Aracılığıyla paylaş

Tüm yalıtım mimarileri için en iyi yöntemler

  • Makale

Tüm yalıtım yapılandırmaları için tasarımla ilgili dikkat edilmesi gerekenler aşağıdadır. Bu içerik boyunca birçok bağlantı vardır. burada çoğaltmak yerine içeriğe bağlanıyoruz, bu nedenle her zaman en güncel bilgilere erişebilirsiniz.

Microsoft Entra kiracılarını yapılandırma (yalıtılmış veya değil) hakkında genel yönergeler için Microsoft Entra özellik dağıtım kılavuzuna bakın.

Not

Tüm yalıtılmış kiracılar için, yanlış kiracıda çalışmanın insan hatasından kaçınmaya yardımcı olmak için net ve farklı markalama kullanmanızı öneririz.

Yalıtım güvenlik ilkeleri

Yalıtılmış ortamlar tasarlarken aşağıdaki ilkeleri dikkate almak önemlidir:

  • Yalnızca modern kimlik doğrulamasını kullan - Yalıtılmış ortamlarda dağıtılan uygulamaların federasyon, Microsoft Entra B2B işbirliği, temsilci seçme ve onay çerçevesi gibi özellikleri kullanmak için talep tabanlı modern kimlik doğrulamasını (örneğin, SAML, * Auth, OAuth2 ve OpenID Connect) kullanması gerekir. Bu şekilde, NT LAN Manager (NTLM) gibi eski kimlik doğrulama yöntemlerine bağımlı olan eski uygulamalar yalıtılmış ortamlarda ileriye doğru ilerlemez.

  • Güçlü kimlik doğrulamasını zorunlu kılma - Yalıtılmış ortam hizmetlerine ve altyapısına erişirken her zaman güçlü kimlik doğrulaması kullanılmalıdır. Mümkün olduğunda, İş İçin Windows Hello veya FIDO2 güvenlik anahtarları gibi parolasız kimlik doğrulaması kullanılmalıdır.

  • Güvenli iş istasyonları - dağıtma Güvenli iş istasyonları , platformun ve platformun temsil ettiği kimliğin kötüye kullanılmaya karşı düzgün bir şekilde doğrulandığından ve güvenliğinin sağlandığından emin olmak için mekanizma sağlar. Dikkate alınması gereken diğer iki yaklaşım şunlardır:

    • Microsoft Graph API'siyle Windows 365 Bulut PC s (Cloud PC) kullanın.

    • Koşullu Erişim'i kullanın ve cihazlar için koşul olarak filtreleyin.

  • Eski güven mekanizmalarını ortadan kaldırma - Yalıtılmış dizinler ve hizmetler, Active Directory güvenleri gibi eski mekanizmalar aracılığıyla diğer ortamlarla güven ilişkileri kurmamalıdır. Ortamlar arasındaki tüm güvenler federasyon ve talep tabanlı kimlik gibi modern yapılarla oluşturulmalıdır.

  • Hizmetleri yalıtma - Temel alınan kimlikleri ve hizmet altyapısını açığa çıkarmadan koruyarak yüzey saldırı alanını en aza indirin. Yalnızca hizmetler için modern kimlik doğrulaması ve altyapı için güvenli uzaktan erişim (modern kimlik doğrulaması ile de korunur) aracılığıyla erişimi etkinleştirin.

  • Dizin düzeyinde rol atamaları - Denetim düzlemi eylemleriyle (güvenlik grubu üyeliklerini yönetme izinlerine sahip Bilgi Yöneticisi) dizin düzeyinde rol atamalarından (AU kapsamı yerine dizin kapsamında Kullanıcı Yöneticisi) veya hizmete özgü dizin rollerinden kaçının veya azaltın.

Microsoft Entra genel işlemler kılavuzundaki yönergelere ek olarak, yalıtılmış ortamlar için aşağıdaki noktaları da öneririz.

İnsan kimliği sağlama

Ayrıcalıklı Hesaplar

Ortamı çalıştıran yönetim personeli ve BT ekipleri için yalıtılmış ortamda hesaplar sağlayın. Bu, güvenli iş istasyonları için cihaz tabanlı erişim denetimi gibi daha güçlü güvenlik ilkeleri eklemenize olanak tanır. Önceki bölümlerde açıklandığı gibi üretim dışı ortamlar, üretim ortamlarında ayrıcalıklı erişim için tasarlanmış aynı duruş ve güvenlik denetimlerini kullanarak ayrıcalıklı hesapları üretim dışı kiracılara eklemek için Microsoft Entra B2B işbirliğini kullanabilir.

Yalnızca bulut hesapları, Microsoft Entra kiracısında insan kimlikleri sağlamanın en basit yoludur ve yeşil alan ortamları için uygundur. Ancak, yalıtılmış ortama (örneğin, üretim öncesi veya yönetim Active Directory ormanı) karşılık gelen mevcut bir şirket içi altyapı varsa, kimlikleri oradan eşitlemeyi düşünebilirsiniz. Burada açıklanan şirket içi altyapı, çözüm veri düzlemini yönetmek için sunucu erişimi gerektiren IaaS çözümleri için kullanılıyorsa bu durum özellikle geçerlidir. Bu senaryo hakkında daha fazla bilgi için bkz . Microsoft 365'i şirket içi saldırılara karşı koruma. Yalnızca akıllı kart kimlik doğrulaması gibi belirli mevzuat uyumluluğu gereksinimleri varsa, yalıtılmış şirket içi ortamlardan eşitleme de gerekebilir.

Not

Microsoft Entra B2B hesapları için kimlik doğrulaması yapmak için teknik denetim yoktur. Microsoft Entra B2B ile sağlanan dış kimlikler tek bir faktörle önyüklenir. Bu azaltma, kuruluşun B2B daveti verilmeden önce gerekli kimlikleri kanıtlamaya yönelik bir sürecin ve yaşam döngüsünü yönetmek için dış kimliklerin düzenli erişim gözden geçirmelerinin olmasıdır. MFA kaydını denetlemek için koşullu erişim ilkesini etkinleştirmeyi göz önünde bulundurun.

