Yönetim birimlerini kullanarak temsilci seçmeyi yapılandırma

  • 7 dakika

Yönetici istrative birimleri, diğer Microsoft Entra kaynakları için kapsayıcı olabilecek Microsoft Entra Id kaynaklarıdır. Bir yönetim birimi yalnızca kullanıcıları, grupları ve cihazları içerebilir.

Yönetim birimleri, bir roldeki izinleri kuruluşunuzun tanımladığınız bir bölümüyle kısıtlar. Örneğin Yardım Masası Yöneticisi rolünü bölgesel destek uzmanlarına devretmek için yönetim birimlerini kullanabilirsiniz, böylece kullanıcılar yalnızca destekledikleri bölgedeki kullanıcıları yönetebilir. Azure portalını, PowerShell cmdlet'lerini ve betiklerini veya Microsoft Graph'ı kullanarak yönetim birimlerini yönetebilirsiniz.

Yönetim birimi nedir?

Microsoft Entra Id'de, bir kullanıcıya herhangi bir yönetici rolü atarsanız tek bir kiracı kullanarak, artık kiracıdaki her kullanıcı üzerinde yönetici olur. Her zaman en az ayrıcalık güvenlik ilkesini düşünün, yönetim sorumluluklarını vermenin her zaman en iyi yolu budur. Yönetici istrative birimleri, Microsoft Entra ID'de bu sınamayı çözmek için oluşturulan kapsayıcılardır. Bir Kullanıcı Yönetici istrator'ın yalnızca belirli bir kullanıcı ve grup kümesini yönetebilmesini istiyorsanız. Diyelim ki yalnızca bir hastanenin Araştırma Departmanındaki kullanıcıları yönetin. Bir yönetim birimi ayarlayabilirsiniz. Bu yönetim birimi içinde araştırma ekibi için kullanıcıları ve grupları eklersiniz, ardından yönetim birimindeki Kullanıcı Yönetici istrator rolüne belirli bir kullanıcı ekler ve araştırma için Yönetici olarak adlandırabilirsiniz. araştırma için Yönetici yönetim birimindeki kullanıcıları yönetebilir ancak kiracının tamamında yönetemez ve bu da en düşük ayrıcalık ilkesinin elde edilmesine yardımcı olur.

Bir yönetim birimi için hangi yönetici rolleri kullanılabilir?

Yönetim biriminizi yönetmek için aşağıdaki rollerde kullanıcılarınız olabilir:

  • Kimlik doğrulama yöneticisi
  • Grup yöneticisi
  • Yardım masası yöneticisi
  • Lisans yöneticisi
  • Parola yöneticisi
  • Kullanıcı yöneticisi

Dekont

şirket içi Active Directory hakkında bilginiz varsa, dizininizde Kuruluş Birimleri (OU) ayarlanıp kullanıcılarınızı OU'ya ekleyerek bu özellik işlendi.

Yönetim birimlerinizi planlama

Microsoft Entra kaynaklarını mantıksal olarak gruplandırmak için yönetim birimlerini kullanabilirsiniz. BT departmanı genel olarak dağınık olan bir kuruluş, ilgili coğrafi sınırları tanımlayan yönetim birimleri oluşturabilir. Küresel bir kuruluşun operasyonlarında yarı otonom alt organizasyonlara sahip olduğu başka bir senaryoda, yönetim birimleri alt organizasyonları temsil edebilir.

Yönetim birimlerinin oluşturulduğu ölçütler, kuruluşun benzersiz gereksinimleri tarafından yönlendirilir. Yönetici istratif birimler, Microsoft 365 hizmetlerinde yapı tanımlamanın yaygın bir yoludur. Yönetim birimlerinizi Microsoft 365 hizmetlerindeki kullanımlarını göz önünde bulundurarak hazırlamanızı öneririz. Microsoft 365 genelindeki ortak kaynakları bir yönetim birimi altında ilişkilendirebildiğiniz durumlarda, yönetim birimlerinden en yüksek değeri alabilirsiniz.

Kuruluşta yönetim birimlerinin oluşturulmasının aşağıdaki aşamalardan geçmesi beklenebilir:

  1. İlk benimseme: Kuruluşunuz, ilk ölçütlere göre yönetim birimleri oluşturmaya başlar ve ölçütler iyileştirilirken yönetim birimi sayısı artar.
  2. Ayıklama: Ölçütler tanımlandıktan sonra, artık gerekli olmayan yönetim birimleri silinir.
  3. İstikrar: Kurumsal yapınız tanımlanır ve yönetim birimlerinin sayısı kısa vadede önemli ölçüde değişmez.

