Yönetici kullanıcılar için ayrıcalıklı erişim stratejisi tanımlama
Privileged identity management (PIM) nedir?
PIM, ayrıcalıklı kaynaklara erişimi yönetmek için Microsoft Entra ID'de bulunan bir hizmettir. PIM, kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve erişimi izlemenize olanak tanır. Bu tür kaynaklar Microsoft Entra Id, Azure ve Microsoft 365 veya Microsoft Intune gibi diğer Microsoft Online Services'daki kaynakları içerir.
PIM ne yapar?
PIM, kaynaklara erişmek için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlar. Bu, önemsediğiniz kaynaklardaki aşırı, gereksiz veya hatalı erişim izinlerinin risklerini azaltmaya yardımcı olur. PIM'in temel özellikleri şunlardır:
- Microsoft Entra Id ve Azure kaynaklarına tam zamanında ayrıcalıklı erişim sağlama
- Başlangıç ve bitiş tarihlerini kullanarak kaynaklara zamana bağlı erişim atama
- Ayrıcalıklı rolleri etkinleştirmek için onay iste
- Herhangi bir rolü etkinleştirmek için Azure Çok Faktörlü Kimlik Doğrulamasını zorunlu kılma
- Kullanıcıların neden etkinleştirilmesini anlamak için gerekçeyi kullanın
- Ayrıcalıklı roller etkinleştirildiğinde bildirim alma
- Kullanıcıların hala rollere ihtiyacı olduğundan emin olmak için erişim gözden geçirmeleri gerçekleştirme
- İç veya dış denetim için denetim geçmişini indirme
Kuruluşunuzda PIM dağıtmadan önce yönergeleri izleyin ve bu bölümdeki kavramları anlayın. Bu, kuruluşunuzun ayrıcalıklı kimlik gereksinimlerine göre uyarlanmış bir plan oluşturmanıza yardımcı olur.
Uyarı
PIM için Premium P2 lisansı gerekir.
Paydaşlarınızı belirleme
Aşağıdaki bölüm, projeye katılan tüm paydaşları belirlemenize yardımcı olur. Kimin onaylaması, gözden geçirmesi veya bilgi sahibi olması gerektiğini göreceksiniz. Microsoft Entra rolleri için PIM'i ve Azure rolleri için PIM'i dağıtmak için ayrı tablolar içerir. Aşağıdaki tabloya kuruluşunuz için uygun olan paydaşları ekleyin.
SO = Bu projede onay
R = Bu projeyi gözden geçirin ve giriş sağlayın
I = Bu proje hakkında bilgilendirildi
Paydaşlar: Microsoft Entra rolleri için Ayrıcalıklı Kimlik Yönetimi
| İsim | Rol | Eylem |
|---|---|---|
| Ad ve e-posta | Kimlik mimarı veya Azure Genel Yöneticisi - Bu değişikliğin kuruluşunuzdaki temel kimlik yönetimi altyapısıyla nasıl uyumlu hale getirmekten sorumlu kimlik yönetimi ekibinden bir temsilci. | SO/R/I |
| Ad ve e-posta | Hizmet sahibi veya Hat yöneticisi - Bir hizmetin veya bir hizmet grubunun BT sahiplerinden bir temsilci. Bu kişiler, karar alma ve PIM'in ekipleri için kullanıma sunulmasına yardımcı olma konusunda kilit öneme sahip. | SO/R/I |
| Ad ve e-posta | Güvenlik sahibi - Planın kuruluşunuzun güvenlik gereksinimlerini karşıladığını onaylayan güvenlik ekibi temsilcisi. | SO/R |
| Ad ve e-posta | BT destek yöneticisi / Yardım Masası - BT destek kuruluşundan yardım masası perspektifinden bu değişikliğin desteklenebilirliği hakkında geri bildirim sağlayabilen bir temsilci. | R/I |
