Aracılığıyla paylaş


1. Aşama: Büyük ölçekte yönetmek için çerçeveyi uygulama

Microsoft Entra İzin Yönetimi işlemleri başvuru kılavuzunun bu bölümünde, izinlere etkin bir şekilde temsilci atamak ve uygun ölçekte yönetmek için gerçekleştirmeniz gereken denetimler ve eylemler açıklanmaktadır.

Temsilcili yönetim modeli tanımlama

Önerilen sahip: Bilgi Güvenliği Mimarisi

Microsoft Entra İzin Yönetimi yöneticileri tanımlama

Microsoft Entra İzin Yönetimi kullanıma hazır hale getirmek için, üründeki izinleri temsilci olarak seçen, anahtar ayarlarını yapılandıran ve kuruluşunuzun yapılandırmasını oluşturup yöneten iki-beş İzin Yönetimi Yönetici oluşturun.

Önemli

Microsoft Entra İzin Yönetimi, geçerli e-posta adresleri olan kullanıcılara dayanır. İzin Yönetimi Yönetici istrator'larınızın posta kutusu etkin hesapları olması önerilir.

Gerekli görevleri gerçekleştirmek için atanan yöneticilere Microsoft Entra Kimliği'nde İzin Yönetimi Yönetici istrator rolünü atayın. Yöneticilerinize rol için kalıcı olarak atamak yerine tam zamanında (JIT) erişim sağlamak için Privileged Identity Management (PIM) kullanmanızı öneririz.

Klasör yapısını tanımlama ve koruma

İzin Yönetimi'nde klasör, yetkilendirme sistemleri grubudur. Kuruluş temsili stratejinize göre klasörler oluşturmanızı öneririz. Örneğin, kuruluşunuz ekipleri temel alarak temsilciler oluşturuyorsa, aşağıdakiler için klasörler oluşturun:

  • Üretim Finansı
  • Üretim Altyapısı
  • Üretim Öncesi Araştırma ve Geliştirme

Etkili bir klasör yapısı, izinlerin uygun ölçekte temsilci olarak atanmasını kolaylaştırır ve yetkilendirme sistemi sahiplerinize olumlu bir ürün deneyimi sağlar.

Ortamınızı kolaylaştırmaya yardımcı olmak için bkz . Yetkilendirme sistemlerinizi düzenlemek için klasörler oluşturma.

İzinleri temsilci olarak atamak için Microsoft Entra güvenlik grupları oluşturma

Microsoft Entra İzin Yönetimi, farklı yetkilendirme sistemlerine izin vermek için Microsoft Entra güvenlik gruplarını kullanan grup tabanlı bir erişim sistemine sahiptir. İzinleri temsilci olarak atamak için, IAM ekibiniz yetkilendirme sistemi sahiplerine eşleyen Microsoft Entra güvenlik gruplarını ve tanımladığınız İzin Yönetimi sorumluluklarını oluşturur. Üründe paylaşılan sahipliğe ve sorumluluklara sahip kullanıcıların aynı güvenlik grubunda olduğundan emin olun.

Gruplar için PIM kullanmanızı öneririz. Bu, kullanıcılara İzin Yönetimi'ne JIT erişimi sağlar ve Sıfır Güven JIT ve yeterli erişim ilkeleriyle uyumlu olur.

Microsoft Entra güvenlik grupları oluşturmak için bkz . Grupları ve grup üyeliğini yönetme.

Microsoft Entra İzin Yönetimi izinleri atama

Microsoft Entra güvenlik grupları oluşturulduktan sonra, bir İzin Yönetimi Yönetici istrator güvenlik gruplarına gerekli izinleri verir.

En azından, güvenlik gruplarına sorumlu oldukları yetkilendirme sistemleri için Görüntüleyici izinleri verildiğinden emin olun. Düzeltme eylemleri gerçekleştiren üyeleri olan güvenlik grupları için Denetleyici izinlerini kullanın. Microsoft Entra İzin Yönetimi rolleri ve izin düzeyleri hakkında daha fazla bilgi edinin.