Dış kaynak oluşturma yüksek riskli roller

İç tehditleri azaltmak için Azure B2B işbirliğini kullanarak genel yönetici ve Ayrıcalıklı Rol Yöneticisi rollerine dış kaynak erişimi sağlamak veya CSP iş ortağı veya deniz feneri aracılığıyla erişim yetkisi vermek mümkündür. Bu erişim, Azure Privileged Identity Management'taki (PIM) onay akışları aracılığıyla şirket içi personel tarafından denetlenebilir. Bu yaklaşım, iç tehditleri büyük ölçüde azaltabilir. Bu, endişeleri olan müşterilerin uyumluluk taleplerini karşılamak için kullanabileceğiniz bir yaklaşımdır.

insan olmayan kimlik sağlama

Acil durum erişim hesapları

Microsoft, kuruluşların genel yönetici rolüne kalıcı olarak atanmış iki yalnızca bulut acil durum erişim hesabına sahip olması önerilir. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Hesaplar, normal hesapların kullanılamadığı veya diğer tüm yöneticilerin yanlışlıkla kilitlendiği acil durum veya "kırılan" senaryolarla sınırlıdır. Bu hesaplar, acil durum erişim hesabı önerilerine göre oluşturulmalıdır.

Azure yönetilen kimlikleri

Hizmet kimliği gerektiren Azure kaynakları için Azure yönetilen kimliklerini kullanın. Azure çözümlerinizi tasarlarken yönetilen kimlikleri destekleyen hizmetlerin listesini gözden geçirin.

Yönetilen kimlikler desteklenmiyorsa veya mümkün değilse hizmet sorumlusu nesneleri sağlamayı göz önünde bulundurun.

Karma hizmet hesapları

Bazı karma çözümler hem şirket içi hem de bulut kaynaklarına erişim gerektirebilir. Kullanım örneğine örnek olarak, şirket içi etki alanına katılmış sunuculara erişim için AD DS'de bir hizmet hesabı kullanan ve Microsoft Online Services'a erişim gerektirdiğinden Microsoft Entra ID'de bir hesabı olan bir uygulama olabilir.

Şirket içi hizmet hesapları genellikle etkileşimli olarak oturum açamaz, yani bulut senaryolarında çok faktörlü kimlik doğrulaması gibi güçlü kimlik bilgileri gereksinimlerini karşılayamazlar. Bu senaryoda, şirket içinden eşitlenmiş bir hizmet hesabı kullanmayın, bunun yerine yönetilen kimlik \ hizmet sorumlusu kullanın. Hizmet sorumlusu (SP) için, kimlik bilgisi olarak bir sertifika kullanın veya Koşullu Erişim ile SP'yi koruyun.

Bunu mümkün kılmayan teknik kısıtlamalar varsa ve aynı hesabın hem şirket içi hem de bulut için kullanılması gerekiyorsa, karma hesabı belirli bir ağ konumundan gelecek şekilde kilitlemek için Koşullu Erişim gibi telafi denetimleri uygulayın.

Kaynak atama

Kurumsal çözüm birden çok Azure kaynağından oluşabilir ve erişimi mantıksal atama birimi (kaynak grubu) olarak yönetilmeli ve yönetilmelidir. Bu senaryoda, Microsoft Entra güvenlik grupları oluşturulabilir ve tüm çözüm kaynakları genelinde uygun izinler ve rol atamasıyla ilişkilendirilebilir, böylece bu gruplardan kullanıcı eklemek veya kaldırmak çözümün tamamına erişim izni verme veya erişimi reddetme ile sonuçlanabilir.

Erişim sağlamadan önce önkoşul olarak lisans lisansı ataması olan bir kullanıcıya (örneğin, Dynamics 365, Power BI) güvenen Microsoft hizmetleri için grup tabanlı lisanslama ve güvenlik grupları kullanmanızı öneririz.

Microsoft Entra bulutu yerel grupları, Microsoft Entra erişim gözden geçirmeleri ve Microsoft Entra yetkilendirme yönetimi ile birleştirildiğinde buluttan yerel olarak yönetilebilir.

Microsoft Entra ID, çoklu oturum açma ve kimlik sağlama için üçüncü taraf SaaS hizmetlerine (örneğin Salesforce, Service Now) ve şirket içi uygulamalara doğrudan kullanıcı atamasını da destekler. Kaynaklara doğrudan atamalar, Microsoft Entra erişim gözden geçirmeleri ve Microsoft Entra yetkilendirme yönetimi ile birleştirildiğinde buluttan yerel olarak yönetilebilir. Doğrudan atama, son kullanıcıya yönelik atama için uygun olabilir.

Bazı senaryolar, şirket içi Active Directory güvenlik grupları aracılığıyla şirket içi kaynaklara erişim izni verilmesini gerektirebilir. Bu gibi durumlarda, işlemler SLA'sını tasarlarken Microsoft Entra Id eşitleme döngüsünü göz önünde bulundurun.

Kimlik doğrulaması yönetimi

Bu bölümde, kuruluşunuzun güvenlik duruşu temelinde kimlik bilgisi yönetimi ve erişim ilkeleri için gerçekleştirilecek denetimler ve gerçekleştirilecek eylemler açıklanmaktadır.

Kimlik bilgileri yönetimi

Güçlü kimlik bilgileri

Yalıtılmış ortamdaki tüm insan kimlikleri (yerel hesaplar ve B2B işbirliğiyle sağlanan dış kimlikler), çok faktörlü kimlik doğrulaması veya FIDO anahtarı gibi güçlü kimlik doğrulama kimlik bilgileriyle sağlanmalıdır. Akıllı kart kimlik doğrulaması gibi güçlü kimlik doğrulamasına sahip temel şirket içi altyapıya sahip ortamlar, bulutta akıllı kart kimlik doğrulamasını kullanmaya devam edebilir.

Parolasız kimlik bilgileri

Parolasız çözüm, en uygun ve güvenli kimlik doğrulama yöntemini sağlamaya yönelik en iyi çözümdür. Ayrıcalıklı rollere sahip insan kimlikleri için FIDO güvenlik anahtarları ve İş İçin Windows Hello gibi parolasız kimlik bilgileri önerilir.

Parola koruması

Ortam bir şirket içi Active Directory ormanından eşitlenmişse, kuruluşunuzdaki zayıf parolaları ortadan kaldırmak için Microsoft Entra parola koruması dağıtmanız gerekir. Microsoft Entra akıllı kilitleme , kullanıcılarınızın parolalarını tahmin etmeye çalışan veya içeri girmek için deneme yanılma yöntemleri kullanan kötü aktörleri kilitlemek için karma veya yalnızca bulut ortamlarında da kullanılmalıdır.

