Azure üzerinde kullanıcı rollerini platform olarak Azure AD roles ve Azure Resources roles şeklinde iki başlık altında inceleyebiliriz.Microsoft ilgili rollerin yönetimi için Azure AD Privileged Identity Management ürününü kullanıma sunmuştur.
Azure AD Privileged Identity Management PIM ürünü ile neler yapabiliriz?
-Azure AD veya Resources için kullanıcılarımıza ticket veya approval yöntemiyle ayrıcalıklı roller atayarak süre tanımı yapabiliriz.
– Azure AD Privileged Identity Management dashboard üzerinden activity logs çekerek rol ataması yapılan veya atayan kullanıcıya ait tüm aksiyonları inceleyebiliriz.
Bu ürünü kullanabilmemiz için Azure AD Premium P2 veya Office 365 E5 lisansına ihtiyacımız bulunmaktadır.
Azure AD roles için,
İşlem adımlarına geçebiliriz.
-Portal Azure üzerinde Search kısmına AD Priviliged Identity Management yazarak ilgili ürünü açalım.
-AD Privileged Management’i açtığımızda bizi aşağıdaki gibi bir dashboard karşılamaktadır.Bu dashboard üzerindeki kısayollar yoluylada gerekli yetkilendirmeleri yapabiliriz.
-Azure AD roles kısmına tıkladıktan sonra settings kısmına ilerleyerek roles tıklayalım.
-Kullanıcıya ilgili rol atandığında rolün nasıl aktif olacağı kısmında Ticket kısmını enable yaparak ilerliyoruz.
-Azure AD Roles sekmesine geri dönerek Roles’e giriyoruz.Add Member diyerek rol atamak istediğimiz kullanıcıyı seçiyoruz.
-İlgili kullanıcıyı ekleyelim.Rolleri atama tipi iki şekilde Eligible ve Permanent şeklinde ayarlanabiliyor.Biz süreli olarak rol atama yapacağımız için Eligible rol ataması gerçekleştiriyoruz.
-Rol atamasını aşağıdaki gibi gerçekleştirdik.
-İlgili kullanıcıya aşağıdaki gibi bir mail ulaşmaktadır.Activate role butonuna tıklıyoruz.Kullanıcı bilgileri ile https://portal.azure.com adresine girilerek Azure AD Privileged Management açılarak ilgili alana erişilebilmektedir.
-Açılan portal sayfasında tekrar activate diyerek ilerleyelim.
-Custom bir aktivasyon saati belirleyerek bu rolün istediğimiz ileri bir saattede aktif olmasını sağlayabiliriz.. Ticket number ve Activation reason alanı zorunlu bir alan ve içeriği isteğe bağlıdır. Ticket number kısmında admin’in yada kullanıcının belirtmiş olduğu içeriği yazalım.
-Aktivasyon işleminden sonra aşağıdaki gibi rol aktif oldu.
-Azure AD Privileged Management dashboard üzerindede rolün aktifleştiğini ve expire olacağı süreyi görebiliyoruz.
-Diğer bir rol atama yöntemi olan Require approval yöntemidir.Aşağıdaki gibi ilgili rolde aktif edelim.Ve onaylama yapacak admin kullanıcısını seçelim.
-Manage-Roles kısmını açalım.
-Add Member diyerek ilgili kullanıcımızı ekleyelim.
-İlgili kullanıcı ile https://portal.azure.com adresine girerek Azure AD Privileged Management’i açalım.Activate butonuna tıklayalım.
-Activation reason kısmına içerik isteğe bağlı olarak yazalım.Activate butonuna tıklayalım.
-Rol hemen aktif olmayacaktır.Pending request olarak durumu güncellenecektir.Rol ayarlarında belirtmiş olduğumuz Approver kullanıcısına bir request gidecektir.
-Approver kullanıcısı ile Approve requests istek aşağıdaki gibi görünmektedir.
-İsteği onayladıktan sonra role aktif olmaktadır.
-İlgili kullanıcımıza role atanmış oldu.
-Role atadığımız kullanıcıya rolün aktif olduğuna dair bir mail gelecektir.
Azure resources için,
– Azure AD Privileged Identity Management ile Azure resources içinde role ataması yapılabilmektedir.Portal üzerinden PIM açılarak Azure resources kısmına tıklayalım.Discover resources tıklayarak mevcut subscription ekleyelim.
-Eklediğimiz subscription üstüne tıklayarak aşağıdaki gibi settings’e girelim.Azure resources rollerimizi listeleyelim.Bundan sonraki kısımlar Azure AD roles anlattığımız gibi aynıdır.
-Owner rolü içerisine girip edit butonuna basalım.
-Rol atayacağımız kullanıcıdan rolü aktifleştirmeden önce MFA isteyip istemeyeceğimizi belirtelim. Kullanıcıya ilgili rol atandığında rolün nasıl aktif olacağı Azure AD roles kısmındaki gibi Ticket veya Require approval şeklinde ilerleyebiliriz.
-Azure resource kısmına geri dönüp roles kısmına tıklayalım.
-Add member butonuna tıklayarak role ataması yapalım.
-Azure AD Roles adımlarda yaptığımız gibi Ticket ve Approval şeklinde aktivasyon işlemi yapabiliriz.Roles atadığımız kullanıcımıza aşağıdaki gibi bir mail geldi.Activate roles diyerek aktivasyonu tamamlıyoruz.
– Azure AD Privileged Identity Management Azure AD Roles ve Azure Resource özelinde My audit history kısmından logs inceleyebiliriz.
Görüşmek dileğiyle.
