini onaylama
- Öneriler alma - Kullanıcının sürekli erişimini reddetme veya onaylama konusunda sistemin önerisini alın
Reddedilen konuk kullanıcılara ne olacağını belirtmek için Eylem'i kullanarak reddedilen konuk kullanıcılar listesine uygulayın. Bu ayar şu anda Microsoft Entra Id ve Azure kaynak rolü gözden geçirmeleri için düzenlenemez; tüm kullanıcılar gibi konuk kullanıcılar da reddedilirse kaynağa erişimi her zaman kaybeder.
Gözden geçirme tamamlama güncelleştirmelerini almak için ek kullanıcılara veya gruplara bildirim gönderebilirsiniz. Bu özellik, gözden geçirme oluşturucusu dışındaki paydaşların incelemenin ilerleme durumuyla ilgili olarak güncelleştirilmesini sağlar. Bu özelliği kullanmak için Kullanıcı veya Grup Seç'i seçin ve tamamlanma durumunu almak istediğiniz ek bir kullanıcı veya grup ekleyin.
Gelişmiş ayarlar
Ek ayarlar belirtmek için Gelişmiş ayarlar bölümünü genişletin.
Gözden geçirenlere kullanıcının erişim bilgilerini temel alan sistem önerilerini göstermek için Önerileri göster seçeneğini Etkinleştir olarak ayarlayın. Öneriler 30 günlük bir aralık dönemini temel alır. Son 30 gün içinde oturum açmış kullanıcılar önerilen erişim onayıyla gösterilirken, oturum açmamış kullanıcılar önerilen erişim reddiyle gösterilir. Bu oturum açma işlemleri etkileşimli olup olmadıklarından bağımsızdır. Kullanıcının son oturum açma işlemi de öneriyle birlikte görüntülenir.
Gözden geçirenin onay için bir neden sağlamasını zorunlu kılmak için Onayda neden iste seçeneğini Etkinleştir olarak ayarlayın.
Microsoft Entra ID'nin, bir erişim gözden geçirmesi başlatıldığında gözden geçirenlere ve bir gözden geçirme tamamlandığında yöneticilere varsayılan olarak e-posta bildirimi göndermesini sağlamak için Posta bildirimleri’ni Etkin olarak ayarlayın.
Microsoft Entra ID’nin gözden geçirme işlemini tamamlamayan gözden geçirenlere devam eden erişim gözden geçirmeleriyle ilgili anımsatıcı göndermesini sağlamak için Anımsatıcılar’ı Etkin olarak ayarlayın.
Gözden geçirenlere gönderilen e-postanın içeriği, gözden geçirme adı, kaynak adı, son tarih gibi gözden geçirme ayrıntılarına göre otomatik olarak oluşturulur. Ek yönergeler veya iletişim bilgileri gibi ek bilgileri iletmenin bir yoluna ihtiyacınız varsa, bu ayrıntıları, atanan gözden geçirenlere gönderilen davet ve anımsatıcı e-postalarına eklenecek Gözden geçiren e-postası için ek içerik bölümünde belirtebilirsiniz. Aşağıda vurgulanan bölüm, bu bilgilerin görüntüleneceği yerdir.
Erişim gözden geçirmesini yönetme
Gözden geçirenler gözden geçirmelerini tamamladıkça ilerleme durumunu erişim gözden geçirmesinin Genel Bakış sayfasından izleyebilirsiniz. Gözden geçirme tamamlanana kadar dizinde hiçbir erişim hakkı değiştirilmez. Aşağıda Azure kaynakları ve Microsoft Entra rolleri erişim gözden geçirmeleri için genel bakış sayfasını gösteren bir ekran görüntüsü yer almaktadır.
Bu tek seferlik bir gözden geçirmeyse, erişim gözden geçirme süresi sona erdikten veya yönetici erişim gözden geçirmesini durdurduktan sonra, sonuçları görmek ve uygulamak için Azure kaynağının ve Microsoft Entra rollerinin erişim gözden geçirmesini tamamlama bölümündeki adımları izleyin.