| Pilot kullanıcılar için ad ve e-posta | Ayrıcalıklı rol kullanıcıları - Ayrıcalıklı kimlik yönetiminin uygulandığı kullanıcı grubu. PIM uygulandıktan sonra rollerini nasıl etkinleştireceklerini bilmeleri gerekir. | Ben |
Paydaşlar: Azure rolleri için Privileged Identity Management
| İsim | Rol | Eylem |
|---|---|---|
| Ad ve e-posta | Abonelik/Kaynak sahibi - PIM'i dağıtmak istediğiniz her aboneliğin veya kaynağın BT sahiplerinden bir temsilci. | SO/R/I |
| Ad ve e-posta | Güvenlik sahibi - Planın kuruluşunuzun güvenlik gereksinimlerini karşıladığını onaylayan bir güvenlik ekibi temsilcisi. | SO/R |
| Ad ve e-posta | BT destek yöneticisi / Yardım Masası - BT destek kuruluşundan yardım masası perspektifinden bu değişikliğin desteklenebilirliği hakkında geri bildirim sağlayabilen bir temsilci. | R/I |
| Pilot kullanıcılar için ad ve e-posta | Azure rol kullanıcıları - Ayrıcalıklı kimlik yönetiminin uygulandığı kullanıcı grubu. PIM uygulandıktan sonra rollerini nasıl etkinleştireceklerini bilmeleri gerekir. | Ben |
Privileged Identity Management'ı kullanmaya başlama
Planlama sürecinin bir parçası olarak, "Privileged Identity Management'ı kullanmaya başlama" makalemizi izleyerek PIM'i hazırlayın. PIM, dağıtımınıza yardımcı olmak için tasarlanmış bazı özelliklere erişmenizi sağlar.
Hedefiniz Azure kaynakları için PIM dağıtmaksa "Privileged Identity Management'ta yönetilecek Azure kaynaklarını bulma" makalemizi izleyin. Yalnızca aboneliklerin ve yönetim gruplarının sahipleri bu kaynakları PIM tarafından yönetim altına alabilir. Yönetim altında olduktan sonra PIM işlevselliği yönetim grubu, abonelik, kaynak grubu ve kaynak gibi tüm düzeylerdeki sahipler tarafından kullanılabilir. Eğer bir Global Yöneticiyseniz ve Azure kaynaklarınız için PIM dağıtmaya çalışıyorsanız, dizindeki tüm Azure kaynaklarına erişim sağlamak için tüm Azure aboneliklerini yönetmek amacıyla erişiminizi artırabilirsiniz. Ancak, kaynaklarını PIM ile yönetmeden önce abonelik sahiplerinizin her birinden onay almanızı öneririz.
En az ayrıcalık ilkesini zorunlu kılma
Kuruluşunuzda hem Microsoft Entra Kimliğiniz hem de Azure rolleriniz için en az ayrıcalık ilkesini uyguladığınızdan emin olmanız önemlidir.
En az ayrıcalık yetkilendirmesini planla
Microsoft Entra rolleri için, çoğu yöneticinin yalnızca bir veya iki özel ve daha az güçlü yönetici rolüne ihtiyacı olduğunda kuruluşların Genel Yönetici rolünü bir dizi yöneticiye ataması yaygındır. Çok sayıda Genel Yönetici veya diğer yüksek ayrıcalıklı rollerle ayrıcalıklı rol atamalarınızı yeterince yakından izlemek zordur.
Microsoft Entra rolleriniz için en az ayrıcalık ilkesini uygulamak için bu adımları izleyin.
Kullanılabilir Microsoft Entra yönetici rollerini okuyarak ve anlayarak rollerin ayrıntı düzeyini anlayın. Siz ve ekibiniz, belirli görevler için en az ayrıcalıklı rolü açıklayan Microsoft Entra Id'de kimlik görevine göre yönetici rollerine de başvurmalısınız.
