Yetkilendirme yönetiminde bağlı kuruluşları yönetme
Yetkilendirme yönetimi ile kuruluşunuzun dışındaki kişilerle işbirliği yapabilirsiniz. Belirli dış kuruluşlardan birçok kullanıcıyla sık sık işbirliği yaparsanız, bu kuruluşun kimlik kaynaklarını bağlı kuruluşlar olarak ekleyebilirsiniz. Bağlı bir kuruluşa sahip olmak, bu kuruluşlardan daha fazla kişinin erişim isteme şeklini basitleştirir. Bu makalede, kuruluşunuz dışındaki kullanıcıların dizininizdeki kaynakları istemesine izin vermek için bağlı bir kuruluşun nasıl ekleneceği açıklanır.
Bağlı kuruluş nedir?
Bağlı kuruluş, ilişki içinde olduğunuz başka bir kuruluşdur. Bu kuruluştaki kullanıcıların SharePoint Online siteleriniz veya uygulamalarınız gibi kaynaklarınıza erişebilmesi için söz konusu kuruluş kullanıcılarının bu dizinde bir gösterimine sahip olmanız gerekir. Çoğu durumda söz konusu kuruluştaki kullanıcılar zaten Microsoft Entra dizininizde olmadığından, yetkilendirme yönetimini kullanarak gerektiğinde bunları Microsoft Entra dizininize getirebilirsiniz.
Herkesin erişim istemesi için bir yol sağlamak istiyorsanız ve bu yeni kullanıcıların hangi kuruluşlardan olabileceğinden emin değilseniz, dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi yapılandırabilirsiniz. Bu ilkede Tüm kullanıcılar (Tüm bağlı kuruluşlar + yeni dış kullanıcılar) seçeneğini belirleyin. İstek sahibi onaylanırsa ve dizininizdeki bağlı bir kuruluşa ait değilse, bunlar için otomatik olarak bağlı bir kuruluş oluşturulur.
Yalnızca belirlenen kuruluşlardan kişilerin erişim istemesine izin vermek istiyorsanız, önce bu bağlı kuruluşları oluşturun. İkincisi, dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi yapılandırın, Belirli bağlı kuruluşlar seçeneğini belirleyin ve oluşturduğunuz kuruluşları seçin.
Yetkilendirme yönetiminin bağlı bir kuruluş oluşturan kullanıcıları belirtmenize olanak tanıyan dört yolu vardır. Şu olabilir:
- başka bir Microsoft Entra dizinindeki kullanıcılar (herhangi bir Microsoft bulutundan),
- SAML/WS-Fed kimlik sağlayıcısı (IdP) federasyonu için yapılandırılmış başka bir Microsoft dışı dizindeki kullanıcılar,
- e-posta adreslerinin tümü ortak ve bu kuruluşa özgü aynı etki alanı adına sahip olan microsoft olmayan başka bir dizindeki kullanıcılar veya
- ortak bir kuruluşa sahip olmayan kullanıcılarla iş işbirliğine ihtiyacınız varsa, etki alanı live.com gibi bir Microsoft Hesabı olan kullanıcılar.
Örneğin, Woodgrove Bank'ta çalıştığınızı ve iki dış kuruluşla işbirliği yapmak istediğinizi varsayalım. Her iki dış kuruluştan kullanıcılara aynı kaynaklara erişim vermek istiyorsunuz, ancak bu iki kuruluşun farklı yapılandırmaları var:
- Contoso henüz Microsoft Entra Kimliğini kullanmaz. Contoso kullanıcılarının contoso.com ile biten bir e-posta adresi vardır.
- Grafik Tasarım Enstitüsü, Microsoft Entra Id kullanır ve kullanıcılarından en az bazılarının graphicdesigninstitute.com ile biten bir kullanıcı asıl adı vardır.
Bu durumda, bağlı iki kuruluşu ve ardından bir ilkeyle bir erişim paketini yapılandırabilirsiniz.
- E-posta tek seferlik geçiş kodu (OTP) kimlik doğrulamasının açık olduğundan emin olun; böylece, henüz Microsoft Entra dizinlerinin parçası olmayan ve erişim isterken e-posta tek seferlik geçiş kodu kullanarak kimlik doğrulaması yapan veya daha sonra kaynaklarınıza erişen bu etki alanlarındaki kullanıcılar. Ayrıca, dış kullanıcılara erişim izni vermek için Microsoft Entra B2B dış işbirliği ayarlarınızı yapılandırmanız gerekebilir.
- Contoso için bağlı bir kuruluş oluşturun. Etki alanı contoso.com belirttiğinizde, yetkilendirme yönetimi söz konusu etki alanıyla ilişkilendirilmiş mevcut bir Microsoft Entra kiracısı olmadığını ve contoso.com e-posta adresi etki alanıyla tek seferlik bir e-posta geçiş koduyla kimlik doğrulaması yaptıklarında bu bağlı kuruluştan kullanıcıların tanınacağını kabul eder.
