Aracılığıyla paylaş


Microsoft Entra İzin Yönetimi işlemleri başvurusu

Bu operasyonelleştirme kılavuzunda, Microsoft Entra İzin Yönetimi kurumsal bir ortamda çalıştırmaya yönelik denetimler, eylemler ve en iyi yöntemler hakkında bilgi edinin. Kılavuzun üç aşaması vardır:

  1. Büyük ölçekte yönetmek için çerçeveyi uygulayın: izinler için temsilci seçme ve işlem davranışına yol gösterecek süreçler geliştirme.
  2. İzinleri doğru boyutlandırın ve en düşük ayrıcalık ilkesini otomatikleştirin: Önemli bulguları düzeltin ve İsteğe Bağlı İzinler ile tam zamanında (JIT) erişim uygulayın.
  3. Microsoft Entra İzin Yönetimi izleme ve uyarı yapılandırma: yinelenen raporlar zamanlayın, uyarıları yapılandırın ve yanıt stratejisi playbook'ları geliştirin.

Dekont

Bu kılavuzdaki öneriler yayın tarihi itibariyle günceldir. Microsoft ürün ve hizmetleri zaman içinde geliştikçe kuruluşların kimlik uygulamalarını sürekli değerlendirmelerini öneririz. Bazı öneriler tüm müşteri ortamları için geçerli olmayabilir.

Giriş ölçütleri

Bu kılavuzda Microsoft Entra İzin Yönetimi için Hızlı Başlangıç kılavuzunu tamamladığınız varsayılır.

Sözlük

Bu kılavuzda kullanılan terimleri anlamak için aşağıdaki sözlüğü kullanın.

Süre Tanım
Yetkilendirme sistemi Kimliklere erişim izni veren bir sistem. Örneğin, azure aboneliği, AWS hesabı veya GCP projesi.
İzin Kaynak üzerinde eylem gerçekleştirme özelliğine sahip bir kimlik.
İzin Sürünme Dizini (PCI) Kimlikler ve kaynaklar arasında kullanılmayan veya aşırı izin sayısını ölçmek için toplanan ölçüm. Tüm kimlikler için düzenli aralıklarla ölçülür. PCI 0 ile 100 arasında değişir. Daha yüksek puanlar daha büyük bir riski temsil eder.
İsteğe Bağlı İzinler Kimliklerin sınırlı bir süre boyunca veya gerektiğinde isteğe bağlı olarak izin istemesine ve vermesine olanak tanıyan bir Microsoft Entra İzin Yönetimi özelliği.

Müşteri paydaş ekipleri

Proje katılımcılarını önemli görevleri planlamak ve uygulamak için atamanızı öneririz. Aşağıdaki tabloda, bu kılavuzda belirtilen paydaş ekipler özetlenmiştir.

Paydaş ekibi Açıklama
Kimlik ve Erişim Yönetimi (IAM) IAM sisteminin günlük işlemlerini yönetir
Bulut Altyapısı Azure, AWS ve GCP için mimarlar ve operasyon ekipleri
Bilgi Güvenliği Mimarisi Kuruluşun bilgi güvenliği uygulamalarını planlar ve tasarlar
Bilgi Güvenliği İşlemleri Bilgi Güvenliği Mimarisi için bilgi güvenliği uygulamalarını çalıştırır ve izler
Olay Yanıtlama Güvenlik olaylarını tanımlar ve çözer
Güvenlik Güvencesi ve Denetim BT işlemlerinin güvenli ve uyumlu olduğundan emin olunmasını sağlar. Bu kişiler düzenli denetimler gerçekleştirir, riskleri değerlendirir ve tanımlanan güvenlik açıklarını azaltmak ve genel güvenlik duruşunu geliştirmek için güvenlik önlemleri önerir.
Hedef yetkilendirme sistemi teknik sahipleri Kendi bireysel yetkilendirme sistemleri: Azure abonelikleri, AWS hesapları, Microsoft Entra İzin Yönetimi eklenen GCP projeleri

Bulma-düzeltme-izleme akışı

Ürünü kullanıma hazır hale getirmek için Discover-Remediate-Monitor akışının kullanılmasını öneririz. Aşağıdaki örnekte, aşırı sağlanmış etkin kullanıcılar için proaktif akışın kullanımına dikkat edin: ortamınızdaki yüksek riskli aşırı izinli kullanıcılar.

  1. Keşfedin: Ortamınızda görünürlük elde edin ve bulguların önceliklerini belirleyin. Örneğin, fazla sağlanmış etkin kullanıcıların listesi için İzin Analizi Raporunu kullanın.
  2. Düzelt: Keşiften elde edilen bulgulara göre hareket edin. Örneğin, fazla sağlanan etkin kullanıcıların kullanılmayan görevlerini tek tıklamayla iptal etmek için İzin Yönetimi düzeltme araçlarını kullanın ve ardından geçmiş etkinliği temel alan doğru boyutlu roller oluşturun.
  3. İzleme: Bulguların düzeltilmesinde ortamınızı sürekli izlemek için uyarılar oluşturun. Örneğin, fazla sağlanan etkin kullanıcıları size bildirmek için bir izin analizi uyarısı oluşturun.

Sonraki adımlar