Microsoft Entra ID, Şirket İçi İş Yükleri için Bulut İdaresi Yönetimi Sunma

Microsoft Entra ID, kimlik, erişim yönetimi ve güvenliğin tüm yönlerine yayılan milyonlarca kuruluş tarafından kullanılan kapsamlı bir hizmet olarak kimlik (IDaaS) çözümüdür. Microsoft Entra ID bir milyardan fazla kullanıcı kimliği barındırıyor ve kullanıcıların oturum açmasına ve her iki kullanıcıya da güvenli bir şekilde erişmelerine yardımcı oluyor:

• Microsoft 365, Microsoft Entra yönetim merkezi ve diğer binlerce Hizmet Olarak Yazılım (SaaS) uygulaması gibi dış kaynaklar.
• Kuruluşun şirket ağı ve intranet üzerindeki uygulamalar gibi iç kaynaklar ve bu kuruluş tarafından geliştirilen tüm bulut uygulamaları.

Kuruluşlar , 'saf bulut' ise Microsoft Entra Kimliğini veya şirket içi iş yükleri varsa 'hibrit' dağıtım olarak kullanabilir. Microsoft Entra Id'nin karma dağıtımı, bir kuruluşun BT varlıklarını buluta geçirmesi veya mevcut şirket içi altyapıyı yeni bulut hizmetleriyle tümleştirmeye devam etmesi için bir stratejinin parçası olabilir.

Geçmişte 'karma' kuruluşlar Microsoft Entra ID'yi mevcut şirket içi altyapılarının bir uzantısı olarak görmüştür. Bu dağıtımlarda, şirket içi kimlik idaresi yönetimi, Windows Server Active Directory veya diğer şirket içi dizin sistemleri denetim noktalarıdır ve kullanıcılar ve gruplar bu sistemlerden Microsoft Entra Id gibi bir bulut dizinine eşitlenir. Bu kimlikler buluta eklendikten sonra Microsoft 365, Azure ve diğer uygulamalarda kullanılabilir hale getirilebilir.

Kuruluşlar, uygulamalarıyla birlikte BT altyapılarının daha fazlasını buluta taşıdıkça, birçoğu hizmet olarak kimlik yönetiminin gelişmiş güvenlik ve basitleştirilmiş yönetim özelliklerini arıyor. Microsoft Entra ID'deki bulut tabanlı IDaaS özellikleri, kuruluşların geleneksel şirket içi sistemlerden Microsoft Entra ID'ye kimlik yönetiminin daha fazlasını hızla benimsemesine ve taşımasına olanak sağlayan çözümler ve özellikler sağlayarak bulut idaresi yönetimine geçişi hızlandırır ve mevcut uygulamaları ve yeni uygulamaları desteklemeye devam eder.

Bu makalede Microsoft'un karma IDaaS stratejisi özetlenmiştir ve kuruluşların mevcut uygulamaları için Microsoft Entra Id'yi nasıl kullanabileceği açıklanmaktadır.

Buluta yönetilen kimlik yönetimine Microsoft Entra Id yaklaşımı

Kuruluşlar buluta geçtikçe, tüm ortamları üzerinde denetime sahip olduklarına dair güvenceye ihtiyaç duyarlar. Daha fazla güvenlik ve otomasyon tarafından desteklenen etkinliklere daha fazla görünürlük ve proaktif içgörüler. "Bulut idaresi yönetimi", kuruluşların kullanıcılarını, uygulamalarını, gruplarını ve cihazlarını buluttan nasıl yönettiklerini ve yönettiklerini açıklar.

Bu modern dünyada, SaaS uygulamalarının yaygınlaşması ve işbirliğinin ve dış kimliklerin rolünün artması nedeniyle kuruluşların büyük ölçekte etkili bir şekilde yönetebilmesi gerekir. Bulutun yeni risk ortamı, bir kuruluşun daha hızlı yanıt vermesi gerektiği anlamına gelir. Bulut kullanıcısını tehlikeye atan kötü niyetli bir aktör bulut ve şirket içi uygulamaları etkileyebilir.