Kuruluşunuzda ayrıcalıklı rolleri olan kişileri listeleyin. Riskinizi azaltmak için PIM Keşfi ve içgörüleri (önizleme) kullanabilirsiniz.
Kuruluşunuzdaki tüm Genel Yöneticiler için role neden ihtiyaç duyduklarını öğrenin. Ardından bunları Genel Yönetici rolünden kaldırın ve Microsoft Entra Id içinde daha düşük ayrıcalıklara sahip yerleşik roller veya özel roller atayın. Bilginiz olsun, Microsoft şu anda Genel Yönetici rolüne sahip yaklaşık 10 yöneticiye sahiptir.
Diğer tüm Microsoft Entra rolleri için atama listesini gözden geçirin, role artık ihtiyacı olmayan yöneticileri belirleyin ve bunları atamalarından kaldırın.
Son iki adımı otomatikleştirmek için PIM'de erişim gözden geçirmelerini kullanabilirsiniz. "Privileged Identity Management'ta Microsoft Entra rolleri için erişim gözden geçirmesi başlatma" adımlarını izleyerek, bir veya daha fazla üyesi olan her Microsoft Entra Id rolü için bir erişim gözden geçirmesi ayarlayabilirsiniz.
Gözden geçirenleri Üyeler (self) olarak ayarlayın. Roldeki tüm kullanıcılar erişime ihtiyaçları olduğunu onaylamalarını isteyen bir e-posta alır. Ayrıca, kullanıcıların role neden ihtiyaç duyduklarını belirtmesi için gelişmiş ayarlarda Onayda neden gerektir seçeneğini açın. Bu bilgilere dayanarak, kullanıcıları gereksiz rollerden kaldırabilir veya daha ayrıntılı yönetici rollerine devredebilirsiniz.
Erişim gözden geçirmeleri, kişileri rollere erişimlerini gözden geçirmeleri konusunda bilgilendirmek için e-postalara dayanır. Bağlantılı e-postaları olmayan ayrıcalıklı hesaplarınız varsa, bu hesaplardaki ikincil e-posta alanını doldurduğunuzdan emin olun.
Azure kaynak rolü temsilcisini planlama
Azure abonelikleri ve kaynakları için, her abonelik veya kaynaktaki rolleri gözden geçirmek için benzer bir Access gözden geçirme işlemi ayarlayabilirsiniz. Bu işlemin amacı, her aboneliğe veya kaynağa eklenen Sahip ve Kullanıcı Erişimi Yöneticisi atamalarını en aza indirmek ve gereksiz atamaları kaldırmaktır. Ancak kuruluşlar genellikle belirli rolleri (özellikle özel roller) daha iyi anladıkları için bu tür görevleri her aboneliğin veya kaynağın sahibine devreder.
Kuruluşunuzda Azure rolleri için PIM dağıtmaya çalışan Genel Yönetici rolündeyseniz, her aboneliğe erişim elde etmek için tüm Azure aboneliklerini yönetmek üzere erişimi yükseltebilirsiniz. Ardından her abonelik sahibini bulabilir ve gereksiz atamaları kaldırmak ve sahip rolü atamasını en aza indirmek için onlarla çalışabilirsiniz.
Azure aboneliği için Sahip rolüne sahip kullanıcılar, Microsoft Entra rolleri için daha önce açıklanan işleme benzer gereksiz rol atamalarını denetlemek ve kaldırmak için Azure kaynaklarına yönelik erişim gözden geçirmelerini de kullanabilir.
Privileged Identity Management tarafından hangi rol atamalarının korunması gerektiğine karar verme
Kuruluşunuzdaki ayrıcalıklı rol atamalarını temizledikten sonra, PIM ile hangi rolleri koruyacağınıza karar vermeniz gerekir.
