Microsoft Entra Id'de varsayılan kullanıcı izinleri nelerdir?

  • Makale

Microsoft Entra Id'de tüm kullanıcılara bir dizi varsayılan izin verilir. Kullanıcının erişimi, kullanıcı türünden, rol atamalarından ve nesnelerin sahipliklerinden oluşur.

Bu makalede bu varsayılan izinler açıklanır ve üye ve konuk kullanıcı varsayılanları karşılaştırılmaktadır. Varsayılan kullanıcı izinleri yalnızca Microsoft Entra Id'deki kullanıcı ayarlarında değiştirilebilir.

Üye ve konuk kullanıcılar

Varsayılan izinler kümesi, kullanıcının kiracının yerel üyesi (üye kullanıcı) olmasına veya işletmeden işletmeye (B2B) işbirliği konuğu (konuk kullanıcı) gibi başka bir dizinden mi getirildiğine bağlıdır. Konuk kullanıcı ekleme hakkında daha fazla bilgi için bkz . Microsoft Entra B2B işbirliği nedir?. Varsayılan izinlerin özellikleri şunlardır:

  • Üye kullanıcılar uygulamaları kaydedebilir, kendi profil fotoğrafını ve cep telefonu numarasını yönetebilir, kendi parolalarını değiştirebilir ve B2B konuklarını davet edebilir. Bu kullanıcılar tüm dizin bilgilerini de okuyabilir (birkaç özel durum dışında).

  • Konuk kullanıcıların dizin izinleri kısıtlanmıştır. Kendi profillerini yönetebilir, kendi parolalarını değiştirebilir ve diğer kullanıcılar, gruplar ve uygulamalar hakkında bazı bilgiler alabilirler. Ancak, tüm dizin bilgilerini okuyamaz.

    Örneğin, konuk kullanıcılar tüm kullanıcıların, grupların ve diğer dizin nesnelerinin listesini numaralandıramaz. Konuklar yönetici rollerine eklenebilir ve bu roller onlara tam okuma ve yazma izinleri verir. Konuklar diğer konukları da davet edebilir.

