Aracılığıyla paylaş

Microsoft Entra İzin Yönetimi için hızlı başlangıç kılavuzu

  • Makale

Microsoft Entra İzin Yönetimi için Hızlı Başlangıç Kılavuzu'na hoş geldiniz.

İzin Yönetimi, tüm kimliklere atanan izinlere yönelik kapsamlı görünürlük sağlayan bir Bulut Altyapısı Yetkilendirme Yönetimi (CIEM) çözümüdür. Bu kimlikler; Microsoft Azure, Amazon Web Services (AWS) ve Google Cloud Platform'daki (GCP) çok bulutlu altyapılar arasında aşırı ayrıcalıklı iş yükü ve kullanıcı kimlikleri, eylemler ve kaynaklar içerir. İzin Yönetimi, kuruluşunuzun kullanılmayan ve aşırı izinleri algılayarak, otomatik olarak doğru boyutlandırarak ve sürekli izleyerek bulut izinlerini etkili bir şekilde güvenlik altına almalarına ve yönetmelerine yardımcı olur.

Bu hızlı başlangıç kılavuzuyla çoklu bulut ortamlarınızı ayarlayıp veri toplamayı yapılandıracak ve bulut kimliklerinizin yönetildiğinden ve güvenli olduğundan emin olmak için izin erişimini etkinleştireceksiniz.

Önkoşullar

Başlamadan önce, ekleme işlemi için şu araçlara erişmeniz gerekir:

  • BASH ortamını kullanarak Azure CLI veya Azure Cloud Shell ile yerel bir BASH kabuğuna erişim (Azure CLI dahildir).
  • AWS, Azure ve GCP konsollarına erişim.
  • Kullanıcının, AWS ve GCP ekleme için Microsoft Entra kiracısında yeni bir uygulama kaydı oluşturmak için İzin Yönetimi Yönetici istrator rol atamasına sahip olması gerekir.

1. Adım: İzin Yönetimini Ayarlama

İzin Yönetimi'ni etkinleştirmek için bir Microsoft Entra kiracınız olmalıdır (örneğin, Microsoft Entra yönetim merkezi).

  • Azure hesabınız varsa, otomatik olarak bir Microsoft Entra yönetim merkezi kiracınız olur.
  • Henüz bir hesabınız yoksa entra.microsoft.com'de ücretsiz bir hesap oluşturun.

Yukarıdaki noktalar karşılanırsa devam edin:

Kuruluşunuzda Microsoft Entra İzin Yönetimi etkinleştirme

İzin Yönetimi Yönetici istrator olduğunuzdan emin olun. İzin Yönetimi rolleri ve izinleri hakkında daha fazla bilgi edinin.

Microsoft Entra'nın Microsoft Entra kiracısında Azure rolleriyle kesiştiği yeri gösteren diyagram.

2. Adım: Çoklu bulut ortamınızı ekleme

Şu ana kadar,

  1. Microsoft Entra yönetim merkezi kiracınızda İzin Yönetimi Yönetici istrator rolü atanmıştır.
  2. Lisans satın alın veya İzin Yönetimi için 45 günlük ücretsiz deneme sürümünüzü etkinleştirdiniz.
  3. İzin Yönetimi başarıyla başlatıldı.

Şimdi İzin Yönetimi'nde Denetleyici ve Veri toplama modlarının rolü ve ayarları hakkında bilgi edineceksiniz.

Denetleyiciyi ayarlama

Denetleyici, İzin Yönetimi'nde kullanıcılara sağladığınız erişim düzeyini belirleme seçeneği sunar.

  • Ekleme sırasında denetleyicinin etkinleştirilmesi İzin Yönetimi yönetici erişimi veya okuma ve yazma erişimi verir; böylece kullanıcılar izinleri doğru boyutlandırabilir ve doğrudan İzin Yönetimi aracılığıyla düzeltebilir (AWS, Azure veya GCP konsollarına gitmek yerine). 

  • Ekleme sırasında denetleyiciyi devre dışı bırakmak veya hiçbir zaman etkinleştirmemek, İzin Yönetimi kullanıcısına ortamlarınıza salt okunur erişim verir.

Not

Denetleyiciyi ekleme sırasında etkinleştirmezseniz, ekleme tamamlandıktan sonra etkinleştirme seçeneğiniz vardır. Ekleme sonrasında denetleyiciyi İzin Yönetimi'nde ayarlamak için bkz . Eklemeden sonra denetleyiciyi etkinleştirme veya devre dışı bırakma. AWS ortamlarında denetleyiciyi etkinleştirdikten sonra devre dışı bırakamazsınız .

