Azure AD Privileged Identity Management (PIM) Yeteneklerini Keşfedin

Azure AD Privileged Identity Management (PIM)

Günümüzde hemen hemen her ortamda, Onpremise veya Cloud tabanlı olması fark etmeksizin, kimlik ve güvenlik servislerine büyük ihtiyaç duyulduğunu biliyoruz. Birtakım standartların ve güvenlik politikalarının oluşturulması, kimlik yönetimi, yetki tanımlamaları, kontrolü ve izlenmesi gibi aksiyonların alınabilmesi için çeşitli ürünlere ve servislere önemli maliyetler ve eforlar harcıyoruz.

Azure AD PIM özelliği, Azure Active Directory servisinin birçok önemli özelliklerinden yalnızca biri olarak ön plana çıkıyor.

Azure AD Privileged Identity Management (PIM) özelliği, yukarıda genel olarak ihtiyaç duyduğumuz gereksinimlerin birçoğunu tek başına karşılayabilen bir özellik olarak dikkat çekiyor.

Azure AD Privileged Identity Management (PIM) Nedir?

Yukarıda yaptığımız kısa bir girizgâh sonrası bu servisin yetenekleri az çok anlaşılmıştır. 😊

Azure AD PIM servisi, Azure AD rolleri ve Azure rolleri başta olmak üzere Office365, Intune gibi Microsoft’un Online Servislerine ait kaynaklarına ait erişimlerin yetkilendirilmesi, yönetilebilmesi, erişim denetimlerinin ve kontrollerinin yapılabilmesi gibi önemli yetenekler sunuyor.

Azure AD PIM, gereksiz yetkilendirmelerin önüne geçerek, gerekmeyen kaynaklara ve gereğinden fazla süreli yetki tanımlarına engel olarak, yetki mekanizmalarının, daha spesifik ve belirli bir süre için Just in Time Access yönetimine uygun olarak oluşturulmasına olanak sağlar.

Böylece, Azure Resource’larınız ve Azure AD Rolleriniz için RBAC mimarisiyle birlikte Management Group, Subscription, Resource Group ve Resource seviyelerinde verilmiş olan ve bir süre sonra aktif olarak kullanılmayan yetkilendirmeler yerine daha belirli, geçici veya kalıcı roller ve izinler tanımlayabilirsiniz.

Mevcut rolleri Azure AD PIM üzerinden yönetebilir ve yetki mekanizmanız için tüm işlemleri buradan gerçekleştirebilirsiniz.

Rol atamaları için Eligible (Erişim ihtiyacı oluştuğunda ilgili kullanıcının assigned edilen yetkiyi approve etmesi gerekir) ve Active (Role Assigned edildiğinde yapılan tanım süresinde yetkinin aktif olarak kullanılmasına olanak tanır ve ek bir işlem gerektirmez) olarak 2 farklı şekilde rol ataması yapabilirsiniz.

Özetle Azure AD PIM ile ;

  • Azure AD ve Azure kaynakları için Just in Time Access tanımlayabilirsiniz.
  • Tanımlamak istediğiniz roller için bir zaman dilimi belirleyebilirsiniz.
  • Oluşturulan roller için onay mekanizması kullanabilirsiniz.
  • MFA kullanımını zorunlu hale getirebilirsiniz.
  • Yetki aktivitelerine dair Access, Expire ve Renew etme tüm loğları görebilir ve bildirimler alabilirsiniz.
  • Rolleri Azure AD kullanıcıları ve grupları veya Guest olarak tanımlanmış External kullanıcıları için tanımlayabilirsiniz.

Gereksinimler Nedir?

  • Privileged Identity Management Azure AD Premium P2 lisansı gerektirmektedir. Farklı senaryo ve kullanım tiplerine karşılık gelen lisans gereksinimleri için License requirements to use Privileged Identity Management bağlantısında yer alan ayrıntıları inceleyebilirsiniz.
  • Azure AD PIM kullanabilmek ve yönetebilmek için Privileged Identity Management rolü atanmalıdır. Global Admin ve Security Admin rolleri by default olarak, PIM yönetiminde Reader hakka sahiptir ve bu rol ataması yapılmadıkça yönetimi mümkün değildir.
  • Privileged Identity Management yönetimi için kullanılacak olan hesaplarda Multi-Factor Authentication (Azure MFA) Register edilmiş olmalıdır.

Senaryo & Demo

Yukarıdaki bilgiler ışığında bir test senaryosu belirleyerek Privileged Identity Management yeteneklerini keşfedelim.

Senaryo: İlgili Subscription altında bulunan Resource Group içinde, proje kapsamında yapılması istenen çalışmalar için sadece ilgili Resource Group altında 1 saat kullanılabilir durumda olacak şekilde “Contributor” yetkisi tanımlanması gerekiyor.