- Grafik Tasarım Enstitüsü için başka bir bağlı kuruluş oluşturun. Etki alanı graphicdesigninstitute.com belirttiğinizde, yetkilendirme yönetimi bu etki alanıyla ilişkilendirilmiş bir kiracı olduğunu tanır.
- Dış kullanıcıların istemesine izin veren bir katalogda bir erişim paketi oluşturun.
- Bu erişim paketinde henüz dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi oluşturun. Bu ilkede Belirli bağlı kuruluşlar seçeneğini belirleyin ve bağlı iki kuruluşu belirtin. Bu, bağlı kuruluşlardan biriyle eşleşen bir kimlik kaynağına sahip her kuruluştan kullanıcıların erişim paketini istemesine olanak tanır.
- etki alanı contoso.com olan kullanıcı asıl adına sahip dış kullanıcılar erişim paketini istediğinde, e-posta kullanarak kimlik doğrulaması yaparlar. Bu e-posta etki alanı Contoso'ya bağlı kuruluşla eşleşir ve kullanıcının paketi istemesine izin verilir. İstekte bulunduktan sonra, dış kullanıcılar için erişimin nasıl çalıştığı B2B kullanıcısının daha sonra nasıl davet edileceğini ve dış kullanıcı için erişimin nasıl atandığını açıklar.
- Ayrıca, Grafik Tasarım Enstitüsü kiracısından bir kuruluş hesabı kullanan dış kullanıcılar Grafik Tasarım Enstitüsü'ne bağlı kuruluşla eşleşebilir ve erişim paketini istemelerine izin verilir. Grafik Tasarım Enstitüsü Microsoft Entra Id kullandığından, Grafik Tasarım Enstitüsü kiracısına eklenen doğrulanmış başka bir etki alanıyla eşleşen asıl adı olan tüm kullanıcılar (örneğin, graphicdesigninstitute.example) aynı ilkeyi kullanarak erişim paketleri isteyebilir.
Microsoft Entra dizinindeki veya etki alanındaki kullanıcıların kimlik doğrulaması, kimlik doğrulama türüne bağlıdır. Bağlı kuruluşlar için kimlik doğrulama türleri şunlardır:
- Microsoft Entra Id, aynı bulutta
- Microsoft Entra Id, başka bir bulutta
- SAML/WS-Fed kimlik sağlayıcısı (IdP) federasyonu
- Tek seferlik geçiş kodu (etki alanı)
- Microsoft Hesabı
Bağlı bir kuruluşun nasıl ekleneceğini gösteren bir tanıtım için aşağıdaki videoyu izleyin:
Bağlı kuruluşların listesini görüntüleme
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Kimlik idaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.
Arama kutusunda, bağlı kuruluşun adını kullanarak bağlı bir kuruluşu arayabilirsiniz. Ancak, bir etki alanı adı için arama yapamazsınız.
Bağlı kuruluş ekleme
Dış Microsoft Entra dizinini veya etki alanını bağlı bir kuruluş olarak eklemek için bu bölümdeki yönergeleri izleyin.
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Kimlik idaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.
Bağlı kuruluşlar sayfasında Bağlı kuruluş ekle'yi seçin.
Temel Bilgiler sekmesini seçin ve kuruluş için bir görünen ad ve açıklama girin.
Yeni bir bağlı kuruluş oluşturduğunuzda durum otomatik olarak Yapılandırıldı olarak ayarlanır. Bağlı bir kuruluşun durum özelliği hakkında daha fazla bilgi için bkz. Bağlı kuruluşların State özelliği
Dizin + etki alanı sekmesini ve ardından Dizin + etki alanı ekle'yi seçin.
Ardından Dizinleri seçin + etki alanları bölmesi açılır.
Microsoft Entra dizinini veya etki alanını aramak için arama kutusuna bir etki alanı adı girin. Ayrıca, herhangi bir Microsoft Entra diziniyle ilişkilendirilmeyen etki alanları da ekleyebilirsiniz. Etki alanı adının tamamını girdiğinizden emin olun.
Kuruluş adlarının ve kimlik doğrulama türlerinin doğru olduğunu onaylayın. MyAccess portalına erişebilmeden önce kullanıcının oturum açması, kuruluşunun kimlik doğrulama türüne bağlıdır. Bağlı bir kuruluşun kimlik doğrulama türü Microsoft Entra Id ise, söz konusu kuruluşun dizininde hesabı olan ve bu Microsoft Entra dizininin doğrulanmış etki alanına sahip tüm kullanıcılar kendi dizinlerinde oturum açar ve bu bağlı kuruluşa izin veren paketlere erişim isteyebilir. Kimlik doğrulama türü Tek seferlik geçiş koduysa, bu, yalnızca bu etki alanından e-posta adresleri olan kullanıcıların MyAccess portalını ziyaret etmesine olanak tanır. Geçiş koduyla kimlik doğrulaması yaptıktan sonra kullanıcı bir istekte bulunabilir.
