Yeni Azure Active Directory Yönetici Rolleri
BT yöneticilerinin Azure ve Office 365 servislerinde ve uygulamalarında çeşitli sorumlulukları vardır. Haliyle yönetimsel farklılıklar yetki anlamında da farklılıkları getirir. Bu noktada Azure’daki “Yönetim rolleri” kullanılır. Yönetim roller, Azure AD’ye ve diğer Microsoft hizmetlerine erişim için kullanılır. Yerleşik yani varsayılanda gelen roller dışında, yetkili kullanıcılar özel roller tanımlayarak ilgili kullanıcıları atayabilir. İhtiyaçlar ve gelişen teknolojilerle beraber Azure AD yönetici rollerinde de yenilikler söz konusudur. Microsoft, 16 yerleşik Azure AD yöneticini rolünü kullanıcılara public preview olarak sunar. Böylelikle Azure ve diğer Microsoft servislerinin yönetiminde BT çalışanlarına sorumlu oldukları alanlar kadar yetki verilecek bu da gereksiz yetkilendirmeleri azaltacak ve bir nevi güvenlik anlamında da önlem alınmasını sağlayacaktır. Microsoft beşten fazla genel yönetici rolüne sahip olunmamasını önermektedir. Azure AD’de, yönetim görevlerini devrederek ve daha düşük ayrıcalıklı roller atayarak genel yönetici sayısını azalmasına yardımcı olmak için tasarlanan 16 yeni rol kullanıcılara sunulmuştur. Bu noktada genel okuyucu rolü dikkat çeken yeni roller arasındadır. Genel okuyucu, genel yönetici rolünün salt okunur halidir. Tüm ayarları ve yönetim bilgilerinin görüntülenmesini sağlar ancak herhangi değişiklik yapamaz. Genel okuyucu public preview’de neredeyse tüm Microsoft 365 servislerinde desteklenir.
Global yönetici rolünün salt okunur bir sürümü olan Global okuyucu, tüm ayarları ve yönetim bilgilerini görüntülemenizi sağlar. Global okuyucu planlama, denetimler ve soruşturmalar için kullanışlıdır ve Global yönetici ayrıcalıkları olmadan çalışmayı kolaylaştırır. Genel okuyucu genel public preview’de ve neredeyse tüm Microsoft 365 hizmetlerinde desteklenmektedir.
Yeni yönetim rolleri ve yetkileri ile ilgili Azure portalında yer alan açıklamalar aşağıdaki gibidir:
Kimlik Doğrulaması Yöneticisi: Yönetici olmayan tüm kullanıcıların kimlik doğrulaması yöntemi bilgilerini görüntüleme, ayarlama ve sıfırlama erişimine sahiptir.
Azure DevOps Yöneticisi: Bu role sahip olan kullanıcılar, yeni Azure DevOps kuruluşu oluşturmayı yapılandırılabilir bir kullanıcı/AAD grupları kümesiyle kısıtlamak için Azure DevOps ilkesini yönetebilir. Bu roldeki kullanıcılar, bu ilkeyi şirket Azure AD hesabı tarafından desteklenen tüm Azure DevOps kuruluşlarında yönetebilir.
B2C Kullanıcı Akışı Yöneticisi: Bu role sahip kullanıcılar, Azure Portal’da B2C Kullanıcı Akışları (“yerleşik” ilkeler olarak da bilinir) oluşturabilir ve yönetebilir. Bu kullanıcılar kullanıcı akışlarını oluşturarak veya düzenleyerek kullanıcı deneyiminin HTML/CSS/JavaScript içeriğini, kullanıcı akışı başına MFA gereksinimini, belirteçteki talepleri ve kiracıdaki tüm ilkeler için oturum ayarlarını değiştirebilir. Diğer yandan bu rol, kullanıcı verilerini gözden geçirme veya kiracı şemasına eklenen özniteliklerde değişiklik yapma olanağını içermez. Identity Experience Framework (diğer adıyla Özel) ilkeler de bu rolün kapsamı dışındadır.
