Microsoft Entra Id'de ayrıcalıklı roller ve izinler (önizleme)
Önemli
Ayrıcalıklı roller ve izinler için etiket şu anda ÖNİzLEME aşamasındadır. Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Microsoft Entra Id, ayrıcalıklı olarak tanımlanan rollere ve izinlere sahiptir. Bu roller ve izinler, dizin kaynaklarının yönetimini diğer kullanıcılara devretmek, kimlik bilgilerini, kimlik doğrulama veya yetkilendirme ilkelerini değiştirmek ya da kısıtlanmış verilere erişmek için kullanılabilir. Ayrıcalıklı rol atamaları, güvenli ve hedeflenen bir şekilde kullanılmazsa ayrıcalıkların yükseltilmesine yol açabilir. Bu makalede ayrıcalıklı roller, izinler ve nasıl kullanılacağına yönelik en iyi yöntemler açıklanmaktadır.
Hangi roller ve izinler ayrıcalıklıdır?
Ayrıcalıklı rollerin ve izinlerin listesi için bkz . Microsoft Entra yerleşik rolleri. Ayrıca ayrıcalıklı olarak tanımlanan rolleri, izinleri ve rol atamalarını belirlemek için Microsoft Entra yönetim merkezini, Microsoft Graph PowerShell'i veya Microsoft Graph API'sini de kullanabilirsiniz.
Microsoft Entra yönetim merkezinde PRIVILEGED etiketini bulun.
Roller ve yöneticiler sayfasında Ayrıcalıklı sütununda ayrıcalıklı roller tanımlanır. Atamalar sütununda rol atamalarının sayısı listelenir. Ayrıca ayrıcalıklı rolleri filtreleyebilirsiniz.
Ayrıcalıklı bir rolün izinlerini görüntülediğinizde, hangi izinlerin ayrıcalıklı olduğunu görebilirsiniz. İzinleri varsayılan kullanıcı olarak görüntülerseniz, hangi izinlerin ayrıcalıklı olduğunu göremezsiniz.
Özel bir rol oluşturduğunuzda, hangi izinlerin ayrıcalıklı olduğunu ve özel rolün ayrıcalıklı olarak etiketlendiğini görebilirsiniz.
Ayrıcalıklı rolleri kullanmaya yönelik en iyi yöntemler
Ayrıcalıklı rolleri kullanmaya yönelik bazı en iyi yöntemler aşağıdadır.
- En düşük ayrıcalık ilkesini uygulama
- Tam zamanında erişim vermek için Privileged Identity Management'ı kullanma
- Tüm yönetici hesaplarınız için çok faktörlü kimlik doğrulamasını açma
- Zaman içinde gereksiz izinleri iptal etmek için yinelenen erişim gözden geçirmelerini yapılandırma
- Genel Yönetici sayısını 5'ten azla sınırlayın
- Ayrıcalıklı rol atamalarının sayısını 10'dan azla sınırlayın
Daha fazla bilgi için bkz . Microsoft Entra rolleri için en iyi yöntemler.
Ayrıcalıklı izinler ve korumalı eylemler karşılaştırması
Ayrıcalıklı izinler ve korumalı eylemler, farklı amaçlara sahip güvenlikle ilgili özelliklerdir. PRIVILEGED etiketine sahip izinler, güvenli ve amaçlanan bir şekilde kullanılmadığı takdirde ayrıcalıkların yükseltilmesine yol açabilecek izinleri belirlemenize yardımcı olur. Korumalı eylemler, çok faktörlü kimlik doğrulaması gerektirme gibi ek güvenlik için Koşullu Erişim ilkeleri atanmış rol izinleridir. Koşullu Erişim gereksinimleri, kullanıcı korumalı eylemi gerçekleştirdiğinde uygulanır. Korumalı eylemler şu anda Önizleme aşamasındadır. Daha fazla bilgi için bkz . Microsoft Entra Id'de korunan eylemler nelerdir?.
| Özellik | Ayrıcalıklı izin | Korumalı eylem |
|---|---|---|
| Güvenli bir şekilde kullanılması gereken izinleri belirleme | ✅ | |
| Eylem gerçekleştirmek için ek güvenlik gerektir | ✅ |
Terminoloji
Microsoft Entra Id'deki ayrıcalıklı rolleri ve izinleri anlamak için aşağıdaki terimlerden bazılarını bilmenize yardımcı olur.
