Microsoft Entra Privileged Identity Management nedir?

Privileged Identity Management (PIM), Microsoft Entra ID'de kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanıyan bir hizmettir. Bu kaynaklar Microsoft Entra Id, Azure ve Microsoft 365 veya Microsoft Intune gibi diğer Microsoft Online Services kaynaklarıdır. Aşağıdaki videoda önemli PIM kavramları ve özellikleri açıklanmaktadır.

Kullanım nedenleri

Kuruluşlar, güvenli bilgilere veya kaynaklara erişimi olan kişi sayısını en aza indirmek istiyor, çünkü bu,

  • erişim elde eden kötü niyetli bir aktör
  • hassas bir kaynağı yanlışlıkla etkileyen yetkili bir kullanıcı

Ancak kullanıcıların yine de Microsoft Entra ID, Azure, Microsoft 365 veya SaaS uygulamalarında ayrıcalıklı işlemler gerçekleştirmesi gerekir. Kuruluşlar, kullanıcılara Azure ve Microsoft Entra kaynaklarına tam zamanında ayrıcalıklı erişim verebilir ve bu kullanıcıların ayrıcalıklı erişimleriyle ne yaptıklarını denetleyebilir.

Lisans gereksinimleri

Privileged Identity Management'ın kullanılması için lisans gerekir. Lisanslama hakkında daha fazla bilgi için bkz. Microsoft Entra Kimlik Yönetimi lisanslama temelleri .

Uygulama ne işe yarıyor?

Privileged Identity Management, önemsediğiniz kaynaklardaki aşırı, gereksiz veya hatalı erişim izinlerinin risklerini azaltmak için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlar. Privileged Identity Management'ın temel özelliklerinden bazıları şunlardır:

  • Microsoft Entra Id ve Azure kaynaklarına tam zamanında ayrıcalıklı erişim sağlama
  • Başlangıç ve bitiş tarihlerini kullanarak kaynaklara zamana bağlı erişim atama
  • Ayrıcalıklı rolleri etkinleştirmek için onay iste
  • Herhangi bir rolü etkinleştirmek için çok faktörlü kimlik doğrulamasını zorunlu kılma
  • Kullanıcıların neden etkinleştirilmesini anlamak için gerekçeyi kullanın
  • Ayrıcalıklı roller etkinleştirildiğinde bildirim alma
  • Kullanıcıların hala rollere ihtiyacı olduğundan emin olmak için erişim gözden geçirmeleri gerçekleştirme
  • İç veya dış denetim için denetim geçmişini indirme
  • Son etkin Global Yönetici istrator ve Privileged Role Yönetici istrator rol atamalarının kaldırılmasını önler

Bununla ne yapabilirim?

Privileged Identity Management'ı ayarladıktan sonra sol gezinti menüsünde Görevler, Yönet ve Etkinlik seçeneklerini görürsünüz. Yönetici olarak, Microsoft Entra rollerini yönetme, Azure kaynak rollerini yönetme veya Gruplar için PIM gibi seçenekler arasından seçim yapabilirsiniz. Yönetmek istediğiniz seçenekleri belirlediğinizde, bu seçenek için uygun seçenek kümesini görürsünüz.

Screenshot of Privileged Identity Management in the Azure portal.

Kim ne yapabilir ki?

Privileged Identity Management'taki Microsoft Entra rolleri için, diğer yöneticilerin atamalarını yalnızca Privileged Role Yönetici istrator veya Global Yönetici istrator rolündeki bir kullanıcı yönetebilir. Global Yönetici istrators, Security Yönetici istrators, Global Readers ve Security Readers, Privileged Identity Management'ta Microsoft Entra rollerine yönelik atamaları da görüntüleyebilir.

Privileged Identity Management'taki Azure kaynak rolleri için diğer yöneticiler için atamaları yalnızca abonelik yöneticisi, kaynak Sahibi veya kaynak Kullanıcı Erişimi yöneticisi yönetebilir. Privileged Role Yönetici istrators, Security Yönetici istrators veya Security Readers olan kullanıcıların Privileged Identity Management'ta Azure kaynak rollerine atamaları görüntüleme erişimi varsayılan olarak yoktur.

Terminoloji

Privileged Identity Management'ı ve belgelerini daha iyi anlamak için aşağıdaki koşulları gözden geçirmeniz gerekir.

