Microsoft Entra ID ile tümleştirilmiş uygulamalara erişimi idare etmek için kuruluş ilkelerini dağıtma

Önceki bölümlerde, bir uygulama için idare ilkelerinizi tanımlamıştınız ve bu uygulamayı Microsoft Entra Id ile tümleştirdiyseniz. Bu bölümde, uygulamalarınıza sürekli erişimi denetlemek için Microsoft Entra Koşullu Erişim ve yetkilendirme yönetimi özelliklerini yapılandıracaksınız. Siz oluşturacaksınız

• Koşullu Erişim ilkeleri, kullanıcının çoklu oturum açma için Microsoft Entra ID ile tümleştirilmiş bir uygulama için Microsoft Entra Id kimlik doğrulamasına yönelik
• Bir kullanıcının gruplarda uygulama rollerine ve üyeliğine atamaları nasıl edinip tuttuğuna yönelik yetkilendirme yönetimi ilkeleri
• Grup üyeliklerinin ne sıklıkta gözden geçirildiğinden dolayı erişim gözden geçirme ilkeleri

Bu ilkeler dağıtıldıktan sonra, kullanıcılar istekte bulunurken ve uygulamaya erişim atanırken Microsoft Entra ID'nin devam eden davranışını izleyebilirsiniz.

SSO zorlaması için Koşullu Erişim ilkeleri dağıtma

Bu bölümde, kullanıcının kimlik doğrulama gücü veya cihaz durumu gibi faktörlere bağlı olarak, yetkili bir kullanıcının uygulamada oturum açıp açamayacağını belirleme kapsamındaki Koşullu Erişim ilkelerini oluşturacaksınız.

Koşullu Erişim yalnızca çoklu oturum açma (SSO) için Microsoft Entra Id kullanan uygulamalar için mümkündür. Uygulama SSO için tümleştirilemiyorsa sonraki bölümde devam edin.

1. Gerekirse kullanım koşulları (TOU) belgesini karşıya yükleyin. Kullanıcıların uygulamaya erişmeden önce bir kullanım terimini (TOU) kabul etmelerini istiyorsanız, Koşullu Erişim ilkesine eklenebilmesi için TOU belgesini oluşturun ve karşıya yükleyin.
2. Kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulamasına hazır olduğunu doğrulayın. Federasyon aracılığıyla tümleştirilmiş iş açısından kritik uygulamalar için Microsoft Entra çok faktörlü kimlik doğrulaması gerektirmenizi öneririz. Bu uygulamalar için, kullanıcının Microsoft Entra ID'sinin uygulamada oturum açmasına izin veren çok faktörlü kimlik doğrulaması gereksinimini karşılamış olmasını gerektiren bir ilke olmalıdır. Bazı kuruluşlar ayrıca konumlara göre erişimi engelleyebilir veya kullanıcının kayıtlı bir cihazdan erişmesini gerektirebilir. Kimlik doğrulaması, konum, cihaz ve TOU için gerekli koşulları içeren uygun bir ilke yoksa Koşullu Erişim dağıtımınıza bir ilke ekleyin.
3. Uygulama web uç noktasını uygun Koşullu Erişim ilkesinin kapsamına getirin. Başka bir uygulama için aynı idare gereksinimlerine tabi olarak oluşturulmuş bir Koşullu Erişim ilkeniz varsa, çok fazla sayıda ilkeye sahip olmaması için bu ilkeyi bu uygulamaya da uygulanacak şekilde güncelleştirebilirsiniz. Güncelleştirmeleri yaptıktan sonra beklenen ilkelerin uygulandığından emin olun. Koşullu Erişim if aracıyla bir kullanıcıya hangi ilkelerin uygulanacağını görebilirsiniz.
4. Herhangi bir kullanıcının geçici ilke dışlamalarına ihtiyacı olacaksa yinelenen bir erişim gözden geçirmesi oluşturun. Bazı durumlarda, her yetkili kullanıcı için Koşullu Erişim ilkelerini hemen zorunlu kılmak mümkün olmayabilir. Örneğin, bazı kullanıcılar uygun bir kayıtlı cihaza sahip olmayabilir. Koşullu Erişim ilkesinden bir veya daha fazla kullanıcının dışlanması ve erişim izninin alınması gerekiyorsa, Koşullu Erişim ilkelerinin dışında tutulan kullanıcı grubu için bir erişim gözden geçirmesi yapılandırın.
5. Belirteç ömrünü ve uygulamanın oturum ayarlarını belgeleyin. Erişimi reddedilen bir kullanıcının federasyon uygulamasını ne kadar süreyle kullanmaya devam edebildiği, uygulamanın kendi oturum ömrüne ve erişim belirteci ömrüne bağlıdır. Bir uygulamanın oturum ömrü uygulamanın kendisine bağlıdır. Erişim belirteçlerinin kullanım ömrünü denetleme hakkında daha fazla bilgi edinmek için bkz . Yapılandırılabilir belirteç ömrü.