Self servis parola yönetimi

Parolalarını değiştirmesi veya sıfırlaması gereken kullanıcılar, yardım masası çağrılarının hacminin ve maliyetinin en büyük kaynaklarından biridir. Maliyete ek olarak, kullanıcı riskini azaltmak için parolayı bir araç olarak değiştirmek, kuruluşunuzun güvenlik duruşunu geliştirmenin temel bir adımıdır. Yardım masası çağrılarını saptırmak için en azından insan hesapları için Self Servis Parola Yönetimi dağıtın ve parolalarla hesapları test edin.

Dış kimlik parolaları

Microsoft Entra B2B işbirliğini kullanan bir davet ve kullanım işlemi , iş ortakları, geliştiriciler ve alt yükleniciler gibi dış kullanıcıların şirketinizin kaynaklarına erişmek için kendi kimlik bilgilerini kullanmasına olanak tanır. Bu, yalıtılmış kiracılara daha fazla parola ekleme gereksinimini azaltır.

Not

Bazı uygulamalar, altyapı veya iş akışları yerel kimlik bilgileri gerektirebilir. Bunu büyük/küçük harf temelinde değerlendirin.

Hizmet sorumluları kimlik bilgileri

Hizmet sorumlularının gerekli olduğu senaryolar için hizmet sorumluları için sertifika kimlik bilgilerini veya iş yükü kimlikleri için Koşullu Erişim'i kullanın. Gerekirse, kuruluş ilkesi için özel durum olarak istemci gizli dizilerini kullanın.

Her iki durumda da Azure Key Vault, azure tarafından yönetilen kimliklerle kullanılabilir, böylece çalışma zamanı ortamı (örneğin, bir Azure işlevi) anahtar kasasından kimlik bilgilerini alabilir.

Sertifika kimlik bilgileriyle hizmet sorumlularının kimlik doğrulaması için otomatik olarak imzalanan sertifikaya sahip hizmet sorumluları oluşturmak için bu örneği gözden geçirin.

Erişim ilkeleri

Aşağıdaki bölümlerde Azure çözümlerine yönelik öneriler yer almaktadır. Tek tek ortamlar için Koşullu Erişim ilkeleri hakkında genel yönergeler için Koşullu Erişim en iyi yöntemleri, Microsoft Entra İşlemleri Kılavuzu ve Sıfır Güven için Koşullu Erişim'i gözden geçirin:

  • Azure Resource Manager'a erişirken kimlik güvenliği duruşunu zorlamak için Windows Azure Service Management API bulut uygulaması için Koşullu Erişim ilkeleri tanımlayın. Bu, yalnızca güvenli iş istasyonları üzerinden erişimi etkinleştirmek için MFA ve cihaz tabanlı denetimler üzerindeki denetimleri içermelidir (daha fazla bilgi için Kimlik İdaresi'nin altındaki Ayrıcalıklı Roller bölümünde bulabilirsiniz). Ayrıca, cihazlara filtre uygulamak için Koşullu Erişim'i kullanın.

  • Yalıtılmış ortamlara eklenen tüm uygulamalarda, ekleme işleminin bir parçası olarak açık Koşullu Erişim ilkeleri uygulanmalıdır.

  • Şirket içi güven sürecinin güvenli kökünü yansıtan güvenlik bilgileri kaydı için Koşullu Erişim ilkeleri tanımlayın (örneğin, fiziksel konumlardaki iş istasyonları için, IP adresleriyle tanımlanabilir ve doğrulama için çalışanların bizzat ziyaret etmesi gerekir).

  • İş yükü kimliklerini kısıtlamak için Koşullu Erişim kullanmayı göz önünde bulundurun. Konuma veya diğer ilgili koşullara göre erişimi sınırlamak veya daha iyi denetlemek için bir ilke oluşturun.

Kimlik Doğrulama Zorlukları

  • Microsoft Entra B2B ile sağlanan dış kimliklerin kaynak kiracısında çok faktörlü kimlik doğrulaması kimlik bilgilerini yeniden sağlaması gerekebilir. Kaynak kiracısıyla bir kiracılar arası erişim ilkesi ayarlanmamışsa bu gerekli olabilir. Bu, sisteme ekleme işleminin tek bir faktörle önyüklendiği anlamına gelir. Bu yaklaşımla, risk azaltma, kuruluşun B2B daveti verilmeden önce kullanıcı ve kimlik bilgisi risk profilini kanıtlamaya yönelik bir süreci olmasıdır. Ayrıca, daha önce açıklandığı gibi kayıt işlemine Koşullu Erişim tanımlayın.

  • B2B işbirliği ve B2B doğrudan bağlantı aracılığıyla diğer Microsoft Entra kuruluşları ve diğer Microsoft Azure bulutlarıyla nasıl işbirliği yaptıklarını yönetmek için Dış kimlikler kiracılar arası erişim ayarlarını kullanın.

  • Belirli cihaz yapılandırması ve denetimi için, belirli cihazları hedeflemek veya dışlamak için Koşullu Erişim ilkelerindeki cihaz filtrelerini kullanabilirsiniz. Bu, azure yönetim araçlarına erişimi belirlenmiş bir güvenli yönetici iş istasyonundan (SAW) kısıtlamanızı sağlar. Azure Sanal masaüstü, Azure Bastion veya Cloud PC'yi kullanmak da sizin için diğer yaklaşımlar arasında yer alır.

  • Azure EA portalı veya MCA faturalama hesapları gibi faturalama yönetimi uygulamaları, Koşullu Erişim hedeflemesi için bulut uygulamaları olarak temsil değildir. Telafi denetimi olarak ayrı yönetim hesapları tanımlayın ve "Tüm Uygulamalar" koşulu kullanarak koşullu erişim ilkelerini bu hesaplara hedefleyin.

Identity Governance

Ayrıcalıklı roller

Yalıtım için tüm kiracı yapılandırmalarında dikkate alınması gereken bazı kimlik idare ilkeleri aşağıdadır.

  • Ayakta erişim yok - Yalıtılmış ortamlarda ayrıcalıklı işlemler gerçekleştirmek için hiçbir insan kimliğinin ayakta erişimi olmamalıdır. Azure Rol tabanlı erişim denetimi (RBAC), Microsoft Entra Privileged Identity Management (PIM) ile tümleşir. PIM, çok faktörlü kimlik doğrulaması, onay iş akışı ve sınırlı süre gibi güvenlik geçitleri tarafından belirlenen tam zamanında etkinleştirme sağlar.