| Süre | Tanım |
|---|---|
| eylem | Güvenlik sorumlusu bir nesne türünde gerçekleştirebileceği bir etkinlik. Bazen işlem olarak da adlandırılır. |
| izin | Bir güvenlik sorumlusunun nesne türünde gerçekleştirebileceği etkinliği belirten bir tanım. İzin bir veya daha fazla eylem içerir. |
| ayrıcalıklı izin | Microsoft Entra Id'de, dizin kaynaklarının yönetimini diğer kullanıcılara devretmek, kimlik bilgilerini değiştirmek, kimlik doğrulaması veya yetkilendirme ilkelerini değiştirmek ya da kısıtlanmış verilere erişmek için kullanılabilecek izinler. |
| ayrıcalıklı rol | Bir veya daha fazla ayrıcalıklı izinlere sahip yerleşik veya özel bir rol. |
| ayrıcalıklı rol ataması | Ayrıcalıklı bir rol kullanan rol ataması. |
| ayrıcalıkların yükseltilmesi | Bir güvenlik sorumlusu başlangıçta başka bir rolün kimliğine bürünerek atanan rolünden daha fazla izin elde ettiğinde. |
| korumalı eylem | Eklenen güvenlik için Koşullu Erişim uygulanmış izinler. |
Rol izinlerini anlama
İzin şeması, Microsoft Graph'ın REST biçimini gevşek bir şekilde izler:
<namespace>/<entity>/<propertySet>/<action>
Örneğin:
microsoft.directory/applications/credentials/update
| İzin öğesi | Açıklama |
|---|---|
| ad alanı | Görevi kullanıma sunan ve ile microsoftönceden eklenen ürün veya hizmet. Örneğin, Microsoft Entra Id içindeki tüm görevler ad alanını microsoft.directory kullanır. |
| entity | Microsoft Graph'ta hizmet tarafından kullanıma sunulan mantıksal özellik veya bileşen. Örneğin, Microsoft Entra ID Kullanıcı ve Grupları, OneNote Notları ve Exchange de Posta Kutularını ve Takvimleri kullanıma sunar. Ad alanında tüm varlıkları belirtmek için özel allEntities bir anahtar sözcük vardır. Bu genellikle bir ürünün tamamına erişim izni veren rollerde kullanılır. |
| propertySet | Erişim verilen varlığın belirli özellikleri veya yönleri. Örneğin, microsoft.directory/applications/authentication/read Microsoft Entra Id'deki uygulama nesnesinde yanıt URL'si, oturumu kapatma URL'si ve örtük akış özelliğini okuma olanağı verir.
|
| eylem | Verilen işlem, genellikle oluşturma, okuma, güncelleştirme veya silme (CRUD). Yukarıdaki becerilerin tümünü belirtmek için özel allTasks bir anahtar sözcük vardır (oluşturma, okuma, güncelleştirme ve silme). |
Kimlik doğrulama rollerini karşılaştırma
Aşağıdaki tabloda kimlik doğrulamasıyla ilgili rollerin özellikleri karşılaştırlenmiştir.
| Rol | Kullanıcının kimlik doğrulama yöntemlerini yönetme | Kullanıcı başına MFA’yı yönetme | MFA ayarlarını yönetme | Kimlik doğrulama yöntemi ilkesini yönetme | Parola koruma ilkesini yönetme | Hassas özellikleri güncelleştirme | Kullanıcıları silme ve geri yükleme |
|---|---|---|---|---|---|---|---|
| Kimlik Doğrulama Yöneticisi | Bazı kullanıcılar için evet | Bazı kullanıcılar için evet | Yes | Hayır | Hayır | Bazı kullanıcılar için evet | Bazı kullanıcılar için evet |
| Ayrıcalıklı Kimlik Doğrulama Yöneticisi | Tüm kullanıcılar için evet | Tüm kullanıcılar için evet | Hayır | Hayır | Hayır | Tüm kullanıcılar için evet | Tüm kullanıcılar için evet |
| Kimlik Doğrulama İlkesi Yöneticisi | Hayır | Evet | Evet | Evet | Evet | Hayır | Hayır |
| Kullanıcı Yöneticisi | Hayır | Hayır | Hayır | Hayır | Hayır | Bazı kullanıcılar için evet | Bazı kullanıcılar için evet |
Parolaları sıfırlayabilecek kullanıcılar
Aşağıdaki tabloda, sütunlar parolaları sıfırlayan ve yenileme belirteçlerini geçersiz kılabilir rolleri listeler. Satırlar, parolalarının sıfırlanabileceği rolleri listeler. Örneğin, Parola Yöneticisi Dizin Okuyucuları, Konuk Davet Eden, Parola Yöneticisi ve yönetici rolü olmayan kullanıcılar için parolayı sıfırlayabilir. Kullanıcıya başka bir rol atanırsa, Parola Yöneticisi parolasını sıfırlayamaz.