Ekleme sırasında denetleyici ayarlarını yapmak için:

  1. İzin Yönetimi'ne okuma ve yazma erişimi vermek için Etkinleştir'i seçin.
  2. İzin Yönetimi'ne salt okunur erişim vermek için Devre Dışı Bırak'ı seçin.

Veri toplamayı yapılandırma

İzin Yönetimi'nde veri toplamak için aralarından seçim yapabileceğiniz üç mod vardır.

  • Otomatik (önerilen) İzin Yönetimi, geçerli ve gelecekteki tüm abonelikleri otomatik olarak bulur, ekler ve izler.

  • İzin Yönetimi'ni bulmak, eklemek ve izlemek için tek tek abonelikleri el ile girin. Veri toplama başına en fazla 100 abonelik girebilirsiniz.

  • İzin Yönetimi tüm geçerli abonelikleri otomatik olarak bulur'ı seçin . Keşfedildikten sonra hangi aboneliklerin ekleneceğini ve izleneceğini seçersiniz.

Not

Otomatik veya Seç modlarını kullanmak için, veri toplama yapılandırırken denetleyicinin etkinleştirilmesi gerekir.

Veri toplamayı yapılandırmak için:

  1. İzin Yönetimi'nde Veri Toplayıcıları sayfasına gidin.
  2. Bir bulut ortamı seçin: AWS, Azure veya GCP.
  3. Yapılandırma oluştur'a tıklayın.

Not

Veri toplama işlemi biraz zaman alır ve çoğu durumda yaklaşık 4-5 saatlik aralıklarla gerçekleşir. Zaman çerçevesi, sahip olduğunuz yetkilendirme sisteminin boyutuna ve toplama için ne kadar verinin kullanılabilir olduğuna bağlıdır.

Amazon Web Services'i (AWS) ekleme

İzin Yönetimi Microsoft Entra'da barındırıldığından AWS ortamınızı eklemek için atılması gereken daha fazla adım vardır.

AWS'yi İzin Yönetimi'ne bağlamak için, İzin Yönetimi'nin etkinleştirildiği Microsoft Entra yönetim merkezi kiracısında bir Microsoft Entra uygulaması oluşturmanız gerekir. Bu Microsoft Entra uygulaması, AWS ortamınıza OIDC bağlantısı kurmak için kullanılır.

OpenID Bağlan (OIDC), OAuth 2.0 belirtim ailesini temel alan birlikte çalışabilen bir kimlik doğrulama protokolüdür.

Microsoft Entra Id ile AWS bulut ortamı arasındaki bağlantıyı gösteren diyagram.

Önkoşullar

Kullanıcının Microsoft Entra Id'de yeni bir uygulama kaydı oluşturmak için İzin Yönetimi Yönetici istrator rol atamasına sahip olması gerekir.

Hesap kimlikleri ve rolleri:

  • AWS OIDC hesabı: OIDC IdP aracılığıyla OIDC bağlantısını oluşturmak ve barındırmak için sizin tarafınızdan belirlenen bir AWS üye hesabı
  • AWS Günlük hesabı (isteğe bağlı ancak önerilir)
  • AWS Yönetim hesabı (isteğe bağlı ancak önerilir)
  • İzin Yönetimi tarafından izlenen ve yönetilen AWS üye hesapları (el ile mod için)

Otomatik veya Select veri toplama modlarını kullanmak için AWS Yönetim hesabınızı bağlamanız gerekir.

Bu adım sırasında AWS CloudTrail etkinlik günlükleri (AWS Trails'te bulunur) ile S3 demetinin adını girerek denetleyiciyi etkinleştirebilirsiniz.

AWS ortamınızı eklemek ve veri toplamayı yapılandırmak için bkz . Amazon Web Services (AWS) hesabını ekleme.

Microsoft Azure'a ekleme

Microsoft Entra kiracısında İzin Yönetimi'ni etkinleştirdiğinizde CIEM için bir kurumsal uygulama oluşturuldu. Azure ortamınızı eklemek için bu uygulamaya İzin yönetimi izinleri verirsiniz.

  1. İzin yönetiminin etkinleştirildiği Microsoft Entra kiracısında Bulut Altyapısı Yetkilendirme Yönetimi (CIEM) kurumsal uygulamasını bulun.

  2. İzin yönetiminin ortamınızdaki Microsoft Entra aboneliklerini okumasına izin vermek için CIEM uygulamasına Okuyucu rolünü atayın.

