Aracılığıyla paylaş


Gruplar için Privileged Identity Management (PIM)

Microsoft Entra Id, Gruplar için Privileged Identity Management (PIM) aracılığıyla kullanıcılara tam zamanında üyelik ve grup sahipliği vermenizi sağlar. Gruplar Microsoft Entra rolleri, Azure rolleri, Azure SQL, Azure Key Vault, Intune, diğer uygulama rolleri ve üçüncü taraf uygulamalar gibi çeşitli senaryolara erişimi denetlemek için kullanılabilir.

Gruplar için PIM nedir?

Gruplar için PIM, Microsoft Entra Privileged Identity Management'ın bir parçasıdır. Microsoft Entra rolleri için PIM ve Azure Kaynakları için PIM ile birlikte, Gruplar için PIM, kullanıcıların Microsoft Entra güvenlik grubunun veya Microsoft 365 grubunun sahipliğini veya üyeliğini etkinleştirmesine olanak tanır. Gruplar; Microsoft Entra rolleri, Azure rolleri, Azure SQL, Azure Key Vault, Intune, diğer uygulama rolleri ve üçüncü taraf uygulamaları gibi çeşitli senaryolara erişimi yönetmek için kullanılabilir.

Gruplar için PIM ile, Microsoft Entra rolleri için PIM ve Azure Kaynakları için PIM'de kullandığınız ilkelere benzer ilkeler kullanabilirsiniz: Üyelik veya sahiplik etkinleştirmesi için onay gerektirebilir, çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılabilir, gerekçe gerektirebilir, maksimum etkinleştirme süresini sınırlayabilir ve daha fazlasını yapabilirsiniz. Gruplar için PIM'deki her grubun iki ilkesi vardır: biri üyeliğin etkinleştirilmesi için, diğeri de gruptaki sahipliğin etkinleştirilmesi için. Ocak 2023'e kadar, Gruplar için PIM özelliği "Ayrıcalıklı Erişim Grupları" olarak adlandırıldı.

Not

Microsoft Entra rollerine yükseltmek için kullanılan gruplar için uygun üye atamaları için bir onay sürecine ihtiyacınız olmasını öneririz. Onay olmadan etkinleştirilebilen atamalar, sizi daha az ayrıcalıklı yöneticilerin güvenlik riskine karşı savunmasız bırakabilir. Örneğin, Yardım Masası Yöneticisinin uygun bir kullanıcının parolalarını sıfırlama izni vardır.

Microsoft Entra rol atanabilir grupları nelerdir?

Microsoft Entra Id ile çalışırken, Microsoft Entra güvenlik grubunu veya Microsoft 365 grubunu bir Microsoft Entra rolüne atayabilirsiniz. Bu yalnızca rol atanabilir olarak oluşturulan gruplarla mümkündür.

Microsoft Entra rol atanabilir grupları hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id'de rol atanabilir grup oluşturma.

Rol atanabilir gruplar, rol atanamayan gruplara kıyasla ek korumalardan yararlanıyor:

  • Rol atanabilir gruplar - grubu yalnızca Genel Yönetici, Ayrıcalıklı Rol Yöneticisi veya grup Sahibi yönetebilir. Ayrıca, grubun (etkin) üyesi olan kullanıcıların kimlik bilgilerini başka hiçbir kullanıcı değiştiremez. Bu özellik, bir yöneticinin istek ve onay yordamından geçmeden daha yüksek ayrıcalıklı bir role yükseltilmesini önlemeye yardımcı olur.
  • Rol atanamayan gruplar - Exchange Yöneticileri, Grup Yöneticileri, Kullanıcı Yöneticileri vb. dahil çeşitli Microsoft Entra rolleri bu grupları yönetebilir. Ayrıca Microsoft Entra rolleri, Kimlik Doğrulama Yöneticileri, Yardım Masası Yöneticileri, Kullanıcı Yöneticileri vb. dahil olmak üzere grubun (etkin) üyesi olan kullanıcıların kimlik bilgilerini değiştirebilir.

Microsoft Entra yerleşik rolleri ve izinleri hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra yerleşik rolleri.

Microsoft Entra rol atanabilir grup özelliği, Microsoft Entra Privileged Identity Management'ın (Microsoft Entra PIM) bir parçası değildir. Lisanslama hakkında daha fazla bilgi için bkz. Microsoft Entra Kimlik Yönetimi lisanslama temelleri .

Rol atanabilir gruplar ile Gruplar için PIM arasındaki ilişki

Microsoft Entra Id'deki gruplar rol atanabilir veya rol atanamaz olarak sınıflandırılabilir. Ayrıca, tüm gruplar Gruplar için Microsoft Entra Privileged Identity Management (PIM) ile kullanılmak üzere etkinleştirilebilir veya etkinleştirilmez. Bunlar grubun bağımsız özellikleridir. Tüm Microsoft Entra güvenlik grupları ve herhangi bir Microsoft 365 grubu (şirket içi ortamdan eşitlenen dinamik üyelik grupları ve gruplar hariç) Gruplar için PIM'de etkinleştirilebilir. Grubun Gruplar için PIM'de etkinleştirilmesi için rol atanabilir grup olması gerekmez.

Bir gruba Microsoft Entra rolü atamak istiyorsanız, bu rolün atanabilir olması gerekir. Gruba bir Microsoft Entra rolü atamayı amaçlamasanız ancak grup hassas kaynaklara erişim sağlasa bile, grubu rol atanabilir olarak oluşturmayı göz önünde bulundurmanız önerilir. Bunun nedeni rol atanabilir grupların sahip olduğu ek korumalardır. Bkz . "Microsoft Entra rol atanabilir grupları nedir?" bölümüne bakın.

