Uygulamaya erişimi yönetme
Bir uygulamayı kuruluşunuzun kimlik sistemiyle tümleştirmek, erişim yönetimi, kullanım değerlendirmesi ve raporlama konusunda güçlükler getirir. BT Yöneticilerinin veya yardım masası personelinin genellikle uygulama erişimini denetlemesi gerekir. Erişim ataması genel veya bölüm bt ekibine düşebilir, ancak ideal olarak, BT süreci tamamlamadan önce onay vererek iş karar alıcılarının da dahil olması gerekir.
Diğer kuruluşlar, Rol Tabanlı Erişim Denetimi (RBAC) veya Öznitelik Tabanlı Erişim Denetimi (ABAC) gibi mevcut bir otomatik kimlik ve erişim yönetimi sistemiyle tümleştirmeye yatırım yapar. Hem tümleştirme hem de kural geliştirme özel ve pahalı olma eğilimindedir. Her iki yönetim yaklaşımını izlemenin veya raporlamanın kendi ayrı, maliyetli ve karmaşık yatırımı vardır.
Microsoft Entra Id nasıl yardımcı olur?
Microsoft Entra ID, yapılandırılmış uygulamalar için kapsamlı erişim yönetimini destekleyerek kuruluşların temsilci seçme ve yönetici yönetimi dahil olmak üzere otomatik, öznitelik tabanlı atamadan (ABAC veya RBAC senaryoları) kadar doğru erişim ilkelerine kolayca ulaşmasını sağlar. Microsoft Entra ID ile tek bir uygulama için birden çok yönetim modelini bir araya getirerek kolayca karmaşık ilkeler elde edebilir ve hatta yönetim kurallarını aynı hedef kitleye sahip uygulamalar arasında yeniden kullanabilirsiniz.
Microsoft Entra Kimliği ile kullanım ve atama raporlama tamamen tümleşiktir ve yöneticilerin atama durumunu, atama hatalarını ve hatta kullanımı kolayca raporlamasına olanak tanır.
Uygulamaya kullanıcı ve grup atama
Microsoft Entra uygulama ataması iki birincil atama moduna odaklanır:
Tek tek atama Dizin Bulut Uygulaması Yöneticisi izinlerine sahip bir BT yöneticisi tek tek kullanıcı hesaplarını seçebilir ve uygulamaya erişim izni verebilir.
Grup tabanlı atama (Microsoft Entra ID P1 veya P2 gerektirir) Dizin Bulut Uygulaması izinlerine sahip bir BT yöneticisi, uygulamaya bir grup atayabilir. Belirli kullanıcıların erişimi, uygulamaya erişmeye çalıştıkları sırada grubun üyesi olup olmadıklarına göre belirlenir. Başka bir deyişle, yönetici etkili bir şekilde "atanan grubun herhangi bir geçerli üyesinin uygulamaya erişimi var" şeklinde bir atama kuralı oluşturabilir. Bu atama seçeneğiyle, yöneticiler öznitelik tabanlı dinamik üyelik grupları, dış sistem grupları (örneğin, şirket içi Active Directory veya Workday) ya da Yönetici tarafından yönetilen veya self servis yönetilen gruplar dahil olmak üzere Microsoft Entra grup yönetimi seçeneklerinden yararlanabilir. Tek bir grup birden çok uygulamaya kolayca atanabilir ve atama benzimi olan uygulamaların atama kurallarını paylaşabilmesini sağlayarak genel yönetim karmaşıklığını azaltır.
Not
İç içe grup üyelikleri şu anda uygulamalara grup tabanlı atama için desteklenmemektedir.
Bu iki atama moduyla yöneticiler istenen atama yönetimi yaklaşımını elde edebilir.