  • Yönetici sayısı - Kuruluşlar, iş sürekliliği risklerini azaltmak için ayrıcalıklı bir role sahip olan en az ve en fazla sayıda insan tanımlamalıdır. Çok az ayrıcalıklı rol olduğunda, yeterli saat dilimi kapsamı olmayabilir. En düşük ayrıcalık ilkesini izleyerek mümkün olduğunca az yöneticiye sahip olarak güvenlik risklerini azaltın.

  • Ayrıcalıklı erişimi sınırla - Yüksek ayrıcalık veya hassas ayrıcalıklar için yalnızca bulut ve rol atanabilir gruplar oluşturun. Bu, atanan kullanıcıların ve grup nesnesinin korunmasını sağlar.

  • En az ayrıcalıklı erişim - Kimliklere yalnızca kuruluştaki rolleri başına ayrıcalıklı işlemleri gerçekleştirmek için gereken izinler verilmelidir.

    • Azure RBAC özel rolleri , kuruluş gereksinimlerine göre en az ayrıcalıklı roller tasarlamaya olanak tanır. Özel rol tanımlarının özel güvenlik ekipleri tarafından yazılıp gözden geçirilmesini ve istenmeyen aşırı ayrıcalık risklerini azaltmanızı öneririz. Özel rollerin yazılması Azure İlkesi aracılığıyla denetlenebilir.

    • Kuruluşta daha geniş kullanım için tasarlanmamış rollerin yanlışlıkla kullanımını azaltmak için, erişim atamak için hangi rol tanımlarının kullanılabileceğini açıkça tanımlamak için Azure İlkesi kullanın. Bu GitHub Örneğinden daha fazla bilgi edinin.

  • Güvenli iş istasyonlarından ayrıcalıklı erişim - Tüm ayrıcalıklı erişim güvenli, kilitli cihazlardan gerçekleşmelidir. Bu hassas görevleri ve hesapları günlük kullanım iş istasyonlarından ve cihazlardan ayırmak ayrıcalıklı hesapları kimlik avı saldırılarına, uygulama ve işletim sistemi güvenlik açıklarına, çeşitli kimliğe bürünme saldırılarına ve tuş vuruşu günlüğü, Karma Geçiş ve Anahtar Geçişi gibi kimlik bilgisi hırsızlığı saldırılarına karşı korur.

Ayrıcalıklı erişim hikayenizin bir parçası olarak güvenli cihazları kullanmak için kullanabileceğiniz yaklaşımlardan bazıları, belirli cihazları hedeflemek veya dışlamak için Koşullu Erişim ilkelerini kullanmak, Azure Sanal masaüstü, Azure Bastion veya Cloud PC kullanmak ya da Azure tarafından yönetilen iş istasyonları veya ayrıcalıklı erişim iş istasyonları oluşturmaktır.

  • Ayrıcalıklı rol süreci korumaları - Kuruluşlar, yasal gereksinimlere uygun olarak gerektiğinde ayrıcalıklı işlemlerin yürütülebilmesini sağlamak için süreçleri ve teknik korumaları tanımlamalıdır. Koruma ölçütlerine örnek olarak şunlar verilebilir:

    • Ayrıcalıklı rollere sahip insanların niteliği (örneğin, tam zamanlı çalışan/satıcı, izin düzeyi, vatandaşlık)

    • Rollerin açık uyumsuzluğu (görev ayrımı olarak da bilinir). Örnek olarak Microsoft Entra dizin rollerine sahip ekiplerin Azure Resource Manager ayrıcalıklı rollerini yönetmekle sorumlu olmaması gerekir ve bu şekilde devam eder.

    • Hangi roller için doğrudan kullanıcı veya grup atamalarının tercih edilip edilmediği.

  • Microsoft Entra PIM dışındaki IAM atamalarını izleme, Azure İlkeleri aracılığıyla otomatik hale gelmez. Risk azaltma, mühendislik ekiplerine Abonelik Sahibi veya Kullanıcı Erişimi Yöneticisi rolleri vermemektir. Bunun yerine Katkıda Bulunan gibi en az ayrıcalıklı rollere atanmış gruplar oluşturun ve bu grupların yönetimini mühendislik ekiplerine devredin.

Kaynak erişimi

  • Kanıtlama - Ayrıcalıklı rolleri barındıran kimlikler, üyeliği güncel ve gerekçeli tutmak için düzenli aralıklarla gözden geçirilmelidir. Microsoft Entra erişim gözden geçirmeleri Azure RBAC rolleri, grup üyelikleri ve Microsoft Entra B2B dış kimlikleriyle tümleşir.

  • Yaşam Döngüsü - Ayrıcalıklı işlemler iş kolu uygulamaları, SaaS Uygulamaları ve Azure kaynak grupları ve abonelikleri gibi birden çok kaynağa erişim gerektirebilir. Microsoft Entra Yetkilendirme Yönetimi , kullanıcılara birim olarak atanan bir küme kaynağını temsil eden erişim paketleri tanımlamaya, geçerlilik süresi, onay iş akışları vb. belirlemeye olanak tanır.

Kiracı ve abonelik yaşam döngüsü yönetimi

Kiracı yaşam döngüsü

  • Yeni bir kurumsal Microsoft Entra kiracısı istemek için bir işlem uygulamanızı öneririz. İşlem aşağıdakiler için hesabalmalıdır:

    • Oluşturmak için iş gerekçesi. Yeni bir Microsoft Entra kiracısı oluşturmak karmaşıklığı önemli ölçüde artırır, bu nedenle yeni bir kiracının gerekli olup olmadığını belirlemek önemlidir.

    • Oluşturulması gereken Azure bulutu (örneğin, Ticari, Kamu vb.).

    • Bunun üretim olup olmadığı

    • Dizin veri yerleşimi gereksinimleri

    • Bunu kim yönetecek?

    • Yaygın güvenlik gereksinimlerini eğitip anlama.

  • Onay sonrasında Microsoft Entra kiracısı oluşturulur, gerekli temel denetimlerle yapılandırılır ve faturalama düzleminde, izlemede vb. eklenir.

  • Kiracı oluşturma işleminin idare edilen işlem dışında algılanması ve keşfedilmesi için faturalama düzleminde Microsoft Entra kiracılarının düzenli olarak gözden geçirilmesi gerekir. Diğer ayrıntılar için bu belgenin Stok ve Görünürlük bölümüne bakın.