Üye ve konuk varsayılan izinlerini karşılaştırma

Alan Üye kullanıcı izinleri Varsayılan konuk kullanıcı izinleri Kısıtlı konuk kullanıcı izinleri
Kullanıcılar ve kişiler
  • Tüm kullanıcıların ve kişilerin listesini listeleme
  • Kullanıcıların ve kişilerin tüm genel özelliklerini okuma
  • Konuk davet et
  • Kendi parolalarını değiştirme
  • Kendi cep telefonu numarasını yönetme
  • Kendi fotoğrafını yönetme
  • Kendi yenileme belirteçlerini geçersiz kılma
  • Kendi özelliklerini okuma
  • Diğer kullanıcıların ve kişilerin görünen adı, e-postası, oturum açma adı, fotoğrafı, kullanıcı asıl adı ve kullanıcı türü özelliklerini okuma
  • Kendi parolalarını değiştirme
  • Nesne kimliğine göre başka bir kullanıcı arama (izin veriliyorsa)
  • Diğer kullanıcıların yönetici ve doğrudan rapor bilgilerini okuma
  • Kendi özelliklerini okuma
  • Kendi parolalarını değiştirme
  • Kendi cep telefonu numarasını yönetme
Grup
  • Güvenlik grupları oluşturma
  • Microsoft 365 grupları oluşturma
  • Tüm grupların listesini listeleme
  • Grupların tüm özelliklerini okuma
  • Gizli olmayan grup üyeliğini okuma
  • Katılmış gruplar için gizli Microsoft 365 grup üyeliğini okuma
  • Kullanıcının sahip olduğu grupların özelliklerini, sahipliğini ve üyeliğini yönetme
  • Sahip olunan gruplara konuk ekleme
  • Grup üyeliği ayarlarını yönetme
  • Sahip olunan grupları silme
  • Sahip olunan Microsoft 365 gruplarını geri yükleme
  • Üyelik ve sahiplik de dahil olmak üzere gizli olmayan grupların özelliklerini okuma (katılmamış gruplar bile)
  • Katılmış gruplar için gizli Microsoft 365 grup üyeliğini okuma
  • Görünen ada veya nesne kimliğine göre grupları arama (izin veriliyorsa)
  • Katılmış gruplar için nesne kimliğini okuma
  • Bazı Microsoft 365 uygulamalarında katılmış grupların üyeliğini ve sahipliğini okuma (izin veriliyorsa)
Uygulama
  • Yeni uygulamaları kaydetme (oluşturma)
  • Tüm uygulamaların listesini listeleme
  • Kayıtlı ve kurumsal uygulamaların özelliklerini okuma
  • Sahip olunan uygulamaların uygulama özelliklerini, atamalarını ve kimlik bilgilerini yönetme
  • Kullanıcılar için uygulama parolaları oluşturma veya silme
  • Sahip olunan uygulamaları silme
  • Sahip olunan uygulamaları geri yükleme
  • Uygulamalara verilen izinleri listeleme
  • Kayıtlı ve kurumsal uygulamaların özelliklerini okuma
  • Uygulamalara verilen izinleri listeleme
  • Kayıtlı ve kurumsal uygulamaların özelliklerini okuma
  • Uygulamalara verilen izinleri listeleme
Aygıtları
  • Tüm cihazların listesini listeleme
  • Cihazların tüm özelliklerini okuma
  • Sahip olunan cihazların tüm özelliklerini yönetme
 İzin yok İzin yok
Organizasyon
  • Tüm şirket bilgilerini okuma
  • Tüm etki alanlarını okuma
  • Sertifika tabanlı kimlik doğrulamasının okuma yapılandırması
  • Tüm iş ortağı sözleşmelerini okuma
  • Çok kiracılı kuruluş temel ayrıntılarını ve etkin kiracıları okuma
  • Şirket görünen adını okuma
  • Tüm etki alanlarını okuma
  • Sertifika tabanlı kimlik doğrulamasının okuma yapılandırması
  • Şirket görünen adını okuma
  • Tüm etki alanlarını okuma
Roller ve kapsamlar
  • Tüm yönetim rollerini ve üyeliklerini okuma
  • Yönetim birimlerinin tüm özelliklerini ve üyeliğini okuma
 İzin yok İzin yok
Abonelik
  • Tüm lisans aboneliklerini okuma
  • Hizmet planı üyeliklerini etkinleştirme
 İzin yok İzin yok
Koşullarıdır
  • İlkelerin tüm özelliklerini okuma
  • Sahip olunan ilkelerin tüm özelliklerini yönetme
 İzin yok İzin yok

Üye kullanıcıların varsayılan izinlerini kısıtlama

Kullanıcıların varsayılan izinlerine kısıtlamalar eklemek mümkündür.

Üye kullanıcılar için varsayılan izinleri aşağıdaki yollarla kısıtlayabilirsiniz:

Dikkat

Microsoft Entra yönetim portalına erişimi kısıtla anahtarının kullanılması bir güvenlik önlemi DEĞİlDİR. İşlev hakkında daha fazla bilgi için aşağıdaki tabloya bakın.

