1. Aşama: Büyük ölçekte yönetmek için çerçeveyi uygulama
Microsoft Entra İzin Yönetimi işlemleri başvuru kılavuzunun bu bölümünde, izinlere etkin bir şekilde temsilci atamak ve uygun ölçekte yönetmek için gerçekleştirmeniz gereken denetimler ve eylemler açıklanmaktadır.
Temsilcili yönetim modeli tanımlama
Önerilen sahip: Bilgi Güvenliği Mimarisi
Microsoft Entra İzin Yönetimi yöneticileri tanımlama
Microsoft Entra İzin Yönetimi kullanıma hazır hale getirmek için, üründeki izinleri temsilci olarak seçen, anahtar ayarlarını yapılandıran ve kuruluşunuzun yapılandırmasını oluşturup yöneten iki-beş İzin Yönetimi Yönetici oluşturun.
Önemli
Microsoft Entra İzin Yönetimi, geçerli e-posta adresleri olan kullanıcılara dayanır. İzin Yönetimi Yönetici istrator'larınızın posta kutusu etkin hesapları olması önerilir.
Gerekli görevleri gerçekleştirmek için atanan yöneticilere Microsoft Entra Kimliği'nde İzin Yönetimi Yönetici istrator rolünü atayın. Yöneticilerinize rol için kalıcı olarak atamak yerine tam zamanında (JIT) erişim sağlamak için Privileged Identity Management (PIM) kullanmanızı öneririz.
Klasör yapısını tanımlama ve koruma
İzin Yönetimi'nde klasör, yetkilendirme sistemleri grubudur. Kuruluş temsili stratejinize göre klasörler oluşturmanızı öneririz. Örneğin, kuruluşunuz ekipleri temel alarak temsilciler oluşturuyorsa, aşağıdakiler için klasörler oluşturun:
- Üretim Finansı
- Üretim Altyapısı
- Üretim Öncesi Araştırma ve Geliştirme
Etkili bir klasör yapısı, izinlerin uygun ölçekte temsilci olarak atanmasını kolaylaştırır ve yetkilendirme sistemi sahiplerinize olumlu bir ürün deneyimi sağlar.
Ortamınızı kolaylaştırmaya yardımcı olmak için bkz . Yetkilendirme sistemlerinizi düzenlemek için klasörler oluşturma.
İzinleri temsilci olarak atamak için Microsoft Entra güvenlik grupları oluşturma
Microsoft Entra İzin Yönetimi, farklı yetkilendirme sistemlerine izin vermek için Microsoft Entra güvenlik gruplarını kullanan grup tabanlı bir erişim sistemine sahiptir. İzinleri temsilci olarak atamak için, IAM ekibiniz yetkilendirme sistemi sahiplerine eşleyen Microsoft Entra güvenlik gruplarını ve tanımladığınız İzin Yönetimi sorumluluklarını oluşturur. Üründe paylaşılan sahipliğe ve sorumluluklara sahip kullanıcıların aynı güvenlik grubunda olduğundan emin olun.
Gruplar için PIM kullanmanızı öneririz. Bu, kullanıcılara İzin Yönetimi'ne JIT erişimi sağlar ve Sıfır Güven JIT ve yeterli erişim ilkeleriyle uyumlu olur.
Microsoft Entra güvenlik grupları oluşturmak için bkz . Grupları ve grup üyeliğini yönetme.
Microsoft Entra İzin Yönetimi izinleri atama
Microsoft Entra güvenlik grupları oluşturulduktan sonra, bir İzin Yönetimi Yönetici istrator güvenlik gruplarına gerekli izinleri verir.
En azından, güvenlik gruplarına sorumlu oldukları yetkilendirme sistemleri için Görüntüleyici izinleri verildiğinden emin olun. Düzeltme eylemleri gerçekleştiren üyeleri olan güvenlik grupları için Denetleyici izinlerini kullanın. Microsoft Entra İzin Yönetimi rolleri ve izin düzeyleri hakkında daha fazla bilgi edinin.