Azure aboneliğiyle Microsoft Entra rol bağlantıları arasındaki bağlantıyı gösteren diyagram.

Önkoşullar

  • CIEM uygulamasına rol atamak için abonelik veya yönetim grubu kapsamında izinleri olan Microsoft.Authorization/roleAssignments/write bir kullanıcı.

  • Otomatik veya Veri toplama modlarını seç'i kullanmak için Yönetim grubu kapsamında Okuyucu rolünü atamanız gerekir.

  • Denetleyiciyi etkinleştirmek için CIEM uygulamasına Kullanıcı Erişimi Yönetici istrator rolünü atamanız gerekir.

Azure ortamınızı eklemek ve veri toplamayı yapılandırmak için bkz . Microsoft Azure aboneliği ekleme.

Google Cloud Platform'a (GCP) ekleme

İzin Yönetimi Microsoft Azure'da barındırıldığından GCP ortamınızı eklemeye yönelik ek adımlar vardır.

GCP'yi İzin Yönetimi'ne bağlamak için, İzin Yönetimi'nin etkinleştirildiği Microsoft Entra kiracısında bir Microsoft Entra yönetim merkezi uygulaması oluşturmanız gerekir. Bu Microsoft Entra yönetim merkezi uygulaması, GCP ortamınıza OIDC bağlantısı kurmak için kullanılır.

OpenID Bağlan (OIDC), OAuth 2.0 belirtim ailesini temel alan birlikte çalışabilen bir kimlik doğrulama protokolüdür.

Microsoft Entra OIDC uygulaması ile GCP bulut ortamı arasındaki bağlantıyı gösteren diyagram.

Önkoşullar

AWS ve GCP ekleme için Microsoft Entra'da yeni bir uygulama kaydı oluşturabilme özelliğine sahip bir kullanıcı (OIDC bağlantısını kolaylaştırmak için gereklidir).

Kimlik ayrıntıları:

  • GCP OIDC projesi: Bir OIDC IdP aracılığıyla OIDC bağlantısını oluşturmak ve barındırmak için sizin tarafınızdan belirlenen bir GCP projesi.
    • Proje numarası ve proje kimliği
  • GCP OIDC İş Yükü kimliği
    • Havuz kimliği, havuz sağlayıcısı kimliği
  • GCP OIDC hizmet hesabı
    • G-suite IdP Gizli Anahtarı adı ve G-suite IdP kullanıcı e-postası (isteğe bağlı)
    • Eklemek istediğiniz GCP projelerinin kimlikleri (el ile mod için isteğe bağlı)

GCP ortamınıza İzin yönetimi okuma erişimi vermek için kuruluş, klasör veya proje düzeylerindeki GCP hizmet hesabına Görüntüleyici ve Güvenlik Gözden Geçireni rollerini atayın.

Bu adım sırasında, Kuruluş, klasör veya proje düzeylerindeki GCP hizmet hesabına Rol Yönetici istrator ve Güvenlik Yönetici istrator rollerini atayarak Denetleyici modunu etkinleştir seçeneğiniz vardır.

Not

İzin Yönetimi varsayılan kapsamı proje düzeyindedir.

GCP ortamınızı eklemek ve veri toplamayı yapılandırmak için bkz . GCP projesini ekleme.

Özet

Tebrikler! Ortamlarınız için veri toplamayı yapılandırmayı tamamladınız ve veri toplama işlemi başladı. Veri toplama işlemi biraz zaman alır; Çoğu durumda yaklaşık 4-5 saat. Zaman çerçevesi, eklediğiniz yetkilendirme sistemlerinin miktarına ve koleksiyon için kullanılabilir veri miktarına bağlıdır.

İzin Yönetimi kullanıcı arabiriminizdeki durum sütunu, hangi veri toplama adımında olduğunuzu gösterir.

  • Beklemede: İzin Yönetimi henüz algılamaya veya eklemeye başlamadı.
  • Bulma: İzin Yönetimi yetkilendirme sistemlerini algılar.
  • Devam ediyor: İzin Yönetimi yetkilendirme sistemlerini algılamayı tamamladı ve ekleniyor.
  • Ekleme: Veri toplama işlemi tamamlandı ve algılanan tüm yetkilendirme sistemleri İzin Yönetimi'ne eklenir.

Not

Veri toplama işlemi devam ederken, İzin Yönetimi'nde kullanıcıları ve grupları ayarlamaya başlayabilirsiniz.

Sonraki adımlar

Başvurular: