Yetkilendirme yönetimi nedir?
Yetkilendirme yönetimi, kuruluşların erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu otomatikleştirerek kimlik ve erişim yaşam döngüsünü büyük ölçekte yönetmesine olanak tanıyan bir kimlik idaresi özelliğidir.
Kuruluşlardaki kişilerin işlerini gerçekleştirmek için çeşitli gruplara, uygulamalara ve SharePoint Online sitelerine erişmesi gerekir. Gereksinimler değiştikçe bu erişimi yönetmek zordur. Yeni uygulamalar eklenir veya kullanıcıların daha fazla erişim hakkı gerekir. Bu senaryo, dış kuruluşlarla işbirliği yaptığınızda daha karmaşık hale gelir. Diğer kuruluşta kimlerin kuruluşunuzun kaynaklarına erişmesi gerektiğini ve kuruluşunuzun hangi uygulamaları, grupları veya siteleri kullandığını bilmiyor olabilirsiniz.
Yetkilendirme yönetimi, hem iç kullanıcılar hem de kuruluşunuzun dışındaki bu kaynaklara erişmesi gereken kullanıcılar için gruplara, uygulamalara ve SharePoint Online sitelerine erişimi daha verimli bir şekilde yönetmenize yardımcı olabilir.
Yetkilendirme yönetimini neden kullanmalısınız?
Kurumsal kuruluşlar genellikle aşağıdakiler gibi kaynaklara iş gücü erişimini yönetirken zorluklarla karşılaşır:
- Kullanıcılar hangi erişime sahip olmaları gerektiğini bilmiyor olabilir ve olsalar bile, erişimlerini onaylamak için doğru bireyleri bulmakta zorlanabilirler
- Kullanıcılar bir kaynağı bulup erişim aldıktan sonra, iş amaçları için gerekenden daha uzun süre erişim elde edebilir
Bu sorunlar, tedarik zinciri kuruluşlarından veya diğer iş ortaklarından gelen dış kullanıcılar gibi başka bir kuruluştan erişmesi gereken kullanıcılar için birleştirilmiştir. Örneğin:
- Başka bir kuruluşun dizinlerindeki belirli kişilerin tümünü davet edebilmek için hiç kimse tanıyamaz
- Bu kullanıcıları davet edebilseler bile, bu kuruluştaki hiç kimse tüm kullanıcıların erişimini tutarlı bir şekilde yönetmeyi hatırlamayabilir
Yetkilendirme yönetimi bu zorlukların giderilmesine yardımcı olabilir. Müşterilerin yetkilendirme yönetimini nasıl kullandığı hakkında daha fazla bilgi edinmek için Microsoft örnek olay incelemelerinde Medicaid, Storebrand, Nippon Express Co., Ltd ve Dijital Güvenlik ve Dayanıklılık ekibinin Mississippi Bölümü'nü okuyabilirsiniz. Bu video, yetkilendirme yönetimine ve değerine genel bir bakış sağlar:
Yetkilendirme yönetimiyle ne yapabilirim?
Yetkilendirme yönetiminin bazı özellikleri şunlardır:
- Çok aşamalı onay ile uygulamalara, gruplara, Teams'e ve SharePoint sitelerine kimlerin erişebileceğini denetleyin ve zaman sınırlı atamalar ve yinelenen erişim gözden geçirmeleri aracılığıyla kullanıcıların erişimi süresiz olarak korumadığından emin olun.
- Kullanıcıların departman veya maliyet merkezi gibi özelliklerine göre bu kaynaklara otomatik olarak erişmesini sağlayın ve bu özellikler değiştiğinde kullanıcının erişimini kaldırın.
- Yönetici olmayanlara erişim paketleri oluşturma yetkisi verin. Bu erişim paketleri kullanıcıların isteyebileceği kaynakları içerir ve temsilci erişim paketi yöneticileri kullanıcıların istekte bulunabileceği, erişimini onaylaması gereken ve erişimin süresi dolduğunda kuralları olan ilkeler tanımlayabilir.
- Kullanıcıları erişim isteyebilecek bağlı kuruluşları seçin. Henüz dizininizde olmayan bir kullanıcı erişim istediğinde ve onaylandığında, otomatik olarak dizininize davet edilir ve erişim atanır. Erişimleri sona erdiğinde, başka erişim paketi atamaları yoksa dizininizdeki B2B hesapları otomatik olarak kaldırılabilir.
Not
Yetkilendirme yönetimini denemeye hazırsanız ilk erişim paketinizi oluşturmak için öğreticimizi kullanmaya başlayabilirsiniz.
Ayrıca yaygın senaryoları okuyabilir veya video izleyebilirsiniz.
- Kuruluşunuzda yetkilendirme yönetimi dağıtma
- Yetkilendirme yönetimi kullanımınızı izleme ve ölçeklendirme
- Yetkilendirme yönetiminde temsilci atama
Erişim paketleri nedir ve bunlarla hangi kaynakları yönetebilirim?