Microsoft Entra Id'de yönetim temsilcisi temsilcisi

Kurumsal büyümeyle birlikte karmaşıklık da gelir. Yaygın yanıtlardan biri, Microsoft Entra yönetici rolleri ile erişim yönetimi iş yükünün bir kısmını azaltmaktır. Kullanıcılara uygulamalarına erişmeleri ve görevlerini gerçekleştirmeleri için mümkün olan en düşük ayrıcalığı atayabilirsiniz. Genel Yönetici istrator rolünü her uygulama sahibine atamasanız bile, uygulama yönetimi sorumluluklarını mevcut Genel Yönetici istrator'lara yerleştirmiş olursunuz. Bir kuruluşun daha merkezi olmayan bir yönetime doğru ilerlemesi için birçok neden vardır.

Microsoft Entra Id'de Uygulama oluşturma ve yönetim izinlerini aşağıdaki yollarla temsilci olarak atayabilirsiniz:

  • Kimlerin uygulama oluşturabileceğini ve oluşturdukları uygulamaları yönetebileceğini kısıtlama. Varsayılan olarak, Microsoft Entra Id'de tüm kullanıcılar uygulama kayıtlarını kaydedebilir ve oluşturdukları uygulamaların tüm yönlerini yönetebilir. Yalnızca seçili kişilere izin verecek şekilde kısıtlayabilirsiniz.
  • Bir uygulamaya bir veya daha fazla sahip atama. Birine belirli bir uygulama için Microsoft Entra ID yapılandırmasının tüm yönlerini yönetme olanağı vermenin basit bir yolu.
  • Tüm uygulamalar için Microsoft Entra Id'de yapılandırmayı yönetme erişimi veren yerleşik bir yönetim rolü atama. MICROSOFT Entra Id'nin uygulama yapılandırmasıyla ilgili olmayan diğer bölümlerini yönetme erişimi vermeden BT uzmanlarına geniş uygulama yapılandırma izinlerini yönetme erişimi vermenin önerilen yolu.
  • Belirli izinleri tanımlamak için özel bir rol oluşturun. Ardından, sınırlı sahip atamak için rolü kullanıcıya atayın. Veya dizin kapsamında (tüm uygulamalar) sınırlı yönetici olarak atayabilirsiniz.

Erişim izni verirken, iki nedenden dolayı yukarıdaki yöntemlerden birini kullanın. İlk olarak, yönetim görevlerini gerçekleştirme olanağını devretmek genel yönetici ek yükünü azaltır. İkincisi, sınırlı izinlerin kullanılması güvenlik duruşunuzu geliştirir ve yetkisiz erişim olasılığını azaltır.

Temsilci Seçmeyi Planlama

gereksinimlerinize uygun bir temsilci modeli geliştirmek için çalışır. Temsilci modeli geliştirmek yinelemeli bir tasarım işlemidir ve şu adımları izlemenizi öneririz:

  • İhtiyacınız olan rolleri tanımlama
  • Uygulama yönetimi temsilcisi
  • Uygulamaları kaydetme olanağı verme
  • Uygulama sahipliğini devretme
  • Güvenlik planı geliştirme
  • Acil durum hesapları oluşturma
  • Yönetici rollerinizin güvenliğini sağlama
  • Ayrıcalıklı yükseltmeyi geçici hale getirme

Rolleri tanımlama

Yöneticiler tarafından gerçekleştirilen Active Directory görevlerini ve bunların rollerle nasıl eşlendiğini belirleyin. Her görev sıklık, önem ve zorluk açısından değerlendirilmelidir. Bu ölçütler, bir iznin temsilci olarak atanıp atanmayacağını yönettikleri için görev tanımının önemli yönleridir:

  • Düzenli olarak yaptığınız, sınırlı risklere sahip olan ve tamamlanması kolay görevler, temsilci seçme için mükemmel adaylardır.
  • Nadiren yaptığınız ancak kuruluş genelinde olası risklere sahip olduğunuz ve yüksek beceri düzeyleri gerektiren görevler, temsilci seçmeden önce dikkatli bir şekilde değerlendirilmelidir. Bunun yerine, bir hesabı geçici olarak gerekli role yükseltebilir veya görevi yeniden atayabilirsiniz.