Uygulama için kullanıcı ataması gerektirme
Belirli uygulama türlerinde, kullanıcıların uygulamaya atanmalarını zorunlu bırakma seçeneğiniz vardır. Bunu yaptığınızda, uygulamaya açıkça atadığınız kullanıcılar dışında herkesin oturum açmasını engellersiniz. Aşağıdaki uygulama türleri bu seçeneği destekler:
- SAML tabanlı kimlik doğrulaması ile federasyon çoklu oturum açma (SSO) için yapılandırılmış uygulamalar
- Microsoft Entra Ön Kimlik Doğrulaması kullanan uygulamaları Uygulama Ara Sunucusu
- Bir kullanıcı veya yönetici bu uygulamaya onay verdikten sonra OAuth 2.0 / OpenID Connect Kimlik Doğrulaması kullanan Microsoft Entra uygulama platformunda oluşturulan uygulamalar. Bazı kurumsal uygulamalar, kimlerin oturum açmasına izin verildiğinde daha fazla denetim sunar.
Kullanıcı ataması gerektiğinde, yalnızca uygulamaya atadığınız kullanıcılar (doğrudan kullanıcı ataması aracılığıyla veya grup üyeliğine göre) oturum açabiliyor. Uygulamaya Uygulamalarım portalından veya doğrudan bağlantı kullanarak erişebilirler.
Kullanıcı ataması gerekli olmadığında, atanmamış kullanıcılar uygulamayı Uygulamalarım görmez, ancak yine de uygulamanın kendisinde (SP ile başlatılan oturum açma olarak da bilinir) oturum açabilirler veya uygulamanın Özellikler sayfasında (IDP tarafından başlatılan oturum açma olarak da bilinir) Kullanıcı Erişimi URL'sini kullanabilirler. Kullanıcı atama yapılandırmalarını gerektirme hakkında daha fazla bilgi için bkz. Uygulama yapılandırma
Bu ayar, Uygulamalarım bir uygulamanın görünüp görünmediğini etkilemez. Uygulamaya bir kullanıcı veya grup atadığınızda uygulamalar kullanıcıların Uygulamalarım portalında görünür.
Not
Bir uygulama atama gerektirdiğinde, bu uygulama için kullanıcı onayına izin verilmez. Bu, kullanıcıların bu uygulama için onay vermelerine izin verilip verilmediğini gösterse bile geçerlidir. Atama gerektiren uygulamalara kiracı genelinde yönetici onayı verdiğinizden emin olun.
Bazı uygulamalarda, kullanıcı ataması gerektirme seçeneği uygulamanın özelliklerinde kullanılamaz. Bu gibi durumlarda, hizmet sorumlusunda appRoleAssignmentRequired özelliğini ayarlamak için PowerShell'i kullanabilirsiniz.
Uygulamalara erişmek için kullanıcı deneyimini belirleme
Microsoft Entra ID, kuruluşunuzdaki son kullanıcılara uygulama dağıtmak için çeşitli özelleştirilebilir yollar sağlar:
- Microsoft Entra Uygulamalarım
- Microsoft 365 uygulama başlatıcısı
- Federasyon uygulamalarına doğrudan oturum açma (service-pr)
- Federasyon, parola tabanlı veya mevcut uygulamalara yönelik ayrıntılı bağlantılar
Kurumsal uygulamaya atanan kullanıcıların bunu Uygulamalarım ve Microsoft 365 uygulama başlatıcısında görüp göremeyeceğini belirleyebilirsiniz.
Örnek: Microsoft Entra Id ile karmaşık uygulama ataması
Salesforce gibi bir uygulamayı düşünün. Birçok kuruluşta Salesforce öncelikli olarak pazarlama ve satış ekipleri tarafından kullanılır. Genellikle pazarlama ekibinin üyeleri Salesforce'a yüksek ayrıcalıklı erişime sahip olurken, satış ekibinin üyeleri sınırlı erişime sahip olur. Çoğu durumda, bilgi çalışanlarının geniş bir nüfusu uygulamaya kısıtlı erişim elde eder. Bu kuralların özel durumları, konuları karmaşıklaştırır. Genellikle pazarlama veya satış liderliği ekiplerinin bir kullanıcıya erişim izni vermesi veya bu genel kurallardan bağımsız olarak rollerini değiştirmesi gerekir.