İzin Yönetimi'nde kullanıcıları ve grupları yönetme hakkında daha fazla bilgi için:
- Microsoft Entra İzin Yönetiminde kullanıcı ekleme veya kaldırma
- Kullanıcı Yönetimi Panosu ile kullanıcıları ve grupları yönetme
- Grup tabanlı izin ayarlarını seçme
Yetkilendirme sistemi yaşam döngüsü yönetimini belirleme
Önerilen sahipler: Bilgi Güvenliği Mimarisi ve Bulut Altyapısı
Yeni yetkilendirme sistemleri oluşturulduktan ve geçerli yetkilendirme sistemleri geliştikçe, Microsoft Entra İzin Yönetimi değişiklikler için iyi tanımlanmış bir süreç oluşturun ve koruyun. Aşağıdaki tabloda görevler ve önerilen sahipler özetlenmiştir.
Görev | Önerilen sahip |
---|---|
Ortamınızda oluşturulan yeni yetkilendirme sistemleri için bulma işlemini tanımlama | Bilgi Güvenliği Mimarisi |
Yeni yetkilendirme sistemleri için önceliklendirme ve ekleme işlemlerini İzin Yönetimi'ne tanımlama | Bilgi Güvenliği Mimarisi |
Yeni yetkilendirme sistemleri için yönetim işlemlerini tanımlama: temsilci izinleri ve güncelleştirme klasörü yapısı | Bilgi Güvenliği Mimarisi |
Çapraz şarj yapısı geliştirin. Maliyet yönetimi sürecini belirleme. | Sahip kuruluşa göre değişir |
İzinler Sürünme Dizini stratejisi tanımlama
Önerilen sahip: Bilgi Güvenliği Mimarisi
İzinler Sürünme Dizini'nin (PCI) Bilgi Güvenliği Mimarisi etkinliğini ve raporlamasını nasıl yönlendiren hedefleri ve kullanım örneklerini tanımlamanızı öneririz. Bu ekip, diğer kişilerin kuruluşunuz için PCI eşiklerini tanımlamalarına ve bu eşiklere uymalarına yardımcı olabilir.
Hedef PCI eşiklerini oluşturma
PCI eşikleri işletimsel davranışa yol gösterir ve ortamınızda ne zaman eylem gerektiğini belirlemek için ilke görevi görür. PcI eşiklerini oluşturma:
- Yetkilendirme sistemleri
- İnsan kimliği kullanıcıları
- Enterprise Directory (ED)
- SAML
- Yerel
- Konuk
- İnsan olmayan kimlikler
Not
İnsan olmayan kimlik etkinliği bir insan kimliğinden daha az değiştiğinden, insan olmayan kimliklere daha katı bir doğru boyutlandırma uygulayın: daha düşük bir PCI eşiği ayarlayın.
PCI eşikleri, kuruluşunuzun hedeflerine ve kullanım örneklerine göre değişir. Yerleşik İzin Yönetimi risk eşikleri ile uyumlu hale getirmenizi öneririz. Riske göre aşağıdaki PCI aralıklarına bakın:
- Düşük: 0 - 33
- Orta: 34 - 67
- Yüksek: 68 - 100
Önceki listeyi kullanarak aşağıdaki PCI eşik ilkesi örneklerini gözden geçirin:
Kategori | PCI eşiği | İlke |
---|---|---|
Yetkilendirme sistemleri | 67: Yetkilendirme sistemini yüksek riskli olarak sınıflandırma | Yetkilendirme sisteminin PCI puanı 67'den yüksekse yetkilendirme sisteminde yüksek PCI kimliklerini gözden geçirin ve doğru boyutlandırın |
İnsan kimlikleri: ED, SAML ve yerel | 67: İnsan kimliğini yüksek riskli olarak sınıflandırma | Bir insan kimliğinin PCI puanı 67'den yüksekse, kimliğin izinlerini doğru boyutlandırın |
İnsan kimliği: Konuk kullanıcı | 33: Konuk kullanıcıyı yüksek veya orta riskli olarak sınıflandırma | Konuk kullanıcının PCI puanı 33'ten yüksekse kimliğin izinlerini doğru boyutlandırın |
İnsan olmayan kimlikler | 33: İnsan olmayan kimliği yüksek veya orta riskli olarak sınıflandırma | İnsan olmayan bir kimliğin PCI puanı 33'ten yüksekse, kimliğin izinlerini doğru boyutlandırın |