Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale serisi, Sıfır Güven ilkelerini uygularken Microsoft Entra ID'yi merkezi bir kimlik yönetim sistemi olarak kullanma yönergelerine sahiptir. Talimatlar ve yönergeler, ABD Yönetim ve Bütçe Ofisi (OMB) M-22-09 Yönetim Departmanları ve Kurumlar Başkanları için Muhtırasıtemelindedir.
Not gereksinimleri, çok faktörlü kimlik doğrulama ilkelerindeki zorlama türleri ve cihazlar, roller, öznitelikler ve ayrıcalıklı erişim yönetimi denetimleridir.
Cihaz tabanlı denetimler
Bir memorandum 22-09 gereksinimi, yetkilendirme kararlarının bir sisteme veya uygulamaya erişmesi için en az bir cihaz tabanlı sinyaldir. Koşullu Erişim kullanarak gereksinimi zorunlu kılma. Yetkilendirme sırasında birkaç cihaz sinyali uygulayın. Sinyal ve sinyali alma gereksinimi için aşağıdaki tabloya bakın.
| Sinyal | Sinyal alma |
|---|---|
| Cihaz yönetiliyor | Intune ile tümleştirme veya tümleştirmeyi destekleyen başka bir mobil cihaz yönetimi (MDM) çözümü. |
| Microsoft Entra ortamına katılan hibrit | Active Directory cihazı yönetir ve uygun olur. |
| Cihaz uyumlu | Intune ile tümleştirme veya tümleştirmeyi destekleyen başka bir MDM çözümü. Bkz. Microsoft Intune'da uyumluluk ilkesi oluşturma. |
| Tehdit sinyalleri | Uç Nokta için Microsoft Defender ve diğer uç noktada algılama ve yanıtlama (EDR) araçları, erişimi reddetmek için tehdit sinyalleri gönderen Microsoft Entra ID ve Intune tümleştirmelerine sahiptir. Tehdit sinyalleri uyumlu durum sinyalini destekler. |
| Kiracılar arası erişim ilkeleri (genel önizleme) | Diğer kuruluşlardaki cihazlardan gelen cihaz sinyallerine güvenin. |
Rol tabanlı denetimler
Belirli bir kapsamdaki rol atamaları aracılığıyla yetkilendirmeleri zorlamak için rol tabanlı erişim denetimini (RBAC) kullanın. Örneğin, erişim paketleri ve erişim gözden geçirmeleri de dahil olmak üzere yetkilendirme yönetimi özelliklerini kullanarak erişim atayın. Self servis istekleriyle yetkilendirmeleri yönetin ve yaşam döngüsünü yönetmek için otomasyonu kullanın. Örneğin, erişimi ölçütlere göre otomatik olarak sonlandır.
Daha fazla bilgi edinin:
- Yetkilendirme yönetimi nedir?
- Yetkilendirme yönetiminde yeni bir erişim paketi oluşturma
- Erişim gözden geçirmeleri nedir?
Öznitelik tabanlı denetimler
Öznitelik tabanlı erişim denetimi (ABAC), kimlik doğrulaması sırasında erişime izin vermek veya erişimi reddetmek için kullanıcıya veya kaynağa atanan meta verileri kullanır. Kimlik doğrulaması aracılığıyla veri ve kaynaklar için ABAC zorlamalarını kullanarak yetkilendirmeler oluşturmak için aşağıdaki bölümlere bakın.
Kullanıcılara atanan öznitelikler
Kullanıcı yetkilendirmeleri oluşturmak için Microsoft Entra Id'de depolanan kullanıcılara atanan öznitelikleri kullanın. Kullanıcılar, grup oluşturma sırasında tanımladığınız bir kural kümesine göre otomatik olarak dinamik üyelik gruplarına atanır. Kurallar, kullanıcıya ve özniteliklerine karşı kural değerlendirmesine göre bir kullanıcıyı gruba ekler veya gruptan kaldırır. Öznitelikleri korumanızı ve oluşturma gününde statik öznitelikler ayarlamamanızı öneririz.