Yetkilendirme yönetimi, erişim paketi kavramını tanıtır. Erişim paketi, kullanıcının bir proje üzerinde çalışması veya görevini gerçekleştirmesi için gereken erişime sahip tüm kaynakların bir paketidir. Erişim paketleri, çalışanlarınızın ve kuruluşunuzun dışından gelen kullanıcıların erişimini yönetmek için kullanılabilir.
Yetkilendirme yönetimi ile kullanıcının erişimini yönetebileceğiniz kaynak türleri şunlardır:
- Microsoft Entra güvenlik gruplarının üyeliği
- Microsoft 365 Grupları ve Teams üyeliği
- SaaS uygulamaları ve federasyon/çoklu oturum açma ve/veya sağlamayı destekleyen özel tümleşik uygulamalar da dahil olmak üzere Microsoft Entra kurumsal uygulamalarına atama
- SharePoint Online sitelerinin üyeliği
Ayrıca, Microsoft Entra güvenlik gruplarını veya Microsoft 365 Grupları kullanan diğer kaynaklara erişimi de denetleyebilirsiniz. Örneğin:
- Erişim paketinde Bir Microsoft Entra güvenlik grubu kullanarak ve bu grup için grup tabanlı lisansları yapılandırarak kullanıcılara Microsoft 365 lisansları verebilirsiniz.
- Erişim paketinde bir Microsoft Entra güvenlik grubu kullanarak ve bu grup için bir Azure rol ataması oluşturarak kullanıcılara Azure kaynaklarını yönetme erişimi verebilirsiniz.
- Bir erişim paketinde Microsoft Entra rollerine atanabilir grupları kullanarak ve bu gruba bir Microsoft Entra rolü atayarak kullanıcılara Microsoft Entra rollerini yönetme erişimi verebilirsiniz.
Kimlerin erişebileceklerini Nasıl yaparım? denetleyebilirsiniz?
Erişim paketiyle, yönetici veya temsilci erişim paketi yöneticisi kaynakları (gruplar, uygulamalar ve siteler) ve kullanıcıların bu kaynaklar için ihtiyaç duyduğu rolleri listeler.
Erişim paketleri ayrıca bir veya daha fazla ilke içerir. İlke, erişim paketine atanacak kuralları veya korumaları tanımlar. Her ilke, yalnızca uygun kullanıcıların erişim atamalarına sahip olduğundan ve erişimin sınırlı olduğundan ve yenilenmediği takdirde süresinin dolduğundan emin olmak için kullanılabilir.
Kullanıcıların erişim istemesi için ilkeleriniz olabilir. Bu tür ilkelerde, bir yönetici veya erişim paketi yöneticisi
- Zaten var olan kullanıcılar (genellikle çalışanlar veya zaten davet edilen konuklar) veya erişim istemeye uygun dış kullanıcıların iş ortağı kuruluşları
- Onay işlemi ve erişimi onaylayan veya reddedebilen kullanıcılar
- Kullanıcının erişim atamasının, onaylandıktan sonra, atamanın süresi dolmadan önceki süresi
Ayrıca, kullanıcılara yönetici tarafından, kurallara göre veya yaşam döngüsü iş akışları aracılığıyla otomatik olarak erişim atanacak ilkeler de sağlayabilirsiniz.
Aşağıdaki diyagramda yetkilendirme yönetimindeki farklı öğelerin bir örneği gösterilmektedir. İki örnek erişim paketi içeren bir katalog gösterir.
- Access paketi 1 , kaynak olarak tek bir grup içerir. Access, dizindeki bir kullanıcı kümesinin erişim istemesine olanak tanıyan bir ilkeyle tanımlanır.
- Access paketi 2'de kaynak olarak bir grup, uygulama ve SharePoint Online sitesi bulunur. Erişim iki farklı ilkeyle tanımlanır. İlk ilke, dizindeki bir kullanıcı kümesinin erişim istemesini sağlar. İkinci ilke, dış dizindeki kullanıcıların erişim istemesine olanak tanır.
Erişim paketlerini ne zaman kullanmalıyım?
Erişim paketleri, erişim ataması için diğer mekanizmaları değiştirmez. Bunlar aşağıdaki gibi durumlarda en uygun olanlardır:
- Erişim ilkesi tanımlarını üçüncü taraf kurumsal rol yönetiminden Microsoft Entra Id'ye geçirme.
- Kullanıcıların belirli bir görev için zaman sınırlı erişime sahip olması gerekir. Örneğin, tüm çalışanların Exchange Online posta kutusuna sahip olduğundan emin olmak için grup tabanlı lisanslama ve dinamik grup kullanabilir ve ardından çalışanların daha fazla erişim haklarına ihtiyaç duyduğu durumlarda erişim paketlerini kullanabilirsiniz. Örneğin, başka bir departmandan departman kaynaklarını okuma hakları.
- Bir kişinin yöneticisinin veya belirlenen diğer kişilerin onayını gerektiren erişim.
- Bu iş rolünde bulundukları süre boyunca kuruluşun belirli bir bölümündeki kişilere otomatik olarak atanması gereken erişim, aynı zamanda kuruluşun başka bir yerindeki veya bir iş ortağı kuruluştaki kişilerin de istemesi için kullanılabilir.