Özellikle karma kuruluşların, geçmişte BT tarafından el ile gerçekleştirilen görevleri temsilci olarak verebilmesi ve otomatikleştirebilmesi gerekir. Görevleri otomatikleştirmek için, kimlikle ilgili farklı kaynakların (kullanıcılar, gruplar, uygulamalar, cihazlar) yaşam döngüsünü düzenleyen API'lere ve süreçlere ihtiyaç duyarlar, böylece bu kaynakların günlük yönetimini çekirdek BT personeli dışındaki daha fazla kişiye devredebilirler. Microsoft Entra Id, şirket içi kimlik altyapısı gerektirmeden kullanıcılar için kullanıcı hesabı yönetimi ve yerel kimlik doğrulaması aracılığıyla bu gereksinimleri giderir. Şirket içi altyapı oluşturmamak, şirket içi dizinlerinde bulunmayan ancak erişim yönetimi iş sonuçlarını elde etmek için kritik öneme sahip olan iş ortakları gibi yeni kullanıcı topluluklarına sahip kuruluşlara fayda sağlayabilir.

Ayrıca, yönetim --- olmadan yönetim tamamlanmaz ve bu yeni dünyada idare, eklenti yerine kimlik sisteminin tümleşik bir parçasıdır. Kimlik idaresi kuruluşlara çalışanlar, iş ortakları ve satıcılar ile hizmetler ve uygulamalar genelinde kimlik ve erişim yaşam döngüsünü yönetme olanağı sağlar.

Kimlik idaresinin birleştirilmesi, kuruluşun bulut idaresi yönetimine geçiş yapmasını kolaylaştırır, BT'nin ölçeklendirilmesine olanak tanır, konuklarla ilgili yeni zorlukları giderir ve müşterilerin şirket içi altyapıda sahip olduğundan daha derin içgörüler ve otomasyon sağlar. Bu yeni dünyada idare, bir kuruluşun kuruluş içindeki kaynaklara erişim konusunda saydamlık, görünürlük ve uygun denetimlere sahip olması anlamına gelir. Microsoft Entra Id ile güvenlik operasyonları ve denetim ekipleri, kimin --- olduğunu ve kimlerin sahip olması gerektiğini ( kuruluştaki hangi kaynaklara (hangi cihazlarda), söz konusu kullanıcıların bu erişimle ne yaptığına ve kuruluşun şirket veya mevzuat ilkelerine uygun erişimi kaldırmak veya kısıtlamak için uygun denetimlere sahip olup olmadığını ve kullanıp kullanmadığını gösterir.

Yeni yönetim modeli, hem SaaS hem de iş kolu (LOB) uygulamalarına sahip kuruluşlara avantaj sağlar. Bu uygulamalar daha kolay yönetilebilir ve bunlara erişimi güvenli hale getirir. Uygulamalar Microsoft Entra ID ile tümleştirilerek kuruluşlar hem bulut hem de şirket içi kaynaklı kimlikler genelinde erişimi tutarlı bir şekilde kullanabilir ve yönetebilir. Uygulama yaşam döngüsü yönetimi daha otomatik hale gelir ve Microsoft Entra ID, şirket içi kimlik yönetiminde kolayca ulaşılamayan uygulama kullanımı hakkında zengin içgörüler sağlar. Microsoft Entra Id, Microsoft 365 grupları ve Teams self servis özellikleri sayesinde kuruluşlar kolayca erişim yönetimi ve işbirliği için gruplar oluşturabilir ve işbirliği ve erişim yönetimi gereksinimlerini etkinleştirmek için bulutta kullanıcı ekleyebilir veya kaldırabilir.

Bulut idaresi yönetimi için doğru Microsoft Entra özelliklerini seçmek, kullanılacak uygulamalara ve bu uygulamaların Microsoft Entra Kimliği ile nasıl tümleştirileceğine bağlıdır. Aşağıdaki bölümlerde AD ile tümleşik uygulamalar ve federasyon protokolleri kullanan uygulamalar (örneğin, SAML, OAuth veya OpenID Bağlan) için alınması gereken yaklaşımlar özetlenmiştir.