Erişim atamasını otomatikleştirmek için yetkilendirme yönetimi ilkelerini dağıtma

Bu bölümde, kullanıcıların uygulamanızın rollerine veya uygulama tarafından kullanılan gruplara erişim isteyebilmesi için Microsoft Entra yetkilendirme yönetimini yapılandıracaksınız. Bu görevleri gerçekleştirmek için Genel Yönetici istrator, Identity Governance Yönetici istrator rolünde olmanız veya katalog oluşturucusu ve uygulamanın sahibi olarak temsilci olarak atanmanız gerekir.

Not

En az ayrıcalık erişiminin ardından burada thr Identity Governance yönetici rolünü kullanmanızı öneririz.

1. yönetilen uygulamalar için erişim paketleri belirlenmiş bir katalogda olmalıdır. Uygulama idare senaryonuz için henüz bir kataloğunuz yoksa, Microsoft Entra yetkilendirme yönetiminde bir katalog oluşturun. Oluşturulacak birden çok kataloğunuz varsa, her kataloğu oluşturmak için bir PowerShell betiği kullanabilirsiniz.
2. Kataloğu gerekli kaynaklarla doldurun. Uygulamayı ve uygulamanın bağlı olduğu tüm Microsoft Entra gruplarını bu kataloğa kaynak olarak ekleyin. Çok fazla kaynağınız varsa, her kaynağı kataloğa eklemek için powershell betiği kullanabilirsiniz.
3. Kullanıcıların isteyebileceği her rol veya grup için bir erişim paketi oluşturun. Uygulamaların her biri için ve uygulama rollerinin veya gruplarının her biri için, kaynak olarak bu rolü veya grubu içeren bir erişim paketi oluşturun. Bu erişim paketlerini yapılandırmanın bu aşamasında, yalnızca yöneticilerin atama oluşturabilmesi için her erişim paketindeki ilk erişim paketi atama ilkesini doğrudan atama ilkesi olacak şekilde yapılandırın. Bu ilkede, varsa mevcut kullanıcılar için erişim gözden geçirme gereksinimlerini ayarlayarak erişimi süresiz olarak korumalarını sağlayın. Çok sayıda erişim paketiniz varsa, katalogdaki her erişim paketini oluşturmak için bir PowerShell betiği kullanabilirsiniz.
4. Görev ayrımı gereksinimlerini zorunlu kılmak için erişim paketlerini yapılandırın. Görev ayrımı gereksinimleriniz varsa, erişim paketiniz için uyumsuz erişim paketlerini veya mevcut grupları yapılandırın. Senaryonuz bir görev ayrımı denetimini geçersiz kılma özelliğini gerektiriyorsa, bu geçersiz kılma senaryoları için ek erişim paketleri de ayarlayabilirsiniz.
5. Erişim paketlerine uygulamaya zaten erişimi olan mevcut kullanıcıların atamalarını ekleyin. Her erişim paketi için ilgili roldeki uygulamanın mevcut kullanıcılarını veya bu grubun üyelerini erişim paketine ve doğrudan atama ilkesine atayın. Microsoft Entra yönetim merkezini kullanarak veya Graph veya PowerShell aracılığıyla toplu olarak bir kullanıcıyı doğrudan erişim paketine atayabilirsiniz.
6. Kullanıcıların erişim istemesine izin vermek için ek ilkeler oluşturun. Her erişim paketinde, kullanıcıların erişim istemesi için ek erişim paketi atama ilkeleri oluşturun. Bu ilkedeki onay ve yinelenen erişim gözden geçirme gereksinimlerini yapılandırın.
7. Uygulama tarafından kullanılan diğer gruplar için yinelenen erişim gözden geçirmeleri oluşturun. Uygulama tarafından kullanılan ancak bir erişim paketi için kaynak rolü olmayan gruplar varsa, bu grupların üyeliği için erişim gözden geçirmeleri oluşturun.

Erişimle ilgili raporları görüntüleme

Azure İzleyici ile Microsoft Entra Id ve Microsoft Entra Kimlik Yönetimi, bir uygulamaya kimlerin erişimi olduğunu ve bu erişimi kullanıp kullanmadığını anlamanıza yardımcı olacak çeşitli raporlar sağlar.

• Bir yönetici veya katalog sahibi, Microsoft Entra yönetim merkezi, Graph veya PowerShell aracılığıyla erişim paketi atamalarına sahip kullanıcıların listesini alabilir.
• Ayrıca denetim günlüklerini Azure İzleyici'ye gönderebilir ve erişim paketindeki değişikliklerin geçmişini Microsoft Entra yönetim merkezinden veya PowerShell aracılığıyla görüntüleyebilirsiniz.
• Bir uygulamada son 30 günlük oturum açma bilgilerini Microsoft Entra yönetim merkezindeki oturum açmalar raporunda veya Graph aracılığıyla görüntüleyebilirsiniz.
• Oturum açma etkinliğini iki yıla kadar arşivleyebilmek için oturum açma günlüklerini Azure İzleyici'ye de gönderebilirsiniz.