İzin Ayar açıklaması
Uygulamaları kaydetme Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların uygulama kayıtları oluşturmasını engeller. Daha sonra belirli kişilere uygulama geliştirici rolüne ekleyerek bu özelliği geri vekleyebilirsiniz.
Kullanıcıların LinkedIn ile iş veya okul hesabını bağlamasına izin ver Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların iş veya okul hesabını LinkedIn hesaplarına bağlamasını engeller. Daha fazla bilgi için bkz . LinkedIn hesabı bağlantıları veri paylaşımı ve onayı.
Güvenlik grupları oluşturma Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların güvenlik grupları oluşturmasını engeller. En azından Kullanıcı Yöneticileri rolüne atanan kullanıcılar yine de güvenlik grupları oluşturabilir. Nasıl yapılacağını öğrenmek için bkz . Grup ayarlarını yapılandırmak için Microsoft Entra cmdlet'leri.
Microsoft 365 grupları oluşturma Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların Microsoft 365 grupları oluşturmasını engeller. Bu seçeneğin Bazıları olarak ayarlanması, bir kullanıcı kümesinin Microsoft 365 grupları oluşturmasına olanak tanır. En azından Kullanıcı Yöneticisi rolüne atanan herkes Microsoft 365 grupları oluşturmaya devam edebilir. Nasıl yapılacağını öğrenmek için bkz . Grup ayarlarını yapılandırmak için Microsoft Entra cmdlet'leri.
Microsoft Entra yönetim portalına erişimi kısıtlama Bu anahtar ne yapar?
Hayır , yönetici olmayanların Microsoft Entra yönetim portalına göz atmalarına izin verir.
Evet Yönetici olmayanların Microsoft Entra yönetim portalına göz atmalarını kısıtlar. Grup veya uygulama sahibi olan yönetici olmayanlar, sahip oldukları kaynakları yönetmek için Azure portalını kullanamaz.

Ne işe yarmıyor?
PowerShell, Microsoft GraphAPI veya Visual Studio gibi diğer istemcileri kullanarak Microsoft Entra verilerine erişimi kısıtlamaz.
Kullanıcıya özel bir rol (veya herhangi bir rol) atandığı sürece erişimi kısıtlamaz.

Bu anahtarı ne zaman kullanmalıyım?
Kullanıcıların sahip oldukları kaynakları yanlış yapılandırmalarını önlemek için bu seçeneği kullanın.

Bu anahtarı ne zaman kullanmamalıyım?
Bu anahtarı güvenlik önlemi olarak kullanmayın. Bunun yerine, yönetici olmayanların Windows Azure Hizmet Yönetimi API'lerine erişimini engelleyen Windows Azure Hizmet Yönetimi API'sini hedefleyen bir Koşullu Erişim ilkesi oluşturun.

Yalnızca belirli yönetici olmayan kullanıcılara Microsoft Entra yönetim portalını kullanma izni Nasıl yaparım??
Bu seçeneği Evet olarak ayarlayın ve genel okuyucu gibi bir rol atayın.

Microsoft Entra yönetim portalına erişimi kısıtlama
Windows Azure Hizmet Yönetimi API'sini hedefleyen bir Koşullu Erişim ilkesi, tüm Azure yönetimine erişimi hedefler.
Yönetici olmayan kullanıcıların kiracı oluşturmalarını kısıtlama Kullanıcılar, Microsoft Entra Id ve Microsoft Entra yönetim portalında Kiracıyı yönet altında kiracı oluşturabilir. Kiracı oluşturma işlemi Denetim günlüğüne DirectoryManagement kategorisi ve Şirket Oluştur etkinliği olarak kaydedilir. Kiracı oluşturan herkes bu kiracının Genel Yöneticisi olur. Yeni oluşturulan kiracı hiçbir ayarı veya yapılandırmayı devralmıyor.

Bu anahtar ne yapar?
Bu seçeneğin Evet olarak ayarlanması, Microsoft Entra kiracılarının oluşturulmasını en azından Kiracı Oluşturucusu rolüne atanmış olan herkesle kısıtlar. Bu seçeneğin Hayır olarak ayarlanması, yönetici olmayan kullanıcıların Microsoft Entra kiracıları oluşturmasına izin verir. Kiracı oluşturma işlemi Denetim günlüğüne kaydedilmeye devam eder.

