Aracılığıyla paylaş

Gruplar için PIM ayarlarını yapılandırma

  • Makale

Microsoft Entra Id'deki gruplar için Privileged Identity Management (PIM) bölümünde rol ayarları üyelik veya sahiplik atama özelliklerini tanımlar. Bu özellikler etkinleştirme, atama maksimum süresi ve bildirim ayarları için çok faktörlü kimlik doğrulaması ve onay gereksinimlerini içerir. Bu makalede, ayrıcalık yükseltme isteklerini kimlerin onaylayıp reddedebileceğini belirtmek için rol ayarlarını yapılandırma ve onay iş akışını ayarlama işlemleri gösterilmektedir.

Ayarları yönetmek için grup yönetimi izinlerine ihtiyacınız vardır. Rol atanabilir gruplar için en azından Ayrıcalıklı Rol Yöneticisi rolüne sahip olmanız veya grubun sahibi olmanız gerekir. Rol atanamayan gruplar için en azından Dizin Yazıcısı, Grup Yöneticisi, Kimlik İdaresi Yöneticisi veya Kullanıcı Yöneticisi rolüne sahip olmanız veya grubun sahibi olmanız gerekir. Yöneticiler için rol atamalarının kapsamı dizin düzeyinde (yönetim birimi düzeyinde değil) yapılmalıdır.

Not

Grupları yönetme izinlerine sahip diğer roller (rol atanamayan Microsoft 365 grupları için Exchange Yöneticileri gibi) ve atamaları yönetim birimi düzeyinde belirlenmiş yöneticiler Gruplar API'si/UX aracılığıyla grupları yönetebilir ve Microsoft Entra Privileged Identity Management'ta yapılan değişiklikleri geçersiz kılabilir.

Rol ayarları, grup başına rol başına tanımlanır. Aynı gruba yönelik aynı role (üye veya sahip) yönelik tüm atamalar aynı rol ayarlarını izler. Bir grubun rol ayarları, başka bir grubun rol ayarlarından bağımsızdır. Bir rol (üye) için rol ayarları, başka bir rolün (sahip) rol ayarlarından bağımsızdır.

Rol ayarlarını güncelleştirme

Grup rolünün ayarlarını açmak için:

  1. Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik idaresi>Ayrıcalıklı Kimlik Yönetimi>Grupları'na göz atın.

  3. Rol ayarlarını yapılandırmak istediğiniz grubu seçin.

  4. Ayarlar'ı seçin.

  5. Rol ayarlarını yapılandırmanız gereken rolü seçin. Seçenekler Üye veya Sahip'tır.

    Rol ayarlarını yapılandırmanız gereken rolün nerede seçildiğini gösteren ekran görüntüsü.

  6. Geçerli rol ayarlarını gözden geçirin.

  7. Rol ayarlarını güncelleştirmek için Düzenle'yi seçin.

    Rol ayarlarını güncelleştirmek için Düzenle'nin seçileceği yeri gösteren ekran görüntüsü.

  8. Güncelleştir'i seçin.

Rol ayarları

Bu bölümde rol ayarları seçenekleri açıklanmıştır.

Etkinleştirme en uzun süresi

Bir rol ataması için etkinleştirme isteğinin süresi dolmadan önce etkin kalacağı maksimum süreyi saat cinsinden ayarlamak için Etkinleştirme maksimum süresi kaydırıcısını kullanın. Bu değer bir ila 24 saat arasında olabilir.

Etkinleştirmede, çok faktörlü kimlik doğrulaması gerektir

Etkinleştirmeden önce Microsoft Entra Id'deki çok faktörlü kimlik doğrulaması özelliğini kullanarak rol için uygun olan kullanıcıların kim olduklarını kanıtlamasını zorunlu kılabilirsiniz. Çok faktörlü kimlik doğrulaması, verilere ve uygulamalara erişimin korunmasına yardımcı olur. İkinci bir kimlik doğrulama biçimi kullanarak başka bir güvenlik katmanı sağlar.

Güçlü kimlik bilgileriyle kimlik doğrulaması yaptıklarında veya bu oturumun başlarında çok faktörlü kimlik doğrulaması sağladıklarında kullanıcılardan çok faktörlü kimlik doğrulaması istenmeyebilir. Amacınız kullanıcıların etkinleştirme sırasında kimlik doğrulaması sağlamak zorunda olduğundan emin olmaksa, Etkinleştirme sırasında kullanabilir, Kimlik Doğrulama Güçlü Yanlarıyla birlikte Microsoft Entra Koşullu Erişim kimlik doğrulama bağlamını zorunlu kılabilirsiniz.

