İngilizce dilinde oku

Aracılığıyla paylaş

Microsoft Entra Id'de özel güvenlik özniteliklerine erişimi yönetme

  • Makale

Kuruluşunuzdaki kişilerin özel güvenlik öznitelikleriyle etkili bir şekilde çalışabilmesi için uygun erişimi vermelisiniz. Özel güvenlik özniteliklerine eklemeyi planladığınız bilgilere bağlı olarak, özel güvenlik özniteliklerini kısıtlamak veya bunları kuruluşunuzda geniş kapsamlı bir şekilde erişilebilir hale getirmek isteyebilirsiniz. Bu makalede, özel güvenlik özniteliklerine erişimin nasıl yönetileceğini açıklanmaktadır.

Önkoşullar

Özel güvenlik özniteliklerine erişimi yönetmek için aşağıdakilere sahip olmanız gerekir:

Önemli

Varsayılan olarak, Genel Yönetici ve diğer yönetici rollerinin özel güvenlik özniteliklerini okuma, tanımlama veya atama izinleri yoktur.

1. Adım: Özniteliklerinizi düzenlemeyi belirleme

Her özel güvenlik özniteliği tanımı bir öznitelik kümesinin parçası olmalıdır. Öznitelik kümesi, ilgili özel güvenlik özniteliklerini gruplandırma ve yönetmenin bir yoludur. Kuruluşunuz için öznitelik kümelerini nasıl eklemek istediğinizi belirlemeniz gerekir. Örneğin, departmanlara, ekiplere veya projelere dayalı öznitelik kümeleri eklemek isteyebilirsiniz. Özel güvenlik özniteliklerine erişim izni verebilmek, öznitelik kümelerinizi nasıl düzenlediğinize bağlıdır.

Departmana göre ayarlanan bir özniteliği gösteren diyagram.

2. Adım: Gerekli kapsamı belirleme

Kapsam, erişimin uygulandığı kaynak kümesidir. Özel güvenlik öznitelikleri için, rolleri kiracı kapsamında veya öznitelik kümesi kapsamında atayabilirsiniz. Geniş erişim atamak istiyorsanız, kiracı kapsamında roller atayabilirsiniz. Ancak, erişimi belirli öznitelik kümeleriyle sınırlamak istiyorsanız, öznitelik kümesi kapsamında roller atayabilirsiniz.

Kiracı kapsamını ve öznitelik kümesi kapsamını gösteren diyagram.

Microsoft Entra rol atamaları ek bir modeldir, bu nedenle etkili izinleriniz rol atamalarınızın toplamıdır. Örneğin, bir kullanıcıya kiracı kapsamında bir rol atarsanız ve aynı kullanıcıya öznitelik kümesi kapsamında aynı rolü atarsanız, kullanıcının kiracı kapsamında izinleri olmaya devam eder.

3. Adım: Kullanılabilir rolleri gözden geçirme

Kuruluşunuzdaki özel güvenlik öznitelikleriyle çalışmak için kimlerin erişmesi gerektiğini belirlemeniz gerekir. Özel güvenlik özniteliklerine erişimi yönetmenize yardımcı olmak için dört Microsoft Entra yerleşik rolü vardır. Gerekirse, en azından Ayrıcalıklı Rol Yöneticisi rolüne sahip biri bu rolleri atayabilir.

Aşağıdaki tabloda özel güvenlik öznitelikleri rollerinin üst düzey bir karşılaştırması sağlanmaktadır.

İzin Öznitelik Tanımı Yöneticisi Öznitelik Atama Yöneticisi Öznitelik Tanımı Okuyucusu Öznitelik Atama Okuyucusu
Öznitelik kümelerini okuma
Öznitelik tanımlarını okuma
Kullanıcılar ve uygulamalar için öznitelik atamalarını okuma (hizmet sorumluları)
Öznitelik kümelerini ekleme veya düzenleme
Öznitelik tanımlarını ekleme, düzenleme veya devre dışı bırakma
Kullanıcılara ve uygulamalara öznitelik atama (hizmet sorumluları)

4. Adım: Temsilci stratejinizi belirleme

Bu adım, özel güvenlik özniteliklerine erişimi yönetmenin iki yolunu açıklar. İlk yol, bunları merkezi olarak yönetmek ve ikinci yol da yönetimi başkalarına devretmektir.