B2C Kullanıcı Akışı Öznitelik Yöneticisi: Bu role sahip kullanıcılar, kiracıdaki tüm kullanıcı akışlarında kullanılabilen özel öznitelikler ekleyebilir veya silebilir. Bu role sahip kullanıcılar son kullanıcı şemasını değiştirebilir veya yeni öğeler ekleyebilir ve tüm kullanıcı akışları için davranışı etkileyerek dolaylı olarak son kullanıcılardan istenen ve talep olarak uygulamaya gönderilen verilerde değişiklik yapabilir. Bu rol kullanıcı akışlarını düzenleyemez.
B2C IEF Anahtar Kümesi Yöneticisi: Kullanıcılar belirteç şifreleme, belirteç imzaları ve talep şifreleme/şifresini çözme için ilke anahtarları ve gizli diziler oluşturup bunları yönetebilir. Mevcut anahtar kapsayıcılarına yeni anahtarlar ekleyerek, bu sınırlı yönetici mevcut uygulamaları etkilemeden gizli dizileri gerektiği şekilde değiştirebilir. Bu kullanıcı, gizli diziler oluşturulduktan sonra bile tam içeriklerini ve sona erme tarihlerini görebilir. Bu hassas bir roldür. Anahtar kümesi yöneticisi rolü, üretim öncesinde ve üretim sırasında dikkatli bir şekilde denetlenerek atanmalıdır.
B2C IEF İlke Yöneticisi: Bu roldeki kullanıcılar Azure AD B2C’deki tüm özel ilkeleri oluşturma, okuma, güncelleştirme ve silme olanağına sahiptir. Dolayısıyla ilgili Azure AD B2C kiracısında Identity Experience Framework üzerinde tam denetime de sahiptir. Bu kullanıcı, ilkeleri düzenleyerek dış kimlik sağlayıcılarıyla doğrudan federasyon kurabilir, dizin şemasını değiştirebilir, kullanıcıya yönelik tüm içeriği (HTML, CSS, JavaScript) değiştirebilir, kimlik doğrulama işlemini tamamlamak için gereksinimleri değiştirebilir, yeni kullanıcılar oluşturabilir, tam geçişler dahil kullanıcı verilerini dış sistemlere gönderebilir ve parolalar ile telefon numaraları gibi hassas alanlar dahil tüm kullanıcı bilgilerini düzenleyebilir. Bununla birlikte bu rol, şifreleme anahtarlarını değiştiremez veya kiracıda federasyon için kullanılan gizli dizileri düzenleyemez. B2C IEF İlke Yöneticisi yüksek oranda hassasiyet gerektiren bir roldür ve üretim kiracılarında çok kısıtlı bir şekilde atanmalıdır. Bu kullanıcılar tarafından gerçekleştirilen eylemler, özellikle üretimdeki kiracılarda yakından denetlenmelidir.
Uyumluluk Veri Yöneticisi: Bu role sahip olan kullanıcılar, Microsoft 365 uyumluluk merkezi, Microsoft 365 yönetim merkezi ve Azure içinde verileri koruma ve izleme izinlerine sahiptir. Kullanıcılar ayrıca Exchange yönetim merkezi, uyumluluk yöneticisi ile Teams ve Skype Kurumsal yönetim merkezi içindeki tüm özellikleri yönetebilir ve Azure ve Microsoft 365 destek biletlerini oluşturabilir.
Dış Kimlik Sağlayıcısı Yöneticisi: Bu yönetici Azure Active Directory kiracıları ile dış kimlik sağlayıcıları arasında federasyonu yönetir. Bu role sahip kullanıcılar yeni kimlik sağlayıcıları ekleyebilir ve kullanılabilen tüm ayarları (ör. kimlik doğrulaması yolu, hizmet kimliği, atanan anahtar kapsayıcıları) yapılandırabilir. Bu kullanıcı, kiracıyı dış kimlik sağlayıcılardan kimlik doğrulamalarına güvenecek şekilde ayarlayabilir. Son kullanıcı üzerindeki sonuç etkisi kiracı türüne bağlıdır: (1) Çalışanlar ve iş ortakları için Azure Active Directory kiracıları: Bir federasyon eklemek (ör. Gmail ile) henüz kullanılamamış olan tüm kullanıcı davetlerini hemen etkiler. (2) Azure Active Directory B2C kiracıları: Bir federasyon eklemek (ör. Facebook veya başka bir Azure Active Directory ile), kimlik doğrulayıcısı bir kullanıcı akışı içinde seçenek olarak eklenene (yerleşik ilke olarak da bilinir) kadar son kullanıcı akışlarını hemen etkilemez. Kullanıcı akışlarını değiştirmek için, sınırlı “B2C Kullanıcı Akışı Yöneticisi” rolü gereklidir.