Kullanıcıların, etkinleştirme sırasında makinede oturum açmak için kullandıkları yöntemden farklı yöntemler kullanarak kimlik doğrulamasına sahip olmaları gerekir. Örneğin, kullanıcılar İş İçin Windows Hello kullanarak makinede oturum açarsa, kullanıcıların rolü etkinleştirdiklerinde Microsoft Authenticator ile parolasız oturum açmalarını istemek için Etkinleştirmede, Microsoft Entra Koşullu Erişim kimlik doğrulama bağlamını ve Kimlik Doğrulama Güçlü Yanlarını zorunlu kılabilir.

Kullanıcı bu örnekte bir kez Microsoft Authenticator ile parolasız oturum açtıktan sonra, başka bir kimlik doğrulaması olmadan bu oturumda bir sonraki etkinleştirmesini yapabilir. Microsoft Authenticator ile parolasız oturum açma özelliği zaten belirtecinin bir parçasıdır.

Microsoft Entra Id'de çok faktörlü kimlik doğrulama özelliğini tüm kullanıcılar için etkinleştirmenizi öneririz. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama.

Etkinleştirmede, Microsoft Entra Koşullu Erişim kimlik doğrulaması bağlamı gerektir

Koşullu Erişim ilkesi gereksinimlerini karşılamak için rol için uygun olan kullanıcılara ihtiyacınız olabilir. Örneğin, kullanıcıların Kimlik Doğrulama Güçlü Yönleri aracılığıyla zorunlu kılınan belirli bir kimlik doğrulama yöntemini kullanmasını, rolü Intune uyumlu bir cihazdan yükseltmesini ve kullanım koşullarına uymasını zorunlu kılabilirsiniz.

Bu gereksinimi zorunlu kılmak için Koşullu Erişim kimlik doğrulaması bağlamı oluşturursunuz.

  1. Bu kimlik doğrulama bağlamı için gereksinimleri zorunlu kılabilir bir Koşullu Erişim ilkesi yapılandırın.

    Koşullu Erişim ilkesinin kapsamı, grup üyeliği/sahipliği için tüm veya uygun kullanıcıları içermelidir. Aynı anda kimlik doğrulama bağlamı ve grubu kapsamında bir Koşullu Erişim ilkesi oluşturmayın. Etkinleştirme sırasında kullanıcının henüz grup üyeliği yoktur, bu nedenle Koşullu Erişim ilkesi geçerli olmaz.

  2. Rolün PIM ayarlarında kimlik doğrulama bağlamını yapılandırın.

    Rol düzenle ayarı - Üye sayfasını gösteren ekran görüntüsü.

PIM ayarlarında Etkinleştirme açıksa, Microsoft Entra Koşullu Erişim kimlik doğrulama bağlamını yapılandırmanız gerekirse, Koşullu Erişim ilkeleri kullanıcıların erişim gereksinimlerini karşılamak için hangi koşulları karşılaması gerektiğini tanımlar.

Bu, Koşullu Erişim Yöneticileri veya Güvenlik Yöneticileri gibi Koşullu Erişim ilkelerini yönetme izinlerine sahip güvenlik sorumlularının gereksinimleri değiştirebileceği, kaldırabileceği veya uygun kullanıcıların grup üyeliklerini/sahipliklerini etkinleştirmesini engelleyebilecekleri anlamına gelir. Koşullu Erişim ilkelerini yönetebilen güvenlik sorumluları yüksek ayrıcalıklı kabul edilmeli ve buna göre korunmalıdır.

PIM ayarlarında kimlik doğrulama bağlamı yapılandırılmadan önce kimlik doğrulama bağlamı için bir Koşullu Erişim ilkesi oluşturmanızı ve etkinleştirmenizi öneririz. Yedekleme koruma mekanizması olarak, kiracıda PIM ayarlarında yapılandırılmış kimlik doğrulama bağlamını hedefleyen Koşullu Erişim ilkeleri yoksa, grup üyeliği/sahiplik etkinleştirmesi sırasında Microsoft Entra ID'deki çok faktörlü kimlik doğrulama özelliği gerekir çünkü Etkinleştirmede, çok faktörlü kimlik doğrulaması gerektir ayarı ayarlanır.

