Microsoft Entra Id'de gruplar ve erişim hakları hakkında bilgi edinin

Microsoft Entra ID kaynaklara, uygulamalara ve görevlere erişimi yönetmek için çeşitli yollar sağlar. Microsoft Entra gruplarıyla, tek tek her kullanıcı yerine bir kullanıcı grubuna erişim ve izinler verilmektedir. Microsoft Entra kaynaklarına erişimi yalnızca erişime ihtiyacı olan kullanıcılarla sınırlamak, Sıfır Güven temel güvenlik ilkelerinden biridir.

Bu makalede, Microsoft Entra kullanıcılarınızı yönetmeyi kolaylaştırırken aynı zamanda en iyi güvenlik yöntemlerini uygulamak için grupların ve erişim haklarının birlikte nasıl kullanılabileceğini gösteren bir genel bakış sunulmaktadır.

Microsoft Entra Id, uygulamalara, verilere ve kaynaklara erişimi yönetmek için grupları kullanmanıza olanak tanır. Kaynaklar şu şekilde olabilir:

  • Microsoft Entra id'deki roller aracılığıyla nesneleri yönetme izinleri gibi Microsoft Entra kuruluşunun bir parçası
  • Hizmet Olarak Yazılım (SaaS) uygulamaları gibi kuruluş dışında
  • Azure hizmetleri
  • SharePoint siteleri
  • Şirket içi kaynaklar

Bazı gruplar Azure portalında yönetilemiyor:

  • şirket içi Active Directory eşitlenen gruplar yalnızca şirket içi Active Directory yönetilebilir.
  • Dağıtım listeleri ve posta etkin güvenlik grupları yalnızca Exchange yönetim merkezinde veya Microsoft 365 yönetim merkezi yönetilir. Bu grupları yönetmek için Exchange yönetim merkezinde veya Microsoft 365 yönetim merkezi oturum açmanız gerekir.

Grup oluşturmadan önce bilinmesi gerekenler

İki grup türü ve üç grup üyeliği türü vardır. Senaryonuz için doğru bileşimi bulmak için seçenekleri gözden geçirin.

Grup türleri:

Güvenlik: Paylaşılan kaynaklara kullanıcı ve bilgisayar erişimini yönetmek için kullanılır.

Örneğin, tüm grup üyelerinin aynı güvenlik izinleri kümesine sahip olması için bir güvenlik grubu oluşturabilirsiniz. Güvenlik grubunun üyeleri, erişim ilkesini ve izinleri tanımlayan kullanıcıları, cihazları, hizmet sorumlularını ve diğer grupları (iç içe gruplar olarak da bilinir) içerebilir. Güvenlik grubunun sahipleri kullanıcıları ve hizmet sorumlularını içerebilir.

Not

Mevcut bir güvenlik grubunu başka bir güvenlik grubuna iç içe yerleştirdiğinizde, yalnızca üst gruptaki üyeler paylaşılan kaynaklara ve uygulamalara erişebilir. İç içe grup üyeleri, üst grup üyeleriyle aynı atanmış üyeye sahip değildir. İç içe grupları yönetme hakkında daha fazla bilgi için bkz . Grupları yönetme.

Microsoft 365: Grup üyelerine paylaşılan posta kutusuna, takvime, dosyalara, SharePoint sitelerine ve daha fazlasına erişim vererek işbirliği fırsatları sağlar.

Bu seçenek, kuruluşunuzun dışındaki kişilerin de gruba erişmesini sağlar. Microsoft 365 grubunun üyeleri yalnızca kullanıcıları içerebilir. Microsoft 365 grubunun sahipleri kullanıcıları ve hizmet sorumlularını içerebilir. Microsoft 365 Grupları hakkında daha fazla bilgi için bkz. Microsoft 365 Grupları hakkında bilgi edinin.

Üyelik türleri:

  • Atanan gruplar: Belirli kullanıcıları bir grubun üyesi olarak eklemenize ve benzersiz izinlere sahip olmanıza olanak tanır.

  • Kullanıcılar için dinamik üyelik grubu: Kullanıcıların kullanıcıları otomatik olarak üye olarak eklemesi ve kaldırması için kuralları kullanmanıza olanak tanır. Bir üyenin öznitelikleri değişirse, sistem dizin için dinamik üyelik gruplarına yönelik kurallarınıza bakar. Sistem, üyenin kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) denetler.

  • Cihazlar için dinamik üyelik grubu: Cihazları otomatik olarak üye olarak eklemek ve kaldırmak için cihazların kurallarını kullanmanıza olanak tanır. Bir cihazın öznitelikleri değişirse sistem, cihazın kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) görmek için dizin için dinamik üyelik gruplarına yönelik kurallarınıza bakar.

