Ortamınızdaki uygulamalara erişimi idare etmek için kuruluş ilkeleri tanımlama
Erişimi yönetmek için Microsoft Entra Id kullanmak istediğiniz bir veya daha fazla uygulama belirledikten sonra, hangi kullanıcıların erişimi olması gerektiğini belirlemek için kuruluşun ilkelerini ve sistemin sağlaması gereken diğer kısıtlamaları not edin.
Kapsam içindeki uygulamaları ve rollerini seçme
Uyumluluk gereksinimleri veya risk yönetimi planları olan kuruluşların hassas veya iş açısından kritik uygulamaları vardır. Bu uygulama ortamınızda mevcut bir uygulamaysa, bu uygulamaya 'erişimi olması gereken' kişilere yönelik erişim ilkelerini zaten belgelemiş olabilirsiniz. Aksi takdirde, erişim kararlarını otomatikleştirmek için kullanılan ilkelerin senaryonuza uygun olduğundan emin olmak için uyumluluk ve risk yönetimi ekipleri gibi çeşitli paydaşlara danışmanız gerekebilir.
Her uygulamanın sağladığı rolleri ve izinleri toplayın. Bazı uygulamaların yalnızca tek bir rolü olabilir, örneğin yalnızca "Kullanıcı" rolüne sahip bir uygulama. Daha karmaşık uygulamalar, Microsoft Entra Id aracılığıyla yönetilecek birden çok rolü ortaya çıkarabilir. Bu uygulama rolleri genellikle bu role sahip bir kullanıcının uygulama içinde sahip olacağı erişim üzerinde geniş kısıtlamalar getirir. Örneğin, yönetici kişisi olan bir uygulamanın "Kullanıcı" ve "Yönetici" olmak üzere iki rolü olabilir. Diğer uygulamalar ayrıca, federasyon SSO protokolleri kullanılarak verilen veya güvenlik grubu üyeliği olarak AD'ye yazılan sağlama veya taleplerde Microsoft Entra Id'den uygulamaya sağlanabilen daha ayrıntılı rol denetimleri için grup üyeliklerine veya taleplerine de güvenebilir. Son olarak, Microsoft Entra Id'de ortaya çıkarmayan uygulamaya özgü roller olabilir. Belki de uygulama, yöneticileri tanımlamak için kendi yetkilendirme kurallarına bağlı olarak Microsoft Entra Id'de yöneticilerin tanımlanmasına izin vermez. SAP Cloud Identity Services yalnızca tek bir role sahiptir: Kullanıcı, atama için kullanılabilir.
Not
Microsoft Entra uygulama galerisinden sağlamayı destekleyen bir uygulama kullanıyorsanız, Microsoft Entra Id uygulamadaki tanımlı rolleri içeri aktarabilir ve sağlama yapılandırıldıktan sonra uygulama bildirimini uygulamanın rolleriyle otomatik olarak güncelleştirebilir.
Microsoft Entra Id'de hangi rollerin ve grupların yönetilecek üyeliği olduğunu seçin. Uyumluluk ve risk yönetimi gereksinimlerine bağlı olarak kuruluşlar genellikle bu uygulama rollerine veya hassas bilgilere ayrıcalıklı erişim veya erişim sağlayan gruplara öncelik verir.
Uygulamaya erişim için önkoşullar ve diğer kısıtlamalarla kuruluşun ilkesini tanımlama
Bu bölümde, uygulamaya erişimi belirlemek için kullanmayı planladığınız kuruluş ilkelerini yazacaksınız. Bunu bir elektronik tabloya tablo olarak kaydedebilirsiniz, örneğin
Uygulama Rolü | Erişim önkoşulu | Onaylayanlar | Varsayılan erişim süresi | Görev ayrımı kısıtlamaları | Koşullu Erişim ilkeleri |
---|---|---|---|---|---|
Batı Satışları | Satış ekibinin üyesi | kullanıcının yöneticisi | Yıllık inceleme | Doğu Satış erişimi olamaz | Erişim için çok faktörlü kimlik doğrulaması (MFA) ve kayıtlı cihaz gerekiyor |
Batı Satışları | Satış dışındaki tüm çalışanlar | Satış departmanı başkanı | 90 gün | Yok | Erişim için gereken MFA ve kayıtlı cihaz |
Batı Satışları | Çalışan olmayan satış temsilcisi | Satış departmanı başkanı | 30 gün | Yok | Erişim için MFA gerekiyor |
Doğu Satışları | Satış ekibinin üyesi | kullanıcının yöneticisi | Yıllık inceleme | Batı Satış erişimi olamaz | Erişim için gereken MFA ve kayıtlı cihaz |
Doğu Satışları | Satış dışındaki tüm çalışanlar | Satış departmanı başkanı | 90 gün | Yok | Erişim için gereken MFA ve kayıtlı cihaz |
Doğu Satışları | Çalışan olmayan satış temsilcisi | Satış departmanı başkanı | 30 gün | Yok | Erişim için MFA gerekiyor |
Zaten bir kuruluş rolü tanımınız varsa daha fazla bilgi için kuruluş rolünü geçirme bölümüne bakın.