Nasıl yaparım? yalnızca belirli yönetici olmayan kullanıcılara yeni kiracılar oluşturma olanağı verir mi?
Bu seçeneği Evet olarak ayarlayın ve kiracı oluşturucusu rolünü atayın.
Kullanıcıların sahip oldukları cihazlar için BitLocker anahtarlarını kurtarmasını kısıtlama Bu ayar, Cihaz Ayarları'ndaki Microsoft Entra yönetim merkezinde bulunabilir. Bu seçeneği Evet olarak ayarlamak, kullanıcıların sahip oldukları cihazlar için Self Servis Kurtarma BitLocker anahtarlarını kurtarabilmesini kısıtlar. Kullanıcıların BitLocker anahtarlarını almak için kuruluşlarının yardım masasına başvurmaları gerekir. Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların BitLocker anahtarlarını kurtarmasına olanak tanır.
Diğer kullanıcıları okuma Bu ayar yalnızca Microsoft Graph ve PowerShell'de kullanılabilir. Bu bayrağın ayarı $false , tüm yönetici olmayanların dizinden kullanıcı bilgilerini okumasını engeller. Bu bayrak, Microsoft Teams gibi diğer Microsoft hizmetleri kullanıcı bilgilerinin okunmasını engelleyebilir.

Bu ayar özel durumlar içindir, bu nedenle bayrağı $falseolarak ayarlamanızı önermeyiz.

Yönetici olmayan kullanıcıların kiracı oluşturmasını kısıtla seçeneği aşağıdaki ekran görüntüsünde gösterilmiştir.

Yönetici olmayanların kiracı oluşturmasını kısıtlama seçeneğini gösteren ekran görüntüsü.

Konuk kullanıcıların varsayılan izinlerini kısıtlama

Konuk kullanıcılar için varsayılan izinleri aşağıdaki yollarla kısıtlayabilirsiniz.

Not

Konuk kullanıcı erişim kısıtlamaları ayarı, Konuk kullanıcı izinlerinin yerini aldı ayarı sınırlıdır . Bu özelliği kullanma hakkında yönergeler için bkz . Microsoft Entra Id'de konuk erişimi izinlerini kısıtlama.

İzin Ayar açıklaması
Konuk kullanıcı erişim kısıtlamaları Bu seçeneği Konuk kullanıcılara ayarlamak , üyeler ile aynı erişime sahip olur ve tüm üye kullanıcılara varsayılan olarak konuk kullanıcılara izin verir.

Bu seçeneği Konuk kullanıcı erişimi olarak ayarlamak, kendi dizin nesnelerinin özellikleri ve üyelikleriyle sınırlıdır, konuk erişimini varsayılan olarak yalnızca kendi kullanıcı profiliyle kısıtlar. Kullanıcı asıl adına, nesne kimliğine veya görünen ada göre arama yaparken bile diğer kullanıcılara erişime artık izin verilmiyor. Grup üyelikleri de dahil olmak üzere grup bilgilerine erişime de artık izin verilmiyor.

Bu ayar, Microsoft Teams gibi bazı Microsoft 365 hizmetlerinde birleştirilmiş gruplara erişimi engellemez. Daha fazla bilgi edinmek için bkz . Microsoft Teams konuk erişimi.

Konuk kullanıcılar, bu izin ayarından bağımsız olarak yönetici rollerine eklenebilir.
Konuklar davet edebilir Bu seçeneğin Evet olarak ayarlanması, konukların diğer konukları davet etmesine olanak tanır. Daha fazla bilgi edinmek için bkz . Dış işbirliği ayarlarını yapılandırma.

Nesne sahipliği

Uygulama kaydı sahibi izinleri

Kullanıcı bir uygulamayı kaydettirdiğinde, uygulama sahibi olarak otomatik olarak eklenir. Sahip olarak, uygulamanın istediği ad ve izinler gibi uygulamanın meta verilerini yönetebilir. Bunlar, çoklu oturum açma (SSO) yapılandırması ve kullanıcı atamaları gibi uygulamanın kiracıya özgü yapılandırmasını da yönetebilir.

Bir sahip, başka sahipler de ekleyebilir veya kaldırabilir. En azından Uygulama Yöneticisi rolüne atanan kullanıcıların aksine, sahipler yalnızca sahip oldukları uygulamaları yönetebilir.

Kurumsal uygulama sahibi izinleri

Kullanıcı yeni bir kurumsal uygulama eklediğinde otomatik olarak sahip olarak eklenir. Sahip olarak, SSO yapılandırması, sağlama ve kullanıcı atamaları gibi uygulamanın kiracıya özgü yapılandırmasını yönetebilir.

