Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra işlemleri başvuru kılavuzunun bu bölümünde, Microsoft Entra Id'nin genel işlemlerini iyileştirmek için gerçekleştirmeniz gereken denetimler ve eylemler açıklanmaktadır.
Uyarı
Bu öneriler yayımlama tarihinden itibaren geçerlidir ancak zaman içinde değişebilir. Microsoft ürün ve hizmetleri zaman içinde geliştikçe kuruluşların operasyonel uygulamalarını sürekli değerlendirmesi gerekir.
Önemli işletimsel süreçler
Önemli görevlere sahip atama
Microsoft Entra Id'yi yönetmek için önemli işletimsel görevlerin ve işlemlerin sürekli yürütülmesi gerekir ve bu da bir dağıtım projesinin parçası olmayabilir. Ortamınızı iyileştirmek için bu görevleri ayarlamanız yine de önemlidir. Önemli görevler ve bunların önerilen sahipleri şunlardır:
| Görev | Sahibi |
|---|---|
| Kimlik Güvenlik Puanını Artırma Üzerinde Çalışın | InfoSec İşletim Ekibi |
| Microsoft Entra Connect Sunucularını Koruma | IAM Operasyon Ekibi |
| IdFix Raporlarını düzenli olarak gerçekleştirin ve önceliklendirin | IAM Operasyon Ekibi |
| Eşitleme ve AD FS için Microsoft Entra Connect Sağlık Uyarılarını Sınıflandırma | IAM Operasyon Ekibi |
| Microsoft Entra Connect Health kullanmıyorsa müşterinin özel altyapıyı izlemek için eşdeğer işlem ve araçları vardır | IAM Operasyon Ekibi |
| AD FS kullanılmıyorsa müşterinin özel altyapıyı izlemek için eşdeğer süreç ve araçları vardır | IAM Operasyon Ekibi |
| Hibrit Günlükleri İzleme: Microsoft Entra özel ağ bağlayıcıları | IAM Operasyon Ekibi |
| Hibrit Günlükler İzleme: Geçişli Kimlik Doğrulama Aracıları | IAM Operasyon Ekibi |
| Hibrit Günlükleri İzleme: Şifre Geri Yazma Hizmeti | IAM Operasyon Ekibi |
| Hibrit Günlükleri İzleme: Şirket içi parola koruma ağ geçidi | IAM Operasyon Ekibi |
| Hibrit Günlükleri İzleme: Microsoft Entra çok faktörlü kimlik doğrulaması NPS Uzantısı (varsa) | IAM Operasyon Ekibi |
Listenizi gözden geçirirken, sahibi olmayan görevler için bir görevli atamanız veya yukarıdaki önerilerle uyumlu olmayan görevlerin sahipliğini ayarlamanız gerektiğini fark edebilirsiniz.
Sahipler okumayı önerdi
Karma yönetim
Şirket içi bileşenlerin son sürümleri
Şirket içi bileşenlerin en up-togüncel sürümlerine sahip olmak, müşteriye ortamı daha da basitleştirmeye yardımcı olabilecek en son güvenlik güncelleştirmelerini, performans iyileştirmelerini ve işlevselliğini sağlar. Çoğu bileşenin otomatik yükseltme ayarı vardır ve bu ayar yükseltme işlemini otomatikleştirir.
Bu bileşenler şunlardır:
- Microsoft Entra Connect
- Microsoft Entra özel ağ bağlayıcıları
- Microsoft Entra doğrudan kimlik doğrulama aracıları
- Microsoft Entra Connect Health Agentleri
Henüz oluşturulmadıysa, bu bileşenleri yükseltmeye yönelik bir işlem tanımlamanız ve mümkün olduğunda otomatik yükseltme özelliğine güvenmeniz gerekir. Altı veya daha fazla ay geride kalan bileşenler bulursanız, en kısa sürede yükseltmeniz gerekir.
