Gruplar için Privileged Identity Management (PIM)

Microsoft Entra Id, Gruplar için Privileged Identity Management (PIM) aracılığıyla kullanıcılara tam zamanında üyelik ve grup sahipliği vermenizi sağlar. Gruplar Microsoft Entra rolleri, Azure rolleri, Azure SQL, Azure Key Vault, Intune, diğer uygulama rolleri ve üçüncü taraf uygulamalar gibi çeşitli senaryolara erişimi denetlemek için kullanılabilir.

Gruplar için PIM nedir?

Gruplar için PIM, Microsoft Entra Privileged Identity Management'ın bir parçasıdır. Microsoft Entra rolleri için PIM ve Azure Kaynakları için PIM ile birlikte, Gruplar için PIM, kullanıcıların Microsoft Entra güvenlik grubunun veya Microsoft 365 grubunun sahipliğini veya üyeliğini etkinleştirmesine olanak tanır. Gruplar; Microsoft Entra rolleri, Azure rolleri, Azure SQL, Azure Key Vault, Intune, diğer uygulama rolleri ve üçüncü taraf uygulamaları gibi çeşitli senaryolara erişimi yönetmek için kullanılabilir.

Gruplar için PIM ile Microsoft Entra rolleri için PIM ve Azure Kaynakları için PIM'de kullandığınız ilkelere benzer ilkeler kullanabilirsiniz: Üyelik veya sahiplik etkinleştirmesi için onay gerektirebilir, çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılabilir, gerekçe gerektirebilir, maksimum etkinleştirme süresini sınırlayabilir ve daha fazlasını yapabilirsiniz. Gruplar için PIM'deki her grubun iki ilkesi vardır: biri üyeliğin etkinleştirilmesi için, diğeri de gruptaki sahipliğin etkinleştirilmesi için. Ocak 2023'e kadar, Gruplar için PIM özelliği "Ayrıcalıklı Erişim Grupları" olarak adlandırıldı.

Dekont

Microsoft Entra rollerine yükseltmek için kullanılan gruplar için uygun üye atamaları için bir onay sürecine ihtiyacınız olmasını öneririz. Onay olmadan etkinleştirilebilen atamalar, sizi daha az ayrıcalıklı yöneticilerin güvenlik riskine karşı savunmasız bırakabilir. Örneğin, Yardım Masası Yönetici istrator uygun bir kullanıcının parolalarını sıfırlama iznine sahiptir.

Microsoft Entra rol atanabilir grupları nelerdir?

Microsoft Entra Id ile çalışırken, Microsoft Entra güvenlik grubunu veya Microsoft 365 grubunu bir Microsoft Entra rolüne atayabilirsiniz. Bu yalnızca rol atanabilir olarak oluşturulan gruplarla mümkündür.

Microsoft Entra rol atanabilir grupları hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id'de rol atanabilir grup oluşturma.

Rol atanabilir gruplar, rol atanamayan gruplara kıyasla ek korumalardan yararlanıyor:

  • Rol atanabilir gruplar - grubu yalnızca Genel Yönetici istrator, Privileged Role Yönetici istrator veya grup Sahibi yönetebilir. Ayrıca, grubun (etkin) üyesi olan kullanıcıların kimlik bilgilerini başka hiçbir kullanıcı değiştiremez. Bu özellik, bir yöneticinin istek ve onay yordamından geçmeden daha yüksek ayrıcalıklı bir role yükseltilmesini önlemeye yardımcı olur.
  • Rol atanamayan gruplar - Exchange Yönetici istrator'lar, Gruplar Yönetici istrator'lar, Kullanıcı Yönetici istrator'lar gibi çeşitli Microsoft Entra rolleri bu grupları yönetebilir. Ayrıca Microsoft Entra rolleri, Kimlik Doğrulama Yönetici istrator'lar, Yardım Masası Yönetici istrator'lar, Kullanıcı Yönetici istrator'lar vb. dahil olmak üzere grubun (etkin) üyesi olan kullanıcıların kimlik bilgilerini değiştirebilir.

Microsoft Entra yerleşik rolleri ve izinleri hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra yerleşik rolleri.

Microsoft Entra rol atanabilir grup özelliği, Microsoft Entra Privileged Identity Management'ın (Microsoft Entra PIM) bir parçası değildir. Lisanslama hakkında daha fazla bilgi için bkz. Microsoft Entra Kimlik Yönetimi lisanslama temelleri .

Rol atanabilir gruplar ile Gruplar için PIM arasındaki ilişki

Microsoft Entra Id'deki gruplar rol atanabilir veya rol atanamaz olarak sınıflandırılabilir. Ayrıca, tüm gruplar Gruplar için Microsoft Entra Privileged Identity Management (PIM) ile kullanılmak üzere etkinleştirilebilir veya etkinleştirilmez. Bunlar grubun bağımsız özellikleridir. Tüm Microsoft Entra güvenlik grupları ve herhangi bir Microsoft 365 grubu (şirket içi ortamdan eşitlenen dinamik gruplar ve gruplar hariç) Gruplar için PIM'de etkinleştirilebilir. Grubun Gruplar için PIM'de etkinleştirilmesi için rol atanabilir grup olması gerekmez.