Bir sahip, başka sahipler de ekleyebilir veya kaldırabilir. En azından Uygulama Yöneticisi rolüne atanan kullanıcıların aksine, sahipler yalnızca sahip oldukları uygulamaları yönetebilir.

Grup sahibi izinleri

Kullanıcı bir grup oluşturduğunda, bu grup için otomatik olarak sahip olarak eklenir. Sahip olarak, grubun özelliklerini (ad gibi) yönetebilir ve grup üyeliğini yönetebilir.

Bir sahip, başka sahipler de ekleyebilir veya kaldırabilir. En azından Grup Yöneticisi rolüne atanan kullanıcıların aksine, sahipler yalnızca sahip oldukları grupları yönetebilir ve yalnızca grubun üyelik türü Atanmış olduğunda grup üyeleri ekleyebilir veya kaldırabilirler.

Grup sahibi atamak için bkz. Grubun sahiplerini yönetme.

Bir grubu rol ataması için uygun hale getirmek üzere Privileged Access Management'ı (PIM) kullanmak için bkz . Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma.

Sahiplik izinleri

Aşağıdaki tablolarda, Microsoft Entra Id'de üye kullanıcıların sahip olduğu nesneler üzerinde sahip olduğu belirli izinler açıklanmaktadır. Kullanıcılar yalnızca sahip oldukları nesneler üzerinde bu izinlere sahiptir.

Sahip olunan uygulama kayıtları

Kullanıcılar sahip olunan uygulama kayıtlarında aşağıdaki eylemleri gerçekleştirebilir:

Eylem Açıklama
microsoft.directory/applications/audience/update Microsoft Entra Id içindeki özelliği güncelleştirin applications.audience .
microsoft.directory/applications/authentication/update Microsoft Entra Id içindeki özelliği güncelleştirin applications.authentication .
microsoft.directory/applications/basic/update Microsoft Entra Id'deki uygulamalardaki temel özellikleri güncelleştirin.
microsoft.directory/applications/credentials/update Microsoft Entra Id içindeki özelliği güncelleştirin applications.credentials .
microsoft.directory/applications/delete Microsoft Entra Id'deki uygulamaları silin.
microsoft.directory/applications/owners/update Microsoft Entra Id içindeki özelliği güncelleştirin applications.owners .
microsoft.directory/applications/permissions/update Microsoft Entra Id içindeki özelliği güncelleştirin applications.permissions .
microsoft.directory/applications/policies/update Microsoft Entra Id içindeki özelliği güncelleştirin applications.policies .
microsoft.directory/applications/restore Microsoft Entra Id'de uygulamaları geri yükleyin.

Sahip olunan kurumsal uygulamalar

Kullanıcılar, sahip olunan kurumsal uygulamalarda aşağıdaki eylemleri gerçekleştirebilir. Kurumsal uygulama bir hizmet sorumlusundan, bir veya daha fazla uygulama ilkesinden ve bazen hizmet sorumlusuyla aynı kiracıdaki bir uygulama nesnesinden oluşur.