Demo: Privileged Identity Management portal altında bulunan Manage bölümünden Azure Resource seçilerek, Mangement Group, Subscription, Resource Group ve Resource seviyesinde filtreleme yapabilir ve bu doğrultuda Azure Resource Discover işlemi gerçekleştirebilirsiniz.

Subscription’ı Discover ettikten sonra yetki talebi için belirtilen Resource Group altında Member sekmesine giderek, rolü, kullanıcı veya grubu, hangi tip atama yapılacağını ve başlangıç-bitiş sürelerini belirliyorum.

Machine generated alternative text: Home Privileged Identity Management Azure resources dep-test Members New essignment x New assignment Privileg* Identity - Select a role Contributor * R Select a member or group Onur Pekdağ Set membership settings Default setting is selected x Membership settings Identity - Assignment type Active Maximum allowed assignment duratian is 5 month(s), 4320 haur(s). Assignmentstarts * 04/28/2020 Assignment ends * 04/28/2020 Enter justification (max 500 characters) * proje için geçici yetkilendirme

Yaptığım role atama işlemini kaydettikten sonra Members altında bu tanımı ve detaylarını görebiliyorum.

Ayrıca rol ataması yapıldıktan sonra hem Global Admin kullanıcılarına hem de rol atanan kullanıcıya E-Mail Notification ulaşacaktır. Bu e-posta içerisinde yapılan tanıma ait tüm detaylar yer almaktadır.

Machine generated alternative text: PİM: You now have the Contributor role Onur Pekdağ assigned you the Contributor role in the dep-test resourcegroup View or activate role Settings User or Group Role Resource Resource type Assigned by Assignment type Assignment start Assignment end Justification Value Onur Pekdağ Contributor dep-test resourcegroup Onur Pekdağ Active April 28, 2020 10:00 UTC April 28, 2020 11:00 UTC proje için geçici yetkilendirme

Gelen e-posta sonrası rol ataması yapılan kullanıcı ile Azure Portal’e login olunduğunda, sadece senaryo kapsamında rol ataması yapılmış olan Resource Group ve bu Resource Group içerisindeki kaynaklara erişim sağlanabildiği görebilirsiniz.

Machine generated alternative text: Giriş Kaynek grupları dep-test Kaynak grupları Bilgi iletişim AS + Ekle Görünümü yönet Ada göre filtrele.„ dep-test x dep-test Ara (Ctrl +1) Genel Bakış Etkinlik günlüğü Erişim denetimi (IAM) Etiketler Olaylar Ayarlar Sızlı başlangıç @ Kaynak maliyetleri 2 Dağıtımlar [Ikeler Özellikler Kilitler *blonu dışarı aktar Sütunları düzenle Abonelik (değiştir) : Abonelik Kimliği Etiketler (değiştir) Ada göre filtrele... Î Delete resource group Yenile Taşı CSVlye Aktar : Etiket eklemek için buraya tıklayın Tür tümü O Konum tümü O m Gizli türleri göster O 19 kayıt içerisinden 1-19 arası kayıtlar gösteriliyor. Y Filtre ekle m m m m m m AzureAutomationTutariaI (depauta/AzureAutamationTutoriaI) AzureAutomationTutariaI (depautaacc/AzureAutomationTutariaI) AzureAutomationTutariaIPython2 (depauto/AzureAutomationTutoriaIPythan2) AzureAutomationTutariaIPython2 (depautoacc/AzureAutomationTutoriaPython2) AzureAutomationTutariaIScript (depauto/AzureAutomationTutariaIScript) AzureAutomationTutariaIScript (depautoacc/AzureAutomatianTutoriaIScript)

Bu Resource Group için Contributor yetkisi verildiği için kullanıcı ilgili Resource Group altında tüm çalışmaları yapabilecek fakat herhangi bir rol ekleme çıkarma işlemi yapamayacaktır.

Machine generated alternative text: Giriş Kaynek grupları dep-test I Erişim denetimi (IAM) Kaynak grupları Bilgi iletişim AS + Ekle Görünümü yönet Ada göre filtrele.„ dep-test dep-test I Erişim denetimi (IAM) p Ara (Ctrl+/) Sütunları düzenle Genel Bakış Etkinlik günlüğü Erişim denetimi (IAM) Rol ataması ekle (devre dışı) Ortak yönetici ekle (devre dışı) Özel rol ekle (önizleme) (devre dl: Yenile X Kaldır Ret atamaları Klasik yönetic usunun veya yönetilen

1 saat süreyle verilen erişim izni süre sonunda sona erecek ve kullanıcı kaynaklara erişim sağlayamayacaktır. Yine bu iznin Expire olduğuna dair bilgilendirme Global Admin ve kullanıcı hesaplarına ulaşacaktır.

Kaynaklar

Start using Privileged Identity Management

What is Azure AD Privileged Identity Management?

Grant access to other administrators to manage Privileged Identity Management

License requirements to use Privileged Identity Management

Faydalı Olması Dileğiyle.