Azure AD Yönetici Rolleri
Azure Active Directory’yi (Azure AD) kullanarak, daha az ayrıcalıklı rollerde kimlik görevlerini yönetmek için sınırlı yöneticiler atayabilirsiniz. Yöneticiler, kullanıcı ekleme veya değiştirme, yönetici rolleri atama, kullanıcı parolalarını sıfırlama, kullanıcı lisanslarını yönetme ve alan adlarını yönetme gibi amaçlarla atanabilir. Varsayılan kullanıcı izinleri, yalnızca Azure AD’deki kullanıcı ayarlarında değiştirilebilir.
Global Administrator rolüne atanan kullanıcılar, Azure AD kuruluşunuzdaki her yönetim ayarını okuyabilir ve değiştirebilir. Varsayılan olarak, bir Azure aboneliğine kaydolan kişiye Azure AD kuruluşu için Global Administrator rolü atanır. Yalnızca Global Administrator ve Ayrıcalıklı Rol yöneticileri, yönetici rollerini devredebilir. İşletmenize yönelik riski azaltmak için, bu rolü kuruluşunuzdaki mümkün olan en az sayıda kişiye atamanızı öneririz.
Best practice olarak, bu rolü kuruluşunuzdaki beşten daha az kişiye atamanız önerilir. Kuruluşunuzda Global Administrator rolüne atanmış beşten fazla yöneticiniz varsa, kullanımını azaltmanın bazı yolları aşağıdaki gibidir.
Application Administrator – Bu roldeki kullanıcılar, kurumsal uygulamaların, uygulama kayıtlarının ve uygulama proxy ayarlarının tüm yönlerini oluşturabilir ve yönetebilir.
Application Developer – Bu roldeki kullanıcılar, “Kullanıcılar uygulamaları kaydedebilir” ayarı Hayır olarak ayarlandığında uygulama kayıtları oluşturabilir.
Authentication Administrator – Bu role sahip kullanıcılar, bazı kullanıcılar için parola olmayan kimlik bilgilerini ayarlayabilir veya sıfırlayabilir ve tüm kullanıcıların parolalarını güncelleştirebilir.
Azure DevOps Administrator – Bu role sahip kullanıcılar, yeni Azure DevOps kuruluş oluşturmayı yapılandırılabilir bir kullanıcı veya grup kümesiyle kısıtlamak için Azure DevOps ilkesini yönetebilir.
Azure Information Protection Administrator – Bu role sahip kullanıcılar Azure Information Protection hizmetindeki tüm izinlere sahiptir.
B2C User Flow Administrator – Bu role sahip kullanıcılar, Azure portalında B2C Kullanıcı Akışları (“yerleşik” ilkeler olarak da adlandırılır) oluşturabilir ve yönetebilir.
B2C User Flow Attribute Administrator – Bu role sahip kullanıcılar, tenanttaki tüm kullanıcı akışları için kullanılabilen özel öznitelikleri ekler veya siler.
B2C IEF Keyset Administrator – Kullanıcı, token şifrelemesi, token imzaları ve talep şifrelemesi/şifre çözme için ilke anahtarları ve gizli dizileri oluşturabilir ve yönetebilir.
B2C IEF Policy Administrator – Bu roldeki kullanıcılar, Azure AD B2C’deki tüm özel ilkeleri oluşturabilir, okuyabilir, güncelleştirebilir ve silebilir ve bu nedenle ilgili Azure AD B2C kiracısındaki Kimlik Deneyimi Çerçevesi üzerinde tam denetime sahip olabilir.
Billing Administrator – Satın alma işlemleri yapar, abonelikleri yönetir, destek biletlerini yönetir ve hizmet durumunu izler.
Cloud Application Administrator – Bu roldeki kullanıcılar, uygulama proxy’sini yönetme yeteneği dışında, Uygulama Yöneticisi rolüyle aynı izinlere sahiptir.
Cloud Device Administrator – Bu roldeki kullanıcılar Azure AD’deki cihazları etkinleştirebilir, devre dışı bırakabilir ve silebilir ve Azure portalında Windows 10 BitLocker anahtarlarını (varsa) okuyabilir.
Compliance Administrator – Bu role sahip kullanıcılar Microsoft 365 uyumluluk merkezi, Microsoft 365 yönetim merkezi, Azure ve Microsoft 365 Güvenlik ve Uyumluluk Merkezi’nde uyumlulukla ilgili özellikleri yönetme izinlerine sahiptir.
Compliance Data Administrator – Bu role sahip kullanıcılar Microsoft 365 uyumluluk merkezi, Microsoft 365 yönetim merkezi ve Azure’daki verileri izleme izinlerine sahiptir. Kullanıcılar ayrıca Exchange yönetim merkezi içinde uyumluluk verilerini izleyebilir.
Conditional Access Administrator – Bu role sahip kullanıcılar Azure Active Directory koşullu erişim ayarlarını yönetebilir.
Exchange Administrator – Bu role sahip kullanıcılar, hizmet mevcut olduğunda Microsoft Exchange Online içinde genel izinlere sahiptir.
Directory Readers – Bu roldeki kullanıcılar temel dizin bilgilerini okuyabilir.
Global Administrator / Company Administrator – Bu role sahip kullanıcılar, Azure Active Directory’deki tüm yönetim özelliklerinin yanı sıra Microsoft 365 güvenlik merkezi, Microsoft 365 uyumluluk merkezi, Exchange Online, SharePoint Online ve Skype Kurumsal Çevrimiçi gibi Azure Active Directory kimliklerini kullanan hizmetlere erişebilir.
Groups Administrator – Bu roldeki kullanıcılar grupları ve adlandırma ve süre sonu ilkeleri gibi ayarlarını oluşturabilir/yönetebilir.
Security Administrator – Bu role sahip kullanıcılar Microsoft 365 güvenlik merkezi, Azure Active Directory Kimlik Koruması, Azure Information Protection ve Microsoft 365 Güvenlik ve Uyumluluk Merkezi’nde güvenlikle ilgili özellikleri yönetme izinlerine sahiptir.
Çoğu kuruluş için iş varlıklarının güvenliği, BT sistemlerini yöneten ve yöneten ayrıcalıklı hesapların bütünlüğüne bağlıdır. Siber saldırganlar, bir kuruluşun hassas verilerine erişmek için altyapı sistemlerine (Active Directory ve Azure Active Directory gibi) ayrıcalıklı erişime odaklanır. Bir ağın giriş ve çıkış noktalarını birincil güvenlik çevresi olarak güvence altına almaya odaklanan geleneksel yaklaşımlar, İnternet’teki SaaS uygulamalarının ve kişisel cihazların kullanımındaki artış nedeniyle daha az etkilidir. Karmaşık ve modern bir kuruluşta ağ güvenliği çevresinin doğal olarak yerini alan şey, kuruluşun kimlik katmanındaki kimlik doğrulama ve yetkilendirme denetimleridir.
Ayrıcalıklı yönetici hesapları, bu yeni güvenlik çevresinin etkin bir şekilde denetimindedir. Ortamın şirket içi, bulut veya hibrit şirket içi ve bulutta barındırılan hizmetler olup olmadığına bakılmaksızın ayrıcalıklı erişimi korumak çok önemlidir. Yönetim erişimini belirlenen düşmanlara karşı korumak, kuruluşunuzun sistemlerini risklerden yalıtmak için eksiksiz ve düşünceli bir yaklaşım benimsemenizi gerektirir.