Öznitelikleri merkezi olarak yönetme

Kiracı kapsamında Öznitelik Tanımı Yöneticisi ve Öznitelik Atama Yöneticisi rolleri atanmış bir yönetici özel güvenlik özniteliklerinin tüm yönlerini yönetebilir. Aşağıdaki diyagramda özel güvenlik özniteliklerinin tek bir yönetici tarafından nasıl tanımlandığı ve atandığı gösterilmektedir.

Merkezi olarak yönetilen özel güvenlik özniteliklerinin diyagramı.

  1. Yönetici (Xia) kiracı kapsamında hem Öznitelik Tanımı Yöneticisi hem de Öznitelik Atama Yöneticisi rollerine sahiptir. Yönetici öznitelik kümeleri ekler ve öznitelikleri tanımlar.
  2. Yönetici, Microsoft Entra nesnelerine öznitelikler atar.

Öznitelikleri merkezi olarak yönetmek, bir veya iki yönetici tarafından yönetilebileceği avantaja sahiptir. Bunun dezavantajı, yöneticinin özel güvenlik özniteliklerini tanımlamak veya atamak için çeşitli istekler almasıdır. Bu durumda, yönetim temsilcisi seçmek isteyebilirsiniz.

Temsilci seçme ile öznitelikleri yönetme

Bir yönetici, özel güvenlik özniteliklerinin nasıl tanımlanıp atanması gerektiğiyle ilgili tüm durumları bilmiyor olabilir. Genellikle ilgili departmanlar, ekipler veya projeler içindeki kullanıcılar kendi alanları hakkında en fazla bilgi sahibi olan kullanıcılardır. Tüm özel güvenlik özniteliklerini yönetmek için bir veya iki yönetici atamak yerine, öznitelik kümesi kapsamında yönetim temsilcisi atayabilirsiniz. Bu, diğer yöneticilerin işlerini yapması ve gereksiz erişimden kaçınması için gereken izinleri vermek için en düşük ayrıcalık uygulamasını da izler. Aşağıdaki diyagramda, özel güvenlik özniteliklerinin yönetiminin birden çok yöneticiye nasıl temsilci seçilebileceği gösterilmektedir.

Temsilci seçme ile yönetilen özel güvenlik özniteliklerinin diyagramı.

  1. Kiracı kapsamında atanan Öznitelik Tanımı Yöneticisi rolüne sahip yönetici (Xia) öznitelik kümeleri ekler. Yöneticinin ayrıca, diğer kullanıcılara (Ayrıcalıklı Rol Yöneticisi) ve her öznitelik kümesi için özel güvenlik özniteliklerini okuyabilen, tanımlayabilen veya atayabilen temsilcilere rol atama izinleri de vardır.
  2. Temsilci atanan Öznitelik Tanımı Yöneticileri (Alice ve Bob), kendilerine erişim verilen öznitelik kümelerinde öznitelikleri tanımlar.
  3. Atanan Öznitelik Atama Yöneticileri (Chandra ve Bob) öznitelik kümelerinden Microsoft Entra nesnelerine öznitelik atar.

5. Adım: Uygun rolleri ve kapsamı seçin

Özniteliklerinizin nasıl düzenlenip kimlerin erişmesi gerektiğini daha iyi anladıktan sonra uygun özel güvenlik özniteliği rollerini ve kapsamını seçebilirsiniz. Aşağıdaki tablo seçimde size yardımcı olabilir.

Bu erişimi vermek istiyorum Bu rolü ata Kapsam
Öznitelik Tanımı Yöneticisi Kiracı kapsamı simgesi.
Kiracı
Öznitelik Tanımı Yöneticisi Öznitelik kümesi kapsamı simgesi.
Öznitelik kümesi
Öznitelik Atama Yöneticisi Kiracı kapsamı simgesi.
Kiracı
Öznitelik Atama Yöneticisi Öznitelik kümesi kapsamı simgesi.
Öznitelik kümesi
  • Kiracıdaki tüm öznitelik kümelerini okuma
  • Kiracıdaki tüm öznitelik tanımlarını okuma
 Öznitelik Tanımı Okuyucusu Kiracı kapsamı simgesi.
Kiracı
  • Kapsamlı öznitelik kümesindeki öznitelik tanımlarını okuma
  • Diğer öznitelik kümeleri okunamıyor
 Öznitelik Tanımı Okuyucusu Öznitelik kümesi kapsamı simgesi.
Öznitelik kümesi
  • Kiracıdaki tüm öznitelik kümelerini okuma
  • Kiracıdaki tüm öznitelik tanımlarını okuma
  • Kullanıcılar için kiracıdaki tüm öznitelik atamalarını okuma
  • Uygulamalar için kiracıdaki tüm öznitelik atamalarını okuma (hizmet sorumluları)
 Öznitelik Atama Okuyucusu Kiracı kapsamı simgesi.
Kiracı
  • Kapsamlı öznitelik kümesindeki öznitelik tanımlarını okuma
  • Kullanıcılar için kapsamlı bir öznitelik kümesinde öznitelikleri kullanan öznitelik atamalarını okuma
  • Uygulamalar (hizmet sorumluları) için kapsamlı bir öznitelik kümesinde öznitelikleri kullanan öznitelik atamalarını okuma
  • Diğer öznitelik kümelerindeki öznitelikler okunamıyor
  • Diğer öznitelik kümelerinde öznitelik kullanan öznitelik atamaları okunamıyor
 Öznitelik Atama Okuyucusu Öznitelik kümesi kapsamı simgesi.
Öznitelik kümesi