Bir rol PIM tarafından korunuyorsa, kendisine atanan hak kazanan kullanıcılar, rol tarafından verilen ayrıcalıkları kullanabilmek için yetki yükseltmesi yapmalıdır. Yükseltme işlemi onay almayı, Azure Çok Faktörlü Kimlik Doğrulamasını kullanmayı ve etkinleştirme nedenini sağlamayı da içerebilir. PIM ayrıca bildirimler ve PIM ile Microsoft Entra denetim olay günlükleri aracılığıyla yükseltmeleri izleyebilir.
PIM ile hangi rollerin korunacağını seçmek zor olabilir ve her kuruluş için farklı olacaktır. Bu bölüm, Microsoft Entra rolleri ve Azure rolleri için en iyi yöntemlerimizi sağlar.
Microsoft Entra rolleri
En çok izinlere sahip Microsoft Entra rollerinin korunmasına öncelik vermek önemlidir. Tüm PIM müşterileri arasındaki kullanım düzenlerine bağlı olarak, PIM tarafından yönetilen ilk 10 Microsoft Entra rolü şunlardır:
Genel Yönetici
Güvenlik Yöneticisi
Kullanıcı Yöneticisi
Exchange Yöneticisi
SharePoint Yöneticisi
Intune Yöneticisi
Güvenlik Okuyucusu
Hizmet Yöneticisi
Faturalama Yöneticisi
Skype Kurumsal Yöneticisi
İpucu
Microsoft, tehlikeye atıldığında en çok zarar verebilecek kullanıcılar olduğundan, ilk adım olarak PIM kullanarak tüm Genel Yöneticilerinizi ve Güvenlik Yöneticilerinizi yönetmenizi önerir.
Kuruluşunuz için en hassas verileri ve izinleri göz önünde bulundurmanız önemlidir. Örneğin, bazı kuruluşlar verilere erişebildiği ve çekirdek iş akışlarını değiştirebildiği için PIM kullanarak Power BI Yöneticisi rollerini veya Teams Yöneticisi rollerini korumak ister.
Konuk kullanıcıların atandığı roller varsa, bu roller saldırılara karşı savunmasızdır.
İpucu
Microsoft, risk altındaki konuk kullanıcı hesaplarıyla ilişkili riski azaltmak için PIM kullanan konuk kullanıcılarla tüm rolleri yönetmenizi önerir.
Dizin Okuyucusu, İleti Merkezi Okuyucusu ve Güvenlik Okuyucusu gibi okuyucu rolleri, yazma izinleri olmadığından bazen diğer rollerden daha az önemli olarak kabul edilir. Ancak, bu hesaplara erişimi olan saldırganlar kişisel veriler de dahil olmak üzere hassas verileri okuyabileceğinden bu rolleri koruyan bazı müşterilerimiz de vardır. Kuruluşunuzdaki okuyucu rollerinin PIM kullanılarak yönetilmesini isteyip istemediğinize karar verirken bu riski dikkate alın.
Azure rolleri
Azure kaynakları için PIM kullanılarak hangi rol atamalarının yönetileceğine karar verirken, önce kuruluşunuz için en önemli abonelikleri/kaynakları tanımlamanız gerekir. Bu tür aboneliklere/kaynaklara örnek olarak şunlar verilebilir:
- En hassas verileri barındıran kaynaklar.
- Müşteriye yönelik temel uygulamaların bağımlı olduğu kaynaklar.
Hangi aboneliklerin ve kaynakların en önemli olduğunu belirleme konusunda sorun yaşayan bir Genel Yöneticiyseniz, her abonelik tarafından yönetilen kaynakların listesini toplamak için kuruluşunuzdaki abonelik sahiplerine başvurmanız gerekir. Ardından, abonelik sahipleriyle birlikte çalışarak kaynakları risk altındaki önem düzeyine (düşük, orta, yüksek) göre gruplandırın. Bu önem düzeyine göre PIM ile kaynakları yönetmeye öncelik verin.
