Microsoft Entra Id'de tek bir kiracıda kaynak yalıtımının güvenliğini sağlama
Tek bir kiracıda birçok ayrım senaryosu elde edilebilir. Mümkünse, en iyi üretkenlik ve işbirliği deneyimi için yönetimi tek bir kiracıdaki ayrı ortamlara devretmenizi öneririz.
Sonuçlar
Kaynak ayrımı - Kaynak erişimini kullanıcılara, gruplara ve Hizmet Sorumlularına kısıtlamak için Microsoft Entra dizin rollerini, güvenlik gruplarını, Koşullu Erişim ilkelerini, Azure kaynak gruplarını, Azure yönetim gruplarını, yönetim birimlerini (AU) ve diğer denetimleri kullanın. Kaynakları yönetmek için ayrı yöneticileri etkinleştirin. Ayrı kullanıcılar, izinler ve erişim gereksinimleri kullanın.
Aşağıdakiler varsa birden çok kiracıda yalıtım kullanın:
- Kiracı genelinde ayarlar gerektiren kaynak kümeleri
- Kiracı üyeleri tarafından yetkisiz erişim için minimum risk toleransı
- Yapılandırma değişiklikleri istenmeyen etkilere neden oluyor
Yapılandırma ayrımı - Bazı durumlarda, uygulamalar gibi kaynakların kimlik doğrulama yöntemleri veya adlandırılmış konumlar gibi kiracı genelindeki yapılandırmalara bağımlılıkları vardır. Kaynakları yalıtırken bağımlılıkları göz önünde bulundurun. Genel Yöneticiler kaynakları etkileyen kaynak ayarlarını ve kiracı genelindeki ayarları yapılandırabilir.
Bir kaynak kümesi benzersiz kiracı genelinde ayarlar gerektiriyorsa veya kiracı ayarlarını farklı bir varlık yönetiyorsa, birden çok kiracıyla yalıtım kullanın.
Yönetim ayrımı - Microsoft Entra ID yönetim temsilcisi ile uygulamalar ve API'ler, kullanıcılar ve gruplar, kaynak grupları ve Koşullu Erişim ilkeleri gibi kaynak yönetimini ayırabilirsiniz.
Genel Yöneticiler güvenen kaynakları bulabilir ve bu kaynaklara erişim elde edebilir. Bir kaynakta kimliği doğrulanmış yönetici değişiklikleri için denetim ve uyarılar ayarlayın.
Yönetim ayrımı için Microsoft Entra Id'de yönetim birimlerini (AU) kullanın. AU'lar, roldeki izinleri kuruluşunuzun tanımladığınız bir bölümüyle kısıtlar. Yardım Masası Yöneticisi rolünü bölgesel destek uzmanlarına devretmek için AU'ları kullanın. Daha sonra, destekledikleri bölgedeki kullanıcıları yönetebilirler.
Kullanıcıları, grupları ve cihaz nesnelerini ayırmak için AU'ları kullanın. Dinamik üyelik grupları için kuralları olan birimler atayın.
Privileged Identity Management (PIM) ile, yüksek ayrıcalıklı rollere yönelik istekleri onaylamak için bir kişi seçin. Örneğin, kiracı genelinde değişiklik yapmak için Genel Yönetici erişimi gerektiren yöneticiler.
Not
PIM kullanımı için insan başına Microsoft Entra Id P2 lisansı gerekir.
Genel Yöneticilerin bir kaynağı yönetemiyoruz onaylamak için, kaynağı ayrı genel yöneticilerle ayrı bir kiracıda yalıtın. Yedeklemeler için bu yöntemi kullanın. Örnekler için bkz . çok kullanıcılı yetkilendirme kılavuzu .