Bu yedekleme koruma mekanizması, yapılandırma hatası nedeniyle Koşullu Erişim ilkesi oluşturulmadan önce PIM ayarlarının güncelleştirildiği bir senaryodan korumak için tasarlanmıştır. Koşullu Erişim ilkesi kapalıysa, yalnızca rapor modundaysa veya ilkenin dışında uygun kullanıcılar varsa bu yedekleme koruma mekanizması tetiklenmemiştir.

Etkinleştirmede, Microsoft Entra Koşullu Erişim kimlik doğrulaması bağlamı gerektir ayarı, kullanıcıların grup üyeliğini/sahipliğini etkinleştirdiklerinde karşılaması gereken kimlik doğrulama bağlamı gereksinimlerini tanımlar. Grup üyeliği/sahipliği etkinleştirildikten sonra, kullanıcıların grup üyeliğini/sahipliğini kullanmak için başka bir gözatma oturumu, cihaz veya konum kullanması engellenmez.

Örneğin, kullanıcılar grup üyeliğini/sahipliğini etkinleştirmek için Intune uyumlu bir cihaz kullanabilir. Ardından rol etkinleştirildikten sonra, Intune uyumlu olmayan başka bir cihazdan aynı kullanıcı hesabında oturum açıp daha önce etkinleştirilmiş grup sahipliğini/üyeliğini buradan kullanabilir.

Bu durumu önlemek için Koşullu Erişim ilkelerinin kapsamını, uygun kullanıcılar için belirli gereksinimleri doğrudan zorunlu kılabilir. Örneğin, belirli grup üyeliğine/sahipliğine uygun kullanıcıların her zaman Intune uyumlu cihazları kullanmasını zorunlu kılabilirsiniz.

Koşullu Erişim kimlik doğrulaması bağlamı hakkında daha fazla bilgi edinmek için bkz . Koşullu Erişim: Bulut uygulamaları, eylemler ve kimlik doğrulama bağlamı.

Etkinleştirilirken gerekçe gerektir

Uygun atamayı etkinleştiren kullanıcıların bir iş gerekçesi girmesini zorunlu kılabilirsiniz.

Etkinleştirmeyle ilgili bilet bilgilerini gerektir

Uygun atamayı etkinleştiren kullanıcıların destek bileti girmesini zorunlu kılabilirsiniz. Bu seçenek yalnızca bilgi içeren bir alandır. Bilet oluşturma sistemindeki bilgilerle bağıntı uygulanmaz.

Etkinleştirmek için onay gerektir

Uygun bir atamanın etkinleştirilmesi için onay gerektirebilirsiniz. Onaylayanın grup üyesi veya sahip olması gerekmez. Bu seçeneği kullandığınızda en az bir onaylayan seçmeniz gerekir. En az iki onaylayan seçmenizi öneririz. Varsayılan onaylayan yoktur.

Onaylar hakkında daha fazla bilgi edinmek için bkz . Gruplar üyeleri ve sahipleri için PIM etkinleştirme isteklerini onaylama.

Atama süresi

Bir rol için ayarları yapılandırırken, her atama türü için iki atama süresi seçeneği arasından seçim yapabilirsiniz: uygun ve etkin. Bu seçenekler, Privileged Identity Management'taki role bir kullanıcı atandığında varsayılan en uzun süre haline gelir.

Bu uygun atama süresi seçeneklerinden birini seçebilirsiniz.

Ayar Açıklama
Kalıcı uygun atamaya izin ver Kaynak yöneticileri kalıcı uygun atamalar atayabilir.
Uygun atamanın süresi sona erdikten sonra Kaynak yöneticileri, tüm uygun atamaların belirtilen bir başlangıç ve bitiş tarihine sahip olmasını gerektirebilir.

Bu etkin atama süresi seçeneklerinden birini de seçebilirsiniz.

Ayar Açıklama
Kalıcı etkin atamaya izin ver Kaynak yöneticileri kalıcı etkin atamalar atayabilir.
Etkin atamanın süresi sona erdikten sonra Kaynak yöneticileri, tüm etkin atamaların belirtilen bir başlangıç ve bitiş tarihine sahip olmasını gerektirebilir.

Belirtilen bitiş tarihine sahip tüm atamalar kaynak yöneticileri tarafından yenilenebilir. Ayrıca, kullanıcılar rol atamalarını genişletmek veya yenilemek için self servis istekleri başlatabilir.