Yetkilendirme yönetimi ilkelerini ve erişimi gerektiği gibi ayarlamak için izleyin

Uygulamanızın uygulama erişim ataması değişiklikleri hacmine bağlı olarak haftalık, aylık veya üç aylık gibi düzenli aralıklarla, ilkelere uygun olarak erişim verildiğinden emin olmak için Microsoft Entra yönetim merkezini kullanın. Ayrıca, onay ve gözden geçirme için tanımlanan kullanıcıların bu görevler için hala doğru kişiler olduğundan emin olabilirsiniz.

• Uygulama rolü atamalarını ve grup üyeliği değişikliklerini izleyin. Denetim günlüğünü Azure İzleyici'ye gönderecek şekilde yapılandırılmış Microsoft Entra Id'niz varsa yetkilendirme yönetimi aracılığıyla yapılmamış tüm uygulama rolü atamalarını izlemek ve raporlamak için Azure İzleyici'deki öğesini kullanınApplication role assignment activity. Doğrudan bir uygulama sahibi tarafından oluşturulmuş rol atamaları varsa, atamanın yetkilendirilip yetkilendirilmediğini belirlemek için bu uygulama sahibine başvurmanız gerekir. Ayrıca, uygulama Microsoft Entra güvenlik gruplarını kullanıyorsa, bu gruplarda yapılan değişiklikleri de izleyin.

• Ayrıca doğrudan uygulama içinde erişim izni verilen kullanıcıları da izleyin. Aşağıdaki koşullara uyulursa, kullanıcının Microsoft Entra Id'nin parçası olmadan veya Microsoft Entra Id ile uygulamaların kullanıcı hesabı deposuna eklenmeden uygulamaya erişim elde etme olasılığı vardır:

  • Uygulamanın içinde yerel bir kullanıcı hesabı deposu var
  • Kullanıcı hesabı deposu bir veritabanında veya LDAP dizininde
  • Uygulama, çoklu oturum açma için yalnızca Microsoft Entra Id'ye bağlı değildir.

  Önceki listedeki özelliklere sahip bir uygulama için, kullanıcıların yalnızca Microsoft Entra sağlama aracılığıyla uygulamanın yerel kullanıcı deposuna eklenip eklenmediğini düzenli aralıklarla denetlemeniz gerekir. Doğrudan uygulamada oluşturulmuş kullanıcılar varsa, atamanın yetkilendirilip yetkilendirilmediğini belirlemek için uygulama sahibine başvurun.

• Onaylayanların ve gözden geçirenlerin güncel tutulduğundan emin olun. Önceki bölümde yapılandırdığınız her erişim paketi için erişim paketi atama ilkelerinin doğru onaylayanlara ve gözden geçirenlere sahip olduğundan emin olun. Daha önce yapılandırılmış onaylayanlar ve gözden geçirenler artık kuruluşta yoksa veya farklı bir roldeyse bu ilkeleri güncelleştirin.

• Gözden geçirenlerin bir gözden geçirme sırasında kararlarını alındığını doğrulayın. Gözden geçirenlerin katılımını sağlamak ve kullanıcının sürekli erişim gereksinimini onaylamak veya reddetmek için kararlar aldığından emin olmak için bu erişim paketleri için yinelenen erişim gözden geçirmelerinin başarıyla tamamlandığını izleyin.

• Sağlama ve sağlamayı kaldırmanın beklendiği gibi çalışıp çalışmadığını denetleyin. Daha önce uygulamaya kullanıcı sağlamayı yapılandırdıysanız, bir incelemenin sonuçları uygulandığında veya bir kullanıcının erişim paketine atamasının süresi dolduğunda, Microsoft Entra Kimliği reddedilen kullanıcıların uygulamadan sağlamasını kaldırmaya başlar. Kullanıcıların sağlamasını kaldırma işlemini izleyebilirsiniz. Sağlama uygulamayla ilgili bir hata gösteriyorsa, uygulamayla ilgili bir sorun olup olmadığını araştırmak için sağlama günlüğünü indirebilirsiniz.

• Microsoft Entra yapılandırmasını uygulamadaki tüm rol veya grup değişiklikleriyle güncelleştirin. Uygulama yöneticisi bildirimine yeni uygulama rolleri eklerse, mevcut rolleri güncelleştirirse veya ek grupları kullanırsa, bu yeni rolleri veya grupları hesaba katmak için erişim paketlerini ve erişim gözden geçirmelerini güncelleştirmeniz gerekir.

Sonraki adımlar

• Access dağıtım planını gözden geçirme