Hibrit yönetim önerilen okuma
- Microsoft Entra Connect: Otomatik yükseltme
- Microsoft Entra özel ağ bağlayıcılarını anlama | Otomatik güncelleştirmeler
Microsoft Entra Connect Health uyarı temeli
Kuruluşlar , Microsoft Entra Connect ve AD FS'nin izlenmesi ve raporlanması için Microsoft Entra Connect Health'i dağıtmalıdır. Microsoft Entra Connect ve AD FS, yaşam döngüsü yönetimini ve kimlik doğrulamasını bozabilen ve bu nedenle kesintilere yol açabilen kritik bileşenlerdir. Microsoft Entra Connect Health, şirket içi kimlik altyapınızı izlemenize ve bu altyapıyla ilgili içgörüler elde etmenize yardımcı olur, böylece ortamınızın güvenilirliğini güvence altına alır.
Ortamınızın durumunu izlerken, yüksek önem derecesi uyarılarını ve ardından daha düşük önem derecesi uyarılarını hemen gidermeniz gerekir.
Microsoft Entra Connect Health için önerilen okuma
Şirket içi aracı günlükleri
Bazı kimlik ve erişim yönetimi hizmetleri, karma senaryoları etkinleştirmek için şirket içi aracılar gerektirir. Örnek olarak parola sıfırlama, geçiş kimlik doğrulaması (PTA), Microsoft Entra uygulama ara sunucusu ve Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısı verilebilir. İşlem ekibinin, System Center Operations Manager veya SIEM gibi çözümleri kullanarak bileşen aracısı günlüklerini arşivleyip analiz ederek bu bileşenlerin sağlığını temel alması ve izlemesi önemlidir. Infosec İşlemleri ekibinizin veya yardım masanızın hata desenlerinin nasıl giderilirini anlaması da aynı derecede önemlidir.
Şirket içi aracı günlüklerinin okunması önerilir
- Uygulama Ara Sunucusu sorunlarını giderme
- Self servis parola sıfırlama sorunlarını giderme
- Microsoft Entra özel ağ bağlayıcılarını anlama
- Microsoft Entra Connect: Doğrudan Kimlik Doğrulaması Sorunlarını Giderme
- Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısı için hata kodlarıyla ilgili sorunları giderme
Şirket içi aracı yönetimi
En iyi yöntemleri benimsemek, şirket içi aracıların en iyi şekilde çalışmasına yardımcı olabilir. Aşağıdaki en iyi yöntemleri göz önünde bulundurun:
- Proxy uygulamalarına erişirken tek hata noktalarından kaçınarak sorunsuz yük dengeleme ve yüksek kullanılabilirlik sağlamak için bağlayıcı grubu başına birden çok Microsoft Entra özel ağ bağlayıcısı önerilir. Şu anda bir bağlayıcı grubunda üretimdeki uygulamaları işleyen tek bir bağlayıcınız varsa, yedeklilik için en az iki bağlayıcı dağıtmanız gerekir.
- Hata ayıklama amacıyla özel bir ağ bağlayıcısı grubu oluşturmak ve kullanmak, sorun giderme senaryolarında ve yeni şirket içi uygulamaları eklerken yararlı olabilir. Bağlayıcı makinelerine İleti Çözümleyicisi ve Fiddler gibi ağ araçlarının yüklenmesini de öneririz.
- Kimlik doğrulama akışı sırasında tek hata noktasını önleyerek sorunsuz yük dengeleme ve yüksek kullanılabilirlik sağlamak için birden çok doğrudan kimlik doğrulama aracısının kullanılması önerilir. Yedeklilik sağlamak için en az iki pass-through kimlik doğrulama ajanı dağıttığınızdan emin olun.
Yerel ajanlar yönetimi için önerilen okuma
- Microsoft Entra özel ağ bağlayıcılarını anlama
- Microsoft Entra doğrudan kimlik doğrulaması - hızlı başlangıç
Büyük ölçekte yönetim
Kimlik güvenli puanı
Kimlik güvenliği puanı, kuruluşunuzun güvenlik duruşunun ölçülebilir bir ölçüsünü sağlar. Bildirilen bulguları sürekli gözden geçirmek ve ele almak ve mümkün olan en yüksek puana sahip olmak için çaba göstermek önemlidir. Puan, şunları yapmanıza yardımcı olur:
- Kimlik güvenliği duruşunuzu nesnel olarak ölçebilirsiniz
- Kimlik güvenliği geliştirmelerini planlayabilirsiniz
- İyileştirmelerinizin başarısını gözden geçirin
Kuruluşunuzun Şu anda Kimlik Güvenli Puanı'ndaki değişiklikleri izlemek için bir programı yoksa, bir plan uygulamanız ve iyileştirme eylemlerini izlemek ve yönlendirmek için sahipler atamanız önerilir. Kuruluşlar, puan etkisi 30'un üzerinde olan iyileştirme eylemlerini en kısa sürede düzeltmelidir.