Bir kullanıcının uygulamaya erişim izni verilmeden önce karşılaması gereken önkoşul gereksinimleri, standartlar olup olmadığını belirleyin. Örneğin, normal koşullarda yalnızca tam zamanlı çalışanların veya belirli bir departman veya maliyet merkezindeki çalışanların belirli bir departmanın uygulamasına erişmesine izin verilmelidir. Ayrıca, bir veya daha fazla ek onaylayana sahip olmak isteyen başka bir departmandaki bir kullanıcı için yetkilendirme yönetimi ilkesine ihtiyacınız olabilir. Birden çok onay aşamasına sahip olmak kullanıcının erişim kazanma sürecini yavaşlatabilir ancak bu ek aşamalar erişim isteklerinin uygun olmasını ve kararların sorumlu olmasını sağlar. Örneğin, bir çalışanın erişim isteklerinde önce istekte bulunan kullanıcının yöneticisi tarafından, ikincisi de uygulamada tutulan verilerden sorumlu kaynak sahiplerinden biri tarafından olmak üzere iki onay aşaması olabilir.
Erişim için onaylanan bir kullanıcının ne kadar süreyle erişime sahip olması gerektiğini ve bu erişimin ne zaman sona ereceğini belirleyin. Birçok uygulama için, kullanıcı artık kuruluşa bağlı olmayana kadar erişimi süresiz olarak koruyabilir. Bazı durumlarda, erişim belirli projelere veya kilometre taşlarına bağlanabilir, böylece proje sona erdiğinde erişim otomatik olarak kaldırılır. Ya da bir ilke aracılığıyla bir uygulamayı yalnızca birkaç kullanıcı kullanıyorsa, düzenli gözetim olması için bu ilke aracılığıyla herkesin erişimini üç aylık veya yıllık gözden geçirmeleri yapılandırabilirsiniz.
Kuruluşunuz zaten bir kuruluş rol modeliyle erişimi yönetiyorsa, bu kuruluş rol modelini Microsoft Entra Kimliği'ne getirmeyi planlayın. Kullanıcının konumu veya departmanı gibi bir özelliğine göre erişim atayan, tanımlanmış bir kuruluş rolünüz olabilir. Bu işlemler, önceden belirlenmiş bir proje bitiş tarihi olmasa bile erişim artık gerekli olmadığında kullanıcıların erişimi kaybetmesini sağlayabilir.
Görev ayrımı kısıtlamaları olup olmadığını sorgula. Örneğin, Batı Satışları ve Doğu Satışları adlı iki uygulama rolüne sahip bir uygulamanız olabilir ve bir kullanıcının aynı anda yalnızca bir satış bölgesine sahip olabileceğine emin olmak isteyebilirsiniz. Bir kullanıcının bir rolü varsa ikinci rolü istemesine izin verilmemesi için uygulamanız için uyumlu olmayan uygulama rolleri çiftlerinin listesini ekleyin.
Uygulamaya erişim için uygun Koşullu Erişim ilkesini seçin. Uygulamalarınızı analiz edip aynı kullanıcılar için aynı kaynak gereksinimlerine sahip uygulamalar halinde gruplandırmanızı öneririz. Bu, kimlik idaresi için Microsoft Entra Kimlik Yönetimi ile tümleştirdiğiniz ilk federasyon SSO uygulamasıysa, Çok faktörlü kimlik doğrulaması (MFA) gereksinimleri veya konum tabanlı erişim gibi kısıtlamaları ifade etmek için yeni bir Koşullu Erişim ilkesi oluşturmanız gerekebilir. Kullanıcıları, kullanım koşullarını kabul etmek zorunda olacak şekilde yapılandırabilirsiniz. Koşullu Erişim ilkesi tanımlama hakkında daha fazla bilgi için bkz . Koşullu Erişim dağıtımı planlama.
Ölçütlerinizdeki özel durumların nasıl işleneceğini belirleyin. Örneğin, bir uygulama genellikle yalnızca belirlenen çalışanlar için kullanılabilir, ancak bir denetçi veya satıcının belirli bir proje için geçici erişime ihtiyacı olabilir. Ya da seyahat eden bir çalışan, kuruluşunuzun bu konumda varlığı olmadığından normalde engellenen bir konumdan erişim gerektirebilir. Bu durumlarda, onay için farklı aşamalara veya farklı bir zaman sınırına ya da farklı bir onaylayana sahip olabilecek bir yetkilendirme yönetimi ilkesine de sahip olabilirsiniz. Microsoft Entra kiracınızda konuk kullanıcı olarak oturum açmış bir satıcının yöneticisi olmayabilir, bu nedenle erişim istekleri kuruluşu için bir sponsor veya bir kaynak sahibi ya da bir güvenlik görevlisi tarafından onaylanabilir.
Erişim sahibi olması gereken kişilere yönelik kuruluş ilkesi paydaşlar tarafından incelendiğinden, uygulamayı Microsoft Entra Id ile tümleştirmeye başlayabilirsiniz. Bu şekilde, daha sonraki bir adımda kuruluş tarafından onaylanan ilkeleri Microsoft Entra Kimlik Yönetimi'de erişim için dağıtmaya hazır olursunuz.