İpucu
Microsoft, hassas abonelikler/kaynaklar içindeki tüm roller için PIM iş akışını ayarlamak üzere kritik hizmetlerin abonelik/kaynak sahipleriyle çalışmanızı önerir.
Azure kaynakları için PIM zamana bağlı hizmet hesaplarını destekler. Hizmet hesaplarına normal bir kullanıcı hesabıyla tam olarak aynı şekilde davranmanız gerekir.
Kritik olmayan abonelikler/kaynaklar için tüm roller için PIM'i ayarlamanız gerekmez. Ancak, PIM ile Sahip ve Kullanıcı Erişimi Yöneticisi rollerini korumaya devam etmelisiniz.
İpucu
Microsoft, PIM kullanarak tüm aboneliklerin/kaynakların Sahip rollerini ve Kullanıcı Erişim Yöneticisi rollerini yönetmenizi önerir.
Rol atamak için grup kullanıp kullanmayacağınız konusunda karar verme
Tek tek kullanıcılar yerine bir gruba rol atanıp atanmayacağı stratejik bir karardır. Planlama yaparken, aşağıdaki durumlarda rol atamalarını yönetmek için bir gruba rol atamayı göz önünde bulundurun:
- Birçok kullanıcı bir role atanır.
- Rolü atama yetkisini devretmek istiyorsunuz.
Birçok kullanıcı bir role atanır
Bir role atanan kişileri el ile takip etme ve atamalarını ihtiyaç duydukları zamana göre yönetme zaman alabilir. Bir role grup atamak için önce rol atanabilir bir grup oluşturun ve ardından grubu rol için uygun olarak atayın. Bu eylem, gruptaki herkesi, role yükselmeye uygun bireysel kullanıcılarla aynı etkinleştirme sürecine tabi tutar. Grup üyeleri, PIM etkinleştirme isteği ve onay işlemini kullanarak gruba atamalarını tek tek etkinleştirir. Grup harekete geçirilmiyor—yalnızca kullanıcının grup üyeliği etkinleştiriliyor.
Rol atama görevini devretmek istiyorsunuz
Grup sahibi bir grubun üyeliğini yönetebilir. Microsoft Entra Id rol atanabilir grupları için, grup üyeliğini yalnızca Ayrıcalıklı Rol Yöneticisi, Genel Yönetici ve grup sahipleri yönetebilir. Yönetici gruba yeni üyeler eklediğinde, atamanın uygun veya etkin olmasına bakılmaksızın, üye grubun atandığı rollere erişim elde eder. Grup sahiplerini kullanarak, atanmış bir rol için grup üyeliği yönetimini devretmek ve gerekli yetki kapsamını azaltmak mümkün.
İpucu
Microsoft, Microsoft Entra ID rol atanabilir gruplarını PIM tarafından yönetim altına almanızı önerir. Rol atanabilir bir grup PIM tarafından yönetime getirildikten sonra, buna ayrıcalıklı erişim grubu adı verilir. Grup üyeliklerini yönetebilmeleri için önce grup sahiplerinin Sahip rolü atamalarını etkinleştirmesini istemek için PIM'i kullanın.
Hangi rol atamalarının kalıcı veya uygun olması gerektiğine karar verme
PIM tarafından yönetilecek rollerin listesine karar verdikten sonra, hangi kullanıcıların kalıcı etkin rol yerine uygun rolü alması gerektiğine karar vermeniz gerekir. Kalıcı olarak etkin roller, Microsoft Entra Id ve Azure kaynakları aracılığıyla atanan normal rollerdir ve uygun roller yalnızca PIM'de atanabilir.
Microsoft, önerilen iki acil durum erişim hesabı hariç, hem Microsoft Entra rolleri hem de Azure rolleri için kalıcı olarak etkin hiçbir rol atamanız olmamasını tavsiye eder. Bu acil durum hesapları kalıcı Global Yönetici rolüne sahip olmalıdır.