Not
Bazı etki alanlarından erişim, Microsoft Entra işletmesinden işletmeye (B2B) izin verme veya reddetme listesi tarafından engellenebilir. Ayrıca, Microsoft Entra kimlik doğrulaması için yapılandırılmış bağlı bir kuruluşla aynı etki alanına sahip bir e-posta adresine sahip olan ancak bu Microsoft Entra dizininde kimlik doğrulaması yapmayan kullanıcılar, bu bağlı kuruluşun parçası olarak tanınmaz. Daha fazla bilgi için bkz . Belirli kuruluşların B2B kullanıcılarına yönelik davetlere izin verme veya davetleri engelleme.
Microsoft Entra dizinini veya etki alanını eklemek için Ekle'yi seçin. Birden çok Microsoft Entra dizini ve etki alanı ekleyebilirsiniz.
Microsoft Entra dizinlerini veya etki alanlarını ekledikten sonra Seç'i seçin.
Kuruluşlar listede görünür.
Sponsorlar sekmesini seçin ve ardından bu bağlı kuruluş için isteğe bağlı sponsorlar ekleyin.
Sponsorlar, bu bağlı kuruluşla ilişkinin iletişim noktası olan, zaten dizininizde bulunan iç veya dış kullanıcılardır. İç sponsorlar dizininizdeki üye kullanıcılardır. Dış sponsorlar, daha önce davet edilmiş ve zaten dizininizde olan bağlı kuruluştaki konuk kullanıcılardır. Bu bağlı kuruluştaki kullanıcılar bu erişim paketine erişim istediğinde sponsorlar onaylayan olarak kullanılabilir. Dizininize konuk kullanıcı davet etme hakkında bilgi için bkz . Microsoft Entra B2B işbirliği kullanıcıları ekleme.
Ekle/Kaldır'ı seçtiğinizde, iç veya dış sponsorları seçebileceğiniz bir bölme açılır. Bölmede dizininizdeki kullanıcıların ve grupların filtrelenmemiş bir listesi görüntülenir.
Gözden geçir ve oluştur sekmesini seçin, kuruluş ayarlarınızı gözden geçirin ve ardından Oluştur'u seçin.
Bağlı bir kuruluşu güncelleştirme
Bağlı kuruluş farklı bir etki alanına dönüşürse, kuruluşun adı değişirse veya sponsorları değiştirmek istiyorsanız, bu bölümdeki yönergeleri izleyerek bağlı kuruluşu güncelleştirebilirsiniz.
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Kimlik idaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.
Bağlı kuruluşlar sayfasında, güncelleştirmek istediğiniz bağlı kuruluşu seçin.
Bağlı kuruluşun genel bakış bölmesinde Düzenle'yi seçerek kuruluş adını, açıklamasını veya durumunu değiştirin.
Dizin + etki alanı bölmesinde Dizini güncelleştir + etki alanını seçerek farklı bir dizine veya etki alanına geçin.
Sponsorlar bölmesinde dahili sponsor ekle'yi veya Dış sponsor ekle'yi seçerek kullanıcıyı sponsor olarak ekleyin. Sponsoru kaldırmak için sponsoru seçin ve sağ bölmede Sil'i seçin.
Bağlı kuruluşu silme
Dış Microsoft Entra dizini veya etki alanıyla artık bir ilişkiniz yoksa veya artık önerilen bir bağlı kuruluşa sahip olmak istemiyorsanız, bağlı kuruluşu silebilirsiniz.
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Kimlik idaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.
Bağlı kuruluşlar sayfasında, silmek istediğiniz bağlı kuruluşu seçerek açın.
Bağlı kuruluşun genel bakış bölmesinde Sil'i seçerek silin.
Bağlı bir kuruluşu program aracılığıyla yönetme
Ayrıca Microsoft Graph kullanarak bağlı kuruluşlar oluşturabilir, listeleyebilir, güncelleştirebilir ve silebilirsiniz. Temsilci EntitlementManagement.ReadWrite.All
iznine sahip bir uygulamaya sahip uygun roldeki bir kullanıcı, connectedOrganization nesnelerini yönetmek ve onlar için sponsorlar ayarlamak için API'yi çağırabilir.