AD ile tümleşik uygulamalar için bulut idaresi yönetimi

Microsoft Entra ID, güvenli uzaktan erişim ve bu uygulamalara Koşullu Erişim aracılığıyla kuruluşun şirket içi Active Directory tümleşik uygulamaları için yönetimi geliştirir. Buna ek olarak, Microsoft Entra Id ayrıca kullanıcının mevcut AD hesapları için hesap yaşam döngüsü yönetimi ve kimlik bilgileri yönetimi sağlar, örneğin:

• Şirket içi uygulamalar için güvenli uzaktan erişim ve Koşullu Erişim

Birçok kuruluş için, şirket içi AD ile tümleşik web ve uzak masaüstü tabanlı uygulamalar için buluttan erişimi yönetmenin ilk adımı, güvenli uzaktan erişim sağlamak için uygulama ara sunucusunu bu uygulamaların önüne dağıtmaktır.

Microsoft Entra Id'de çoklu oturum açma işleminden sonra kullanıcılar dış URL veya iç uygulama portalı aracılığıyla hem bulut uygulamalarına hem de şirket içi uygulamalara erişebilir. Örneğin, Uygulama Ara Sunucusu Uzak Masaüstü, SharePoint ve Tableau ve Qlik gibi uygulamalar ile iş kolu (LOB) uygulamalarına uzaktan erişim ve çoklu oturum açma sağlar. Ayrıca Koşullu Erişim ilkeleri, kullanım koşullarını görüntülemeyi ve bir uygulamaya erişebilmeden önce kullanıcının bunları kabul ettiğinden emin olmayı içerebilir.

• Active Directory hesapları için otomatik yaşam döngüsü yönetimi

Kimlik idaresi, kuruluşların üretkenlik arasında bir denge kurmasına yardımcı olur --- bir kişi kuruluşa katıldığında olduğu gibi ihtiyaç duyduğu kaynaklara ne kadar hızlı erişebilir? --- ve güvenlik ---, söz konusu kişinin çalışma durumunun değişmesi gibi zaman içinde erişimlerinin nasıl değişmesi gerekir? Kimlik yaşam döngüsü yönetimi, kimlik idaresinin temelini oluşturur ve uygun ölçekte etkili idare, uygulamalar için kimlik yaşam döngüsü yönetim altyapısının modernleştirilmesini gerektirir.

Birçok kuruluş için, çalışanların kimlik yaşam döngüsü bu kullanıcının insan sermayesi yönetimi (HCM) sisteminde temsiline bağlıdır. HCM sistemi olarak Workday kullanan kuruluşlar için Microsoft Entra ID, AD'deki kullanıcı hesaplarının Workday'deki çalışanlar için otomatik olarak sağlanmasını ve sağlamasını kaldırmasını sağlayabilir. Bunun yapılması, doğum hesapları otomasyonu aracılığıyla kullanıcı üretkenliğinin artırılmasına yol açar ve kullanıcı rol değiştirdiğinde veya kuruluşta ayrıldığında uygulama erişiminin otomatik olarak güncelleştirilmesini sağlayarak riski yönetir. Workday tabanlı kullanıcı sağlama dağıtım planı , kuruluşların beş adımlı bir süreçte Workday'in Active Directory Kullanıcı Sağlama çözümüne en iyi yöntemlerle uygulanması konusunda yol gösteren adım adım bir kılavuzdur.

Microsoft Entra ID P1 veya P2 ayrıca SAP, Oracle eBusiness ve Oracle Kişiler Soft gibi diğer şirket içi HCM sistemlerinden kayıtları içeri aktarabilen Microsoft Identity Manager'ı da içerir.

İşletmeler arası işbirliği, kuruluşunuzun dışındaki kişilere erişim izni verilmesini giderek daha fazla gerektirir. Microsoft Entra B2B işbirliği, kuruluşların uygulamalarını ve hizmetlerini konuk kullanıcılarla ve dış iş ortaklarıyla güvenli bir şekilde paylaşmasına ve kendi şirket verileri üzerinde denetim sahibi olmasını sağlar.