Sıfır yönetici önersek de, kuruluşların bunu hemen başarmak bazen zordur. Bu kararı verirken göz önünde bulundurmanız gerekenler şunlardır:
Yükseltme sıklığı – Kullanıcının ayrıcalıklı atamaya yalnızca bir kez ihtiyacı varsa, kalıcı atamaya sahip olmamalıdır. Öte yandan, kullanıcının günlük işi için role ihtiyacı varsa ve PIM kullanmak üretkenliğini büyük ölçüde azaltırsa, kalıcı rol olarak değerlendirilebilir.
Kuruluşunuza özgü durumlar – Uygun rolün verildiği kişi uzak bir ekipten veya yüksek konumlu bir yönetici ise ve bu durum yükseltme sürecinin iletilmesini ve uygulanmasını zorlaştırıyorsa, kalıcı rol için değerlendirilebilir.
İpucu
Microsoft, kalıcı rol atamaları olan kullanıcılar için yinelenen erişim gözden geçirmeleri ayarlamanızı önerir.
Privileged Identity Management ayarlarınızı taslak olarak hazırlama
PIM çözümünüzü uygulamadan önce, kuruluşunuzun kullandığı her ayrıcalıklı rol için PIM ayarlarınızı taslak olarak hazırlamak iyi bir uygulamadır. Bu bölümde, belirli roller için bazı PIM ayarları örnekleri verilmiştir; bunlar yalnızca bilgi amaçlıdır ve kuruluşunuzda farklılık gösterebilir. Bu ayarların her biri, tablolardan sonra Microsoft'un önerileriyle ayrıntılı olarak açıklanmıştır.
Microsoft Entra rolleri için Ayrıcalıklı Kimlik Yönetimi ayarları
| Ayarlar | Genel Yönetici | Exchange Yöneticisi | Yardım Masası Yöneticisi |
|---|---|---|---|
| Çok faktörlü kimlik doğrulama gerektirir ve iki aşamalı doğrulama | Evet | Evet | Hayı |
| Bildirim | Evet | Evet | Hayı |
| Olay bileti | Evet | Hayı | Evet |
| Onay iste | Evet | Hayı | Hayı |
| Onaylayan | Diğer Genel Yöneticiler | Hiç kimse | Hiç kimse |
| Etkinleştirme Süresi | 1 saat | 2 saat | 8 saat |
| Kalıcı yönetici | Acil durum erişim hesapları | Hiç kimse | Hiç kimse |
Azure rolleri için Ayrıcalıklı Kimlik Yönetimi ayarları
| Ayarlar | Kritik aboneliklerin sahibi | Daha az kritik aboneliklerin Kullanıcı Erişimi Yöneticisi | Sanal Makine Katkı Sağlayıcı |
|---|---|---|---|
| Çok faktörlü kimlik doğrulama gerektirir ve iki aşamalı doğrulama | Evet | Evet | Hayı |
| Bildirim | Evet | Evet | Evet |
| Onay iste | Evet | Hayı | Hayı |
| Onaylayan | Aboneliğin diğer sahipleri | Hiç kimse | Hiç kimse |
| Etkinleştirme Süresi | 1 saat | 1 saat | 3 saat |
| Etkin yönetici | Hiç kimse | Hiç kimse | Hiç kimse |
| Etkin süre sonu | Yok | Yok | Yok |
Aşağıdaki tabloda ayarların her biri açıklanmaktadır.
