Aracılığıyla paylaş

Microsoft Entra Id'de rol tabanlı erişim denetimine genel bakış

  • Makale

Bu makalede, Microsoft Entra rol tabanlı erişim denetiminin nasıl anlaşıldığı açıklanır. Microsoft Entra rolleri, yöneticilerinize en az ayrıcalık ilkesine uygun ayrıntılı izinler vermenizi sağlar. Microsoft Entra yerleşik ve özel rolleri, Azure kaynakları (Azure rolleri) için rol tabanlı erişim denetim sisteminde mevcut olanlara benzer kavramlar üzerine kuruludur. Bu iki rol tabanlı erişim denetimi sistemi arasındaki fark şunlardır:

  • Microsoft Entra rolleri, Microsoft Graph API'sini kullanarak kullanıcılar, gruplar ve uygulamalar gibi Microsoft Entra kaynaklarına erişimi denetler
  • Azure rolleri, Azure Kaynak Yönetimi'ni kullanarak sanal makineler veya depolama gibi Azure kaynaklarına erişimi denetler

Her iki sistem de benzer şekilde kullanılan rol tanımları ve rol atamaları içerir. Ancak Microsoft Entra rol izinleri Azure özel rollerinde kullanılamaz ve tam tersi de geçerlidir.

Microsoft Entra rol tabanlı erişim denetimini anlama

Microsoft Entra ID iki tür rol tanımını destekler:

Yerleşik roller, sabit bir izin kümesine sahip ön tanımlı rollerdir. Bu rol tanımları değiştirilemez. Microsoft Entra ID'nin desteklediği birçok yerleşik rol bulunmaktadır ve bu liste genişlemektedir. Microsoft Entra ID, daha da geliştirilmiş ve karmaşık gereksinimlerinizi karşılamak için özel rolleri de destekler. Özel Microsoft Entra rollerini kullanarak izin vermek, özel rol tanımı oluşturma ve ardından rol ataması kullanarak atamayı içeren iki adımlı bir işlemdir. Özel rol tanımı, önceden ayarlanmış bir listeden eklediğiniz izin koleksiyonudur. Bu izinler, yerleşik rollerde kullanılan izinlerle aynıdır.

Özel rol tanımınızı oluşturduktan (veya yerleşik bir rol kullanarak) bir rol ataması oluşturarak bunu bir kullanıcıya atayabilirsiniz. Rol ataması, kullanıcıya belirtilen kapsamdaki bir rol tanımındaki izinleri verir. Bu iki adımlı işlem, tek bir rol tanımı oluşturmanıza ve bunu farklı kapsamlarda birçok kez atamanıza olanak tanır. Kapsam, rol üyesinin erişimi olan Microsoft Entra kaynakları kümesini tanımlar. En yaygın kapsam kuruluş genelindeki kapsamdır. Kuruluş genelinde özel bir rol atanabilir; bu da rol üyesinin kuruluştaki tüm kaynaklar üzerinde rol izinlerine sahip olduğu anlamına gelir. Nesne kapsamında özel bir rol de atanabilir. Nesne kapsamına bir örnek, tek bir uygulama olabilir. Aynı rol, kuruluştaki tüm uygulamalar üzerinde bir kullanıcıya ve ardından yalnızca Contoso Gider Raporları uygulaması kapsamına sahip başka bir kullanıcıya atanabilir.

Microsoft Entra Id kullanıcının kaynağa erişimi olup olmadığını nasıl belirler?

Aşağıda, Microsoft Entra Id'nin bir yönetim kaynağına erişiminiz olup olmadığını belirlemek için kullandığı üst düzey adımlar yer alır. Erişim sorunlarını gidermek için bu bilgileri kullanın.

  1. Bir kullanıcı (veya hizmet sorumlusu) Microsoft Graph uç noktasına bir belirteç edinir.
  2. Kullanıcı, verilen belirteci kullanarak Microsoft Graph aracılığıyla Microsoft Entra Id'ye bir API çağrısı yapar.
  3. Duruma bağlı olarak, Microsoft Entra Id aşağıdaki eylemlerden birini gerçekleştirir:
    • Kullanıcının erişim belirtecindeki wids talebi bilgisine göre kullanıcının rol üyeliklerini değerlendirir.
    • Eylem gerçekleştirilmekte olan kaynağa doğrudan veya grup üyeliği aracılığıyla kullanıcı için geçerli olan tüm rol atamalarını alır.
  4. Microsoft Entra Id, API çağrısındaki eylemin kullanıcının bu kaynak için sahip olduğu rollere eklenip eklenmediğini belirler.
  5. Kullanıcının istenen kapsamda eylemle bir rolü yoksa erişim verilmez. Aksi halde erişim verilir.

Rol ataması

Rol ataması, rol tanımını belirli bir kapsamdakigüvenlik sorumlusuna ekleyerek Microsoft Entra kaynaklarına erişim veren bir Microsoft Entra kaynağıdır. Erişim, rol ataması oluşturularak verilir ve bir rol ataması kaldırılarak erişim iptal edilir. Temel olarak, bir rol ataması üç öğeden oluşur:

  • Güvenlik sorumlusu - İzinleri alan bir kimlik. Kullanıcı, grup veya hizmet sorumlusu olabilir.
  • Rol tanımı - İzin koleksiyonu.
  • Kapsam - Bu izinlerin geçerli olduğu yerleri kısıtlamanın bir yolu.