Önemli

Ocak 2023'e kadar her Privileged Access Grubunun (gruplar için bu PIM özelliğinin eski adı) rol atanabilir grup olması gerekiyordu. Bu kısıtlama şu anda kaldırılmıştır. Bu nedenle artık PIM'de kiracı başına 500'den fazla grup etkinleştirilebilir, ancak yalnızca 500'e kadar grup rol atanabilir.

Kullanıcı grubunu Microsoft Entra rolü için uygun hale getirme

Bir kullanıcı grubunu Microsoft Entra rolü için uygun hale getirmenin iki yolu vardır:

  1. Kullanıcıların gruba etkin atamalarını yapın ve ardından grubu etkinleştirme için uygun bir role atayın.
  2. Bir rolün gruba etkin bir şekilde atanmalarını sağlayın ve kullanıcıları grup üyeliğine uygun olacak şekilde atayın.

SharePoint, Exchange veya Güvenlik ve Microsoft Purview uyumluluk portalı izinlerine sahip Microsoft Entra rollerine tam zamanında erişimi olan bir kullanıcı grubu sağlamak için (örneğin, Exchange Yöneticisi rolü), gruba etkin kullanıcı atamaları yaptığınızdan ve ardından grubu etkinleştirme için uygun bir role atadığınızdan emin olun (Yukarıdaki Seçenek #1). Bir grubun etkin atamasını bir role yapmayı seçerseniz ve bunun yerine kullanıcıları grup üyeliğine uygun olacak şekilde atarsanız, rolün tüm izinlerinin etkinleştirilmesi ve kullanıma hazır olması önemli zaman alabilir.

Privileged Identity Management ve grup iç içe yerleştirme

Microsoft Entra Id'de rol atanabilir grupların iç içe yerleştirilmiş başka grupları olamaz. Daha fazla bilgi edinmek için bkz . Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma. Bu, etkin üyelik için geçerlidir: Bir grup, rol atanabilir başka bir grubun etkin üyesi olamaz.

Bu gruplardan biri rol atanabilir olsa bile bir grup başka bir grubun uygun üyesi olabilir.

Kullanıcı A Grubunun etkin bir üyesiyse ve A Grubu B grubunun uygun bir üyesiyse, kullanıcı B Grubu üyeliğini etkinleştirebilir. Bu etkinleştirme yalnızca etkinleştirmeyi isteyen kullanıcıya yöneliktir; bu, A Grubunun tamamının B Grubunun etkin bir üyesi olduğu anlamına gelmez.

Privileged Identity Management ve uygulama sağlama

Grup uygulama sağlama için yapılandırılmışsa, grup üyeliğinin etkinleştirilmesi SCIM protokolünün kullanıldığı uygulamaya grup üyeliğinin (ve daha önce sağlanmamışsa kullanıcı hesabının kendisi) sağlanmasını tetikler.

PIM'de grup üyeliği etkinleştirildikten hemen sonra sağlamayı tetikleyen bir işlevimiz var. Sağlama yapılandırması uygulamaya bağlıdır. Genel olarak, uygulamaya en az iki grup atanmanızı öneririz. Uygulamanızdaki rol sayısına bağlı olarak, ek "ayrıcalıklı gruplar" tanımlamayı seçebilirsiniz:

Gruplandırma Purpose Üyeler Grup üyeliği Uygulamada atanan rol
Tüm kullanıcılar grubu Uygulamaya erişmesi gereken tüm kullanıcıların uygulamaya sürekli olarak sağlandığından emin olun. Uygulamaya erişmesi gereken tüm kullanıcılar. Etkin Hiçbiri veya düşük ayrıcalıklı rol
Ayrıcalıklı grup Uygulamadaki ayrıcalıklı role tam zamanında erişim sağlayın. Uygulamadaki ayrıcalıklı role tam zamanında erişmesi gereken kullanıcılar. Uygun Ayrıcalıklı rol

Dikkat edilmesi gereken temel konular

  • Bir kullanıcının uygulamaya sağlanması ne kadar sürer?
    • Bir kullanıcı, Microsoft Entra Privileged Identity Management (PIM) kullanarak grup üyeliğini etkinleştirmenin dışında Microsoft Entra Id'deki bir gruba eklendiğinde:
      • Grup üyeliği, bir sonraki eşitleme döngüsü sırasında uygulamada sağlanır. Eşitleme döngüsü her 40 dakikada bir çalışır.
    • Kullanıcı Microsoft Entra PIM'de grup üyeliğini etkinleştirdiğinde:
      • Grup üyeliği 2 - 10 dakika içinde sağlanır. Bir kerede yüksek istek oranı olduğunda, istekler 10 saniyede beş istek hızında kısıtlanır.
      • Belirli bir uygulama için grup üyeliklerini etkinleştiren 10 saniyelik bir süre içindeki ilk beş kullanıcı için, 2-10 dakika içinde uygulamada grup üyeliği sağlanır.
      • Belirli bir uygulama için grup üyeliğini etkinleştiren 10 saniyelik bir süre içinde altıncı kullanıcı ve üzeri için, grup üyeliği bir sonraki eşitleme döngüsünde uygulamaya sağlanır. Eşitleme döngüsü her 40 dakikada bir çalışır. Azaltma sınırları kurumsal uygulama başınadır.
  • Kullanıcı hedef uygulamada gerekli gruba erişemezse, grup üyeliğinin başarıyla güncelleştirildiğinden emin olmak için PIM günlüklerini ve sağlama günlüklerini gözden geçirin. Hedef uygulamanın nasıl tasarlandığına bağlı olarak, grup üyeliğinin uygulamada etkili olması ek zaman alabilir.
  • Azure İzleyici'yi kullanarak müşteriler hatalara yönelik uyarılar oluşturabilir.

Sonraki adımlar