İngilizce dilinde oku

Aracılığıyla paylaş


Microsoft Entra kimlik ve erişim yönetimi işlemleri başvuru kılavuzu

Microsoft Entra işlemleri başvuru kılavuzunun bu bölümünde kimliklerin ve atamalarının yaşam döngüsünün güvenliğini sağlamak ve yönetmek için göz önünde bulundurmanız gereken denetimler ve eylemler açıklanmaktadır.

Not

Bu öneriler yayımlama tarihinden itibaren geçerlidir ancak zaman içinde değişebilir. Microsoft ürün ve hizmetleri zaman içinde geliştikçe kuruluşların kimlik uygulamalarını sürekli değerlendirmesi gerekir.

Önemli işletimsel süreçler

Önemli görevlere sahip atama

Microsoft Entra Id'yi yönetmek için, bir dağıtım projesinin parçası olmayabilecek önemli işletimsel görevlerin ve işlemlerin sürekli yürütülmesi gerekir. Ortamınızı korumak için bu görevleri ayarlamanız yine de önemlidir. Önemli görevler ve bunların önerilen sahipleri şunlardır:

Görev Sahibi
Azure aboneliklerinin nasıl oluşturulacağını tanımlama Kuruluşa göre değişir
Enterprise Mobility + Security lisanslarını kimin aldığına karar verme IAM Operasyon Ekibi
Microsoft 365 lisanslarını kimin aldığına karar verme Üretkenlik Ekibi
Dynamics, Visual Studio Codespaces gibi diğer lisansları kimin aldığına karar verme Uygulama Sahibi
Lisansları atama IAM Operasyon Ekibi
Lisans atama hatalarını giderme ve düzeltme IAM Operasyon Ekibi
Microsoft Entra Id'de uygulamalara kimlik sağlama IAM Operasyon Ekibi

Listenizi gözden geçirirken, sahip eksik görevler için sahip atamanız veya sağlanan önerilerle uyumlu olmayan sahiplerle görevlerin sahipliğini ayarlamanız gerektiğini fark edebilirsiniz.

Şirket içi kimlik eşitlemesi

Eşitleme sorunlarını tanımlama ve çözme

Microsoft, şirket içi ortamınızda buluta eşitleme sorunlarına neden olabilecek sorunları iyi bir temele ve anlamanıza olanak tanır. IdFix ve Microsoft Entra Connect Health gibi otomatik araçlar yüksek miktarda hatalı pozitif sonuç oluşturabildiğinden, bu nesneleri hata halinde temizleyerek 100 günden uzun süredir giderilmemiş eşitleme hatalarını tanımlamanızı öneririz. Uzun süreli çözümlenmemiş eşitleme hataları destek olayları oluşturabilir. Eşitleme sırasındaki hataların giderilmesi, farklı eşitleme hataları türlerine, bu hatalara neden olan olası senaryolardan bazılarına ve hataları düzeltmenin olası yollarına genel bir bakış sağlar.

Microsoft Entra Connect Eşitleme yapılandırması

Tüm karma deneyimleri, cihaz tabanlı güvenlik duruşunu ve Microsoft Entra ID ile tümleştirmeyi etkinleştirmek için, çalışanlarınızın masaüstlerinde oturum açmak için kullandığı kullanıcı hesaplarını eşitlemeniz gerekir.

Orman kullanıcılarının oturum açmasını eşitlemezseniz, eşitlemeyi uygun ormandan gelecek şekilde değiştirmeniz gerekir.

Eşitleme kapsamı ve nesne filtreleme

Eşitlenmesi gerekmeyen bilinen nesne demetlerinin kaldırılması aşağıdaki işletimsel avantajlara sahiptir:

  • Daha az eşitleme hatası kaynağı
  • Daha hızlı eşitleme döngüleri
  • Şirket içinden devam etmek için daha az "çöp", örneğin, bulutta ilgili olmayan şirket içi hizmet hesapları için genel adres listesinin kirliliği

Not

Buluta aktarılmayan birçok nesneyi içeri aktardığınız fark ederseniz, OU'ya veya belirli özniteliklere göre filtrelemeniz gerekir.