İzin Yönetimi'nde kullanıcıları ve grupları yönetme hakkında daha fazla bilgi için:

Yetkilendirme sistemi yaşam döngüsü yönetimini belirleme

Önerilen sahipler: Bilgi Güvenliği Mimarisi ve Bulut Altyapısı

Yeni yetkilendirme sistemleri oluşturulduktan ve geçerli yetkilendirme sistemleri geliştikçe, Microsoft Entra İzin Yönetimi değişiklikler için iyi tanımlanmış bir süreç oluşturun ve koruyun. Aşağıdaki tabloda görevler ve önerilen sahipler özetlenmiştir.

Görev Önerilen sahip
Ortamınızda oluşturulan yeni yetkilendirme sistemleri için bulma işlemini tanımlama Bilgi Güvenliği Mimarisi
Yeni yetkilendirme sistemleri için önceliklendirme ve ekleme işlemlerini İzin Yönetimi'ne tanımlama Bilgi Güvenliği Mimarisi
Yeni yetkilendirme sistemleri için yönetim işlemlerini tanımlama: temsilci izinleri ve güncelleştirme klasörü yapısı Bilgi Güvenliği Mimarisi
Çapraz şarj yapısı geliştirin. Maliyet yönetimi sürecini belirleme. Sahip kuruluşa göre değişir

İzinler Sürünme Dizini stratejisi tanımlama

Önerilen sahip: Bilgi Güvenliği Mimarisi

İzinler Sürünme Dizini'nin (PCI) Bilgi Güvenliği Mimarisi etkinliğini ve raporlamasını nasıl yönlendiren hedefleri ve kullanım örneklerini tanımlamanızı öneririz. Bu ekip, diğer kişilerin kuruluşunuz için PCI eşiklerini tanımlamalarına ve bu eşiklere uymalarına yardımcı olabilir.

Hedef PCI eşiklerini oluşturma

PCI eşikleri işletimsel davranışa yol gösterir ve ortamınızda ne zaman eylem gerektiğini belirlemek için ilke görevi görür. PcI eşiklerini oluşturma:

  • Yetkilendirme sistemleri
  • İnsan kimliği kullanıcıları
    • Enterprise Directory (ED)
    • SAML
    • Yerel
    • Konuk
  • İnsan olmayan kimlikler

Not

İnsan olmayan kimlik etkinliği bir insan kimliğinden daha az değiştiğinden, insan olmayan kimliklere daha katı bir doğru boyutlandırma uygulayın: daha düşük bir PCI eşiği ayarlayın.

PCI eşikleri, kuruluşunuzun hedeflerine ve kullanım örneklerine göre değişir. Yerleşik İzin Yönetimi risk eşikleri ile uyumlu hale getirmenizi öneririz. Riske göre aşağıdaki PCI aralıklarına bakın:

  • Düşük: 0 - 33
  • Orta: 34 - 67
  • Yüksek: 68 - 100

Önceki listeyi kullanarak aşağıdaki PCI eşik ilkesi örneklerini gözden geçirin:

Kategori PCI eşiği İlke
Yetkilendirme sistemleri 67: Yetkilendirme sistemini yüksek riskli olarak sınıflandırma Yetkilendirme sisteminin PCI puanı 67'den yüksekse yetkilendirme sisteminde yüksek PCI kimliklerini gözden geçirin ve doğru boyutlandırın
İnsan kimlikleri: ED, SAML ve yerel 67: İnsan kimliğini yüksek riskli olarak sınıflandırma Bir insan kimliğinin PCI puanı 67'den yüksekse, kimliğin izinlerini doğru boyutlandırın
İnsan kimliği: Konuk kullanıcı 33: Konuk kullanıcıyı yüksek veya orta riskli olarak sınıflandırma Konuk kullanıcının PCI puanı 33'ten yüksekse kimliğin izinlerini doğru boyutlandırın
İnsan olmayan kimlikler 33: İnsan olmayan kimliği yüksek veya orta riskli olarak sınıflandırma İnsan olmayan bir kimliğin PCI puanı 33'ten yüksekse, kimliğin izinlerini doğru boyutlandırın

Sonraki adımlar