| Ayarlar | Açıklama |
|---|---|
| Rol | Ayarlarını tanımladığınız rolün adı. |
| Çok faktörlü kimlik doğrulama gerektirir ve iki aşamalı doğrulama | Uygun kullanıcının MFA gerçekleştirmesi gerekip gerekmediği; rolü etkinleştirmeden önce iki aşamalı doğrulama. |
| Microsoft , MFA'yı zorunlu kılmanızı önerir; özellikle de rollerin konuk kullanıcıları varsa, tüm yönetici rolleri için iki aşamalı doğrulama. | |
| Bildirim | True olarak ayarlanırsa, uygun bir kullanıcı rolü etkinleştirdiğinde kuruluştaki Genel Yönetici, Ayrıcalıklı Rol Yöneticisi ve Güvenlik Yöneticisi bir e-posta bildirimi alır. |
| Bazı kuruluşların yönetici hesaplarına bağlı bir e-posta adresi yoktur. Bu e-posta bildirimlerini almak için, yöneticilerin bu e-postaları alması için alternatif bir e-posta adresi ayarlayın. | |
| Olay bileti | Uygun kullanıcının rolünü etkinleştirirken bir olay bileti numarası kaydetmesi gerekip gerekmediği. Bu ayar, kuruluşun istenmeyen etkinleştirmeleri azaltmak için her etkinleştirmeyi bir iç olay numarasıyla tanımlamasına yardımcı olur. |
| Microsoft, PIM'i iç sisteminize bağlamak için olay bileti numaralarından yararlanmanızı önerir. Bu yöntem, etkinleştirme bağlamına ihtiyaç duyan onaylayanlar için yararlı olabilir. | |
| Onay iste | Uygun kullanıcının rolü etkinleştirmek için onay alması gerekip gerekmediği. |
| Microsoft, en çok izne sahip roller için onay ayarlamanızı önerir. Tüm PIM müşterilerinin kullanım düzenlerine bağlı olarak, Genel Yönetici, Kullanıcı Yöneticisi, Exchange Yöneticisi, Güvenlik Yöneticisi ve Parola Yöneticisi, onay gerektiren en yaygın rollerdir. | |
| Onaylayan | Uygun rolü etkinleştirmek için onay gerekiyorsa, isteği onaylaması gereken kişileri listeleyin. Varsayılan olarak PIM, onaylayanı, kalıcı veya uygun olmaları fark etmeksizin ayrıcalıklı rol yöneticisi olan tüm kullanıcılar olacak şekilde ayarlar. |
| Bir kullanıcı hem Microsoft Entra rolüne uygunsa hem de bu rolü onaylama yetkisine sahipse, kendisini onaylayamaz. | |
| Microsoft, onaylayanları Genel Yönetici yerine rol ve sık kullanılan kullanıcıları hakkında en fazla bilgi sahibi olan kullanıcılar olarak seçmenizi önerir. | |
| Etkinleştirme süresi | Kullanıcının süresi dolmadan önce rolde etkinleştirileceği süre. |
| Kalıcı yönetici | Rol için kalıcı yönetici olacak kullanıcıların listesi (hiçbir zaman etkinleştirmek zorunda kalmaz). |
| Microsoft, Genel Yöneticiler dışındaki tüm roller için sıfır sürekli yöneticiye sahip olduğunuzu önerir. | |
| Etkin yönetici | Azure kaynakları için aktif yönetici, rolü kullanmak için asla etkinleştirilmesi gerekmeyecek kullanıcıların listesidir. Bu liste, Microsoft Entra rollerindeki gibi kalıcı yönetici olarak anılmaz, çünkü kullanıcının bu rolü ne zaman kaybedeceğine ilişkin bir süre sonu ayarlayabilirsiniz. |
| Etkin süre sonu | Azure rolleri için etkin rol atamalarının süresi, yapılandırılan sürenin sonunda sona erer. 15 gün, 1 ay, 3 ay, 6 ay, 1 yıl veya kalıcı olarak etkin arasından seçim yapabilirsiniz. |
| Uygun süre sonu | Azure rolleri için uygun rol atamalarının süresi bu süre sonunda dolar. 15 gün, 1 ay, 3 ay, 6 ay, 1 yıl veya kalıcı olarak uygun seçenekleri belirleyebilirsiniz. |