Dışlanması gereken nesnelere örnek olarak şunlar verilebilir:

  • Bulut uygulamaları için kullanılmayan Hizmet Hesapları
  • Kaynaklara erişim vermek için kullanılanlar gibi bulut senaryolarında kullanılması amaçlanmayan gruplar
  • Microsoft Entra B2B İşbirliği ile temsil edilmesi amaçlanan dış kimlikler olan kullanıcılar veya kişiler
  • Çalışanların bulut uygulamalarına örneğin sunuculardan erişmesi amaçlanmayan Bilgisayar Hesapları

Not

Tek bir insan kimliğinin eski etki alanı geçişi, birleştirme veya alma gibi bir işlemden sağlanan birden çok hesabı varsa, kullanıcı tarafından yalnızca bilgisayarlarında oturum açmak için kullandıkları gibi günlük olarak kullanılan hesabı eşitlemeniz gerekir.

İdeal olarak, eşitlenecek nesne sayısını ve kurallardaki karmaşıklığı azaltma arasında bir dengeye ulaşmayı hedefleyin. Genel olarak, OU/kapsayıcı filtrelemesi ile cloudFiltered özniteliğine basit bir öznitelik eşlemesi arasındaki birleşim etkili bir filtreleme bileşimidir.

Önemli

Üretimde grup filtreleme kullanıyorsanız, başka bir filtreleme yaklaşımına geçmeniz gerekir.

Eşitleme yük devretmesi veya olağanüstü durum kurtarma

Microsoft Entra Connect, sağlama işleminde önemli bir rol oynar. Eşitleme Sunucusu herhangi bir nedenle çevrimdışı olursa, şirket içinde yapılan değişiklikler bulutta güncelleştirilemez ve kullanıcılar için erişim sorunlarına neden olabilir. Bu nedenle, yöneticilerin eşitleme sunucusu çevrimdışı olduktan sonra eşitlemeyi hızlı bir şekilde sürdürmesini sağlayan bir yük devretme stratejisi tanımlamak önemlidir. Bu tür stratejiler aşağıdaki kategorilere düşebilir:

  • Microsoft Entra Connect Sunucularını Hazırlama Modu'nda dağıtma - bir yöneticinin hazırlama sunucusunu basit bir yapılandırma anahtarıyla üretime "yükseltmesine" olanak tanır.
  • Sanallaştırmayı kullanma - Microsoft Entra Connect bir sanal makinede (VM) dağıtılırsa, yöneticiler sanallaştırma yığınlarını vm'yi canlı olarak kullanmak, geçirmek veya hızla yeniden dağıtmak ve dolayısıyla eşitlemeyi sürdürmek için uygulayabilir.

Kuruluşunuzda Eşitleme için olağanüstü durum kurtarma ve yük devretme stratejisi yoksa, Microsoft Entra Connect'i Hazırlama Modu'nda dağıtmaktan çekinmeyin. Benzer şekilde, üretim ve hazırlama yapılandırmanız arasında uyuşmazlık varsa, Microsoft Entra Connect hazırlama modunu yazılım sürümleri ve yapılandırmalar dahil olmak üzere üretim yapılandırmasıyla eşleşecek şekilde yeniden temellendirmeniz gerekir.

Microsoft Entra Connect hazırlama modu yapılandırmasının ekran görüntüsü

Güncel kalın

Microsoft, Microsoft Entra Connect'i düzenli olarak güncelleştirir. Her yeni sürümün sağladığı performans iyileştirmeleri, hata düzeltmeleri ve yeni özelliklerden yararlanmak için güncel kalın.

Microsoft Entra Connect sürümünüz altı aydan uzun bir süre gerideyse en son sürüme yükseltmeniz gerekir.

Kaynak bağlantı noktası

Kaynak bağlantı noktası olarak ms-DS-consistencyguid kullanılması, AD Etki Alanı birleştirme/temizleme, birleştirmeler, devralmalar ve ayırmalarda yaygın olan nesnelerin ormanlar ve etki alanları arasında daha kolay geçişini sağlar.

