Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Ayrıcalıklı roller ve izinler için etiket şu anda ÖNİzLEME aşamasındadır. Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Microsoft Entra Id, ayrıcalıklı olarak tanımlanan rollere ve izinlere sahiptir. Bu roller ve izinler, dizin kaynaklarının yönetimini diğer kullanıcılara devretmek, kimlik bilgilerini, kimlik doğrulama veya yetkilendirme ilkelerini değiştirmek ya da kısıtlanmış verilere erişmek için kullanılabilir. Ayrıcalıklı rol atamaları, güvenli ve hedeflenen bir şekilde kullanılmazsa ayrıcalıkların yükseltilmesine yol açabilir. Bu makalede ayrıcalıklı roller, izinler ve nasıl kullanılacağına yönelik en iyi yöntemler açıklanmaktadır.
Hangi roller ve izinler ayrıcalıklıdır?
Ayrıcalıklı rollerin ve izinlerin listesi için Microsoft Entra yerleşik rolleri bkz. Ayrıca ayrıcalıklı olarak tanımlanan rolleri, izinleri ve rol atamalarını belirlemek için Microsoft Entra yönetim merkezini, Microsoft Graph PowerShell'i veya Microsoft Graph API'sini de kullanabilirsiniz.
Microsoft Entra yönetim merkezinde PRIVILEGED etiketini bulun.
Roller ve yöneticiler sayfasında, Ayrıcalıklı sütununda ayrıcalıklı roller tanımlanır. Atamalar sütununda rol atamalarının sayısı listelenir. Ayrıca ayrıcalıklı rolleri filtreleyebilirsiniz.
Ayrıcalıklı bir rolün izinlerini görüntülediğinizde, hangi izinlerin ayrıcalıklı olduğunu görebilirsiniz. İzinleri varsayılan kullanıcı olarak görüntülerseniz, hangi izinlerin ayrıcalıklı olduğunu göremezsiniz.
Özel bir rol oluşturduğunuzda, hangi izinlerin ayrıcalıklı olduğunu ve özel rolün ayrıcalıklı olarak etiketlendiğini görebilirsiniz.
Ayrıcalıklı rolleri kullanmaya yönelik en iyi yöntemler
Ayrıcalıklı rolleri kullanmaya yönelik bazı en iyi yöntemler aşağıdadır.
- En düşük ayrıcalık ilkesini uygulama
- Tam zamanında erişim vermek için Privileged Identity Management'ı kullanma
- Tüm yönetici hesaplarınız için çok faktörlü kimlik doğrulamasını açma
- Zaman içinde gereksiz izinleri iptal etmek için yinelenen erişim gözden geçirmelerini yapılandırma
- Genel Yönetici sayısını 5'ten azla sınırlayın
- Ayrıcalıklı rol atamalarının sayısını 10'dan azla sınırlayın
Daha fazla bilgi için Microsoft Entra rolleri için en iyi uygulamalar bölümüne bakın.
Ayrıcalıklı izinler ve korumalı eylemler karşılaştırması
Ayrıcalıklı izinler ve korumalı eylemler, farklı amaçlara sahip güvenlikle ilgili özelliklerdir. PRIVILEGED etiketine sahip izinler, güvenli ve amaçlanan bir şekilde kullanılmadığı takdirde ayrıcalıkların yükseltilmesine yol açabilecek izinleri belirlemenize yardımcı olur. Korumalı eylemler, çok faktörlü kimlik doğrulaması gerektirme gibi ek güvenlik için Koşullu Erişim ilkeleri atanmış rol izinleridir. Koşullu Erişim gereksinimleri, kullanıcı korumalı eylemi gerçekleştirdiğinde uygulanır. Korumalı eylemler şu anda Önizleme aşamasındadır. Daha fazla bilgi için bkz . Microsoft Entra Id'de korunan eylemler nelerdir?.
| Yetkinlik | Ayrıcalıklı izin | Korumalı eylem |
|---|---|---|
| Güvenli bir şekilde kullanılması gereken izinleri belirleme | ✅ | |
| Eylem gerçekleştirmek için ek güvenlik gerektir | ✅ |
Terminoloji
Microsoft Entra Id'deki ayrıcalıklı rolleri ve izinleri anlamak için aşağıdaki terimlerden bazılarını bilmenize yardımcı olur.