6. Adım: Rol atama

Uygun kişilere erişim vermek için bu adımları izleyerek özel güvenlik özniteliği rollerinden birini atayın.

Öznitelik kümesi kapsamında rol atama

Aşağıdaki örneklerde Engineering adlı öznitelik kümesi kapsamındaki bir sorumluya özel güvenlik özniteliği rolünün nasıl atanacakları gösterilmektedir.

  1. Microsoft Entra yönetim merkezinde Öznitelik Atama Yöneticisi olarak oturum açın.

  2. Koruma>Özel güvenlik özniteliklerine göz atın.

  3. Erişim izni vermek istediğiniz öznitelik kümesini seçin.

  4. Roller ve yöneticiler'i seçin.

    Öznitelik kümesi kapsamında öznitelik rolleri atama işleminin ekran görüntüsü.

  5. Özel güvenlik özniteliği rolleri için atamalar ekleyin.

    Not

    Microsoft Entra Privileged Identity Management (PIM) kullanıyorsanız, öznitelik kümesi kapsamındaki uygun rol atamaları şu anda desteklenmiyor. Öznitelik kümesi kapsamındaki kalıcı rol atamaları desteklenir.

Kiracı kapsamında rol atama

Aşağıdaki örneklerde, kiracı kapsamındaki bir sorumluya özel güvenlik özniteliği rolünün nasıl atanacakları gösterilmektedir.

  1. Microsoft Entra yönetim merkezinde Öznitelik Atama Yöneticisi olarak oturum açın.

  2. Kimlik>>göz atın.

    Kiracı kapsamında öznitelik rolleri atama işleminin ekran görüntüsü.

  3. Özel güvenlik özniteliği rolleri için atamalar ekleyin.

Özel güvenlik özniteliği denetim günlükleri

Bazen denetim veya sorun giderme amacıyla özel güvenlik özniteliği değişiklikleri hakkında bilgi almanız gerekebilir. Birisi tanımlarda veya atamalarda değişiklik yaptığında etkinlikler günlüğe kaydedilir.

Özel güvenlik özniteliği denetim günlükleri, yeni bir tanım ekleme veya kullanıcıya öznitelik değeri atama gibi özel güvenlik öznitelikleriyle ilgili etkinliklerin geçmişini sağlar. Günlüğe kaydedilen özel güvenlik özniteliğiyle ilgili etkinlikler şunlardır:

  • Öznitelik kümesi ekleme
  • Öznitelik kümesine özel güvenlik özniteliği tanımı ekleme
  • Öznitelik kümesini güncelleştirme
  • ServicePrincipal'a atanan öznitelik değerlerini güncelleştirme
  • Kullanıcıya atanan öznitelik değerlerini güncelleştirme
  • Öznitelik kümesindeki özel güvenlik özniteliği tanımını güncelleştirme

Öznitelik değişiklikleri için denetim günlüklerini görüntüleme

Özel güvenlik özniteliği denetim günlüklerini görüntülemek için Microsoft Entra yönetim merkezinde oturum açın, Denetim Günlükleri'ne gidin ve Özel Güvenlik'i seçin. Özel güvenlik özniteliği denetim günlüklerini görüntülemek için aşağıdaki rollerden birine atanmış olmanız gerekir. Gerekirse, en azından Ayrıcalıklı Rol Yöneticisi rolüne sahip biri bu rolleri atayabilir.

Özel Güvenlik sekmesinin seçili olduğu denetim günlüklerinin ekran görüntüsü.