  • Azure AD B2C kiracı oluşturma işlemi Azure İlkesi kullanılarak denetlenebilir. İlke, bir Azure aboneliği B2C kiracısı ile ilişkilendirildiğinde yürütülür (faturalama için ön koşul). Müşteriler Azure AD B2C kiracılarının oluşturulmasını belirli yönetim gruplarıyla sınırlandırabilir.

  • Bir kuruluşa kiracı oluşturma işlemini alt yapmak için teknik denetim yoktur. Ancak, etkinlik Denetim günlüğüne kaydedilir. Faturalama düzlemine ekleme, geçitte telafi denetimidir. Bunun yerine izleme ve uyarılarla tamamlanması gerekir.

Abonelik yaşam döngüsü

Aşağıda, yönetilen bir abonelik yaşam döngüsü süreci tasarlanırken dikkat edilmesi gereken bazı noktalar yer almaktadır:

  • Azure kaynakları gerektiren uygulamaların ve çözümlerin taksonomisini tanımlayın. Abonelik isteyen tüm ekiplerin abonelik isteğinde bulunurken "ürün tanımlayıcılarını" sağlaması gerekir. Bu bilgi taksonomisi aşağıdakileri belirler:

    • Aboneliği sağlamak için Microsoft Entra kiracısı

    • Abonelik oluşturmak için kullanılacak Azure EA hesabı

    • Adlandırma kuralı

    • Yönetim grubu ataması

    • Etiketleme, çapraz şarj etme, ürün görünümü kullanımı gibi diğer özellikler.

  • Portallar aracılığıyla veya başka yollarla geçici abonelik oluşturmaya izin verme. Bunun yerine Azure Resource Manager'ı kullanarak abonelikleri program aracılığıyla yönetmeyi, tüketim ve faturalama raporlarını program aracılığıyla çekmeyi göz önünde bulundurun. Bu, abonelik sağlamayı yetkili kullanıcılarla sınırlamaya ve ilke ve taksonomi hedeflerinizi uygulamaya yardımcı olabilir. Pratik bir çözüm oluşturmaya yardımcı olmak için aşağıdaki AZOps sorumlularıyla ilgili yönergeler kullanılabilir.

  • Abonelik sağlandığında Katkıda Bulunan, Okuyucu ve onaylı özel roller gibi uygulama ekiplerinin ihtiyaç duyduğu standart Azure Resource Manager Rollerini barındırmak için Microsoft Entra bulut grupları oluşturun. Bu, Azure RBAC rol atamalarını uygun ölçekte yönetilen ayrıcalıklı erişimle yönetmenizi sağlar.

    1. Etkinleştirme ilkesi, erişim gözden geçirmeleri, onaylayanlar gibi ilgili denetimlerle Microsoft Entra PIM kullanarak grupları Azure RBAC rollerine uygun olacak şekilde yapılandırın.

    2. Ardından grupların yönetimini çözüm sahiplerine devredin.

    3. Koruma alanı olarak, Microsoft Entra PIM dışındaki rollerin yanlışlıkla doğrudan atanmasını veya aboneliği tamamen farklı bir kiracıya değiştirme olasılığını ortadan kaldırmamak için ürün sahiplerini Kullanıcı Erişim Yöneticisi veya Sahip rollerine atamayın.

    4. Azure Lighthouse aracılığıyla üretim dışı kiracılarda kiracılar arası abonelik yönetimini etkinleştirmeyi seçen müşteriler için, abonelikleri yönetmek için kimlik doğrulaması yaparken üretim ayrıcalıklı hesabından (örneğin, yalnızca güvenli iş istasyonlarından ayrıcalıklı erişim) aynı erişim ilkelerinin uygulandığından emin olun.

  • Kuruluşunuzda önceden onaylanmış başvuru mimarileri varsa abonelik sağlama, Azure Blueprints veya Terraform gibi kaynak dağıtım araçlarıyla tümleştirilebilir.

  • Azure Abonelikleri'ne kiracı benzimliği göz önüne alındığında, abonelik sağlama birden çok kiracıda aynı insan aktör (çalışan, iş ortağı, satıcı vb.) için birden çok kimlik farkında olmalı ve buna göre erişim atamalıdır.

EA ve MCA rolleri

  • Azure Kurumsal (Azure EA) Sözleşmesi portalı, Azure RBAC veya Koşullu Erişim ile tümleştirilmez. Bunun için azaltma, ilkeler ve ek izleme ile hedeflenebilen ayrılmış yönetim hesaplarını kullanmaktır.

  • Azure EA Enterprise Portal denetim günlüğü sağlamaz. Bunu azaltmak için, yukarıda açıklanan önemli noktalara sahip abonelikler sağlamak ve ayrılmış EA hesaplarını kullanmak ve kimlik doğrulama günlüklerini denetlemek için otomatik olarak yönetilen bir işlemi göz önünde bulundurun.

  • Microsoft Müşteri Sözleşmesi (MCA) rolleri PIM ile yerel olarak tümleştiremez. Bunu azaltmak için ayrılmış MCA hesaplarını kullanın ve bu hesapların kullanımını izleyin.

Azure AD B2C kiracıları

  • Azure AD B2C kiracısında yerleşik roller PIM'i desteklemez. Güvenliği artırmak için Microsoft Entra B2B işbirliğini kullanarak Azure kiracınızdan Müşteri Kimliği Erişim Yönetimi'ni (CIAM) yöneten mühendislik ekiplerini eklemenizi, bunları Azure AD B2C ayrıcalıklı rollerine atamanızı ve bu ayrılmış yönetim hesaplarına Koşullu Erişim ilkeleri uygulamanızı öneririz.

  • Azure AD B2C kiracı ayrıcalıklı rolleri, Microsoft Entra erişim gözden geçirmeleriyle tümleştirilmez. Azaltma, kuruluşun Microsoft Entra kiracısında ayrılmış hesaplar oluşturmak, bu hesapları bir gruba eklemek ve bu grupta düzenli erişim gözden geçirmeleri gerçekleştirmektir.

  • Yukarıdaki Microsoft Entra Id için acil durum erişim yönergelerini izleyerek, yukarıda açıklanan dış yöneticilere ek olarak eşdeğer acil durum erişim hesapları oluşturmayı göz önünde bulundurun.

  • B2C kiracısının temel alınan Microsoft Entra aboneliğinin mantıksal sahipliğini, B2C çözümleri için azure aboneliklerinin geri kalanıyla aynı şekilde CIAM mühendislik ekipleriyle uyumlu hale getirmenizi öneririz.

