Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ajan kimliklerinin kullanıma sunulması, kuruluşlarda yapay zeka destekli ajanların artmasıyla yönlendirilmektedir. Geleneksel kimlik türleri (standart uygulama kayıtları veya kullanıcı hesapları gibi) otonom aracılar için ideal değildir. Yapay zeka aracılarının benzersiz güvenlik endişeleri vardır çünkü otonom karar alma, dinamik öğrenme özellikleri ve hassas verilere erişme olasılığı öngörülemeyen davranışlar ortaya çıkarabiliyor.
Bu boşluğu doldurmak için Microsoft Entra Aracısı Kimliği oluşturuldu. Microsoft Entra ID platformunda oluşturulan bu platform, yapay zeka aracıları için hizmetlere ve API'lere güvenli bir şekilde erişmelerini sağlarken yöneticilerin eylemlerini izlemeleri ve denetlemeleri için merkezi bir yol sağlayan özel bir kimlik doğrulaması ve yetkilendirme çerçevesi sağlar. Kısacası aracı kimlikleri, kuruluşların aracıları tam kullanıcı veya genel uygulamalar olarak işlemek yerine uygun ilke zorlamasıyla kiracıda çalışan yapay zeka aracılarını bulmasına, yönetmesine ve güvenliğini sağlamasına olanak sağlar.
Bu makalede roller, izin denetimleri ve aracı erişimini yönetmeye yönelik en iyi yöntemler hakkında bilgi vererek Microsoft Entra Aracı Kimliği'deki yetkilendirmenin yapay zeka aracıları için nasıl çalıştığı açıklanmaktadır.
Aracı kimliği yetkilendirmesi neden önemlidir?
Yapay zeka aracıları görevleri hızlı ve uygun ölçekte yürütebilir. Microsoft Entra ID'deki birçok yüksek ayrıcalıklı kapasitenin (örneğin, kullanıcıları veya rolleri yönetme yeteneği), dikkatli niyetle hareket eden bir insan yöneticiye ihtiyaç duyduğu varsayılır. Yüksek ayrıcalıklara sahip serbest bir aracı, kullanıcıları silme veya güvenlik ayarlarını değiştirme gibi, önemli sonuçlarla beklenmeyen yönetim görevleri gerçekleştirebilir.
Bu nedenle, Microsoft Entra Id aracı kimliklerinin yapabileceklerini sınırlar. Örneğin, Microsoft Entra aracılara birçok yüksek ayrıcalıklı rol veya izin verilmesini engeller. Kullanıcıların ve yöneticilerin bir aracı için bu güçlü izinleri onaylamasına izin verilmez. Bu tasarım, aracıların en az ayrıcalıkla çalışması gerektiğini tanır. Sistem, aracıların hassas ayrıcalıklar almasını önleyerek yapay zeka aracısının erişimi yükseltme riskini en aza indirir. İzin verilen roller ve izinler listesi zaman içinde gelişir.
Ajan kimlikleri için Microsoft Entra rol atamaları
Yetkilendirme açısından bakıldığında, aracı kimliği bir uygulama veya ek güvenlik önlemlerine sahip bir kullanıcı gibi davranır. Her aracı kimliği, Microsoft Entra Id'de bir hizmet sorumlusuna veya kullanıcıya sahiptir ve belirli Microsoft Entra rollerine atanabilir.
Örneğin, bir temsilcinin kimliğine yönetici ayrıcalıkları vermek için bir Microsoft Entra rolü atanabilir, ancak birçok yüksek ayrıcalıklı dizin rolü temsilciler için engellenmiştir. Genel Yönetici, Ayrıcalıklı Rol Yöneticisi veya Kullanıcı Yöneticisi gibi roller aracı kimliklerine atanamaz. Bir aracıya yalnızca daha düşük ayrıcalıklı roller (okuyucu rolü gibi) atanabilir. Aracı kimliklerine herhangi bir özel rol atayamazsınız. Ayrıca, temsilci kimlikleri rol atanabilir grupların üyesi olamaz.
Microsoft, aracıları yönetmek ve oluşturmak için Aracı Kimliği Yöneticisi ve Aracı Kimliği Geliştirici rollerini oluşturmuştur.
