Microsoft Entra ID’de Kısıtlı Yönetim Birimi

Microsoft Entra ID’de Kısıtlı Yönetim Birimi

 

Microsoft Entra ID, bulut tabanlı kimlik yönetimi ve erişim yönetimi hizmeti olup, Microsoft 365, Azure portalı gibi birçok SaaS uygulamaya ve firma içerisindeki uygulamalara erişimde ve kimlik doğrulamasında güvenli platform sunar. Microsoft Entra ID ile MFA, SSO, Koşullu erişim, Privileged Access Management gibi özellikleri kullanarak uygulamalara erişim kontrol edilir ve denetlenir.

Microsoft Entra ID yönetimi içerisinde Microsoft Entra kaynaklarının içerisinde belirli kullanıcılar, gruplar ve cihazları tanımlanan kullanıcılar tarafından yönetilmesine olanak sağlar. Örneğin bu özellikle global bir firmanın belirli lokasyonundaki kullanıcıların, grupların ve cihazların yardım masası operasyonlarını lokasyonda yer alan bilgi teknolojileri ekipleri tarafından yönetilmesi sağlanabilir. Sunduğu roller ayrımı ilkesi sayesinde güvenlik ve veri gizliliği de sağlanır. Belirli roller belirli kaynaklarda sınırlandırılır. Bu da firmaların kimlik ve erişim yönetimi ihtiyaçlarını daha etkili şekilde yönetmelerine olanak sağlar.

Microsoft Entra ID’deki yönetim birimleri içerisinde hali hazırda önizleme aşamasında olan kısıtlı yönetim birimi özelliği gelmiştir. Bu özellik ile belirli kullanıcıların, grupların ya da cihazların belirli yöneticiler yönetilmesine, bu yöneticiler dışında ilgili Microsoft Entra ID nesnelerinin özelliklerinin değiştirememesini sağlar. Bu özellik ile tenant düzeyinde rol atamalar yapmadan güvenlik ve uyumluluk noktasında firmaların gereksinimlerini karşılar. Bu özellik ile firmadaki belirli yöneticilere ait kullanıcı bilgilerinin, cihazlarının belirli kullanıcılar tarafından yardım masası seviyesinde yönetilmesi sağlanabilir. Böylelikle diğer kullanıcılar bu nesneler üzerinde değişiklik yapamayacaktır. Bu özellik bir nevi Microsoft Entra ID yönetim birimi içerisinde kaynaklara kısıtlı erişimler sunar. Global admin rolündeki kullanıcılar yönetim birimindeki herhangi role atanmadıkları sürece erişim kısıtı verilen nesneler üzerinde değişiklikler yapamazlar. Sadece kısıtlı yönetim biriminde atanan yöneticiler, kısıtlı yönetim birimindeki nesnelerin Microsoft Entra özelliklerini değiştirebilir. Aynı zamanda kısıtlı yönetim ayarları yönetim birimi oluştururken uygulanır ve yönetim birimi oluşturulduktan sonra değiştirilemez. Bu noktada Microsoft Entra ID içerisindeki nesnelere kısıtlı yönetim birimi uygulanmadan önce iyi planlama yapılması gerekir. Kısıtlı yönetim birimi uygulanmadan önce detayları ve sınırlandırmaları ilgili linkten incelenmelidir. Kısıtlı yönetim birimleri için Microsoft Entra ID P1 lisansı ve yönetim birimi için Microsoft Entra ID ücretsiz lisansları gerekir.

Kısıtlı yönetim özelliği, yönetim birimi oluştururken uygulanır. Bunun için Microsoft Entra yönetim merkezinden “Roller ve yöneticiler” başlığındaki “Yönetici birimleri”ne yeni yönetici birimi eklenmelidir. “Ekle” seçeneği ile ilerlenir.

 

 

“Özellikler” bölümünde yönetim birimine isim ve açıklama bilgisi girilir. Kısıtlı yönetim için “Kısıtlı yönetim birimi” “Evet” olarak seçilir. Burada seçilen ayar daha sonradan değiştirilemez.

 

 

“Rolleri ata” bölümünde gereksinimlere göre kullanıcılara ilgili yönetim biriminde yetki atamaları yapılır. Yönetim roller bu arayüzde görüntülenir ve yetki verilecek kullanıcılar ilgili rollere atanmalıdır. İlgili role tıklanır ve kullanıcıların ataması yapılır. Kısaca ilgili yönetim birimindeki yetki verilecek kullanıcılara gerekli olan rol atamaları yapılır.

 

 

“Gözden geçir + oluştur” başlığı altında yapılan ayarlar görüntülenir. “Oluştur” seçeneği ile ilgili kısıtlı yönetim birimi gereksinimlere göre oluşturulur.

 

 

“Yönetici birimleri” arayüzünde oluşturulan kısıtlı yönetim birimi görüntülenir. Yönetim birimi uygulanacak Microsoft Entra ID nesnelerinin ataması için ilgili yönetim birimine tıklanır.

 

 

İlgili yönetim birimi kullanıcılara, gruplara ve cihazlara uygulanabilir. Böylelikle rol ataması yapılan yetkili kullanıcılar burada eklenen değişiklikler yapar.

 

 

Eklenen kısıtlı yönetim birimindeki nesnelerde diğer yönetici rolündeki kullanıcılar herhangi değişiklik yapamaz. Kısıtlı yönetim biriminde seçilen nesnelere tıkladıklarında diğer yöneticiler aşağıdaki gibi uyarı görüntüler.

 

 

Diğer yöneticiler kısıtlı yönetim birimindeki nesneye tıkladığında yukarıdaki menülerin pasif durumda görüntüler. Yetkileri olmadığı için ilgili nesnelerde işlem yapamazlar. Aynı zamanda kısıtlı erişim biriminde yer alan nesneler ile ilgili PowerShell komutlarında işlem yapmak istediklerinde yetkilerle ilgili hatalarla karşılaşırlar.

 

 

CEVAP VER

Yorumunuzu girin !
İsminizi girin