Operations

Aşağıda, birden çok yalıtılmış ortam için özel olarak Microsoft Entra Id ile ilgili ek operasyonel konular yer alır. Tek tek ortamları çalıştırmaya yönelik ayrıntılı yönergeler için Azure Bulut Benimseme Çerçevesi, Microsoft bulut güvenlik karşılaştırması ve Microsoft Entra operations kılavuzuna bakın.

Ortamlar arası roller ve sorumluluklar

Kuruluş genelinde SecOps mimarisi - Kuruluştaki tüm ortamlardaki operasyon ve güvenlik ekiplerinin üyeleri aşağıdakileri birlikte tanımlamalıdır:

  • Ortamların ne zaman oluşturulması, birleştirilmesi veya kullanım dışı bırakılması gerektiğini tanımlayan ilkeler.

  • Her ortamda yönetim grubu hiyerarşisini tanımlama ilkeleri.

  • Faturalama düzlemi (EA portalı / MCA) güvenlik duruşu, operasyonel duruş ve temsilci yaklaşımı.

  • Kiracı oluşturma işlemi.

  • Kurumsal uygulama taksonomisi.

  • Azure aboneliği sağlama işlemi.

  • Yalıtım ve yönetim özerklik sınırları ve ekipler ve ortamlar arasında risk değerlendirmesi.

  • Tüm ortamlarda kullanılacak ortak temel yapılandırma ve güvenlik denetimleri (teknik ve telafi) ve işlem taban çizgileri.

  • Birden çok ortamı kapsayan yaygın standart işletimsel yordamlar ve araçlar (örneğin, izleme, sağlama).

  • Birden çok ortamda rollerin temsili üzerinde anlaşmaya varılmış.

  • Ortamlar arasında görev ayrımları.

  • Ayrıcalıklı iş istasyonları için ortak tedarik zinciri yönetimi.

  • Adlandırma kuralları.

  • Ortamlar arası bağıntı mekanizmaları.

Kiracı oluşturma - Belirli bir ekip, kuruluş genelindeki SecOps mimarisi tarafından tanımlanan standartlaştırılmış yordamları izleyerek kiracıyı oluşturmaya sahip olmalıdır. Buna aşağıdakiler dahildir:

  • Temel lisans sağlama (örneğin, Microsoft 365).

  • Kurumsal faturalama planına ekleme (örneğin, Azure EA veya MCA).

  • Azure yönetim grubu hiyerarşisi oluşturma.

  • Kimlik, veri koruma, Azure vb. gibi çeşitli çevreler için yönetim ilkelerinin yapılandırılması.

  • Tanılama ayarları, SIEM ekleme, CASB ekleme, PIM ekleme vb. dahil olmak üzere siber güvenlik mimarisi üzerinde anlaşmaya varılan güvenlik yığını başına dağıtım.

  • Üzerinde anlaşmaya varılan temsile göre Microsoft Entra rollerinin yapılandırılması.

  • İlk ayrıcalıklı iş istasyonlarının yapılandırması ve dağıtımı.

  • Acil durum erişim hesapları sağlama.

  • Kimlik sağlama yığını yapılandırması.

Ortamlar arası araç mimarisi - Kimlik sağlama ve kaynak denetimi işlem hatları gibi bazı araçların birden çok ortamda çalışması gerekebilir. Bu araçlar altyapı için kritik olarak kabul edilmeli ve bu şekilde tasarlanmalı, tasarlanmalı, uygulanmalıdır ve yönetilmelidir. Sonuç olarak, ortamlar arası araçların tanımlanması gerektiğinde tüm ortamlardaki mimarlar dahil edilmelidir.

Envanter ve görünürlük

Azure aboneliği bulma - Bulunan her kiracı için bir Microsoft Entra Genel Yöneticisi, ortamdaki tüm aboneliklerin görünürlüğünü elde etmek için erişimi yükseltebilir. Bu yükseltme, kök yönetim grubundaki Kullanıcı Erişim Yöneticisi yerleşik rolünü atar.

Not

Bu eylem son derece ayrıcalıklıdır ve veriler düzgün bir şekilde yalıtılmadıysa yöneticiye son derece hassas bilgiler içeren aboneliklere erişim verebilir.

Kaynakları bulmak için okuma erişimini etkinleştirme - Yönetim grupları, birden çok abonelik arasında büyük ölçekte RBAC atamasını etkinleştirir. Müşteriler, kök yönetim grubunda ortamdaki tüm aboneliklere yayılacak bir rol ataması yapılandırarak merkezi bir BT ekibine Okuyucu rolü verebilir.

Kaynak bulma - Ortamda kaynak Okuma erişimi kazandıktan sonra Azure Kaynak Grafı ortamdaki kaynakları sorgulamak için kullanılabilir.

Günlüğe kaydetme ve izleme

Merkezi güvenlik günlüğü yönetimi - Ortamlar arasında tutarlı en iyi yöntemleri izleyerek (örneğin, tanılama ayarları, günlük saklama, SIEM alımı vb.) her ortamdan günlükleri merkezi bir şekilde alın. Azure İzleyici uç nokta cihazları, ağ, işletim sistemlerinin güvenlik günlükleri gibi farklı kaynaklardan günlükleri almak için kullanılabilir.

Güvenlik işlemlerinizin bir parçası olarak günlükleri izlemek için otomatik veya el ile gerçekleştirilen işlemleri ve araçları kullanma hakkında ayrıntılı bilgileri Microsoft Entra güvenlik işlemi kılavuzunda bulabilirsiniz.

Bazı ortamlar, belirli bir ortamdan ayrılabilecek verileri (varsa) sınırlayan yasal gereksinimlere sahip olabilir. Ortamlar arasında merkezi izleme mümkün değilse, ekiplerin ortamlar arası denetim ve ortamlar arası yanal hareket girişimleri gibi adli amaçlarla kimliklerin etkinliklerini ilişkilendirmek için operasyonel yordamları olmalıdır. Aynı kişiye ait insan kimliklerini tanımlayan nesne benzersiz tanımlayıcılarının, potansiyel olarak kimlik sağlama sistemlerinin bir parçası olarak bulunabilir olması önerilir.

Günlük stratejisi, kuruluşta kullanılan her kiracı için aşağıdaki Microsoft Entra günlüklerini içermelidir:

  • Oturum açma etkinliği

  • Denetim günlükleri

  • Risk olayları

Microsoft Entra ID, oturum açma etkinlik günlüğü ve denetim günlükleri için Azure İzleyici tümleştirmesi sağlar. Risk olayları Microsoft Graph API aracılığıyla alınabiliyor.