Aracılar için izin verilen Microsoft Entra rolleri
Aşağıda, aracı kimliklerine atanabilen Microsoft Entra rolleri listelenmiştir:
- Yapay Zeka Yöneticisi
- Saldırı Yükü Yazarı
- Saldırı Benzetimi Yöneticisi
- Özellik Atama Aracı
- Öznitelik Tanımı Okuyucusu
- Öznitelik Günlüğü Yöneticisi
- Öznitelik Günlüğü Okuyucusu
- Azure DevOps Yöneticisi
- Azure Information Protection Yöneticisi
- B2C IEF Politika Yöneticisi
- Faturalama Yöneticisi
- Bulut Uygulamaları Güvenliği Yöneticisi
- Uyumluluk Yöneticisi
- Uyumluluk Veri Yöneticisi
- Müşteri LockBox Erişim Onaycı
- Masaüstü Analizi Yöneticisi
- Dizin Okuyucuları
- Dizin Eşitleme Hesapları
- Dynamics 365 Yöneticisi
- Dynamics 365 Business Central Yöneticisi
- Edge Yöneticisi
- Exchange Yöneticisi
- Exchange Alıcı Yöneticisi
- Genişletilmiş Dizin Kullanıcı Yöneticisi
- Dış Kimlik Kullanıcı Akışı Yöneticisi
- Dış Kimlik Kullanıcı Akışı Öznitelik Yöneticisi
- Ağ Yapısı Yöneticisi
- Evrensel Okuyucu
- Genel Güvenli Erişim Günlüğü Okuyucusu
- İçgörü Yöneticisi
- İçgörü Analisti
- İçgörüler İş Lideri
- IoT Cihaz Yöneticisi
- Kaizala Yöneticisi
- Bilgi Yöneticisi
- Bilgi Yöneticisi
- Lisans Yöneticisi
- İleti Merkezi Gizlilik Okuyucusu
- İleti Merkezi Okuyucusu
- Microsoft 365 Yedeklemesi Yöneticisi
- Microsoft 365 Geçiş Yöneticisi
- Microsoft Entra'ya Bağlı Cihaz Yerel Yöneticisi
- Microsoft Graph Veri Bağlantısı Yöneticisi
- Microsoft Donanım Garanti Yöneticisi
- Microsoft Donanım Garanti Uzmanı
- Ağ Yöneticisi
- Office Uygulamaları Yöneticisi
- Kurumsal Marka Yöneticisi
- Kuruluş Veri Kaynağı Yöneticisi
- Kurumsal Mesajlar Onaylayıcı
- Kuruluş İletileri Yazıcısı
- Kişi Yöneticisi
- Mekan Yöneticisi
- Power Platform Yöneticisi
- Yazıcı Yöneticisi
- Yazıcı Teknisyeni
- Purview İş Yükü İçerik Yöneticisi
- Purview İş Yükü İçerik Okuyucusu
- Purview İş Yükü İçerik Yazıcısı
- Rapor Görüntüleyici
- Arama Yöneticisi
- Arama Düzenleyicisi
- Güvenlik Okuyucusu
- Hizmet Desteği Yöneticisi
- SharePoint Yöneticisi
- SharePoint Embedded Yöneticisi
- Skype Kurumsal Yöneticisi
- Teams Yöneticisi
- Teams İletişim Yöneticisi
- Teams İletişim Destek Mühendisi
- Teams İletişim Destek Uzmanı
- Teams Cihazları Yöneticisi
- Teams Okuyucusu
- Teams Telefon Yöneticisi
- Kiracı Oluşturucusu
- Kullanım Özeti Raporları Okuyucusu
- Kullanıcı Deneyimi Başarı Yöneticisi
- Sanal Ziyaret Yöneticisi
- Viva Glint Kiracı Yöneticisi
- Viva Hedefler Yöneticisi
- Viva Pulse Yöneticisi
- Windows 365 Yöneticisi
- Windows Update Dağıtım Yöneticisi
- Yammer Yöneticisi
Aracı kimlikleri için Microsoft Graph izinleri
OAuth2 izinleri için aracı kimlikleri (özellikle aracı kimliği şemaları ve aracı kimliği şema sorumluları) diğer uygulamalarla aynı Microsoft Graph izin modelini kullanabilir. Temsilciler, kullanıcı adına onay yoluyla hareket etmeyi sağlayan temsilci izinleri veya sadece uygulamaya özgü olan ve yönetici tarafından verilen uygulama izinleri isteyebilir.
Ancak, aracılar için bir dizi yüksek riskli Microsoft Graph API izinleri açıkça engellenir. Örneğin, bir ajana aşağıdaki izinler verilemez:
| Engellenen izin | Notlar |
|---|---|
Application.ReadWrite.All |
Tüm uygulamaların yönetilmesine izin verir. |
RoleManagement.ReadWrite.All |
Kullanıcılar, gruplar, roller, dizin ayarları ve diğer kritik işlemler üzerinde tam denetim içerir. |
User.ReadWrite.All |
Tüm kullanıcı hesapları için tam denetim sağlar. |
Directory.AccessAsUser.All |
Dizindeki bilgilere oturum açmış kullanıcı olarak erişim verir. Bir yönetici bile bir aracıya bu izinleri vermeyi onaylayamazken, bir ajanın geniş Microsoft Graph erişimi talep ederek güvenliği atlattığından emin olur. |
Aracı kimliklerine yine de uygun şekilde daha düşük ayrıcalıklara sahip izinler verilebilir. Örneğin, bir aracın kullanıcının posta kutusunu veya o kullanıcının adına OneDrive dosyasını okuması gerekiyorsa, Mail.Read veya Files.Read gibi bir delege edilmiş izin isteyebilir ve kullanıcı (veya yönetici) bu izni onaylayabilir. Bunlar kiracı genelinde yüksek ayrıcalık olarak kabul edilmez; kullanıcının verilerine bağlıdır.