Terim veya kavram Rol atama kategorisi Açıklama
Uygun Tür Kullanıcının rolü kullanmak için bir veya daha fazla eylem gerçekleştirmesini gerektiren rol ataması. Bir kullanıcı rol için uygun hale getirildiyse, bu, ayrıcalıklı görevleri gerçekleştirmesi gerektiğinde rolü etkinleştirebileceği anlamına gelir. Kalıcı rol ataması olan birine verilen erişim ile uygun rol ataması arasındaki fark yoktur. Tek fark, bazı kişilerin bu erişime her zaman ihtiyaç duymamış olmasıdır.
active Tür Bir kullanıcının rolü kullanmak için herhangi bir eylem gerçekleştirmesini gerektirmeyen rol ataması. Etkin olarak atanan kullanıcıların role atanmış ayrıcalıkları vardır.
etkinleştirme Kullanıcının uygun olduğu bir rolü kullanmak için bir veya daha fazla eylem gerçekleştirme işlemi. Eylemler arasında çok faktörlü kimlik doğrulaması (MFA) denetimi gerçekleştirme, iş gerekçesi sağlama veya belirlenen onaylayanlardan onay isteme yer alabilir.
Atanan State Etkin rol ataması olan bir kullanıcı.
Aktif State Uygun rol atamasına sahip olan, rolü etkinleştirmek için eylemleri gerçekleştiren ve artık etkin olan bir kullanıcı. Etkinleştirildikten sonra, kullanıcı yeniden etkinleştirmesi gerekmeden önce rolü önceden yapılandırılmış bir süre için kullanabilir.
kalıcı uygun Duration Bir kullanıcının her zaman rolü etkinleştirmeye uygun olduğu rol ataması.
kalıcı etkin Duration Bir kullanıcının herhangi bir eylem gerçekleştirmeden rolü her zaman kullanabileceği rol ataması.
zamana bağlı uygun Duration Bir kullanıcının rolü yalnızca başlangıç ve bitiş tarihleri içinde etkinleştirmeye uygun olduğu rol ataması.
zamana bağlı etkin Duration Bir kullanıcının rolü yalnızca başlangıç ve bitiş tarihleri içinde kullanabileceği rol ataması.
tam zamanında (JIT) erişim Kullanıcıların ayrıcalıklı görevleri gerçekleştirmek için geçici izinler aldığı ve izinlerin süresi dolduktan sonra kötü amaçlı veya yetkisiz kullanıcıların erişim kazanmasını engelleyen bir model. Erişim yalnızca kullanıcılar ihtiyaç duyduğunda verilir.
en az ayrıcalık erişimi ilkesi Her kullanıcıya yalnızca gerçekleştirme yetkisine sahip oldukları görevleri gerçekleştirmek için gereken en düşük ayrıcalıkların sağlandığı önerilen bir güvenlik uygulaması. Bu uygulama, Genel Yönetici istrator sayısını en aza indirir ve bunun yerine belirli senaryolar için belirli yönetici rollerini kullanır.

Rol atamaya genel bakış

PIM rol atamaları, kuruluşunuzdaki kaynaklara erişim vermenin güvenli bir yolunu sağlar. Bu bölümde atama işlemi açıklanmaktadır. Üyelere rol atamayı, atamaları etkinleştirmeyi, istekleri onaylamayı veya reddetmeyi, atamaları genişletmeyi ve yenilemeyi içerir.

PIM, size ve diğer katılımcılara e-posta bildirimleri göndererek sizi bilgilendirmektedir. Bu e-postalar, bir isteği etkinleştirme, onaylama veya reddetme gibi ilgili görevlerin bağlantılarını da içerebilir.

Aşağıdaki ekran görüntüsünde PIM tarafından gönderilen bir e-posta iletisi gösterilmektedir. E-posta Patti'ye Alex'in Emily için bir rol atamasını güncelleştirdiğini bildirir.

Screenshot shows an email message sent by Privileged Identity Management.

Ata

Atama işlemi, üyelere roller atayarak başlar. Yönetici bir kaynağa erişim vermek için kullanıcılara, gruplara, hizmet sorumlularına veya yönetilen kimliklere roller atar. Atama aşağıdaki verileri içerir:

  • Rolü atamak için üyeler veya sahipler.
  • Atamanın kapsamı. Kapsam, atanan rolü belirli bir kaynak kümesiyle sınırlar.
  • Atamanın türü
    • Uygun atamalar, rolün üyesinin rolü kullanmak için bir eylem gerçekleştirmesini gerektirir. Eylemler etkinleştirmeyi veya belirlenen onaylayanlardan onay istemeyi içerebilir.
    • Etkin atamalar, üyenin rolü kullanmak için herhangi bir eylem gerçekleştirmesini gerektirmez. Etkin olarak atanan üyelerin role atanmış ayrıcalıkları vardır.
  • Başlangıç ve bitiş tarihlerini kullanarak veya kalıcı olarak atamanın süresi. Uygun ödevler için, üyeler başlangıç ve bitiş tarihleri boyunca etkinleştirebilir veya onay isteyebilir. Etkin atamalar için, üyeler bu süre boyunca atama rolünü kullanabilir.

