Azure AD Privileged Identity Management (PIM) Nedir? Bu yazımda Azure AD Privileged Identity Management konusuna değiniyor olacağım. Konuya yabancı olan okuyucularında olabileceğini varsayarak teknik cümleler yerine daha sadeleştirilmiş cümleleri tercih edeceğim. Bulut tabanlı sistemlere hala bir direnç varken birde çok teknik yazmayalım 🙂

Özellikle son yıllara baktığımız zamanlarda Veri Güvenliği, kimlik yönetimi, çift katmanlı oturum, Audit (denetim) gibi konular önem kazandı. Hatta yelpazeyi geniş tuttuğumuz zaman ve piyasaya baktığımızda veri sınıflandırma, veri kaybı önleme gibi güvenliği arttırıcı ve Adminler olarak işleri daha da kontrol altına alabildiğimiz projeler yoğunlukta olduğunu görebiliyoruz. Bu yapboza baktığımız zaman sanki parçalar bütünü oluşturuyor gibi fakat bir eksiklik var aslında. Bazı firmalarda bildiğiniz gibi Admin hakkı verildiğinde sizden kralı yoktur. Bu da bir güvenlik açığıdır. Admin’leri de denetleyebiliyor olmalıyız. Microsoft Azure Bulutunda ise bunun karşılığı Azure AD Privileged Identity Management’dır. Elbette lokal tarafta bu ürünün karşılığı olan denetleme yaptığımız ürünler mevcut fakat bugün konumuz bulut. Azure Marketten Microsoft PIM’ i aktif edebilmek için aşağıdaki gereksinimleri tamamlamış olmanız gerekmektedir;

• Azure Plan 2
• Global Admin Hakkı
• MFA aktif edilmeli

Kısa bilgiden sonra ürünü biraz inceleyelim. İlk olarak portal.azure.com ile Portal’a erişim sağlıyoruz. İsterseniz Marketplace den arayabilirsiniz veya direk ismini yazabilirsiniz. Ürünü seçtikten sonra oluştur ile işlemimize başlıyoruz.

Bunu oluşturmak istediğinizde aşağıdaki hatayı almanız çok olası. Yapmanız gereken bu işlemleri yapacak kullanıcıya MFA aktif edilmesidir.

Resim-1

MFA ile ilgili işlem yapmak istediğinizde size bu işlemi eski Portal’dan yapabileceğinizi söyleyecektir. https://manage.windowsazure.com ile eski Portal’a erişebilirsiniz. İlgili kullanıcıya veya kullanıcılara buradan MFA aktif etmelisiniz. Bu bölümleri daha önce yazdığım için detaylandırmıyorum. Eski yazılarımı inceleyebilirsiniz.

Resim-2

Tekrar denediğimizde başarılı şekilde oluşturulduğunu görüyoruz.

Resim-3

İşlemleri tamamladıktan sonra farklı ayarlar yapabileceğimiz ve /veya rapor alabileceğimiz bölümler bizi karşılıyor.

• Rollerimi Etkinleştir
• Ayrıcalıklı Rolleri Yönet
• Ayrıcalıklı Erişimi İncele

İlgili bölümlerin ne işe yaradığını anlamak için aşağıdaki kaynaktan yararlanabilirsiniz ;

https://docs.microsoft.com/tr-tr/azure/active-directory/active-directory-privileged-identity-management-getting-started

Ayrıcalıklı Rollere sahip kullanıcılarımız yani Admin’lerimizi Ayrıcalıklı Rolleri Yönet bölümünden denetleyebiliyoruz. Aşağıda Uygunluk diye bir bölüm görüyoruz. Tüm bölümlerde yüzdelik değer 0% olarak görülüyor.

Resim-4

Aşağıda aynı sayfayı bu sefer farklı değerler ile görüyoruz. Aklımıza burada elbette bir soru geliyor, Uygunluk dediğimiz nedir?

Resim-5

Cevaba geçmeden dikkatinizden kaçmadığını düşündüğüm ilk resimde olmayan Faturalandırma Yöneticisi burada gözüküyor. Aslında Microsoft Azure kullananlar Billing Administrator diye bir Admin rolü olduğunu biliyordur. Ben kullanıcılarımdan birine bu hakkı atadığım için artık burada gözüküyor. Aşağıda uzun uzadıya giden atayabileceğimiz hakları görebilirsiniz.

Resim-6

Şimdi gelelim sorumunuzun cevabına.

Fatura Yöneticisi örneğinden devam edecek olursak 100% uyumlu gözüküyor bu kullanıcıyı artık kalıcı yapabiliriz demektir. Kalıcı yap ı seçtiğimizde değer 0% olacaktır.

Yukarıda da belirttiğim gibi amacımız ayrıcalıklı rollere sahip Admin düzeyindeki kullanıcıları kontrol edebilmek. PIM ile aynı zamanda Office 365 ve Microsoft Intune ayrıcalıklı haklarını da denetleyebilirsiniz. Örneğin Office 365 içerisinde Skype for Business Administrator kimdir bulabilirsiniz. Benim hoşuma giden özelliğinden bir tanesi ise süre kısıtlamalı hak verebiliyor olmamız. Bu da geçici işlemler için son derece önem arz ediyor ve iş yoğunluğu arasında bu gibi durumları düşünmemizin önüne geçiyor.

Aşağıda denetleme geçmişini tıkladığımızda kullanıcılar üzerinde yaptığımız değişikleri takip edebiliyoruz. Örneğin ayrıcalıklı bir kullanıcı hakkında değişiklik yaparsanız burada loglanacaktır.

Resim-7

Resim-8

Ayrıcalıklı Rolleri Yönet’ e geldiğimiz zaman yönetici rollerimizin olduğu bir alan görüyoruz. Bu bölümde yönetici rollerine sahip kullanıcılarımızı inceleyebiliyoruz bununla ilgili raporlar alabiliyoruz. Ayrıca yukarıda da belirttiğimiz gibi zaman ayarı yapabiliyoruz. Kalıcı gördüğünüz izinleri gerekli durumlarda uygun veya uygunsuz olarak değiştirebiliyoruz.

Resim-9

Ayrıcalıklı kullanıcılarımızı seçerek incele seçeneği ile rapor alabiliriz.

Resim-10

Resim-11

Ayrıcalıklı erişim incele ile Microsoft Online Servislerine erişimleri inceleyebiliriz. Kısaca cümleleri toparlarsak, Microsoft Bulutu üzerinde ayrıcalıklı haklara sahip kullanıcıları buradan denetleyebiliyoruz.

Resim-12

Resim-13

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

https://docs.microsoft.com/tr-tr/azure/active-directory/active-directory-privileged-identity-management-configure

TAGs : Azure AD Privileged Identity Management, Azure AD Privileged Identity Management nedir, Azure AD Privileged Identity Management pim, Azure AD PIM nedir, Azure AD PIM ayarlari, Azure AD PIM MFA, Azure AD Privileged Identity Management ayarlari, Azure AD Privileged Identity Management settings,