Aşağıdaki diyagramda, izleme stratejisinin bir parçası olarak dahil edilmesi gereken farklı veri kaynakları gösterilmektedir:

Azure AD B2C kiracıları Azure İzleyici ile tümleştirilebilir. Microsoft Entra Id için yukarıda açıklanan ölçütlerin aynısını kullanarak Azure AD B2C'nin izlenmesini öneririz.

Azure Lighthouse ile kiracılar arası yönetimi etkinleştiren abonelikler, günlükler Azure İzleyici tarafından toplanıyorsa kiracılar arası izlemeyi etkinleştirebilir. İlgili Log Analytics çalışma alanları kaynak kiracısında bulunabilir ve Azure İzleyici çalışma kitapları kullanılarak yönetilen kiracıda merkezi olarak analiz edilebilir. Daha fazla bilgi edinmek için Bkz . Uygun ölçekte temsilci kaynakları izleme - Azure Lighthouse.

Karma altyapı işletim sistemi güvenlik günlükleri

Tüm hibrit kimlik altyapısı işletim sistemi günlükleri, yüzey alanı etkileri dikkate alındığında Katman 0 sistemi olarak arşivlenmeli ve dikkatle izlenmelidir. Buna aşağıdakiler dahildir:

  • AD FS sunucuları ve Web Uygulama Ara Sunucusu

  • Microsoft Entra Connect

  • Uygulama Ara Sunucusu Aracıları

  • Parola geri yazma aracıları

  • Parola Koruması Ağ Geçidi makineleri

  • Microsoft Entra çok faktörlü kimlik doğrulaması RADIUS uzantısına sahip NPS

Microsoft Entra Connect Health , tüm ortamlar için kimlik eşitlemesini ve federasyonu (uygun olduğunda) izlemek üzere dağıtılmalıdır.

Günlük depolama saklama - Tutarlı bir araç takımını (örneğin, Azure Sentinel gibi SIEM sistemleri), yaygın sorguları, araştırmayı ve adli tıp playbook'larını kolaylaştırmak için tüm ortamların uyumlu bir günlük depolama saklama stratejisi, tasarımı ve uygulaması olmalıdır. Azure İlkesi tanılama ayarlarını ayarlamak için kullanılabilir.

İzleme ve günlük gözden geçirme - Kimlik izlemeyle ilgili operasyonel görevler tutarlı olmalı ve her ortamda sahiplere sahip olmalıdır. Yukarıda açıklandığı gibi, bu sorumlulukları mevzuat uyumluluğu ve yalıtım gereksinimlerinin izin verdiği ölçüde ortamlar arasında birleştirmeye çabalayın.

Aşağıdaki senaryolar açıkça izlenmeli ve araştırılmalıdır:

  • Şüpheli etkinlik - Tüm Microsoft Entra risk olayları şüpheli etkinlikler için izlenmelidir. Konum tabanlı sinyallerde gürültülü algılamalardan kaçınmak için tüm kiracıların ağ adlı konumları tanımlaması gerekir. Microsoft Entra Kimlik Koruması, Azure Güvenlik Merkezi ile yerel olarak tümleştirilmiştir. Risk algılama araştırmalarının kimliğin sağlandığı tüm ortamları içermesi önerilir (örneğin, bir insan kimliğinin şirket kiracısında etkin bir risk algılaması varsa, müşteriye yönelik kiracıyı çalıştıran ekip de ilgili hesabın bu ortamdaki etkinliğini araştırmalıdır).

  • Kullanıcı varlığı davranış analizi (UEBA) uyarıları - Anomali algılamaya dayalı içgörülü bilgiler almak için UEBA kullanılmalıdır. Microsoft Microsoft 365 Bulut için Defender Apps, bulutta UEBA sağlar. Müşteriler, Microsoft Microsoft 365 Defender for Identity'den şirket içi UEBA'sını tümleştirebilir. MCAS, Microsoft Entra Kimlik Koruması gelen sinyalleri okur.

  • Acil durum erişim hesapları etkinliği - Acil durum erişim hesaplarını kullanan tüm erişimler izlenmeli ve araştırma için uyarılar oluşturulmalıdır. Bu izleme şunları içermelidir:

    • Oturum açma işlemleri

    • Kimlik bilgileri yönetimi

    • Grup üyelikleriyle ilgili güncelleştirmeler

    • Uygulama Atamaları

  • Faturalama yönetimi hesapları - Azure EA veya MCA'da faturalama yönetimi rollerine sahip hesapların duyarlılığı ve bunların önemli ayrıcalıkları göz önünde bulundurulduğunda, izleme ve uyarı önerilir:

    • Ödeme rollerine sahip hesaplara göre oturum açma girişimleri.

    • EA Portalı dışındaki uygulamalarda kimlik doğrulaması denemeleri.

    • MCA faturalama görevleri için ayrılmış hesaplar kullanılıyorsa Azure Kaynak Yönetimi dışındaki uygulamalarda kimlik doğrulaması yapmaya yönelik tüm girişimler.

    • MCA faturalama görevleri için ayrılmış hesapları kullanarak Azure kaynaklarına atama.

  • Ayrıcalıklı rol etkinliği - Microsoft Entra PIM tarafından oluşturulan güvenlik uyarılarını yapılandırın ve gözden geçirin. Doğrudan RBAC atamalarını kilitlemek teknik denetimlerle tam olarak zorlanamazsa (örneğin, işini yapmak için ürün ekiplerine Sahip rolü verilmesi gerekir), bir kullanıcı Azure RBAC ile aboneliğe doğrudan erişmek için doğrudan atanmış olduğunda uyarılar oluşturarak PIM dışında ayrıcalıklı rollerin doğrudan atanmasını izleyin.

  • Klasik rol atamaları - Kuruluşlar, klasik roller yerine modern Azure RBAC rol altyapısını kullanmalıdır. Sonuç olarak, aşağıdaki olaylar izlenmelidir:

    • Abonelik düzeyinde klasik rollere atama

  • Kiracı genelinde yapılandırmalar - Kiracı genelindeki tüm yapılandırma hizmetleri sistemde uyarılar oluşturmalıdır.