Etkin atamada çok faktörlü kimlik doğrulaması gerektir

Yönetici veya grup sahibinin etkin (uygun atamanın aksine) oluşturduğunda çok faktörlü kimlik doğrulaması sağlamasını zorunlu kılabilirsiniz. Ayrıcalıklı Kimlik Yönetimi, kullanıcı rol atamasını kullandığında çok faktörlü kimlik doğrulamasını zorlayamaz çünkü atandığı zamandan itibaren rolde zaten etkindir.

Bu oturumun önceki bölümlerinde güçlü kimlik bilgileriyle kimlik doğrulaması yapılmışsa veya çok faktörlü kimlik doğrulaması sağlanmışsa yönetici veya grup sahibinden çok faktörlü kimlik doğrulaması istenmeyebilir.

Etkin atamada gerekçe gerektir

Kullanıcıların etkin (uygun olmayan) bir ödev oluştururken bir iş gerekçesi girmesini zorunlu kılabilirsiniz.

Rol ayarları sayfasındaki Bildirimler sekmesinde Privileged Identity Management, bildirimleri kimin aldığı ve hangi bildirimleri aldığı üzerinde ayrıntılı denetim sağlar. Aşağıdaki seçenekler mevcuttur:

  • E-postayı kapatma: Varsayılan alıcı onay kutusunu temizleyip diğer alıcıları silerek belirli e-postaları kapatabilirsiniz.
  • E-postaları belirtilen e-posta adresleriyle sınırla: Varsayılan alıcı onay kutusunu temizleyerek varsayılan alıcılara gönderilen e-postaları kapatabilirsiniz. Daha sonra diğer e-posta adreslerini alıcı olarak ekleyebilirsiniz. Birden fazla e-posta adresi eklemek istiyorsanız, bunları noktalı virgül (;)) kullanarak ayırın.
  • Hem varsayılan alıcılara hem de daha fazla alıcıya e-posta gönder: Hem varsayılan alıcıya hem de başka bir alıcıya e-posta gönderebilirsiniz. Varsayılan alıcı onay kutusunu seçin ve diğer alıcılar için e-posta adresleri ekleyin.
  • Yalnızca kritik e-postalar: Her e-posta türü için, yalnızca kritik e-postaları almak için onay kutusunu seçebilirsiniz. Privileged Identity Management, yalnızca e-posta hemen eylem gerektirdiğinde belirtilen alıcılara e-posta göndermeye devam eder. Örneğin, kullanıcılardan rol atamalarını genişletmelerini isteyen e-postalar tetiklenmemiştir. Yöneticilerin bir uzantı isteğini onaylamasını gerektiren e-postalar tetiklenir.

Not

Privileged Identity Management'taki bir olay birden çok alıcıya (atananlar, onaylayanlar veya yöneticiler) e-posta bildirimleri oluşturabilir. Bir olay başına gönderilen en fazla bildirim sayısı 1000'dir. Alıcı sayısı 1000'i aşarsa, yalnızca ilk 1000 alıcı bir e-posta bildirimi alır. Bu, diğer atananların, yöneticilerin veya onaylayanların Microsoft Entra Id ve Privileged Identity Management'taki izinlerini kullanmasını engellemez.

Microsoft Graph kullanarak rol ayarlarını yönetme

Microsoft Graph'ta PIM API'lerini kullanarak grupların rol ayarlarını yönetmek için unifiedRoleManagementPolicy kaynak türünü ve ilgili yöntemlerini kullanın.

Microsoft Graph'ta rol ayarları kural olarak adlandırılır. Kapsayıcı ilkeleri aracılığıyla gruplara atanırlar. Kapsamı bir grup ve her ilke için olan tüm ilkeleri alabilirsiniz. Sorgu $expand parametresini kullanarak ilişkili kural koleksiyonunu alın. İsteğin söz dizimi aşağıdaki gibidir:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Microsoft Graph'ta PIM API'leri aracılığıyla rol ayarlarını yönetme hakkında daha fazla bilgi için bkz . Rol ayarları ve PIM. Kuralları güncelleştirme örnekleri için bkz . Microsoft Graph kullanarak PIM'de kuralları güncelleştirme.

Sonraki adımlar

Privileged Identity Management'ta bir gruba uygunluk atama