Microsoft Entra Id , gerektiğinde konuk kullanıcılar için AD'de otomatik olarak hesap oluşturabilir ve iş konuklarının başka bir parolaya gerek kalmadan şirket içi AD ile tümleşik uygulamalara erişmesini sağlar. Kuruluşlar, MFA denetimlerinin uygulama ara sunucusu kimlik doğrulaması sırasında yapılması için konuk kullanıcılariçin çok faktörlü kimlik doğrulama ilkeleri ayarlayabilir. Ayrıca, bulut B2B kullanıcılarında yapılan tüm erişim gözden geçirmeleri şirket içi kullanıcılar için geçerlidir. Örneğin, bulut kullanıcısı yaşam döngüsü yönetimi ilkeleri aracılığıyla silinirse, şirket içi kullanıcı da silinir.

Active Directory hesapları için kimlik bilgisi yönetimi

Microsoft Entra ID'de self servis parola sıfırlama, parolalarını unutan kullanıcıların yeniden kimlik doğrulamasını ve parolalarını sıfırlamasını ve değiştirilen parolaların şirket içi Active Directory yazılmasını sağlar. Parola sıfırlama işlemi şirket içi Active Directory parola ilkelerini de kullanabilir: Kullanıcı parolasını sıfırladığında, bu dizine kaydetmeden önce şirket içi Active Directory ilkesini karşıladığından emin olmak için denetlenir. Self servis parola sıfırlama dağıtım planı , web ve Windows ile tümleşik deneyimler aracılığıyla self servis parola sıfırlamayı kullanıcılara dağıtmaya yönelik en iyi yöntemleri özetler.

Son olarak, kullanıcıların AD'de parolalarını değiştirmesine izin veren kuruluşlar için AD, şu anda genel önizleme aşamasında olan Microsoft Entra parola koruma özelliği aracılığıyla kuruluşun Microsoft Entra Id'de kullandığı parola ilkesini kullanacak şekilde yapılandırılabilir.

Bir kuruluş, uygulamayı barındıran işletim sistemini Azure'a taşıyarak AD ile tümleşik bir uygulamayı buluta taşımaya hazır olduğunda, Microsoft Entra Domain Services AD uyumlu etki alanı hizmetleri (etki alanına katılma, grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi) sağlar. Microsoft Entra Domain Services, kuruluşun mevcut Microsoft Entra kiracısıyla tümleştirilerek kullanıcıların kurumsal kimlik bilgilerini kullanarak oturum açmasını sağlar. Ayrıca, mevcut gruplar ve kullanıcı hesapları kaynaklara erişimi güvenli hale getirmek ve şirket içi kaynakların Azure altyapı hizmetlerine daha sorunsuz bir şekilde "lift-and-shift" ile geçişini sağlamak için kullanılabilir.

Şirket içi federasyon tabanlı uygulamalar için bulut idaresi yönetimi

Şirket içi kimlik sağlayıcısı kullanan bir kuruluş için, uygulamaları Microsoft Entra ID'ye taşımak daha güvenli erişim ve federasyon yönetimi için daha kolay bir yönetim deneyimi sağlar. Microsoft Entra Id, Microsoft Entra Koşullu Erişim kullanarak Microsoft Entra çok faktörlü kimlik doğrulaması dahil olmak üzere uygulama başına ayrıntılı erişim denetimlerinin yapılandırılmasını sağlar. Microsoft Entra Id, uygulamaya özgü belirteç imzalama sertifikaları ve yapılandırılabilir sertifika süre sonu tarihleri de dahil olmak üzere daha fazla özelliği destekler. Bu özellikler, araçlar ve yönergeler, kuruluşların şirket içi kimlik sağlayıcılarını devre dışı bırakmasına olanak tanır. Örneğin Microsoft'un kendi BT'si, Microsoft'un iç Active Directory Federasyon Hizmetleri (AD FS) (AD FS) olan 17.987 uygulamayı Microsoft Entra Id'ye taşıdı.

Federasyon uygulamalarını kimlik sağlayıcısı olarak Microsoft Entra ID'ye geçirmeye başlamak için https://aka.ms/migrateapps şu bağlantıları içeren bağlantıya bakın:

• Uygulamalarınızı Microsoft Entra Id'ye Geçirme başlıklı teknik inceleme, geçişin avantajlarını sunar ve dört açıkça ana hatlı aşamada geçişi planlamayı açıklar: bulma, sınıflandırma, geçiş ve devam eden yönetim. Süreç hakkında düşünme ve projenizi kullanımı kolay parçalara ayırma konusunda size yol gösterilir. Belge boyunca, size yardımcı olacak önemli kaynakların bağlantıları yer alır.