Eylem Açıklama
microsoft.directory/auditLogs/allProperties/read Microsoft Entra Id'deki denetim günlüklerindeki tüm özellikleri (ayrıcalıklı özellikler dahil) okuyun.
microsoft.directory/policies/basic/update Microsoft Entra Id'deki ilkelerdeki temel özellikleri güncelleştirin.
microsoft.directory/policies/delete Microsoft Entra Id'de ilkeleri silin.
microsoft.directory/policies/owners/update Microsoft Entra Id içindeki özelliği güncelleştirin policies.owners .
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Microsoft Entra Id içindeki özelliği güncelleştirin servicePrincipals.appRoleAssignedTo .
microsoft.directory/servicePrincipals/appRoleAssignments/update Microsoft Entra Id içindeki özelliği güncelleştirin users.appRoleAssignments .
microsoft.directory/servicePrincipals/audience/update Microsoft Entra Id içindeki özelliği güncelleştirin servicePrincipals.audience .
microsoft.directory/servicePrincipals/authentication/update Microsoft Entra Id içindeki özelliği güncelleştirin servicePrincipals.authentication .
microsoft.directory/servicePrincipals/basic/update Microsoft Entra Id'deki hizmet sorumlularındaki temel özellikleri güncelleştirin.
microsoft.directory/servicePrincipals/credentials/update Microsoft Entra Id içindeki özelliği güncelleştirin servicePrincipals.credentials .
microsoft.directory/servicePrincipals/delete Microsoft Entra Kimliği'nde hizmet sorumlularını silin.
microsoft.directory/servicePrincipals/owners/update Microsoft Entra Id içindeki özelliği güncelleştirin servicePrincipals.owners .
microsoft.directory/servicePrincipals/permissions/update Microsoft Entra Id içindeki özelliği güncelleştirin servicePrincipals.permissions .
microsoft.directory/servicePrincipals/policies/update Microsoft Entra Id içindeki özelliği güncelleştirin servicePrincipals.policies .
microsoft.directory/signInReports/allProperties/read Microsoft Entra Id'de oturum açma raporlarında tüm özellikleri (ayrıcalıklı özellikler dahil) okuyun.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Uygulama sağlama gizli dizilerini ve kimlik bilgilerini yönetme
microsoft.directory/servicePrincipals/synchronizationJobs/manage Uygulama sağlama eşitleme işlerini başlatma, yeniden başlatma ve duraklatma
microsoft.directory/servicePrincipals/synchronizationSchema/manage Uygulama sağlama eşitleme işlerini ve şemasını oluşturma ve yönetme
microsoft.directory/servicePrincipals/synchronization/standard/read Hizmet sorumlunuzla ilişkili sağlama ayarlarını okuma

Sahip olunan cihazlar

Kullanıcılar sahip olunan cihazlarda aşağıdaki eylemleri gerçekleştirebilir:

Eylem Açıklama
microsoft.directory/devices/bitLockerRecoveryKeys/read devices.bitLockerRecoveryKeys Microsoft Entra Id içindeki özelliğini okuyun.
microsoft.directory/devices/disable Microsoft Entra Id'de cihazları devre dışı bırakın.

Sahip olunan gruplar

Kullanıcılar sahip olunan gruplarda aşağıdaki eylemleri gerçekleştirebilir.

Not

Dinamik üyelik gruplarının sahiplerinin, dinamik üyelik gruplarının kurallarını düzenleyebilmesi için Grup Yöneticisi, Intune Yöneticisi veya Kullanıcı Yöneticisi rolüne sahip olması gerekir. Daha fazla bilgi için bkz . Microsoft Entra Id'de dinamik üyelik grubu oluşturma veya güncelleştirme.

Eylem Açıklama
microsoft.directory/groups/appRoleAssignments/update Microsoft Entra Id içindeki özelliği güncelleştirin groups.appRoleAssignments .
microsoft.directory/groups/basic/update Microsoft Entra Id'deki gruplardaki temel özellikleri güncelleştirin.
microsoft.directory/groups/delete Microsoft Entra Id'de grupları silin.
microsoft.directory/groups/members/update Microsoft Entra Id içindeki özelliği güncelleştirin groups.members .
microsoft.directory/groups/owners/update Microsoft Entra Id içindeki özelliği güncelleştirin groups.owners .
microsoft.directory/groups/restore Microsoft Entra Id'de grupları geri yükleyin.
microsoft.directory/groups/settings/update Microsoft Entra Id içindeki özelliği güncelleştirin groups.settings .

Sonraki adımlar

  • Konuk kullanıcı erişim kısıtlamaları ayarı hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra Id'de konuk erişim izinlerini kısıtlama.

  • Microsoft Entra yönetici rollerini atama hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id'de yönetici rollerine kullanıcı atama.

  • Microsoft Azure'da kaynak erişiminin nasıl denetlendiğini öğrenmek için bkz . Azure'da kaynak erişimini anlama.

  • Kullanıcıları yönetme.