Genel Okuyucu: Bu role sahip kullanıcılar bir Genel Yöneticinin okuyabildiği her şeyi okuyabilir ancak güncelleştiremez.
Kaizala Yöneticisi: Bu roldeki kullanıcıların, hizmet mevcut olduğunda Microsoft Kaizala içindeki ayarları yönetmek için genel izinleri ve destek biletlerini yönetme ve hizmet durumunu izleme olanağı vardır. Ayrıca kullanıcı, Kuruluş üyelerinin Kaizala’yı benimsemesi ve kullanmasıyla ilişkili raporlara ve Kaizala eylemlerini kullanarak oluşturulan iş raporlarına erişebilir.
İleti Merkezi Gizlilik Okuyucusu: Bu roldeki kullanıcılar, veri gizlilik iletileri de dahil olmak üzere, İleti Merkezi’ndeki tüm bildirimleri izleyebilir. İleti Merkezi Gizlilik Okuyucuları, veri gizliliği ile ilgili olanlar dahil olmak üzere e-posta bildirimleri alır ve İleti Merkezi Tercihlerini kullanarak abonelikten çıkabilir. Veri gizlilik iletilerini yalnızca Genel Yönetici ve İleti Merkezi Gizlilik Okuyucusu okuyabilir. Ayrıca bu rol grupları, etki alanlarını ve abonelikleri görüntüleme özelliğini içerir. Bu rolün hizmet isteklerini görüntüleme, oluşturma veya yönetme izni yoktur.
Parola Yöneticisi: Bu role sahip olan kullanıcıların parolaları yönetme özelliği sınırlıdır. Bu rol, hizmet isteklerini yönetme veya hizmet sistem durumunu izleme yetkisi vermez. Parola yöneticileri, yönetici olmayan veya yalnızca şu rollerin üyesi olan diğer kullanıcıların parolalarını sıfırlayabilir: Dizin okuyucuları; Konuk davet eden; Parola yöneticisi
Ayrıcalıklı Kimlik Doğrulaması Yöneticisi: Bu role sahip kullanıcılar, genel yöneticiler dahil olmak üzere tüm kullanıcıların mevcut kimlik doğrulaması yöntemi bilgilerini görüntüleyebilir, parola dışındaki kimlik bilgilerini ayarlayabilir veya sıfırlayabilir. Ayrıcalıklı Kimlik Doğrulaması Yöneticileri, kullanıcıları parola dışındaki kimlik bilgileri (ör. MFA, FIDO) ile yeniden kaydolmaya zorlayabilir ve “cihazda MFA’yı hatırla” komutunu iptal edip tüm sonraki oturum açma işlemlerinde kullanıcılara MFA uyarısı gönderebilir.
Güvenlik İşletmeni: Bu role sahip olan kullanıcılar uyarıları yönetebilir ve Microsoft 365 güvenlik merkezi, Azure Active Directory, Identity Protection, Privileged Identity Management içindeki tüm bilgiler dahil güvenlikle ilgili özelliğe genel salt okunur erişime sahiptir.
Arama Düzenleyicisi: Bu roldeki kullanıcılar, Microsoft 365 yönetim merkezi’nde yer imleri, soru-cevaplar ve konumlar dahil olmak üzere Microsoft Search için içerik oluşturabilir, yönetebilir ve silebilir.
Yönetici Ara: Bu roldeki kullanıcıların, Microsoft 365 yönetim merkezindeki tüm Microsoft Search yönetim özelliklerine tam erişimi vardır. Arama Yöneticileri, kullanıcıları Arama Yöneticisi ve Arama Düzenleyicisi rollerine temsilci olarak ekleyebilir ve yer imleri, soru-cevaplar ve konumlar gibi içerikler oluşturabilir ve bunları yönetebilir. Ayrıca bu kullanıcılar, ileti merkezini görüntüleyebilir, hizmet sistem durumunu izleyebilir ve hizmet istekleri oluşturabilir.