Şu anda kaynak bağlantı noktası olarak ObjectGuid kullanıyorsanız ms-DS-ConsistencyGuid kullanmaya geçmenizi öneririz.

Özel kurallar

Microsoft Entra Connect özel kuralları, şirket içi nesnelerle bulut nesneleri arasındaki öznitelik akışını denetleme olanağı sağlar. Ancak, özel kuralların aşırı kullanılması veya yanlış kullanılması aşağıdaki risklere neden olabilir:

  • Karmaşıklık sorunlarını giderme
  • Nesneler arasında karmaşık işlemler gerçekleştirirken performans düşüşü
  • Üretim sunucusu ile hazırlama sunucusu arasında yapılandırma ayrışma olasılığı daha yüksek
  • Özel kurallar 100'den büyük bir öncelik dahilinde oluşturulduysa (yerleşik kurallar tarafından kullanılır) Microsoft Entra Connect'i yükseltirken ek yük

Aşırı karmaşık kurallar kullanıyorsanız karmaşıklığın nedenlerini araştırmanız ve basitleştirme fırsatları bulmanız gerekir. Benzer şekilde, öncelik değeri 100'ün üzerinde olan özel kurallar oluşturduysanız, risk altında olmayacakları veya varsayılan kümeyle çakışmamaları için kuralları düzeltmeniz gerekir.

Özel kuralların yanlış kullanılmasına örnek olarak şunlar verilebilir:

  • Dizindeki kirli verileri telafi etme - Bu durumda, AD ekibinin sahipleriyle birlikte çalışmanızı ve dizindeki verileri düzeltme görevi olarak temizlemenizi ve hatalı verilerin yeniden kullanıma girişini önlemek için işlemleri ayarlamanızı öneririz.
  • Tek tek kullanıcıların tek seferlik düzeltmesi - Genellikle belirli bir kullanıcıyla ilgili bir sorun nedeniyle özel durum aykırı değerlerine sahip kurallar bulmak yaygın bir durumdur.
  • Fazla karmaşık "CloudFiltering" - Nesne sayısını azaltmak iyi bir uygulama olsa da, çok fazla eşitleme kuralı kullanarak fazla karmaşık bir eşitleme kapsamı oluşturma riski vardır. OU filtreleme işleminin dışındaki nesneleri dahil etmek/dışlamak için karmaşık mantık kullanıyorsanız, bu mantığı eşitleme dışında işlemenizi öneririz. Bunu yapmak için nesneleri basit bir Eşitleme Kuralı ile akabilen basit bir "cloudFiltered" özniteliğiyle etiketleyebilirsiniz.

Microsoft Entra Connect Yapılandırma Belgeleyicisi

Microsoft Entra Connect Yapılandırma Belgeleyicisi, Microsoft Entra Connect yüklemesinin belgelerini oluşturmak için kullanabileceğiniz bir araçtır. Bu araç, eşitleme yapılandırmasını daha iyi anlamanıza ve işleri doğru yapma konusunda güven oluşturmanıza yardımcı olur. Araç ayrıca hangi değişikliklerin oluştuğu, Microsoft Entra Connect'in yeni bir derlemesini veya yapılandırmasını uyguladığınızda ve hangi özel eşitleme kurallarının eklendiğini veya güncelleştirildiğini bildirir.

Aracın geçerli özellikleri şunlardır:

  • Microsoft Entra Connects Sync'in tam yapılandırmasının belgeleri.
  • İki Microsoft Entra Connect Sync sunucusu yapılandırma değişikliklerinin veya belirli bir yapılandırma temelindeki değişikliklerin belgeleri.
  • Eşitleme kuralı farklılıklarını veya özelleştirmelerini bir sunucudan diğerine geçirmek için PowerShell dağıtım betiği oluşturma.

