Microsoft Entra Id'de kullanıcı ve yönetici onayı
Bu makalede, Microsoft Entra Id'de kullanıcı ve yönetici onayıyla ilgili temel kavramları ve senaryoları öğreneceksiniz.
Onay, kullanıcıların bir uygulamaya korumalı kaynağa erişme izni verebildiği bir işlemdir. Bir uygulama, gerekli erişim düzeyini belirtmek için gerekli API izinlerini ister. Örneğin, bir uygulama oturum açmış bir kullanıcının profilini görmek ve kullanıcının posta kutusunun içeriğini okumak için izin isteyebilir.
Onay çeşitli yollarla başlatılabilir. Örneğin, bir uygulamada ilk kez oturum açmaya çalışan kullanıcılardan onay istenebilir. Gerekli izinlere bağlı olarak, bazı uygulamalar bir yöneticinin onay veren kişi olmasını gerektirebilir.
Kullanıcı onayı
Kullanıcı, bir uygulamayı korumalı kaynakta bazı verilere erişmesi için yetkileyebilir ve bu kullanıcı olarak hareket edebilir. Bu tür erişime izin veren izinlere "temsilci izinleri" adı verilir.
Kullanıcı bir uygulamada oturum açtığında kullanıcı onayı başlatılır. Kullanıcı oturum açma kimlik bilgilerini sağladıktan sonra, onayın zaten verilip verilmediğini belirlemek için denetlenır. Gerekli izinler için kullanıcı veya yönetici onayının önceki kaydı yoksa, kullanıcı uygulamaya istenen izinleri vermek için onay istemi penceresine yönlendirilir.
Yönetici olmayanların kullanıcı onayı yalnızca uygulama için kullanıcı onayına izin verilen kuruluşlarda ve uygulamanın gerektirdiği izin kümesinde mümkündür. Kullanıcı onayı devre dışı bırakıldıysa veya kullanıcılardan istenen izinler için onay vermelerine izin verilmiyorsa, onay istenmez. Kullanıcıların onay vermesine izin verilirse ve istenen izinleri kabul ederlerse, onay kaydedilir. Kullanıcıların aynı uygulamada gelecekte oturum açmaları için genellikle yeniden onay vermeleri gerekmez.
Kullanıcı onayı ayarları
Kullanıcılar verilerinin denetimindedir. Privileged Yönetici istrator, yönetici olmayan kullanıcıların bir uygulamaya kullanıcı onayı vermesine izin verilip verilmeyeceğini yapılandırabilir. Bu ayar, uygulamanın ve uygulamanın yayımcısının özelliklerini ve istenen izinleri dikkate alabilir.
Yönetici olarak, kullanıcı onayına izin verilip verilmeyeceğini seçebilirsiniz. Kullanıcı onayına izin vermeyi seçerseniz, bir kullanıcının uygulamaya onay verebilmesi için önce hangi koşulların karşılanması gerektiğini de seçebilirsiniz.
Tüm kullanıcılar için hangi uygulama onayı ilkelerinin uygulanacağını seçerek, kullanıcıların uygulamalara onay vermesine izin verildiğinde sınırlamalar ayarlayabilirsiniz. Onay ilkeleri, kullanıcıların yönetici gözden geçirmesi ve onayı istemesi gerektiğinde de bilgi sağlar. Microsoft Entra yönetim merkezi aşağıdaki yerleşik seçenekleri sağlar:
Kullanıcı onaylarını devre dışı bırakabilirsiniz. Kullanıcılar uygulamalara izin veremiyor. Kullanıcılar, zaten onay verdikleri uygulamalarda veya yöneticilerin kendi adına onay verdikleri uygulamalarda oturum açmaya devam eder. Ancak, uygulamalara yönelik yeni izinleri kendi başlarına kabul etmelerine izin verilmez. Yalnızca onay verme iznini içeren bir dizin rolü verilen kullanıcılar yeni uygulamalara onay verebilir.
Kullanıcılar, doğrulanmış yayımcılardan veya kuruluşunuzdan gelen uygulamalara onay verebilir, ancak yalnızca seçtiğiniz izinler için onay verebilir. Tüm kullanıcılar yalnızca doğrulanmış bir yayımcı tarafından yayımlanan uygulamalara ve kiracınızda kayıtlı uygulamalara onay verebilir. Kullanıcılar yalnızca düşük etki olarak sınıflandırılan izinlere onay verebilir. Kullanıcıların izin vermesine izin verilen izinleri seçmek için izinleri sınıflandırmanız gerekir.
Kullanıcılar tüm uygulamalara onay verebilir. Bu seçenek, tüm kullanıcıların herhangi bir uygulama için yönetici onayı gerektirmeyen izinlere onay vermesine olanak tanır.
Çoğu kuruluş için yerleşik seçeneklerden biri uygundur. Bazı gelişmiş müşteriler, kullanıcıların onay vermesine izin verildiğinde geçerli olan koşullar üzerinde daha fazla denetim sahibi olmak isteyebilir. Bu müşteriler özel uygulama onayı ilkesi oluşturabilir ve bu ilkeleri kullanıcı onayına uygulanacak şekilde yapılandırabilir.