Uygulama yönetimi temsilcisi

Kuruluşunuzdaki uygulamaların yaygınlaşması temsilci modelinizi zorlayabilir. Uygulama erişim yönetimi yükünü Global Yönetici istrator'a yüklerse, zaman geçtikçe modelin ek yükünü artırması olasıdır. Kurumsal uygulamaları yapılandırma gibi işlemler için kişilere Genel Yönetici istrator rolü verdiyseniz, artık bunları aşağıdaki daha az ayrıcalıklı rollere devredebilirsiniz. Bunu yapmak, güvenlik duruşunuzu geliştirmeye yardımcı olur ve talihsiz hatalar olasılığını azaltır. En ayrıcalıklı uygulama yöneticisi rolleri şunlardır:

  • Kayıtlar, çoklu oturum açma ayarları, kullanıcı ve grup atamaları ve lisanslama, Uygulama Ara Sunucusu ayarları ve onay dahil olmak üzere dizindeki tüm uygulamaları yönetme olanağı sağlayan Uygulama Yönetici istrator rolü. Koşullu Erişimi yönetme olanağı vermez.
  • Uygulama Ara Sunucusu ayarlarına erişim izni vermemesi dışında (şirket içi izni olmadığı için) Uygulama Yönetici istrator'ın tüm yeteneklerini veren Bulut Uygulaması Yönetici istrator rolü.

Temsilci uygulama kaydı

Varsayılan olarak, tüm kullanıcılar uygulama kayıtları oluşturabilir. Uygulama kayıtları oluşturma özelliğini seçmeli olarak vermek için:

  • Kullanıcı ayarlarında Kullanıcılar uygulamaları kaydedebilir seçeneğini Hayır olarak ayarlayın
  • Kullanıcıyı Uygulama Geliştirici rolüne atama

Bir uygulamanın verilere erişmesine izin verme izni verme özelliğini seçmeli olarak vermek için:

  • Kullanıcılar, kurumsal uygulamalar altındaki Kullanıcı ayarlarında şirket verilerine kendi adlarına erişen uygulamalara onay verebilir seçeneğini Hayır olarak ayarlayın
  • Kullanıcıyı Uygulama Geliştirici rolüne atama

Uygulama Geliştiricisi yeni bir uygulama kaydı oluşturduğunda, ilk sahip olarak otomatik olarak eklenir.

Uygulama sahipliğini devretme

Daha ayrıntılı uygulama erişim temsilcisi için tek tek kurumsal uygulamalara sahiplik atayabilirsiniz. Uygulama kayıt sahiplerini atamak için mevcut desteği geliştirirsiniz. Sahiplik, Kurumsal Uygulamalar ekranında kuruluş başına uygulama bazında atanır. Avantajı, sahiplerin yalnızca sahip oldukları kurumsal uygulamaları yönetebilmeleridir. Örneğin, Salesforce uygulaması için bir sahip atayabilirsiniz ve bu sahip Salesforce'a erişimi ve yapılandırmayı yönetebilir ve başka hiçbir uygulamaya erişim sağlamaz. Bir kurumsal uygulamanın birçok sahibi olabilir ve bir kullanıcı birçok kurumsal uygulamanın sahibi olabilir. İki uygulama sahibi rolü vardır:

  • Kurumsal Uygulama Sahibi rolü, çoklu oturum açma ayarları, kullanıcı ve grup atamaları ve daha fazla sahip ekleme dahil olmak üzere kullanıcının sahip olduğu kurumsal uygulamaları yönetme olanağı sağlar. Uygulama Ara Sunucusu ayarlarını veya Koşullu Erişimi yönetme olanağı vermez.
  • Uygulama Kaydı Sahibi rolü, uygulama bildirimi ve diğer sahipleri ekleme dahil olmak üzere kullanıcının sahip olduğu uygulama için uygulama kayıtlarını yönetme olanağı verir.

Güvenlik planı geliştirme

Microsoft Entra ID, Karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama, Microsoft Entra yönetici rollerinizde bir güvenlik planı planlamak ve yürütmek için kapsamlı bir kılavuz sağlar.

Acil durum hesapları oluşturma

Sorun oluştuğunda kimlik yönetimi deponuza erişimi korumak için Acil durum erişim yönetim hesapları oluşturma bölümüne göre acil durum erişim hesapları hazırlayın.

Yönetici rollerinizin güvenliğini sağlama

Ayrıcalıklı hesapların denetimini alan saldırganlar büyük zarar verebilir. Önce bu hesapları her zaman koruyun. Tüm Microsoft Entra kuruluşları tarafından kullanılabilen Güvenlik Varsayılanları özelliğini kullanın. Güvenlik Varsayılanları, ayrıcalıklı Microsoft Entra hesaplarında çok faktörlü kimlik doğrulamasını zorunlu kılır.