Daha fazla bilgi edinin: Microsoft Entra Id'de dinamik grup oluşturma veya güncelleştirme
Verilere atanan öznitelikler
Microsoft Entra Id ile yetkilendirmeyi verilerle tümleştirebilirsiniz. Yetkilendirmeyi tümleştirmek için aşağıdaki bölümlere bakın. Kimlik doğrulamayı Koşullu Erişim ilkelerinde yapılandırabilirsiniz: Kullanıcıların uygulamada veya verilerde gerçekleştirebileceği eylemleri kısıtlayın. Bu kimlik doğrulama ilkeleri daha sonra veri kaynağına eşlenir.
Veri kaynakları, kimlik doğrulamasıyla eşlenmiş Word, Excel veya SharePoint siteleri gibi Microsoft Office dosyaları olabilir. Uygulamalarda verilere atanan kimlik doğrulamasını kullanın. Bu yaklaşım, uygulama koduyla tümleştirmeyi ve geliştiricilerin bu özelliği benimsemesini gerektirir. Oturum denetimleri aracılığıyla verilerde kullanılabilecek eylemleri denetlemek için Bulut için Microsoft Defender Uygulamaları ile kimlik doğrulama tümleştirmesini kullanın.
Veriler ve kullanıcı öznitelikleri arasındaki kullanıcı erişimi eşlemelerini denetlemek için dinamik üyelik gruplarını kimlik doğrulama bağlamıyla birleştirin.
Daha fazla bilgi edinin:
- Koşullu Erişim: Bulut uygulamaları, eylemler ve kimlik doğrulama bağlamı
- Koşullu Erişim kimlik doğrulaması bağlamı için geliştirici kılavuzu
- Oturum ilkeleri
Kaynaklara atanan öznitelikler
Azure, depolama için öznitelik tabanlı erişim denetimi (Azure ABAC) içerir. Azure Blob Depolama hesabında depolanan verilere meta veri etiketleri atayın. Erişim vermek için rol atamalarını kullanarak meta verileri kullanıcılara atayın.
Daha fazla bilgi edinin: Azure öznitelik tabanlı erişim denetimi nedir?
Ayrıcalıklı erişim yönetimi
Notta, tek faktörlü kısa ömürlü kimlik bilgileriyle ayrıcalıklı erişim yönetimi araçlarının erişim sistemlerine yönelik verimsizliği belirtildi. Bu teknolojiler, bir yönetici için çok faktörlü kimlik doğrulaması oturum açmayı kabul eden parola kasalarını içerir. Bu araçlar sisteme erişmek için alternatif bir hesap için parola oluşturur. Sistem erişimi tek bir faktörle gerçekleşir.
Microsoft araçları, merkezi kimlik yönetim sistemi olarak Microsoft Entra ID ile ayrıcalıklı sistemler için Privileged Identity Management (PIM) uygular. Uygulamalar, altyapı öğeleri veya cihazlar olan çoğu ayrıcalıklı sistem için çok faktörlü kimlik doğrulamasını zorunlu kılma.
Microsoft Entra kimlikleriyle uygulandığında ayrıcalıklı bir rol için PIM kullanın. Yanal hareketi önlemek için koruma gerektiren ayrıcalıklı sistemleri belirleyin.
Daha fazla bilgi edinin:
- Microsoft Entra Privileged Identity Management nedir?
- Privileged Identity Management dağıtımı planlama
Sonraki adımlar
- Microsoft Entra Id ile memorandum 22-09'un kimlik gereksinimlerini karşılama
- Memo 22-09 kurumsal genelinde kimlik yönetimi sistemi
- Memorandum 22-09'un çok faktörlü kimlik doğrulama gereksinimlerini karşılama
- 22-09 notunda ele alınan diğer Sıfır Güven alanları
- Sıfır Güven ile kimliğin güvenliğini sağlama