Ortak kullanım
Tek bir kiracıda birden çok ortam için yaygın olarak kullanılan bir kullanım, üretimin üretim dışı kaynaklardan ayrılmasıdır. Bir kiracıda geliştirme ekipleri ve uygulama sahipleri, test uygulamaları, test kullanıcıları ve grupları ve bu nesneler için test ilkeleriyle ayrı bir ortam oluşturup yönetir. Benzer şekilde, ekipler Azure kaynaklarının ve güvenilen uygulamaların üretim dışı örneklerini oluşturur.
Üretim dışı Azure kaynaklarını ve eşdeğer üretim dışı dizin nesneleriyle Microsoft Entra tümleşik uygulamalarının üretim dışı örneklerini kullanın. Dizindeki üretim dışı kaynaklar test içindir.
Not
Microsoft Entra kiracısında birden fazla Microsoft 365 ortamından kaçının. Ancak, bir Microsoft Entra kiracısında birden çok Dynamics 365 ortamınız olabilir.
Tek bir kiracıda yalıtım için başka bir senaryo da konumlar, yan kuruluş veya katmanlı yönetim arasındaki ayrımdır. Kurumsal erişim modeline bakın.
Azure kaynaklarının kapsamlı yönetimi için Azure rol tabanlı erişim denetimi (Azure RBAC) atamalarını kullanın. Benzer şekilde, birden çok özellik aracılığıyla Microsoft Entra ID güvenen uygulamaların Microsoft Entra ID yönetimini etkinleştirin. Koşullu Erişim, kullanıcı ve grup filtreleme, yönetim birimi atamaları ve uygulama atamaları örnek olarak verilebilir.
Kuruluş düzeyinde yapılandırma hazırlama dahil olmak üzere Microsoft 365 hizmetlerinin yalıtılmasını sağlamak için birden çok kiracı yalıtımı seçin.
Azure kaynakları için kapsamlı yönetim
Ayrıntılı kapsamlara ve yüzey alanına sahip bir yönetim modeli tasarlamak için Azure RBAC kullanın. Aşağıdaki örnekte yönetim hiyerarşisini göz önünde bulundurun:
Not
Yönetim hiyerarşisini kuruluş gereksinimlerine, kısıtlamalarına ve hedeflerine göre tanımlayabilirsiniz. Daha fazla bilgi için azure kaynaklarını düzenleme Bulut Benimseme Çerçevesi kılavuzuna bakın.
- Yönetim grubu - Diğer yönetim gruplarını etkilememeleri için yönetim gruplarına roller atayın. Önceki senaryoda İk ekibi, kaynakların İk abonelikleri arasında dağıtıldığı bölgeleri denetlemek için bir Azure ilkesi tanımlar.
- Abonelik - Diğer kaynak gruplarını etkilemesini önlemek için aboneliğe roller atayın. Önceki senaryoda İk ekibi, diğer İk aboneliklerini veya başka bir ekibin aboneliğini okumadan Avantajlar aboneliği için Okuyucu rolünü atar.
- Kaynak grubu - Diğer kaynak gruplarını etkilememeleri için kaynak gruplarına roller atayın. Avantajlar mühendislik ekibi, test veritabanını ve test web uygulamasını yönetmek veya daha fazla kaynak eklemek için katkıda bulunan rolünü bir kişiye atar.
- Tek tek kaynaklar - Diğer kaynakları etkilememeleri için kaynaklara roller atayın. Avantajlar mühendislik ekibi, Azure Cosmos DB veritabanının test örneği için bir veri analisti Cosmos DB Hesap Okuyucusu rolü atar. Bu çalışma test web uygulamasını veya üretim kaynağını engellemez.
Daha fazla bilgi için bkz . Azure yerleşik rolleri ve Azure RBAC nedir?.
Yapı hiyerarşiktir. Bu nedenle, hiyerarşide ne kadar yüksekse, alt düzeylerde kapsam, görünürlük ve etki o kadar geniş olur. Üst düzey kapsamlar, Microsoft Entra kiracı sınırındaki Azure kaynaklarını etkiler. İzinleri birden çok düzeyde uygulayabilirsiniz. Bu eylem risk oluşturur. Hiyerarşide daha yüksek roller atamak, kapsamın alt kısmında istediğinizden daha fazla erişim sağlayabilir. Microsoft Entra , riski azaltmaya yardımcı olmak için görünürlük ve düzeltme sağlar.