Aşağıdaki ekran görüntüsünde yöneticinin üyelere nasıl rol atayacakları gösterilmektedir.

Screenshot of Privileged Identity Management role assignment.

Daha fazla bilgi için şu makalelere göz atın: Microsoft Entra rollerini atama, Azure kaynak rolleri atama ve Gruplar için PIM için uygunluk atama

Etkinleştir

Kullanıcılar bir rol için uygun hale getirildiyse, rolü kullanmadan önce rol atamasını etkinleştirmeleri gerekir. Rolü etkinleştirmek için, kullanıcılar en fazla (yöneticiler tarafından yapılandırılan) ve etkinleştirme isteğinin nedeni içinde belirli bir etkinleştirme süresi seçer.

Aşağıdaki ekran görüntüsünde üyelerin rollerini sınırlı bir süre için nasıl etkinleştirdikleri gösterilmektedir.

Screenshot of Privileged Identity Management role activation.

Rolün etkinleştirilmesi için onay gerekiyorsa, kullanıcının tarayıcısının sağ üst köşesinde isteğin onay beklediğini bildiren bir bildirim görüntülenir. Onay gerekli değilse, üye rolü kullanmaya başlayabilir.

Daha fazla bilgi için şu makalelere göz atın: Microsoft Entra rollerini etkinleştirme, Azure kaynak rollerimi etkinleştirme ve Gruplar için PIM rollerimi etkinleştirme

Onaylama veya reddetme

Temsilci onaylayanlar, onay bekleyen bir rol isteği olduğunda e-posta bildirimleri alır. Onaylayanlar PIM'de bekleyen bu istekleri görüntüleyebilir, onaylayabilir veya reddedebilir. İstek onaylandıktan sonra üye rolü kullanmaya başlayabilir. Örneğin, bir kullanıcı veya gruba bir kaynak grubuna Katkı rolü atanmışsa, söz konusu kaynak grubunu yönetebilir.

Daha fazla bilgi için şu makalelere göz atın: Microsoft Entra rolleri için istekleri onaylama veya reddetme, Azure kaynak rolleri için istekleri onaylama veya reddetme ve Gruplar için PIM için etkinleştirme isteklerini onaylama

Atamaları genişletme ve yenileme

Yöneticiler zamana bağlı sahip veya üye atamalarını ayarladıktan sonra, sorabileceğiniz ilk soru ödevin süresi dolarsa ne olacağıdır? Bu yeni sürümde, bu senaryo için iki seçenek sunuyoruz:

  • Genişletme – Bir rol ataması süre sonu yaklaştığında, kullanıcı rol ataması için uzantı istemek üzere Privileged Identity Management'ı kullanabilir
  • Yenile – Rol atamasının süresi zaten dolduğunda kullanıcı, rol ataması için yenileme istemek üzere Privileged Identity Management'ı kullanabilir

Kullanıcı tarafından başlatılan her iki eylem de Genel Yönetici istrator veya Privileged Role Yönetici istrator'dan onay gerektirir. Yönetici atama sürelerini yönetme işinde olması gerekmez. Basit onay veya reddetme için uzantı veya yenileme isteklerinin gelmesini bekleyebilirsiniz.

Daha fazla bilgi için şu makalelere göz atın: Microsoft Entra rol atamalarını genişletme veya yenileme, Azure kaynak rolü atamalarını genişletme veya yenileme ve Gruplar atamaları için PIM'i genişletme veya yenileme

Senaryolar

Privileged Identity Management aşağıdaki senaryoları destekler:

Ayrıcalıklı Rol Yönetici istrator izinleri

  • Belirli roller için onay etkinleştirmek
  • İstekleri onaylamak için onaylayan kullanıcıları veya grupları belirtme
  • Tüm ayrıcalıklı roller için istek ve onay geçmişini görüntülemek

Onaylayan izinleri

  • Bekleyen onayları (istekler) görüntülemek
  • Rol yükseltme isteklerini onaylama veya reddetme (tek ve toplu)
  • Onayım veya reddetmem için gerekçe sağla

Uygun rol kullanıcı izinleri

  • Onay gerektiren bir rolün etkinleştirilmesini istemek
  • Etkinleştirme isteğinizin durumunu görüntülemek
  • Etkinleştirme onaylandıysa Microsoft Entra Id'de görevinizi tamamlayın

Microsoft Graph API'leri

Privileged Identity Management'i aşağıdaki Microsoft Graph API'leri aracılığıyla program aracılığıyla kullanabilirsiniz:

Sonraki adımlar