Bir gruba Microsoft Entra rolü atamak istiyorsanız, bu rolün atanabilir olması gerekir. Gruba bir Microsoft Entra rolü atamayı amaçlamasanız ancak grup hassas kaynaklara erişim sağlasa bile, grubu rol atanabilir olarak oluşturmayı göz önünde bulundurmanız önerilir. Bunun nedeni rol atanabilir grupların sahip olduğu ek korumalardır. Bkz . "Microsoft Entra rol atanabilir grupları nedir?" bölümüne bakın.

Önemli

Ocak 2023'e kadar her Privileged Access Grubunun (gruplar için bu PIM özelliğinin eski adı) rol atanabilir grup olması gerekiyordu. Bu kısıtlama şu anda kaldırılmıştır. Bu nedenle artık PIM'de kiracı başına 500'den fazla grup etkinleştirilebilir, ancak yalnızca 500'e kadar grup rol atanabilir.

Kullanıcı grubunu Microsoft Entra rolü için uygun hale getirme

Bir kullanıcı grubunu Microsoft Entra rolü için uygun hale getirmenin iki yolu vardır:

  1. Kullanıcıların gruba etkin atamalarını yapın ve ardından grubu etkinleştirme için uygun bir role atayın.
  2. Bir rolün gruba etkin bir şekilde atanmalarını sağlayın ve kullanıcıları grup üyeliğine uygun olacak şekilde atayın.

SharePoint, Exchange veya Güvenlik ve Microsoft Purview uyumluluk portalı izinleriyle (örneğin, Exchange Yönetici istrator rolü) Microsoft Entra rollerine tam zamanında erişimi olan bir kullanıcı grubu sağlamak için, kullanıcıların gruba etkin atamalarını yaptığınızdan ve ardından grubu etkinleştirme için uygun bir role atadığınızdan emin olun (Yukarıdaki Seçenek 1). Bir grubun etkin atamasını bir role yapmayı seçerseniz ve bunun yerine kullanıcıları grup üyeliğine uygun olacak şekilde atarsanız, rolün tüm izinlerinin etkinleştirilmesi ve kullanıma hazır olması önemli zaman alabilir.

Privileged Identity Management ve grup iç içe yerleştirme

Microsoft Entra Id'de rol atanabilir grupların iç içe yerleştirilmiş başka grupları olamaz. Daha fazla bilgi edinmek için bkz . Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma. Bu, etkin üyelik için geçerlidir: Bir grup, rol atanabilir başka bir grubun etkin üyesi olamaz.

Bu gruplardan biri rol atanabilir olsa bile bir grup başka bir grubun uygun üyesi olabilir.

Kullanıcı A Grubunun etkin bir üyesiyse ve A Grubu B grubunun uygun bir üyesiyse, kullanıcı B Grubu üyeliğini etkinleştirebilir. Bu etkinleştirme yalnızca etkinleştirmeyi isteyen kullanıcıya yöneliktir; bu, A Grubunun tamamının B Grubunun etkin bir üyesi olduğu anlamına gelmez.

Privileged Identity Management ve uygulama sağlama (Genel Önizleme)

Grup uygulama sağlama için yapılandırılmışsa, grup üyeliğinin etkinleştirilmesi SCIM protokolünün kullanıldığı uygulamaya grup üyeliğinin (ve daha önce sağlanmamışsa kullanıcı hesabının kendisi) sağlanmasını tetikler.

Genel Önizleme'de, PIM'de grup üyeliği etkinleştirildikten hemen sonra sağlamayı tetikleyen bir işlevimiz vardır. Sağlama yapılandırması uygulamaya bağlıdır. Genel olarak, uygulamaya en az iki grup atanmanızı öneririz. Uygulamanızdaki rol sayısına bağlı olarak, ek "ayrıcalıklı gruplar" tanımlamayı seçebilirsiniz:

Gruplandırma Amaç Üyeler Grup üyeliği Uygulamada atanan rol
Tüm kullanıcılar grubu Uygulamaya erişmesi gereken tüm kullanıcıların uygulamaya sürekli olarak sağlandığından emin olun. Uygulamaya erişmesi gereken tüm kullanıcılar. Etkin Hiçbiri veya düşük ayrıcalıklı rol
Ayrıcalıklı grup Uygulamadaki ayrıcalıklı role tam zamanında erişim sağlayın. Uygulamadaki ayrıcalıklı role tam zamanında erişmesi gereken kullanıcılar. Uygun Ayrıcalıklı rol

Sonraki adımlar