- Departmanlar, BT müdahalesi olmadan kaynakları için kendi erişim ilkelerini yönetmek ister.
- İki veya daha fazla kuruluş bir proje üzerinde işbirliği içindedir ve sonuç olarak, başka bir kuruluşun kaynaklarına erişmek için bir kuruluştaki birden çok kullanıcının Microsoft Entra B2B aracılığıyla getirilmesi gerekir.
Temsilci erişimi Nasıl yaparım??
Erişim paketleri katalog adı verilen kapsayıcılarda tanımlanır. Tüm erişim paketleriniz için tek bir kataloğa sahip olabilir veya kendi kataloglarını oluşturup sahip olacak kişiler belirleyebilirsiniz. Yönetici herhangi bir kataloğa kaynak ekleyebilir, ancak yönetici olmayan bir kişi kataloğa yalnızca sahip olduğu kaynakları ekleyebilir. Katalog sahibi, diğer kullanıcıları katalog ortak sahipleri veya erişim paketi yöneticileri olarak ekleyebilir. Bu senaryolar, yetkilendirme yönetimindeki makale temsilcisi ve rolleri bölümünde daha ayrıntılı olarak açıklanmıştır.
Terminolojinin özeti
Yetkilendirme yönetimini ve belgelerini daha iyi anlamak için aşağıdaki terim listesine geri dönebilirsiniz.
Süre | Açıklama |
---|---|
erişim paketi | Bir ekibin veya projenin ihtiyaç duyduğu ve ilkelerle idare edilen bir kaynak paketi. Erişim paketi her zaman bir katalogda yer alır. Kullanıcıların erişim istemesi gereken bir senaryo için yeni bir erişim paketi oluşturursunuz. |
erişim isteği | Erişim paketindeki kaynaklara erişme isteği. İstek genellikle bir onay iş akışından geçer. Onaylanırsa, istekte bulunan kullanıcı bir erişim paketi ataması alır. |
Atama | Bir erişim paketinin kullanıcıya atanması, kullanıcının bu erişim paketinin tüm kaynak rollerine sahip olmasını sağlar. Erişim paketi atamalarının süresi dolmadan önce genellikle bir zaman sınırı vardır. |
katalog | İlgili kaynakların ve erişim paketlerinin kapsayıcısı. Kataloglar, yönetici olmayanların kendi erişim paketlerini oluşturabilmesi için temsilci seçme için kullanılır. Katalog sahipleri, sahip oldukları kaynakları kataloğa ekleyebilir. |
katalog oluşturucu | Yeni katalog oluşturma yetkisi olan kullanıcılar koleksiyonu. Katalog oluşturucusu olma yetkisi olan yönetici olmayan bir kullanıcı yeni bir katalog oluşturduğunda, otomatik olarak bu kataloğun sahibi olur. |
bağlı kuruluş | İlişkiniz olan bir dış Microsoft Entra dizini veya etki alanı. Bağlı bir kuruluştaki kullanıcılar, bir ilkede erişim istemesine izin verildi olarak belirtilebilir. |
ilke | Kullanıcıların nasıl erişim elde ettiğini, kimlerin onaylayabileceğinizi ve kullanıcıların bir atama aracılığıyla ne kadar süreyle erişime sahip olduğu gibi erişim yaşam döngüsünü tanımlayan bir dizi kural. İlke bir erişim paketine bağlıdır. Örneğin, bir erişim paketi iki ilkeye sahip olabilir: biri çalışanların erişim istemesi için, diğeri de dış kullanıcıların erişim istemesi için. |
kaynak | Office grubu, güvenlik grubu, uygulama veya SharePoint Online sitesi gibi kullanıcıya izin verilebilen bir role sahip bir varlık. |
kaynak dizini | Paylaşacak bir veya daha fazla kaynağı olan bir dizin. |
kaynak rolü | Bir kaynakla ilişkilendirilmiş ve kaynak tarafından tanımlanan izin koleksiyonu. Bir grubun iki rolü vardır: üye ve sahip. SharePoint sitelerinin genellikle üç rolü vardır ancak başka özel rolleri de olabilir. Uygulamaların özel rolleri olabilir. |
Lisans gereksinimleri
Bu özellik, kuruluşunuzun kullanıcıları için Microsoft Entra Kimlik Yönetimi veya Microsoft Entra Suite abonelikleri gerektirir. Bu özellik içindeki bazı özellikler microsoft Entra ID P2 aboneliğiyle çalışabilir. Daha fazla bilgi için, daha fazla ayrıntı için her özelliğin makalelerine bakın. Gereksinimleriniz için doğru lisansı bulmak için bkz. lisanslamayla ilgili temel bilgileri Microsoft Entra Kimlik Yönetimi.
Sonraki adımlar
- Kaynaklara erişimi yönetmek için Microsoft Entra yönetim merkezini kullanmak istiyorsanız bkz . Öğretici: Kaynaklara erişimi yönetme - Microsoft Entra.
- Kaynaklara erişimi yönetmek için Microsoft Graph'ı kullanmak istiyorsanız bkz . Öğretici: kaynaklara erişimi yönetme - Microsoft Graph
- Genel senaryolar