| Süre | Tanım |
|---|---|
| eylem | Güvenlik sorumlusu bir nesne türünde gerçekleştirebileceği bir etkinlik. Bazen işlem olarak da adlandırılır. |
| izin | Bir güvenlik sorumlusunun nesne türünde gerçekleştirebileceği etkinliği belirten bir tanım. İzin bir veya daha fazla eylem içerir. |
| ayrıcalıklı izin | Microsoft Entra Id'de, dizin kaynaklarının yönetimini diğer kullanıcılara devretmek, kimlik bilgilerini değiştirmek, kimlik doğrulaması veya yetkilendirme ilkelerini değiştirmek ya da kısıtlanmış verilere erişmek için kullanılabilecek izinler. |
| ayrıcalıklı rol | Bir veya daha fazla ayrıcalıklı izinlere sahip yerleşik veya özel bir rol. |
| ayrıcalıklı rol ataması | Ayrıcalıklı bir rol kullanan rol ataması. |
| ayrıcalıkların yükseltilmesi | Bir güvenlik sorumlusu başlangıçta başka bir rolün kimliğine bürünerek atanan rolünden daha fazla izin elde ettiğinde. |
| korumalı eylem | Ek güvenlik için Koşullu Erişim uygulanan izinler. |
Rol izinlerini anlama
İzin şeması, Microsoft Graph'ın REST biçimini gevşek bir şekilde izler:
<namespace>/<entity>/<propertySet>/<action>
Örneğin:
microsoft.directory/applications/credentials/update
| İzin öğesi | Açıklama |
|---|---|
| isim alanı | Görevi kullanıma sunan ve microsoft ile başlatılan ürün veya hizmet. Örneğin, Microsoft Entra Id içindeki tüm görevler ad alanını microsoft.directory kullanır. |
| varlık | Microsoft Graph'ta hizmet tarafından kullanıma sunulan mantıksal özellik veya bileşen. Örneğin, Microsoft Entra ID Kullanıcı ve Grupları, OneNote Notları ve Exchange de Posta Kutularını ve Takvimleri kullanıma sunar. Ad alanında tüm varlıkları belirtmek için özel allEntities bir anahtar sözcük vardır. Bu genellikle bir ürünün tamamına erişim izni veren rollerde kullanılır. |
| özellik kümesi | Erişim verilen varlığın belirli özellikleri veya yönleri. Örneğin, microsoft.directory/applications/authentication/read Microsoft Entra Id'deki uygulama nesnesinde yanıt URL'si, oturumu kapatma URL'si ve örtük akış özelliğini okuma olanağı verir.
|
| eylem | Verilen izinle genellikle oluşturma, okuma, güncelleme veya silme (CRUD) işlemleri gerçekleştirilir. Yukarıdaki becerilerin tümünü belirtmek için özel allTasks bir anahtar sözcük vardır (oluşturma, okuma, güncelleştirme ve silme). |
Kimlik doğrulama rollerini karşılaştırma
Aşağıdaki tabloda kimlik doğrulamasıyla ilgili rollerin özellikleri karşılaştırlenmiştir.
| Rol | Kullanıcının kimlik doğrulama yöntemlerini yönetme | Kullanıcı başına MFA’yı yönetme | MFA ayarlarını yönetme | Kimlik doğrulama yöntemi ilkesini yönetme | Parola koruma ilkesini yönetme | Hassas özellikleri güncelleştirme | Kullanıcıları silme ve geri yükleme |
|---|---|---|---|---|---|---|---|
| Kimlik Doğrulama Yöneticisi | Bazı kullanıcılar için evet | Hayır | Hayır | Hayır | Hayır | Bazı kullanıcılar için evet | Bazı kullanıcılar için evet |
| Ayrıcalıklı Kimlik Doğrulama Yöneticisi | Tüm kullanıcılar için evet | Hayır | Hayır | Hayır | Hayır | Tüm kullanıcılar için evet | Tüm kullanıcılar için evet |
| Kimlik Doğrulama İlkesi Yöneticisi | Hayır | Evet | Evet | Evet | Evet | Hayır | Hayır |
| Kullanıcı Yöneticisi | Hayır | Hayır | Hayır | Hayır | Hayır | Bazı kullanıcılar için evet | Bazı kullanıcılar için evet |
Parolaları sıfırlayabilecek kullanıcılar
Aşağıdaki tabloda, sütunlar parolaları sıfırlayan ve yenileme belirteçlerini geçersiz kılabilir rolleri listeler. Satırlar, parolalarının sıfırlanabileceği rolleri listeler. Örneğin, Parola Yöneticisi Dizin Okuyucuları, Konuk Davet Eden, Parola Yöneticisi ve yönetici rolü olmayan kullanıcılar için parolayı sıfırlayabilir. Kullanıcıya başka bir rol atanırsa, Parola Yöneticisi parolasını sıfırlayamaz.
Aşağıdaki tablo, kiracı kapsamında atanan rollere yöneliktir. Bir yönetim birimi kapsamında atanan roller için başka kısıtlamalar uygulanır.