Uygulamalara ve kaynaklara atama

Microsoft bulut hizmetleri için grup tabanlı lisanslama

Microsoft Entra ID, Microsoft bulut hizmetleri için grup tabanlı lisanslama aracılığıyla lisans yönetimini kolaylaştırır. Bu şekilde IAM, grup altyapısını sağlar ve bu grupların yönetimini kuruluşlardaki uygun ekiplere devreder. Microsoft Entra Id'de grupların üyeliğini ayarlamanın çeşitli yolları vardır:

  • Şirket içinden eşitlendi - Gruplar şirket içi dizinlerden gelebilir ve bu, Microsoft 365'te lisans atamak üzere genişletilebilen grup yönetimi süreçleri oluşturan kuruluşlar için uygun olabilir.

  • Dinamik üyelik grupları - Kullanıcı özniteliklerine dayalı bir ifadeye dayalı olarak bulutta öznitelik tabanlı gruplar oluşturulabilir; örneğin, Departman "satış" değerine eşittir. Microsoft Entra Id, grubun üyelerini korur ve tanımlanan ifadeyle tutarlı tutar. Lisans ataması için dinamik üyelik gruplarının kullanılması, dizinlerinde yüksek veri kalitesine sahip kuruluşlar için uygun olan öznitelik tabanlı lisans atamasını etkinleştirir.

  • Temsilcili sahiplik - Gruplar bulutta oluşturulabilir ve atanmış sahipler olabilir. Bu şekilde, iş sahiplerine , örneğin İşbirliği ekibine veya IŞ zekası ekibine, kimlerin erişimi olması gerektiğini tanımlama yetkisi vekleyebilirsiniz.

Şu anda kullanıcılara lisans ve bileşen atamak için el ile gerçekleştirilen bir işlem kullanıyorsanız grup tabanlı lisanslama uygulamanızı öneririz. Geçerli işleminiz lisans hatalarını izlemiyorsa veya Hangi lisansların Atandığını ve Kullanılabilir olduğunu belirlemiyorsa, işlemde iyileştirmeler tanımlamanız gerekir. İşleminizin lisans hatalarını giderdiğinden ve lisans atamalarını izlediğinizden emin olun.

Lisans yönetiminin bir diğer yönü de kuruluştaki iş işlevlerine göre etkinleştirilmesi gereken hizmet planlarının (lisansın bileşenleri) tanımıdır. Gerekli olmayan hizmet planlarına erişim vermek, kullanıcıların Henüz eğitilmedikleri veya kullanmamaları gereken Microsoft 365 portalında araçları görmelerine neden olabilir. Bu senaryolar ek yardım masası hacmini, gereksiz sağlamayı yönlendirebilir ve uyumluluk ve idarenizi riske atabilir; örneğin, içerik paylaşmasına izin verilmeyen kişilere OneDrive sağlarken.

Kullanıcılara hizmet planları tanımlamak için aşağıdaki yönergeleri kullanın:

  • Yöneticiler, rollerine göre kullanıcılara sunulacak hizmet planlarının "paketlerini" tanımlamalıdır; Örneğin, beyaz yakalı işçi ve kat işçisi.
  • Kümeye göre gruplar oluşturun ve hizmet planıyla lisansı atayın.
  • İsteğe bağlı olarak, kullanıcılara yönelik paketleri tutmak için bir öznitelik tanımlanabilir.

Önemli

Microsoft Entra ID'de grup tabanlı lisanslama, lisanslama hatası durumundaki kullanıcılar kavramını tanıtır. Lisanslama hataları fark ederseniz, lisans atama sorunlarını hemen tanımlamanız ve çözmeniz gerekir.

Otomatik olarak oluşturulan bir bilgisayar ekranı Açıklaması ekran görüntüsü

Yaşam Döngüsü yönetimi

Şu anda Microsoft Identity Manager veya şirket içi altyapıya dayalı üçüncü taraf sistemi gibi bir araç kullanıyorsanız, mevcut araçtan atamayı boşaltmanızı öneririz. Bunun yerine, grup tabanlı lisanslama uygulamanız ve dinamik üyelik gruplarına dayalı bir grup yaşam döngüsü yönetimi tanımlamanız gerekir.