Engellenen ayrıcalıklar, tek bir kullanıcının ötesine giden veya yönetim denetimi içeren kiracı kapsamındaki ayrıcalıklardır. Ajanlar, sınırlı kapsam ilkesine göre çalışır. Aracılar, yalnızca sıradan bir kullanıcının onay verebileceği şeyleri veya bir yöneticinin açıkça belirli ve kontrollü bir şekilde izin verdiği şeyleri yapabilir.
Azure rollerini, Microsoft Entra rollerini veya Microsoft Graph izinlerini ne zaman kullanmalı?
Bir aracının yapması gerekenlere bağlı olarak, yöneticiler kapsamı uygun tutmak için farklı şekillerde erişim verebilir. Buna Azure rolleri, Microsoft Entra rolleri, Graf izinleri, uygulama rolü atamaları, erişim paketi atamaları ve grup üyelikleri de dahil olmak üzere OAuth izinleri atama dahildir.
Azure rolleri
Bir aracının Azure kaynaklarına erişmesi gerekiyorsa: Bu belirli kaynaklar için Azure rolleri atayın. Örneğin, bir temsilcinin Azure Key Vault'u okumasına izin vermek için, bu kasadaki kimliğine bir Key Vault Okuyucu rolü verin. Bu, kapsamı dar tutar (yalnızca bu kaynak veya kaynak grubu) ve en az ayrıcalık kullanır. Daha fazla bilgi için bkz. Azure portalını kullanarak Azure rolleri atama.
Microsoft Entra rolleri
Bir aracının dizin düzeyinde eylemler gerçekleştirmesi gerekiyorsa: Microsoft Entra rollerini yalnızca uygun, daha düşük ayrıcalıklı bir rol varsa kullanın. Örneğin, bir aracının yalnızca temel dizin bilgilerini okuması gerekiyorsa, Dizin Okuyucusu türü bir rol kullanabilirsiniz. Bir aracıya yazma erişimi vermeniz gerekiyorsa etkilerini gözden geçirin ve en az ayrıcalıklı rolü seçin. Engellenmeyen uygun bir yerleşik rol olmayabilir. Bu gibi durumlarda, bunun yerine Microsoft Graph izinlerine güvenmeyi seçebilirsiniz (sınırlarını anlayarak). Daha fazla bilgi için bkz. Microsoft Entra rollerini atama.
Yetkilendirilmiş Microsoft Graph izinleri
Bir aracı bir kullanıcı adına hareket ederse (kullanıcı merkezli senaryolar): Temsil edilen Microsoft Graph izinlerini kullanın. Bu seçenek etkileşimli kullanıcı onayı gerektirir, ancak aracının söz konusu kullanıcının erişimini aşamamasını sağlar. Örneğin, Alice için toplantıları planlayan bir aracı, yetkilendirilmiş takvim API izinlerini kullanır; Alice onay verir ve böylece aracı sadece Alice'in takvimini yönetebilir (tıpkı Alice'in kendi başına yapabileceği gibi). Daha fazla bilgi için bkz. Microsoft kimlik platformunda izinlere ve onaylara genel bakış.
Microsoft Graph uygulama izinleri
Bir aracı kiracı genelinde otonom olarak çalışıyorsa (hizmet senaryoları): Microsoft Graph uygulama izinlerini tedbirli kullanın. Gereken belirli uygulama izinlerini yalnızca yüksek ayrıcalıklı değilse verin. Örneğin, kuruluş şemaları oluşturan bir aracı, tüm profilleri okumak için User.Read.All uygulama iznine ihtiyaç duyabilir ve bu izin kabul edilebilir (engellenenler listesinde yer almaz), ancak User.ReadWrite.All izni reddedilecektir.
İzin kapsamını her zaman gözden geçirin: Kiracı genelinde okuma erişimi belirli veriler için uygun olabilir, ancak aracılar için kiracı genelinde yazma veya denetime izin verilmez. Yöneticilerin bir aracının aldığı tüm uygulama izinlerine açıkça onay vermesi gerekir, bu nedenle bu istekleri dikkatle gözden geçirme fırsatı vardır. Daha fazla bilgi için bkz. Microsoft kimlik platformunda izinlere ve onaylara genel bakış.
Ajan kimlikleri için devredilebilir izinler
Aracı kimliği şemaları, yöneticilerin şema düzeyinde bir kez izin vermesine ve bu izinlerin şemadan oluşturulan tüm aracı kimliklerine otomatik olarak uygulanmasını sağlayan devralınabilir izinleri destekler. Bu özellik, birden çok dağıtım ve ortamda yinelenen onay istemlerini azaltır.
Devralınabilir izinlerin, gerekli kaynak erişiminin ve doğrudan vermelerin birlikte nasıl çalıştığı hakkında daha fazla bilgi için bkz. Devralınabilir izinler.