Microsoft PowerShell aracılığıyla bağlı kuruluşları yönetme
PowerShell'de bağlı kuruluşları, Kimlik İdaresi modülü sürüm 1.16.0 veya sonraki bir sürümdeki Microsoft Graph PowerShell cmdlet'leri ile de yönetebilirsiniz.
Aşağıdaki betik, tüm bağlı kuruluşları almak için Graph profilinin kullanılmasını v1.0
göstermektedir. Döndürülen her bağlı kuruluş, o bağlı kuruluşun dizinlerinin ve etki alanlarının bir liste kimliğini içerir.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
Bağlı kuruluşların durum özelliği
Yetkilendirme yönetiminde bağlı kuruluşlar için yapılandırılmış ve önerilen iki farklı durum vardır:
Yapılandırılmış bağlı kuruluş, söz konusu kuruluştaki kullanıcıların paketlere erişmesine izin veren tam işlevsel bir bağlı kuruluşdur. Bir yönetici Microsoft Entra yönetim merkezinde yeni bir bağlı kuruluş oluşturduğunda , yönetici bu bağlı kuruluşu oluşturduğundan ve kullanmak istediğinden varsayılan olarak yapılandırılmış durumda olur. Ayrıca, bağlı bir kuruluş API aracılığıyla program aracılığıyla oluşturulduğunda, açıkça başka bir duruma ayarlanmadığı sürece varsayılan durum yapılandırılmalıdır.
Yapılandırılmış bağlı kuruluşlar, bağlı kuruluşlar için seçicilerde gösterilir ve "yapılandırılmış tüm bağlı kuruluşları" hedefleyen tüm ilkelerin kapsamına alınır.
Önerilen bağlı kuruluş, otomatik olarak oluşturulmuş, ancak bir yöneticinin kuruluş oluşturması veya onaylaması yapılmamış bağlı bir kuruluştur. Kullanıcı yapılandırılmış bir bağlı kuruluşun dışındaki bir erişim paketine kaydolduğunda, otomatik olarak oluşturulan tüm bağlı kuruluşlar önerilen durumda olur çünkü kiracıda yönetici bu ortaklığı ayarlamaz.
Önerilen bağlı kuruluşlar, herhangi bir ilkede "yapılandırılmış tüm bağlı kuruluşlar" ayarının kapsamında değildir, ancak yalnızca belirli kuruluşları hedefleyen ilkeler için ilkelerde kullanılabilir.
Yalnızca yapılandırılmış bağlı kuruluşlara ait kullanıcılar, yapılandırılmış tüm kuruluşlardan kullanıcılara sağlanan erişim paketleri isteyebilir. Önerilen bağlı kuruluşların kullanıcıları, bu etki alanı için bağlı kuruluş yokmuş gibi bir deneyime sahiptir; yalnızca belirli bir kuruluş kapsamında veya kapsamı herhangi bir kullanıcı tarafından belirlenmiş erişim paketlerini görebilir ve isteyebilir. Kiracınızda "yapılandırılmış tüm bağlı kuruluşlara" izin veren ilkeleriniz varsa, sosyal kimlik sağlayıcıları için önerilen bağlı kuruluşları yapılandırılana dönüştürmediğinizden emin olun.
Not
Bu yeni özelliğin kullanıma sunulma bir parçası olarak, 09.09.20'ye kadar oluşturulan tüm bağlı kuruluşlar yapılandırılmış olarak kabul edildi. Herhangi bir kuruluştan kullanıcıların kaydolmasına izin veren bir erişim paketiniz varsa, yapılandırıldığı gibi bunların hiçbirinin yanlış kategorilere ayrılmadığından emin olmak için bu tarihten önce oluşturulmuş bağlı kuruluşlar listenizi gözden geçirmeniz gerekir. Özellikle, yapılandırılmış tüm bağlı kuruluşların kullanıcıları için onay gerektirmeyen atama ilkeleri varsa sosyal kimlik sağlayıcıları yapılandırılmış olarak belirtilmemelidir. Bir yönetici State özelliğini uygun şekilde güncelleştirebilir. Yönergeler için bkz . Bağlı kuruluşu güncelleştirme.
Not
Bazı durumlarda, bir kullanıcı bir sosyal kimlik sağlayıcısından kişisel hesabını kullanarak bir erişim paketi isteyebilir; burada hesabın e-posta adresi, Microsoft Entra kiracısına karşılık gelen mevcut bir bağlı kuruluşla aynı etki alanına sahiptir. Bu kullanıcı onaylanırsa, bu etki alanını temsil eden yeni bir önerilen bağlı kuruluşla sonuçlanır. Bu durumda, kullanıcının yeniden erişim istemek yerine kuruluş hesabını kullandığından emin olun. Portal, yapılandırılmış bağlı kuruluş Microsoft Entra kiracısından gelen bu kullanıcıyı tanımlar.