    • Özel Etki Alanlarını Güncelleştirme

    • Markayı güncelleştirme

    • Microsoft Entra B2B izin ver/engelle listesi

    • Microsoft Entra B2B izin verilen kimlik sağlayıcıları (doğrudan federasyon veya Sosyal Oturum Açma bilgileri aracılığıyla SAML IDP'leri)

    • Koşullu Erişim İlkeleri değişiklikleri

  • Uygulama ve hizmet sorumlusu nesneleri

    • Koşullu Erişim ilkeleri gerektirebilecek yeni Uygulamalar / Hizmet sorumluları

    • Uygulama Onayı etkinliği

  • Yönetim grubu etkinliği - Yönetim gruplarının aşağıdaki Kimlik Yönleri izlenmelidir:

    • MG'de RBAC rol atamaları

    • MG'de uygulanan Azure İlkeleri

    • MG'ler arasında taşınan abonelikler

    • Kök MG'de güvenlik ilkelerde yapılan tüm değişiklikler

  • Özel roller

    • Özel rol tanımlarının güncelleştirmeleri

    • Yeni özel roller oluşturuldu

  • Özel görev ayrımı kuralları - Kuruluşunuz herhangi bir görev ayrımı kuralı oluşturduysa, görev ayrımını zorunlu kılmak için Microsoft Entra Yetkilendirme Yönetimi uyumsuz erişim paketlerini kullanın ve yöneticiler tarafından ihlalleri algılamak için uyarılar oluşturun veya düzenli incelemeler yapılandırın.

diğer izleme konuları - Günlük Yönetimi için kullanılan kaynakları içeren Azure abonelikleri kritik altyapı (Katman 0) olarak kabul edilmeli ve ilgili ortamın Güvenlik İşlemleri ekibine kilitlenmelidir. Bu aboneliklere ek denetimler uygulamak için Azure İlkesi gibi araçları kullanmayı göz önünde bulundurun.

İşletimsel araçlar

Ortamlar arası araç tasarımında dikkat edilmesi gerekenler:

  • Mümkün olduğunda, birden çok kiracıda kullanılacak işletimsel araçlar, her kiracıda birden çok örneğin yeniden dağıtılmasını önlemek ve işletimsel verimsizlikleri önlemek için Microsoft Entra çok kiracılı uygulama olarak çalışacak şekilde tasarlanmalıdır. Uygulama, kullanıcılar ve veriler arasındaki yalıtımın korunmasını sağlamak için içinde yetkilendirme mantığını içermelidir.

  • Tüm ortamlar arası otomasyonları (örneğin, kimlik sağlama) izlemek için uyarılar ve algılamalar ve güvenlik güvenlikleri için eşik sınırları ekleyin. Örneğin, kullanıcı hesaplarının sağlamasını kaldırma işlemi belirli bir düzeye ulaşırsa bir uyarı isteyebilirsiniz, bunun nedeni büyük bir etki yaratabilecek bir hata veya işlem hatası olabileceğidir.

  • Ortamlar arası görevleri düzenleyen tüm otomasyonlar yüksek ayrıcalıklı sistem olarak çalıştırılmalıdır. Bu sistem en yüksek güvenlik ortamına ev sahipliği yapmalı ve diğer ortamlardan veri gerekiyorsa dış kaynaklardan çekilmelidir. Sistem bütünlüğünü korumak için veri doğrulama ve eşiklerin uygulanması gerekir. Ortak bir ortamlar arası görev, sonlandırılan bir çalışanın tüm ortamlarından kimlikleri kaldırmak için kimlik yaşam döngüsü yönetimidir.

BT hizmet yönetimi araçları - ServiceNow gibi BT Hizmet Yönetimi (ITSM) sistemlerini kullanan kuruluşlar, etkinleştirme amaçları kapsamında microsoft Entra PIM rol etkinleştirme ayarlarını bilet numarası istemek üzere yapılandırmalıdır.

Benzer şekilde Azure İzleyici, BT Hizmet Yönetimi Bağlayıcısı aracılığıyla ITSM sistemleriyle tümleştirilebilir.

operasyonel uygulamalar - Ortama insan kimliklerine doğrudan erişim gerektiren operasyonel etkinlikleri en aza indirin. Bunun yerine, bunları yaygın işlemleri yürüten (örneğin PaaS çözümüne kapasite ekleme, tanılama çalıştırma vb.) ve Azure Resource Manager arabirimlerine doğrudan erişimi "kesme" senaryolarına modelleyen Azure Pipelines olarak modelleyin.

İşlem zorlukları

  • Hizmet Sorumlusu İzleme etkinliği bazı senaryolar için sınırlıdır

  • Microsoft Entra PIM uyarılarında API yoktur. Risk azaltma, bu PIM uyarılarını düzenli olarak gözden geçirmektir.

  • Azure EA Portal izleme özellikleri sağlamaz. Azaltma, ayrılmış yönetim hesaplarına sahip olmak ve hesap etkinliğini izlemektir.

  • MCA, faturalama görevleri için denetim günlükleri sağlamaz. Azaltma, ayrılmış yönetim hesaplarına sahip olmak ve hesap etkinliğini izlemektir.

  • Azure'da ortamı çalıştırmak için gereken bazı hizmetlerin çok kiracılı veya çok bulutlu olmadığından ortamlar arasında yeniden dağıtılması ve yeniden yapılandırılması gerekir.

  • Kod olarak altyapıyı tam olarak elde etmek için Microsoft Online Services genelinde tam API kapsamı yoktur. Risk azaltma, API'leri mümkün olduğunca kullanmak ve kalanlar için portalları kullanmaktır. Ortamınızda işe yarayabilecek bir yaklaşımı saptamanıza yardımcı olan bu Açık Kaynak girişimi.

  • Yönetici kiracıdaki kimliklere abonelik erişimi atanmış kaynak kiracılarını bulmak için programlı bir özellik yoktur. Örneğin, e-posta adresi fabrikam.com kiracıdaki abonelikleri yönetmek için contoso.com kiracısında bir güvenlik grubunu etkinleştirdiyse, contoso.com yöneticilerinin bu temsilcinin gerçekleştiğini keşfedecek bir API'leri yoktur.

  • Belirli hesap etkinliği izleme (örneğin, kesme hesabı, faturalama yönetimi hesabı) kullanıma hazır olarak sağlanmaz. Azaltma, müşterilerin kendi uyarı kurallarını oluşturmasını sağlar.

  • Kiracı genelinde yapılandırma izleme kullanıma sunulmaz. Azaltma, müşterilerin kendi uyarı kurallarını oluşturmasını sağlar.

Sonraki adımlar