Microsoft Entra yönetim merkezini , Microsoft Graph PowerShellveya Microsoft Graph API'sini kullanarak rol atamaları oluşturabilir ve rol atamalarını listeleyebilirsiniz. Azure CLI, Microsoft Entra rol atamaları için desteklenmez.

Aşağıdaki diyagramda rol ataması örneği gösterilmektedir. Bu örnekte, Chris'e Contoso Pencere Öğesi Oluşturucusu uygulama kaydı kapsamında Uygulama Kaydı Yöneticisi özel rolü atanmıştır. Atama, Chris'e yalnızca bu uygulama kaydı için Uygulama Kaydı Yöneticisi rolünün izinlerini verir.

Rol ataması, izinlerin nasıl zorunlu kılındığıdır ve üç bölümden oluşur.

Güvenlik sorumlusu

Güvenlik sorumlusu, Microsoft Entra kaynaklarına erişim atanmış bir kullanıcı, grup veya hizmet sorumlusunu temsil eder. Kullanıcı, Microsoft Entra Id'de kullanıcı profili olan bir kişidir. Bir grup, rol atanabilir grup olarak ayarlanmış yeni bir Microsoft 365 veya güvenlik grubudur. Hizmet sorumlusu, Microsoft Entra kaynaklarına erişmek için uygulamalar, barındırılan hizmetler ve otomatik araçlarla kullanılmak üzere oluşturulmuş bir kimliktir.

Rol tanımı

Rol tanımı veya rol, bir izin koleksiyonudur. Rol tanımı oluşturma, okuma, güncelleştirme ve silme gibi Microsoft Entra kaynaklarında gerçekleştirilebilecek işlemleri listeler. Microsoft Entra Id'de iki tür rol vardır:

  • Microsoft tarafından oluşturulan ve değiştirilmeyecek yerleşik roller.
  • Kuruluşunuz tarafından oluşturulan ve yönetilen özel roller.

Kapsam

Kapsam, rol atamasının bir parçası olarak izin verilen eylemleri belirli bir kaynak kümesiyle sınırlamanın bir yoludur. Örneğin, bir geliştiriciye özel rol atamak, ancak yalnızca belirli bir uygulama kaydını yönetmek istiyorsanız, belirli uygulama kaydını rol atamasına kapsam olarak ekleyebilirsiniz.

Bir rol atadığınızda, aşağıdaki kapsam türlerinden birini belirtirsiniz:

Kapsam olarak bir Microsoft Entra kaynağı belirtirseniz, aşağıdakilerden biri olabilir:

  • Microsoft Entra grupları
  • Kurumsal uygulamalar
  • Uygulama kayıtları

Kiracı veya Yönetim Birimi gibi bir kapsayıcı üzerinden rol atandığında, bu rol kapsayıcının kendisine değil, içerdiği nesnelere yönelik izinler verir. Tam tersine, bir rol bir kaynak kapsamı üzerinden atandığında, kaynağın kendisi üzerinde izinler verir, ancak bunun ötesine geçmez (özellikle bir Microsoft Entra grubunun üyelerine genişletilmediğini belirtmek gerekir).

Daha fazla bilgi için bkz. Microsoft Entra rollerini atama.

Rol atama seçenekleri

Microsoft Entra Id rol atamak için birden çok seçenek sağlar:

  • Doğrudan kullanıcılara rol atayabilirsiniz. Bu, rolleri atamanın varsayılan yoludur. Hem yerleşik hem de özel Microsoft Entra rolleri, erişim gereksinimlerine göre kullanıcılara atanabilir. Daha fazla bilgi için bkz. Microsoft Entra rollerini atama.
  • Microsoft Entra ID P1 ile rol atanabilir gruplar oluşturabilir ve bu gruplara roller atayabilirsiniz. Bir gruba kişiler yerine roller atamak, kullanıcıların bir rolden kolayca eklenmesini veya kaldırılmasını sağlar ve grubun tüm üyeleri için tutarlı izinler oluşturur. Daha fazla bilgi için bkz. Microsoft Entra rollerini atama.
  • Microsoft Entra Id P2 ile, rollere tam zamanında erişim sağlamak için Microsoft Entra Privileged Identity Management'ı (Microsoft Entra PIM) kullanabilirsiniz. Bu özellik, bir role kalıcı erişim vermek yerine ihtiyacı olan kullanıcılara zaman sınırlı erişim vermenizi sağlar. Ayrıca ayrıntılı raporlama ve denetim özellikleri sağlar. Daha fazla bilgi için bkz: Privileged Identity Management'de Microsoft Entra rollerini atama.

Lisans gereksinimleri

Microsoft Entra ID'de yerleşik rolleri kullanmak ücretsizdir. Özel rollerin kullanılması, özel rol ataması olan her kullanıcı için bir Microsoft Entra Id P1 lisansı gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz. Ücretsiz ve Premium sürümlerinin genel kullanıma sunulan özelliklerini karşılaştırma.

Sonraki adımlar