Microsoft Entra Id ile Salesforce gibi uygulamalar çoklu oturum açma (SSO) ve otomatik sağlama için önceden yapılandırılabilir. Uygulama yapılandırıldıktan sonra, bir Yönetici tek seferlik eylemi gerçekleştirerek uygun grupları oluşturabilir ve atayabilir. Bu örnekte, bir yönetici aşağıdaki atamaları yürütebilir:
Dinamik gruplar , departman veya rol gibi öznitelikler kullanılarak pazarlama ve satış ekiplerinin tüm üyelerini otomatik olarak temsil etmek için tanımlanabilir:
- Pazarlama gruplarının tüm üyeleri Salesforce'taki "pazarlama" rolüne atanabilir
- Satış ekibi gruplarının tüm üyeleri Salesforce'taki "satış" rolüne atanabilir. Daha fazla geliştirme, farklı Salesforce rollerine atanan bölgesel satış ekiplerini temsil eden birden çok grup kullanabilir.
Özel durum mekanizmasını etkinleştirmek için her rol için bir self servis grubu oluşturulabilir. Örneğin, "Salesforce pazarlama özel durumu" grubu self servis grubu olarak oluşturulabilir. Grup Salesforce pazarlama rolüne atanabilir ve pazarlama liderliği ekibi sahibi yapılabilir. Pazarlama liderliği ekibinin üyeleri kullanıcıları ekleyebilir veya kaldırabilir, bir katılma ilkesi ayarlayabilir, hatta tek tek kullanıcıların katılma isteklerini onaylayabilir veya reddedebilir. Bu mekanizma, sahipler veya üyeler için özel eğitim gerektirmeyen uygun bir bilgi çalışanı deneyimi aracılığıyla desteklenir.
Bu durumda, atanan tüm kullanıcılar Salesforce'a otomatik olarak sağlanır. Farklı gruplara eklendikçe rol atamaları Salesforce'ta güncelleştirilir. Kullanıcılar salesforce'Uygulamalarım, Office web istemcileri aracılığıyla veya kurumsal Salesforce oturum açma sayfasına giderek Salesforce'a erişebilir. Yöneticiler, Microsoft Entra ID raporlamayı kullanarak kullanım ve atama durumunu kolayca görüntüleyebilir.
Yöneticiler, belirli roller için erişim ilkeleri ayarlamak üzere Microsoft Entra Koşullu Erişimi kullanabilir. Bu ilkeler, şirket ortamı dışında erişime izin verilip verilmeyeceğini ve hatta çeşitli durumlarda erişim elde etmek için çok faktörlü kimlik doğrulaması veya cihaz gereksinimlerini içerebilir.
Microsoft uygulamalarına erişim
Microsoft Uygulamaları (Exchange, SharePoint, Yammer vb.) Microsoft Dışı SaaS uygulamalarına veya çoklu oturum açma için Microsoft Entra ID ile tümleştirdiğiniz diğer uygulamalara göre biraz farklı atanır ve yönetilir.
Bir kullanıcının Microsoft tarafından yayımlanan bir uygulamaya erişmenin üç ana yolu vardır.
Microsoft 365 veya diğer ücretli paketlerdeki uygulamalar için kullanıcılara lisans ataması yoluyla doğrudan kullanıcı hesaplarına veya grup tabanlı lisans atama özelliğimizi kullanan bir grup üzerinden erişim verilir.
Microsoft'un veya Microsoft dışı bir kuruluşun herkesin kullanması için serbestçe yayımlamış olduğu uygulamalar için kullanıcılara kullanıcı onayı aracılığıyla erişim verilebilir. Kullanıcılar, Microsoft Entra iş veya okul hesaplarıyla uygulamada oturum açar ve hesaplarındaki bazı sınırlı veri kümesine erişmesine izin verir.