Bildirimler
Microsoft, hizmetteki çeşitli değişiklikleri, gerekli yapılandırma güncelleştirmelerini ve yönetici müdahalesi gerektiren hataları bildirmek için yöneticilere e-posta iletişimleri gönderir. Müşterilerin bildirim e-posta adreslerini, bildirimlerin tüm bildirimleri kabul edip üzerinde işlem yapabilecek uygun ekip üyelerine gönderilmesi için ayarlamaları önemlidir. İleti Merkezi'ne birden çok alıcı eklemenizi ve bildirimlerin (Microsoft Entra Connect Health bildirimleri dahil) bir dağıtım listesine veya paylaşılan posta kutusuna gönderilmesini istemenizi öneririz. E-posta adresi olan yalnızca bir Genel Yönetici hesabınız varsa, en az iki e-posta özellikli hesap yapılandırdığınızdan emin olun.
Microsoft Entra ID tarafından kullanılan iki "Kimden" adresi vardır: o365mc@email2.microsoft.com İleti Merkezi bildirimlerini gönderen ve azure-noreply@microsoft.com ile ilgili bildirimleri gönderen.
- Microsoft Entra erişim incelemeleri
- Microsoft Entra Connect Sağlık
- Microsoft Entra Kimlik Koruması
- Microsoft Entra Privileged Identity Management
- Kurumsal Uygulama Süresi Dolan Sertifika Bildirimleri
- Kurumsal Uygulama Sağlama Hizmeti Bildirimleri
Gönderilen bildirimlerin türünü ve bunların nerede denetlendiğini öğrenmek için aşağıdaki tabloya bakın:
| Bildirim kaynağı | Gönderilenler | Denetlenecek yer |
|---|---|---|
| Teknik iletişim kişisi | Eşitleme hataları | Azure portalı - özellikler paneli |
| İleti Merkezi | Kimlik Hizmetleri ve Microsoft 365 arka uç hizmetlerinin olay ve düşüş bildirimleri | Office Portalı |
| Kimlik Koruması Haftalık Özet | Kimlik Koruması Özeti | Microsoft Entra ID Protection dikey penceresi |
| Microsoft Entra Connect Sağlık | Uyarı bildirimleri | Azure portalı - Microsoft Entra Connect Health bölümü |
| Kurumsal Uygulamalar Bildirimleri | Sertifikaların süresi dolmak üzere olduğunda bildirimler ve sağlama hataları | Azure portalı - Kurumsal Uygulama dikey penceresi (her uygulamanın kendi e-posta adresi ayarı vardır) |
Okunması önerilen bildirimler
İşletimsel yüzey alanı
AD FS kilitleme
Microsoft Entra ID'ye doğrudan kimlik doğrulama yapmak için uygulamaları yapılandıran kuruluşlar, Microsoft Entra akıllı kilitleme özelliğinden faydalanır. Windows Server 2012 R2'de AD FS kullanıyorsanız AD FS extranet kilitleme koruması uygulayın. Windows Server 2016 veya sonraki sürümlerde AD FS kullanıyorsanız extranet akıllı kilitleme uygulayın. Yerel Active Directory'ye yönelik deneme yanılma saldırıları riskini azaltmak için extranet kilitlemeyi en azından etkinleştirmenizi öneririz. Ancak, Windows 2016 veya üzeri sürümlerde AD FS'niz varsa , parola spreyi saldırılarını azaltmaya yardımcı olacak extranet akıllı kilitlemeyi de etkinleştirmeniz gerekir.