Mevcut işleminiz kuruluşa ayrılan yeni çalışanları veya çalışanları hesaba bağlamazsa, dinamik üyelik gruplarına göre grup tabanlı lisanslama dağıtmanız ve yaşam döngülerini tanımlamanız gerekir. Son olarak, grup tabanlı lisanslama yaşam döngüsü yönetimi olmayan şirket içi gruplara dağıtılırsa, temsilci sahipliği veya öznitelik tabanlı dinamik üyelik grupları gibi özellikleri etkinleştirmek için bulut gruplarını kullanmayı göz önünde bulundurun.

"Tüm kullanıcılar" grubuyla uygulama atama

Kaynak sahipleri, Tüm kullanıcılar grubunun yalnızca Kurumsal Çalışanlar içerdiğine inanabilir ve bunlar hem Kurumsal Çalışanları hem de Konukları içerebilir. Sonuç olarak, uygulama ataması için Tüm kullanıcılar grubunu kullanırken ve SharePoint içeriği veya uygulamaları gibi kaynaklara erişim sağlarken özel bir özen göstermelisiniz.

Önemli

Tüm kullanıcılar grubu etkinse ve Koşullu Erişim ilkeleri, uygulama veya kaynak ataması için kullanılıyorsa, konuk kullanıcıları içermesini istemiyorsanız grubun güvenliğini sağladığından emin olun. Ayrıca, lisans atamalarınızı yalnızca Enterprise Employees içeren gruplar oluşturup bu gruplara atayarak düzeltmeniz gerekir. Öte yandan Tüm kullanıcılar grubunun etkin olduğunu ancak kaynaklara erişim vermek için kullanılmadığını fark ederseniz, kuruluşunuzun operasyonel kılavuzunun söz konusu grubu (Kurumsal Çalışanlar ve Konuklar da dahil olmak üzere) kasıtlı olarak kullanmak olduğundan emin olun.

Uygulamalara otomatik kullanıcı sağlama

Uygulamalara otomatik kullanıcı sağlama , birden çok sistemdeki kimliklerin tutarlı sağlama, sağlamasını kaldırma ve yaşam döngüsü oluşturmanın en iyi yoludur.

Şu anda uygulamaları geçici bir şekilde veya CSV dosyaları, JIT veya yaşam döngüsü yönetimine yönelik olmayan bir şirket içi çözüm kullanıyorsanız , Microsoft Entra ID ile uygulama sağlamayı uygulamanızı öneririz. Bu çözüm desteklenen uygulamalar sağlar ve Henüz Microsoft Entra Id tarafından desteklenmeyen uygulamalar için tutarlı bir desen tanımlar.

Microsoft Entra sağlama hizmeti

Microsoft Entra Connect delta eşitleme döngüsü temeli

Kuruluşunuzdaki değişikliklerin hacmini anlamak ve öngörülebilir bir eşitleme süresine sahip olmak için çok uzun sürmediğinden emin olmak önemlidir.

Varsayılan delta eşitleme sıklığı 30 dakikadır. Delta eşitlemesi tutarlı olarak 30 dakikadan uzun sürüyorsa veya hazırlama ile üretimin delta eşitleme performansı arasında önemli tutarsızlıklar varsa, Microsoft Entra Connect'in performansını etkileyen faktörleri araştırmalı ve gözden geçirmelisiniz.

Özet

Güvenli kimlik altyapısının beş yönü vardır. Bu liste, kuruluşunuzdaki kimliklerin ve bunların yetkilendirmelerinin yaşam döngüsünün güvenliğini sağlamak ve yönetmek için gerekli eylemleri hızla bulmanıza ve almanıza yardımcı olur.

  • Anahtar görevlere sahip atama.
  • Eşitleme sorunlarını bulun ve çözün.
  • Olağanüstü durum kurtarma için bir yük devretme stratejisi tanımlayın.
  • Lisansların yönetimini ve uygulama atamasını kolaylaştırın.
  • Uygulamalara kullanıcı sağlamayı otomatikleştirme.

Sonraki adımlar

Kimlik doğrulama yönetimi denetimlerini ve eylemlerini kullanmaya başlayın.