Microsoft, PIM Enabled Azure Lighthouse Delegations’ın genel kullanıma sunulduğunu duyurdu.
Microsoft yaptığı açılamada, “Bu, ürünün 2019’daki piyasaya sürülmesinden bu yana müşterilerin en çok istediği özelliklerden biri olmuştu ve bu güçlü yeteneği müşterilerimize sunmaktan dolayı heyecanlıyız! PIM uygun yetkilendirmelerinin eklenmesiyle, müşteriler ve hizmet sağlayıcılar müşteri kaynaklarına daha ayrıntılı düzeyde erişim sağlamak için başka bir araca sahip oluyor.
Azure Lighthouse sayesinde, hizmet sağlayıcılar Azure platformuna entegre edilmiş kapsamlı ve güçlü araçları kullanarak yönetilen hizmetler sunabilirler. Müşteriler, kendi tenant kimin erişimi olduğunu, hangi kaynaklara erişebileceğini ve hangi işlemleri gerçekleştirebileceğini kontrol altında tutarlar. Birden fazla tenant üzerinde kaynakları yöneten kurumsal organizasyonlar, Azure Lighthouse’ı kullanarak yönetim görevlerini daha verimli bir şekilde yürütebilirler. Tenant arası yönetim deneyimi sayesinde, Azure Policy, Microsoft Sentinel, Azure Arc gibi Azure hizmetleriyle daha etkin bir şekilde çalışılabilir. Kullanıcılar etkinlik günlüğünde yapılan değişiklikleri ve kimin tarafından yapıldığını görebilirler; bu günlük müşterinin tenant depolanır ve yöneten tenant kullanıcılar tarafından görüntülenebilir.
PIM Delegations, Azure Lighthouse’ın ayrıntılı erişimini bir üst seviyeye taşır; çünkü hizmet sağlayıcılara görevi tamamlamak için kaynağa göre tam olarak gerekli erişim düzeyi atanır ve bu erişimin süresi tam olarak belirlenebilir. Müşteriler, Azure Active Directory (Azure AD) Privileged Identity Management (PIM) kullanarak kendi tenant kullanıcıların yöneten tenant rolünü geçici olarak yükseltmelerine olanak tanıyan uygun yetkilendirmeler oluşturabilirler. Bu sayede yöneten tenant kullanıcıları, belirli bir süre için sadece belirli izinlere sahip olur. Müşteriler aynı zamanda, sağlayıcının erişimini yükseltmeden önce Azure Multi-Factor Authentication’ı (Çok Faktörlü Kimlik Doğrulama) zorlayarak ek güvenlik avantajından da yararlanırlar. Tüm faaliyetler denetlenebilir, kaydedilir ve yöneten tenant içinde görüntülenebilir.
Azure AD PIM için Azure Lighthouse desteği, Sıfır Güvenlik modelinin temel prensiplerinden biri olan en az ayrıcalık prensibine dayanır. Bu prensip, sadece yeterli ve zamanında erişimi sağlamayı hedefler. JIT (just-in-time) erişim modeli, kalıcı bir Azure RBAC rolüne sınırlı bir süre ekler; rolü kullanmadan önce etkinleştirilmesi ve belirli bir süre sonra süresinin dolması gerekliliğini getirir. Bugün Azure Lighthouse tarafından desteklenen kalıcı Azure RBAC rolleri gibi, bu uygun rollerin son kullanma tarihi yoktur ve diğer rol atamalarıyla birlikte Azure Lighthouse blade’i içinde görüntülenebilirler. Uygun roller, en az bir kalıcı role sahip olmadan kullanılamaz ve izin verilen maksimum etkinleştirme süresine kadar 30 dakikalık artışlarla etkinleştirilebilir.
Azure AD PIM ile ARM şablonlarını yapılandırma, Azure Lighthouse ile önceden olduğu gibi çalışır, ancak uygun yetkilendirmeler parametresinin eklenmesiyle gerçekleşir. Bu sayede müşteriler, JIT erişim politikalarını yapılandırabilir, maksimum etkinleştirme sürelerini belirleyebilir, MFA sağlayıcısını (Azure) ve uygun roller için onaylayıcıları belirleyebilirler.
Uygun yetkilendirmeler oluşturma
Uygun roller oluşturmak, belgelerimizde, Azure portalı üzerinden ve Partner Center Experience aracılığıyla basit bir süreçtir.
JIT göre uygun rolleri etkinleştirme
ARM şablonu dağıtıldığında, şablonun uygulandığı kapsamda kayıt tanımı ve kayıt ataması oluşturulur; bu sayede kalıcı ve uygun roller Azure Lighthouse > My Customers > Delegations blade‘i içinde görüntülenir. Kullanıcı, uygun bir role sahipse, rolü etkinleştirmek için Azure AD PIM blade’ine gider.” dedi.
Daha fazla bilgi için: https://techcommunity.microsoft.com/t5/security-compliance-and-identity/azure-lighthouse-pim-enabled-delegations/ba-p/3682255