Yönetici onayı
Yönetici onayı sırasında Privileged Yönetici istrator bir uygulamaya diğer kullanıcılar adına (genellikle kuruluşun tamamı adına) erişim verebilir. Ayrıca yönetici onayı sırasında uygulamalar veya hizmetler, oturum açmış kullanıcı yoksa uygulama tarafından kullanılan bir API'ye doğrudan erişim sağlar. Yönetici onayı vermek için gereken belirli rol, yönetici onayı verme makalesinde açıklanan istenen izinlere göre farklılık gösterir.
Kuruluşunuz yeni bir uygulama için lisans veya abonelik satın alırken, uygulamayı kuruluştaki tüm kullanıcıların kullanabilmesi için proaktif olarak ayarlamak isteyebilirsiniz. Kullanıcı onayı gereksinimini önlemek için, yönetici kuruluştaki tüm kullanıcılar adına uygulama için onay verebilir.
Bir yönetici kuruluş adına yönetici onayı verdikten sonra, kullanıcılardan bu uygulama için onay istenir. Bazı durumlarda, yönetici onay verdikten sonra bile kullanıcıdan onay istenebilir. Örneğin, bir uygulama yöneticinin vermediği başka bir izin isterse olabilir.
Kuruluş adına yönetici onayı vermek hassas bir işlemdir ve uygulamanın yayımcısının kuruluş verilerinin önemli bölümlerine erişmesine veya yüksek ayrıcalıklı işlemler yapma iznine izin verme olasılığı vardır. Bu tür işlemlere örnek olarak rol yönetimi, tüm posta kutularına veya tüm sitelere tam erişim ve tam kullanıcı kimliğine bürünme verilebilir.
Kiracı genelinde yönetici onayı vermeden önce, verdiğiniz erişim düzeyi için uygulamaya ve uygulama yayımcısına güvendiğinizden emin olun. Uygulamayı kimin denetlediğini ve uygulamanın neden izin isteğinde bulunduğunu anladığınızdan emin değilseniz, onay vermeyin.
Uygulama yöneticisi onayı verilip verilmeyeceğine ilişkin adım adım yönergeler için bkz . Kiracı genelinde yönetici onayı için bir isteği değerlendirme.
Microsoft Entra yönetim merkezinden kiracı genelinde yönetici onayı vermeyle ilgili adım adım yönergeler için bkz . Uygulamaya kiracı genelinde yönetici onayı verme.
Belirli bir kullanıcı adına onay verme
Bir yönetici, kuruluşun tamamı için onay vermek yerine, tek bir kullanıcı adına temsilci izinleri vermek için Microsoft Graph API'sini de kullanabilir. Microsoft Graph PowerShell kullanan ayrıntılı bir örnek için bkz . PowerShell kullanarak tek bir kullanıcı adına onay verme.
Uygulamaya kullanıcı erişimini sınırlama
Kiracı genelinde yönetici onayı zaten verilmiş olsa bile uygulamalara kullanıcı erişimi sınırlı olabilir. Uygulamanın özelliklerini, uygulamaya kullanıcı erişimini sınırlamak için kullanıcı ataması gerektirecek şekilde yapılandırın. Daha fazla bilgi için bkz . Kullanıcı ve grup atama yöntemleri.
Diğer karmaşık senaryoları işleme de dahil olmak üzere daha geniş bir genel bakış için bkz . Uygulama erişim yönetimi için Microsoft Entra Id kullanma.
Yönetici onayı iş akışı
Yönetici onayı iş akışı, kullanıcılara kendi kendilerine onay vermelerine izin verilmediğinde uygulamalar için yönetici onayı istemek için bir yol sağlar. Yönetici onayı iş akışı etkinleştirildiğinde, kullanıcılara uygulamaya erişim için yönetici onayı istemek için bir "Onay gerekiyor" penceresi sunulur.
Kullanıcılar yönetici onayı isteğini gönderdikten sonra, gözden geçiren olarak atanan yöneticiler bir bildirim alır. Kullanıcılara, bir gözden geçirenin isteklerine göre hareket etmesi üzerine bildirim gönderilir. Microsoft Entra yönetim merkezini kullanarak yönetici onayı iş akışını yapılandırmaya yönelik adım adım yönergeler için bkz . Yönetici onayı iş akışını yapılandırma.
Kullanıcıların yönetici onayı isteme şekli
Yönetici onayı iş akışı etkinleştirildikten sonra, kullanıcılar onay verme yetkisi olmayan bir uygulama için yönetici onayı isteyebilir. İşlemdeki adımlar şunlardır:
- Kullanıcı uygulamada oturum açmayı dener.
- Onay gerekiyor iletisi görüntülenir. Kullanıcı, uygulamaya erişim ihtiyacı için bir gerekçe yazın ve ardından "Onay iste"yi seçer.
- gönderilen istek iletisi, isteğin yöneticiye gönderildiğini onaylar. Kullanıcı birkaç istek gönderirse, yöneticiye yalnızca ilk istek gönderilir.
- İstek onaylandığında, reddedildiğinde veya engellendiğinde kullanıcı bir e-posta bildirimi alır.