- Kök yönetim grubu, aboneliklere ve kaynaklara uygulanan Azure ilkelerini ve RBAC rol atamalarını tanımlar
- Genel Yöneticiler aboneliklere ve yönetim gruplarına erişimi yükseltebilir
Üst düzey kapsamlarınızı izleyin. Ağ gibi kaynak yalıtımının diğer boyutlarını planlamak önemlidir. Azure ağıyla ilgili yönergeler için bkz . Ağ güvenliği için en iyi Azure yöntemleri. Hizmet olarak altyapı (IaaS) iş yükleri, kimlik ve kaynak yalıtımının tasarım ve stratejinin bir parçası olması gereken senaryolara sahiptir.
Azure giriş bölgesi kavramsal mimarisine göre hassas kaynakları veya test kaynaklarını yalıtmayı göz önünde bulundurun. Örneğin, ayrılmış yönetim gruplarına kimlik abonelikleri atayın. Korumalı alan yönetim gruplarında geliştirme için ayrı abonelikler. Ayrıntıları kurumsal ölçekli belgelerde bulabilirsiniz. Kiracıda test için ayrım, başvuru mimarisinin yönetim grubu hiyerarşisinde dikkate alınır.
Microsoft Entra ID güvenen uygulamalar için kapsamlı yönetim
Aşağıdaki bölümde, Microsoft Entra ID güvenen uygulamaların kapsamını belirleme deseni gösterilmektedir.
Microsoft Entra ID, özel ve SaaS uygulamalarının birden çok örneğinin yapılandırılmasını destekler, ancak çoğu Microsoft hizmetleri bağımsız kullanıcı atamalarıyla aynı dizinde yapılandırılmasını desteklemez. Önceki örnekte seyahat uygulamasının üretim ve test sürümü vardır. Uygulamaya özgü yapılandırma ve ilke ayrımı elde etmek için şirket kiracısına üretim öncesi sürümleri dağıtın. Bu eylem, iş yükü sahiplerinin kurumsal kimlik bilgileriyle test gerçekleştirmesini sağlar. Test kullanıcıları ve test grupları gibi üretim dışı dizin nesneleri, bu nesnelerin ayrı sahipliğini içeren üretim dışı uygulamayla ilişkilendirilir.
Microsoft Entra kiracı sınırında güvenen uygulamaları etkileyen kiracı genelinde bazı yönler vardır:
- Genel Yöneticiler kiracı genelindeki tüm ayarları yönetir
- Kullanıcı Yöneticisi, Uygulama Yöneticisi ve Koşullu Erişim Yöneticileri gibi diğer dizin rolleri , rol kapsamında kiracı genelinde yapılandırmayı yönetir.
Kimlik doğrulama yöntemleri, karma yapılandırmalar, B2B işbirliği etki alanlarının izin verilenler listesi ve adlandırılmış konumlar gibi yapılandırma ayarları kiracı genelindedir.
Not
Microsoft Graph API izinlerinin ve onay izinlerinin kapsamı bir grup veya AU üyelerine uygulanamaz. Bu izinler dizin düzeyinde atanır. Yalnızca kaynağa özgü onay, şu anda Microsoft Teams Sohbet izinleri ile sınırlı olan kaynak düzeyinde kapsama izin verir.
Önemli
Office 365, Microsoft Dynamics ve Microsoft Exchange gibi Microsoft SaaS hizmetlerinin yaşam döngüsü Microsoft Entra kiracısına bağlıdır. Sonuç olarak, bu hizmetlerin birden çok örneği birden çok Microsoft Entra kiracısı gerektirir.