Bir dizi erişim gözden geçirmesini yönetmek için erişim gözden geçirmesine gidin; Zamanlanmış incelemelerde yaklaşan oluşumları bulur ve bitiş tarihini düzenler veya gözden geçirenleri buna göre ekler/kaldırırsınız.
Tamamlandıktan sonra ayarlarındaki seçimlerinize bağlı olarak, otomatik uygulama incelemenin bitiş tarihinden sonra veya gözden geçirmeyi el ile durdurduğunuzda yürütülür. Gözden geçirmenin durumu Tamamlandı durumundan Uygulama gibi ara durumlara ve son olarak Da uygulandı durumuna geçer. Reddedilen kullanıcıların (varsa) birkaç dakika içinde rollerden kaldırıldığını görmeyi beklemeniz gerekir.
Erişim gözden geçirmelerinde Microsoft Entra rollerine ve Azure kaynak rollerine atanan grupların etkisi
• Microsoft Entra rolleri için rol atanabilir gruplar rol atanabilir gruplar kullanılarak role atanabilir. Rol atanabilir gruplar atanmış bir Microsoft Entra rolünde bir gözden geçirme oluşturulduğunda, grup adı grup üyeliğini genişletmeden gözden geçirmede gösterilir. Gözden geçiren, tüm grubun role erişimini onaylayabilir veya reddedebilir. Reddedilen gruplar, gözden geçirme sonuçları uygulandığında rol atamalarını kaybeder.
• Azure kaynak rolleri için herhangi bir güvenlik grubu role atanabilir. Güvenlik grubu atanmış bir Azure kaynak rolünde bir gözden geçirme oluşturulduğunda, bu güvenlik grubuna atanan kullanıcılar tamamen genişletilir ve rolü gözden geçirene gösterilir. Gözden geçiren, güvenlik grubu aracılığıyla role atanmış bir kullanıcıyı reddederse, kullanıcı gruptan kaldırılmaz. Bunun nedeni, bir grubun diğer Azure kaynaklarıyla veya Azure dışı kaynaklarla paylaşılmış olmasıdır. Bu nedenle, reddedilen erişimden kaynaklanan değişiklikler yönetici tarafından yapılmalıdır.
Not
Bir güvenlik grubunun kendisine atanmış başka gruplar olması mümkündür. Bu durumda, rolün gözden geçirilmesinde yalnızca doğrudan role atanan güvenlik grubuna atanan kullanıcılar görünür.
Erişim gözden geçirmesini güncelleştirme
Bir veya daha fazla erişim gözden geçirmesi başlatıldıktan sonra, mevcut erişim gözden geçirmelerinizin ayarlarını değiştirmek veya güncelleştirmek isteyebilirsiniz. Dikkate almak isteyebileceğiniz bazı yaygın senaryolar şunlardır:
Gözden geçirenleri ekleme ve kaldırma - Erişim gözden geçirmelerini güncelleştirirken, birincil gözden geçirene ek olarak bir geri dönüş gözden geçireni de eklemeyi seçebilirsiniz. Erişim gözden geçirmesi güncelleştirilirken birincil gözden geçirenler kaldırılabilir. Ancak, geri dönüş gözden geçirenler tasarım gereği çıkarılabilir değildir.
Not
Geri dönüş gözden geçirenler yalnızca gözden geçiren türü yönetici olduğunda eklenebilir. Gözden geçiren türü seçili kullanıcı olduğunda birincil gözden geçirenler eklenebilir.
Gözden geçirenlere anımsatma - Erişim gözden geçirmelerini güncelleştirirken, Gelişmiş Ayarlar altındaki anımsatıcı seçeneğini etkinleştirmeyi seçebilirsiniz. Etkinleştirildikten sonra, kullanıcılar gözden geçirmeyi tamamlayıp tamamlamadıklarına bakılmaksızın gözden geçirme döneminin ortasında bir e-posta bildirimi alır.
Ayarları güncelleştirme - Erişim gözden geçirmesi yineleniyorsa, "Geçerli" ve "Seriler" altında ayrı ayarlar vardır. "Geçerli" altındaki ayarların güncelleştirilmesi yalnızca geçerli erişim gözden geçirmesine değişiklik uygularken "Seriler" altındaki ayarlar gelecekteki tüm yinelemeler için ayarı güncelleştirir.