| Parolanın sıfırlanabildiği rol | Parola Yöneticisi | Yardım Masası Yöneticisi | Kimlik Doğrulama Yöneticisi | Kullanıcı Yöneticisi | Yetkili Kimlik Doğrulama Yöneticisi | Genel Yönetici |
|---|---|---|---|---|---|---|
| Kimlik Doğrulama Yöneticisi | ✅ | ✅ | ✅ | |||
| Dizin Okuyucuları | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Genel Yönetici | ✅ | ✅* | ||||
| Gruplar Yöneticisi | ✅ | ✅ | ✅ | |||
| Misafir Davetçisi | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Yardım Masası Yöneticisi | ✅ | ✅ | ✅ | ✅ | ||
| İleti Merkezi Okuyucusu | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Parola Yöneticisi | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Yetkili Kimlik Doğrulama Yöneticisi | ✅ | ✅ | ||||
| Ayrıcalıklı Rol Yöneticisi | ✅ | ✅ | ||||
| Rapor Okuyucusu | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Kullanıcı (yönetici rolü yok) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Kullanıcı (yönetici rolü yok, ancak rol atanabilir bir grubun üyesi veya sahibi) |
✅ | ✅ | ||||
| Sınırlı yönetim yönetim birimi kapsamına sahip rolü olan kullanıcı | ✅ | ✅ | ||||
| Kullanıcı Yöneticisi | ✅ | ✅ | ✅ | |||
| Kullanıcı Deneyimi Başarı Yöneticisi | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Kullanım Özeti Raporları Okuyucusu | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Diğer tüm yerleşik ve özel roller | ✅ | ✅ |
Önemli
İş Ortağı İkinci Düzey Destek rolü, tüm yönetici olmayanlar ve yöneticiler (Genel Yöneticiler dahil herkes) için parolaları sıfırlayabilir ve yenileme belirteçlerini geçersiz kılabilir. İş Ortağı Katmanı1 Destek rolü parolaları sıfırlayabilir ve yenileme belirteçlerini yalnızca yönetici olmayanlar için geçersiz kılabilir. Bu roller kullanım dışı bırakıldığından kullanılmamalıdır.
Parola sıfırlama özelliği, self servis parola sıfırlama için gereken aşağıdaki hassas özellikleri güncelleştirme özelliğini içerir:
- iş telefonları
- cep telefonu
- diğer Postalar
Hassas eylemleri kimler gerçekleştirebilir?
Bazı yöneticiler bazı kullanıcılar için aşağıdaki hassas eylemleri gerçekleştirebilir. Tüm kullanıcılar hassas özellikleri okuyabilir.
| Hassas eylem | Hassas özellik adı |
|---|---|
| Kullanıcıları devre dışı bırakma veya etkinleştirme | accountEnabled |
| İş telefonunu güncelleştirme | businessPhones |
| Cep telefonunu güncelleştirme | mobilePhone |
| Şirket içi sabit kimliği güncelleştirme | onPremisesImmutableId |
| Diğer e-postaları güncelleştirme | otherMails |
| Parola profilini güncelleştirme | passwordProfile |
| Kullanıcı asıl adını güncelleştirme | userPrincipalName |
| Kullanıcıları silme veya geri yükleme | Uygulanamaz |
Aşağıdaki tabloda, sütunlar hassas eylemler gerçekleştirebilecek rolleri listeler. Satırlar, hassas eylemin uygulanabileceği rolleri listeler.
Aşağıdaki tablo, kiracı kapsamında atanan rollere yöneliktir. Bir yönetim birimi kapsamında atanan roller için başka kısıtlamalar uygulanır.
| Hassas eylemin gerçekleştirilebileceği rol | Kimlik Doğrulama Yöneticisi | Kullanıcı Yöneticisi | Yetkili Kimlik Doğrulama Yöneticisi | Genel Yönetici |
|---|---|---|---|---|
| Kimlik Doğrulama Yöneticisi | ✅ | ✅ | ✅ | |
| Dizin Okuyucuları | ✅ | ✅ | ✅ | ✅ |
| Genel Yönetici | ✅ | ✅ | ||
| Gruplar Yöneticisi | ✅ | ✅ | ✅ | |
| Misafir Davetçisi | ✅ | ✅ | ✅ | ✅ |
| Yardım Masası Yöneticisi | ✅ | ✅ | ✅ | |
| İleti Merkezi Okuyucusu | ✅ | ✅ | ✅ | ✅ |
| Parola Yöneticisi | ✅ | ✅ | ✅ | ✅ |
| Yetkili Kimlik Doğrulama Yöneticisi | ✅ | ✅ | ||
| Ayrıcalıklı Rol Yöneticisi | ✅ | ✅ | ||
| Rapor Okuyucusu | ✅ | ✅ | ✅ | ✅ |
| Kullanıcı (yönetici rolü yok) |
✅ | ✅ | ✅ | ✅ |
| Kullanıcı (yönetici rolü yok, ancak rol atanabilir bir grubun üyesi veya sahibi) |
✅ | ✅ | ||
| Sınırlı yönetim yönetim birimi kapsamına sahip rolü olan kullanıcı | ✅ | ✅ | ||
| Kullanıcı Yöneticisi | ✅ | ✅ | ✅ | |
| Kullanıcı Deneyimi Başarı Yöneticisi | ✅ | ✅ | ✅ | ✅ |
| Kullanım Özeti Raporları Okuyucusu | ✅ | ✅ | ✅ | ✅ |
| Diğer tüm yerleşik ve özel roller | ✅ | ✅ |