    Önemli

    Ya cihazlar ya da kullanıcılar için bir dinamik grup oluşturabilirsiniz, her ikisi için oluşturamazsınız. Cihaz sahiplerinin özniteliklerine göre bir cihaz grubu oluşturamazsınız. Cihaz üyeliği kuralları yalnızca cihaz ilişkilendirmesine başvurabilir. Kullanıcılar ve cihazlar için dinamik grup oluşturma hakkında daha fazla bilgi için bkz . Dinamik grup oluşturma ve durumu denetleme.

Gruba erişim hakları eklemeden önce bilinmesi gerekenler

Bir Microsoft Entra grubu oluşturduktan sonra uygun erişimi vermeniz gerekir. Erişim izinleri gerektiren her uygulama, kaynak ve hizmetin ayrı olarak yönetilmesi gerekir çünkü birinin izinleri başka bir uygulamayla aynı olmayabilir. Saldırı veya güvenlik ihlali riskini azaltmaya yardımcı olmak için en az ayrıcalık ilkesini kullanarak erişim izni verin.

Microsoft Entra Id'de erişim yönetimi nasıl çalışır?

Microsoft Entra Id, tek bir kullanıcıya veya tüm Microsoft Entra grubuna erişim hakları sağlayarak kuruluşunuzun kaynaklarına erişim vermenize yardımcı olur. Grupların kullanılması, kaynak sahibinin veya Microsoft Entra dizin sahibinin grubun tüm üyelerine bir erişim izinleri kümesi atamasına olanak tanır. Kaynak veya dizin sahibi ayrıca bölüm yöneticisi veya yardım masası yöneticisi gibi bir kişiye yönetim hakları vererek söz konusu kişinin üye eklemesine ve kaldırmasına izin verebilir. Grup sahiplerini yönetme hakkında daha fazla bilgi için Grupları yönetme makalesine bakın.

Microsoft Entra ID erişim yönetimi diyagramının ekran görüntüsü.

Erişim hakları atama yolları

Grup oluşturduktan sonra erişim haklarının nasıl ataneceğine karar vermeniz gerekir. Senaryonuz için en iyi süreci belirlemek için erişim hakları atamanın yollarını keşfedin.

  • Doğrudan atama. Kaynak sahibi kullanıcıyı doğrudan kaynağa atar.

  • Grup ataması. Kaynak sahibi kaynağa bir Microsoft Entra grubu atar ve bu grup üyelerinin tümüne kaynağa otomatik olarak erişim verir. Hem grup sahibi hem de kaynak sahibi grup üyeliğini yöneterek, sahibin gruba üye eklemesine veya gruptan üye kaldırmasına izin vererek. Grup üyeliğini yönetme hakkında daha fazla bilgi için Yönetilen gruplar makalesine bakın.

  • Kural tabanlı atama. Kaynak sahibi bir grup oluşturur ve belirli bir kaynağa hangi kullanıcıların atanacaklarını tanımlamak için bir kural kullanır. Kural, tek tek kullanıcılara atanan öznitelikleri temel alır. Kaynak sahibi kuralı yönetir ve kaynağa erişime izin vermek için hangi özniteliklerin ve değerlerin gerekli olduğunu belirler. Daha fazla bilgi için bkz . Dinamik grup oluşturma ve durumu denetleme.

  • Dış yetkili ataması. Access, şirket içi dizin veya SaaS uygulaması gibi bir dış kaynaktan gelir. Bu durumda, kaynak sahibi kaynağa erişim sağlamak için bir grup atar ve ardından dış kaynak grup üyelerini yönetir.

    Erişim yönetimine genel bakış diyagramının ekran görüntüsü.

Kullanıcılar atanmadan gruplara katılabilir mi?

Grup sahibi, kullanıcıların kendilerine atamak yerine katılmak için kendi gruplarını bulmalarına izin verebilir. Sahip, grubu katılan tüm kullanıcıları otomatik olarak kabul etmek veya onay istemek üzere de ayarlayabilir.

Kullanıcı gruba katılma isteğinde bulunduktan sonra, istek grup sahibine iletilir. Gerekirse, sahip isteği onaylayabilir ve kullanıcıya grup üyeliği bildirilir. Birden çok sahibiniz varsa ve bunlardan biri onaylamıyorsa, kullanıcıya bildirim gönderilir ancak gruba eklenmez. Kullanıcılarınızın gruplara katılma isteğinde bulunmalarına izin verme hakkında daha fazla bilgi ve yönergeler için bkz . Kullanıcıların gruplara katılma isteğinde bulunabilmesi için Microsoft Entra Id'yi ayarlama.

Sonraki adımlar