Microsoft'un veya Microsoft dışı bir kuruluşun herkesin kullanması için serbestçe yayımlamış olduğu uygulamalar için kullanıcılara yönetici onayı aracılığıyla erişim de verilebilir. Bu, bir yöneticinin uygulamanın kuruluştaki herkes tarafından kullanılabileceğini belirlediği anlamına gelir, bu nedenle uygulamada Ayrıcalıklı Rol Yöneticisi rolüyle oturum açar ve kuruluştaki herkese erişim verir.
Bazı uygulamalar bu yöntemleri birleştirir. Örneğin, bazı Microsoft uygulamaları bir Microsoft 365 aboneliğinin parçasıdır ancak yine de onay gerektirir.
Kullanıcılar, Office 365 portalları aracılığıyla Microsoft 365 uygulamalarına erişebilir. Ayrıca, dizininizin Kullanıcı ayarlarında Office 365 görünürlük düğmesiyle microsoft 365 uygulamalarını Uygulamalarım gösterebilir veya gizleyebilirsiniz.
Kurumsal uygulamalarda olduğu gibi, kullanıcıları Microsoft Entra yönetim merkezi aracılığıyla veya PowerShell kullanarak belirli Microsoft uygulamalarına atayabilirsiniz.
Yerel hesaplar üzerinden uygulama erişimini engelleme
Microsoft Entra ID, kuruluşunuzun kullanıcıların uygulamalarda koşullu erişim, çok faktörlü kimlik doğrulaması vb. ile kimlik doğrulamasını korumak için çoklu oturum açma ayarlamasına olanak tanır. Bazı uygulamaların geçmişte kendi yerel kullanıcı deposu vardır ve kullanıcıların çoklu oturum açma yerine yerel kimlik bilgilerini veya uygulamaya özgü bir yedekleme kimlik doğrulama yöntemini kullanarak uygulamada oturum açmasına izin verir. Bu uygulama özellikleri kötüye kullanılabilir ve kullanıcıların artık Microsoft Entra Id'de uygulamaya atanmadıkları veya Microsoft Entra Id'de oturum açamadıktan sonra bile uygulamalara erişimi korumalarına izin verebilir ve saldırganların Microsoft Entra Id günlüklerinde görünmeden uygulamanın güvenliğini aşmaya çalışmalarına izin verebilir. Bu uygulamalarda oturum açmaların Microsoft Entra Id ile korunduğundan emin olmak için:
- Son kullanıcıların yerel uygulama kimlik bilgileri veya yedekleme kimlik doğrulaması yöntemiyle çoklu oturum açmayı atlamasına izin vermek için dizininize bağlı olan uygulamaları belirleyin. Bunun mümkün olup olmadığını ve hangi ayarların kullanılabilir olduğunu anlamak için uygulama sağlayıcısı tarafından sağlanan belgeleri gözden geçirmeniz gerekir. Ardından, bu uygulamalarda son kullanıcıların SSO'nun atlanmasına izin veren ayarları devre dışı bırakın. InPrivate'te bir tarayıcı açarak, uygulamaların oturum açma sayfasına bağlanarak, kiracınızdaki bir kullanıcının kimliğini sağlayarak ve Microsoft Entra dışında oturum açma seçeneğinin olmadığını doğrulayarak son kullanıcı deneyiminin güvenliğinin sağlandığını test edin.
- Uygulamanız kullanıcı parolalarını yönetmek için bir API sağlıyorsa, yerel parolaları kaldırın veya API'leri kullanan her kullanıcı için benzersiz bir parola ayarlayın. Bu, son kullanıcıların uygulamada yerel kimlik bilgileriyle oturum açmasını engeller.
- Uygulamanız kullanıcıları yönetmek için bir API sağlıyorsa, kullanıcılar artık uygulama veya kiracı kapsamında olmadığında kullanıcı hesaplarını devre dışı bırakmak veya silmek için bu uygulamaya Microsoft Entra kullanıcı sağlamayı yapılandırın.