• Uygulama Kimlik Doğrulamasını Active Directory Federasyon Hizmetleri (AD FS)'den Microsoft Entra ID'ye Geçirme çözüm kılavuzu, uygulama geçiş projesi planlama ve yürütmenin dört aşamasının aynılarını daha ayrıntılı olarak inceler. Bu kılavuzda, bu aşamaları bir uygulamayı Active Directory Federasyon Hizmetleri (AD FS) 'den (AD FS) Microsoft Entra Id'ye taşıma hedefine nasıl uygulayacağınızı öğreneceksiniz.

• Active Directory Federasyon Hizmetleri (AD FS) Geçiş Hazırlığı Betiği, Microsoft Entra Id'ye geçiş için uygulamaların hazır olup olmadığını belirlemek üzere mevcut şirket içi Active Directory Federasyon Hizmetleri (AD FS) sunucularında çalıştırılabilir.

Bulut ve şirket içi uygulamalar arasında sürekli erişim yönetimi

Kuruluşların ölçeklenebilir erişimi yönetmek için bir sürece ihtiyacı vardır. Kullanıcılar erişim haklarını birikmeye devam eder ve bunlar için başlangıçta sağlananların ötesinde bir sonuç elde eder. Ayrıca, kurumsal kuruluşların erişim ilkesi ve denetimlerini sürekli olarak geliştirmek ve uygulamak için verimli bir şekilde ölçeklenebilmesi gerekir.

BT genellikle iş karar alıcılarına erişim onayı kararları verir. Ayrıca BT, kullanıcıların kendilerini de içerebilir. Örneğin, bir şirketin Avrupa'daki pazarlama uygulamasında gizli müşteri verilerine erişen kullanıcıların şirketin ilkelerini bilmesi gerekir. Konuk kullanıcılar, davet edildikleri bir kuruluştaki verilerin işleme gereksinimlerini de meyebilir.

Kuruluşlar, SaaS uygulamalarına kullanıcı sağlama veya Etki Alanları Arası Kimlik Yönetimi (SCIM)) standardıyla tümleştirilmiş uygulamalar ile birlikte dinamik gruplar gibi teknolojiler aracılığıyla erişim yaşam döngüsü sürecini otomatikleştirebilir. Kuruluşlar ayrıca şirket içi uygulamalara hangi konuk kullanıcıların erişebileceğini de denetleyebiliyor. Bu erişim hakları daha sonra yinelenen Microsoft Entra erişim gözden geçirmeleri kullanılarak düzenli olarak gözden geçirilebilir.

Gelecekteki yol tarifleri

Karma ortamlarda Microsoft'un stratejisi, bulutunun kimlik için denetim düzlemi olduğu ve şirket içi dizinlerin ve Active Directory ve diğer şirket içi uygulamalar gibi diğer kimlik sistemlerinin erişime sahip kullanıcılar sağlama hedefi olduğu dağıtımları etkinleştirmektir. Bu strateji, bu uygulamalara ve iş yüklerine bağlı olan hakları, kimlikleri ve erişimi sağlamaya devam edecektir. Bu son durumda kuruluşlar, son kullanıcı üretkenliğini tamamen buluttan yönlendirebilecek.

Sonraki adımlar

Bu yolculuğa başlama hakkında daha fazla bilgi için bkz . Microsoft Entra dağıtım planları. Bu planlar, Microsoft Entra özelliklerini dağıtmak için uçtan uca rehberlik sağlar. Her plan, yaygın Microsoft Entra özelliklerini başarıyla kullanıma sunabilmek için gereken iş değerini, planlama konularını, tasarımı ve operasyonel yordamları açıklar. Microsoft, Microsoft Entra Id ile buluttan yönetmeye yeni özellikler eklediğimizde müşteri dağıtımlarından ve diğer geri bildirimlerden öğrenilen en iyi yöntemlerle dağıtım planlarını sürekli olarak güncelleştirir.