AD FS yalnızca Microsoft Entra federasyonu için kullanılıyorsa, saldırı yüzeyi alanını en aza indirmek için kapatılabilir bazı uç noktalar vardır. Örneğin, AD FS yalnızca Microsoft Entra ID için kullanılıyorsa, usernamemixed ve windowstransport için etkinleştirilen uç noktalar dışındaki WS-Trust uç noktalarını devre dışı bırakmanız gerekir.
Şirket içi kimlik bileşenlerine sahip makinelere erişim
Kuruluşlar, şirket içi karma bileşenleri olan makinelere erişimi şirket içi etki alanınızla aynı şekilde kilitlemelidir. Örneğin, bir yedekleme işleci veya Hyper-V yöneticisinin kuralları değiştirmek için Microsoft Entra Connect Server'da oturum açamaması gerekir.
Active Directory yönetim katmanı modeli, Ortam 'ın tam denetimi (Katman 0) ile saldırganların sıklıkla ele geçirildiği yüksek riskli iş istasyonu varlıkları arasında bir dizi arabellek bölgesi kullanarak kimlik sistemlerini korumak için tasarlanmıştır.
Katman modeli üç düzeyden oluşur ve standart kullanıcı hesaplarını değil yalnızca yönetim hesaplarını içerir.
- Katman 0 - Ortamdaki kurumsal kimliklerin Doğrudan Denetimi. Katman 0, Active Directory ormanı, etki alanları veya etki alanı denetleyicileri ve içindeki tüm varlıklar için doğrudan veya dolaylı yönetim denetimine sahip hesapları, grupları ve diğer varlıkları içerir. Tüm Katman 0 varlıklarının güvenlik duyarlılığı, birbirlerinin denetiminde etkili bir şekilde olduklarından eşdeğerdir.
- Katman 1 - Kurumsal sunucuların ve uygulamaların denetimi. Katman 1 varlıkları sunucu işletim sistemlerini, bulut hizmetlerini ve kurumsal uygulamaları içerir. Katman 1 yönetici hesapları, bu varlıklarda barındırılan önemli miktarda iş değeri üzerinde yönetim denetimine sahiptir. Yaygın bir örnek rol, bu işletim sistemlerini tüm kurumsal hizmetleri etkileyebilme özelliğiyle koruyan sunucu yöneticileridir.
- Katman 2 - Kullanıcı iş istasyonlarının ve cihazların denetimi. Katman 2 yönetici hesapları, kullanıcı iş istasyonlarında ve cihazlarda barındırılan önemli miktarda iş değeri üzerinde yönetim denetimine sahiptir. Neredeyse tüm kullanıcı verilerinin bütünlüğünü etkileyebildiğinden Yardım Masası ve bilgisayar destek yöneticileri örnek olarak verilebilir.
Microsoft Entra Connect, AD FS ve SQL hizmetleri gibi şirket içi kimlik bileşenlerine erişimi etki alanı denetleyicilerinde olduğu gibi kilitleyin.
Özet
Güvenli kimlik altyapısının yedi yönü vardır. Bu liste, Microsoft Entra Id işlemlerini iyileştirmek için gerçekleştirmeniz gereken eylemleri bulmanıza yardımcı olur.
- Anahtar görevlere sahip atama.
- Şirket içi karma bileşenler için yükseltme işlemini otomatikleştirin.
- Microsoft Entra Connect ve AD FS'nin izlenmesi ve raporlanması için Microsoft Entra Connect Health'i dağıtın.
- System Center Operations Manager veya SIEM çözümünü kullanarak bileşen aracısı günlüklerini arşivleyip analiz ederek şirket içi karma bileşenlerin durumunu izleyin.
- Kimlik Güvenli Puanı ile güvenlik duruşunuzu ölçerek güvenlik geliştirmeleri uygulayın.
- AD FS'i kilitleyin.
- Şirket içi kimlik bileşenlerine sahip makinelere erişimi kilitleyin.
Sonraki Adımlar
Dağıtmadığınız özelliklerle ilgili uygulama ayrıntıları için Microsoft Entra dağıtım planlarına bakın.