Microsoft Graph API'sini kullanarak özel güvenlik özniteliği denetim günlüklerini alma hakkında bilgi için kaynak türüne customSecurityAttributeAuditbakın. Daha fazla bilgi için bkz . Microsoft Entra denetim günlükleri.

Tanılama ayarları

Özel güvenlik özniteliği denetim günlüklerini ek işleme amacıyla farklı hedeflere aktarmak için tanılama ayarlarını kullanırsınız. Özel güvenlik öznitelikleri için tanılama ayarları oluşturmak ve yapılandırmak için Öznitelik Günlüğü Yöneticisi rolüne atanmalısınız.

İpucu

Microsoft, öznitelik atamalarının yanlışlıkla ortaya çıkarılmaması için özel güvenlik özniteliği denetim günlüklerinizi dizin denetim günlüklerinizden ayrı tutmanızı önerir.

Aşağıdaki ekran görüntüsünde özel güvenlik öznitelikleri için tanılama ayarları gösterilmektedir. Daha fazla bilgi için bkz . Tanılama ayarlarını yapılandırma.

Özel güvenlik öznitelikleri sekmesinin seçili olduğu tanılama ayarlarının ekran görüntüsü.

Denetim günlükleri davranışındaki değişiklikler

Günlük işlemlerinizi etkileyebilecek genel kullanılabilirlik için özel güvenlik özniteliği denetim günlüklerine değişiklikler yapıldı. Önizleme sırasında özel güvenlik özniteliği denetim günlüklerini kullandıysanız, denetim günlüğü işlemlerinizin kesintiye uğramadığından emin olmak için gerçekleştirmeniz gereken eylemler şunlardır.

  • Yeni denetim günlükleri konumunu kullan
  • Denetim günlüklerini görüntülemek için Öznitelik Günlüğü rolleri atama
  • Denetim günlüklerini dışarı aktarmak için yeni tanılama ayarları oluşturma

Yeni denetim günlükleri konumunu kullan

Önizleme sırasında özel güvenlik özniteliği denetim günlükleri dizin denetim günlükleri uç noktasına yazılmıştır. Ekim 2023'te, özel güvenlik özniteliği denetim günlükleri için özel olarak yeni bir uç nokta eklendi. Aşağıdaki ekran görüntüsünde dizin denetim günlükleri ve yeni özel güvenlik özniteliği denetim günlüklerinin konumu gösterilmektedir. Microsoft Graph API'sini kullanarak özel güvenlik özniteliği denetim günlüklerini almak için kaynak türüne customSecurityAttributeAuditbakın.

Dizin ve Özel Güvenlik sekmelerini gösteren denetim günlüklerinin ekran görüntüsü.

Özel güvenlik denetim günlüklerinin hem dizine hem de özel güvenlik öznitelikleri denetim günlüğü uç noktalarına yazıldığı bir geçiş dönemi vardır. Bundan sonra, özel güvenlik özniteliği denetim günlüklerini bulmak için özel güvenlik öznitelikleri denetim günlüğü uç noktasını kullanmanız gerekir.

Aşağıdaki tabloda, geçiş dönemi boyunca özel güvenlik öznitelikleri denetim günlüklerini bulabileceğiniz uç nokta listelenir.

Olay tarihi Dizin uç noktası Özel güvenlik öznitelikleri uç noktası
Ekim 2023
Şubat 2024

Denetim günlüklerini görüntülemek için Öznitelik Günlüğü rolleri atama

Önizleme sırasında özel güvenlik özniteliği denetim günlükleri, dizin denetim günlüklerinde en azından Güvenlik Yöneticisi rolüne sahip olanlar tarafından görüntülenebilir. Artık yeni uç noktayı kullanarak özel güvenlik özniteliği denetim günlüklerini görüntülemek için bu rolleri kullanamazsınız. Özel güvenlik özniteliği denetim günlüklerini görüntülemek için, Size Öznitelik Günlüğü Okuyucusu veya Öznitelik Günlüğü Yöneticisi rolü atanmalıdır.

Denetim günlüklerini dışarı aktarmak için yeni tanılama ayarları oluşturma

Önizleme sırasında, denetim günlüklerini dışarı aktarmayı yapılandırdıysanız, geçerli tanılama ayarlarınıza özel güvenlik denetimi özniteliği denetim günlükleri gönderilir. Özel güvenlik denetimi özniteliği denetim günlüklerini almaya devam etmek için, önceki Tanılama ayarları bölümünde açıklandığı gibi yeni tanılama ayarları oluşturmanız gerekir.

Sonraki adımlar