Aşağıdaki tablo, kiracı kapsamında atanan rollere yöneliktir. Bir yönetim birimi kapsamında atanan roller için başka kısıtlamalar uygulanır.
| Parolanın sıfırlanabilir rolü | Parola Yöneticisi | Yardım Masası Yöneticisi | Kimlik Doğrulama Yöneticisi | Kullanıcı Yöneticisi | Privileged Auth Admin | Genel Yönetici |
|---|---|---|---|---|---|---|
| Kimlik Doğrulama Yöneticisi | ✅ | ✅ | ✅ | |||
| Dizin Okuyucuları | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Genel Yönetici | ✅ | ✅* | ||||
| Gruplar Yöneticisi | ✅ | ✅ | ✅ | |||
| Konuk Davet Eden | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Yardım Masası Yöneticisi | ✅ | ✅ | ✅ | ✅ | ||
| İleti Merkezi Okuyucusu | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Parola Yöneticisi | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Privileged Auth Admin | ✅ | ✅ | ||||
| Ayrıcalıklı Rol Yöneticisi | ✅ | ✅ | ||||
| Rapor Okuyucusu | ✅ | ✅ | ✅ | ✅ | ✅ | |
| User (yönetici rolü yok) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| User (yönetici rolü yok, ancak rol atanabilir bir grubun üyesi veya sahibi) |
✅ | ✅ | ||||
| Sınırlı yönetim yönetim birimi kapsamına sahip rolü olan kullanıcı | ✅ | ✅ | ||||
| Kullanıcı Yöneticisi | ✅ | ✅ | ✅ | |||
| Kullanıcı Deneyimi Başarı Yöneticisi | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Kullanım Özeti Raporları Okuyucusu | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Diğer tüm yerleşik ve özel roller | ✅ | ✅ |
Önemli
İş Ortağı Katmanı2 Destek rolü, tüm yönetici olmayanlar ve yöneticiler (Genel Yöneticiler dahil) için parolaları sıfırlayabilir ve yenileme belirteçlerini geçersiz kılabilir. İş Ortağı Katmanı1 Destek rolü parolaları sıfırlayabilir ve yenileme belirteçlerini yalnızca yönetici olmayanlar için geçersiz kılabilir. Bu roller kullanım dışı bırakıldığından kullanılmamalıdır.
Parola sıfırlama özelliği, self servis parola sıfırlama için gereken aşağıdaki hassas özellikleri güncelleştirme özelliğini içerir:
- businessPhone'lar
- mobilePhone
- diğer Postalar
Hassas eylemleri kimler gerçekleştirebilir?
Bazı yöneticiler bazı kullanıcılar için aşağıdaki hassas eylemleri gerçekleştirebilir. Tüm kullanıcılar hassas özellikleri okuyabilir.
| Hassas eylem | Hassas özellik adı |
|---|---|
| Kullanıcıları devre dışı bırakma veya etkinleştirme | accountEnabled |
| İş telefonunu güncelleştirme | businessPhones |
| Cep telefonunu güncelleştirme | mobilePhone |
| Şirket içi sabit kimliği güncelleştirme | onPremisesImmutableId |
| Diğer e-postaları güncelleştirme | otherMails |
| Parola profilini güncelleştirme | passwordProfile |
| Kullanıcı asıl adını güncelleştirme | userPrincipalName |
| Kullanıcıları silme veya geri yükleme | Uygulanamaz |
Aşağıdaki tabloda, sütunlar hassas eylemler gerçekleştirebilecek rolleri listeler. Satırlar, hassas eylemin gerçekleştirilebileceği rolleri listeler.
Aşağıdaki tablo, kiracı kapsamında atanan rollere yöneliktir. Bir yönetim birimi kapsamında atanan roller için başka kısıtlamalar uygulanır.
| Hassas eylemin gerçekleştirilebileceği rol | Kimlik Doğrulama Yöneticisi | Kullanıcı Yöneticisi | Privileged Auth Admin | Genel Yönetici |
|---|---|---|---|---|
| Kimlik Doğrulama Yöneticisi | ✅ | ✅ | ✅ | |
| Dizin Okuyucuları | ✅ | ✅ | ✅ | ✅ |
| Genel Yönetici | ✅ | ✅ | ||
| Gruplar Yöneticisi | ✅ | ✅ | ✅ | |
| Konuk Davet Eden | ✅ | ✅ | ✅ | ✅ |
| Yardım Masası Yöneticisi | ✅ | ✅ | ✅ | |
| İleti Merkezi Okuyucusu | ✅ | ✅ | ✅ | ✅ |
| Parola Yöneticisi | ✅ | ✅ | ✅ | ✅ |
| Privileged Auth Admin | ✅ | ✅ | ||
| Ayrıcalıklı Rol Yöneticisi | ✅ | ✅ | ||
| Rapor Okuyucusu | ✅ | ✅ | ✅ | ✅ |
| User (yönetici rolü yok) |
✅ | ✅ | ✅ | ✅ |
| User (yönetici rolü yok, ancak rol atanabilir bir grubun üyesi veya sahibi) |
✅ | ✅ | ||
| Sınırlı yönetim yönetim birimi kapsamına sahip rolü olan kullanıcı | ✅ | ✅ | ||
| Kullanıcı Yöneticisi | ✅ | ✅ | ✅ | |
| Kullanıcı Deneyimi Başarı Yöneticisi | ✅ | ✅ | ✅ | ✅ |
| Kullanım Özeti Raporları Okuyucusu | ✅ | ✅ | ✅ | ✅ |
| Diğer tüm yerleşik ve özel roller | ✅ | ✅ |