Yönetim birimi kapsamıyla Microsoft Entra rolleri atama

Microsoft Entra Id'de, daha ayrıntılı yönetim denetimi için bir veya daha fazla yönetim birimiyle sınırlı bir kapsama sahip bir Microsoft Entra rolü atayabilirsiniz. Bir yönetim birimi kapsamında bir Microsoft Entra rolü atandığında, rol izinleri yalnızca yönetim biriminin üyelerini yönetirken uygulanır ve kiracı genelindeki ayarlara veya yapılandırmalara uygulanmaz.

Örneğin, bir yönetim birimi kapsamında Gruplar Yönetici istrator rolü atanmış bir yönetici, yönetim biriminin üyesi olan grupları yönetebilir, ancak kiracıdaki diğer grupları yönetemez. Ayrıca süre sonu veya grup adlandırma ilkeleri gibi grupla ilgili kiracı düzeyindeki ayarları yönetemezler.

Bu makalede, yönetim birimi kapsamına sahip Microsoft Entra rollerinin nasıl atandığı açıklanmaktadır.

Önkoşullar

  • Her yönetim birimi yöneticisi için Microsoft Entra Id P1 veya P2 lisansı
  • Yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları
  • Ayrıcalıklı Rol Yöneticisi
  • PowerShell kullanırken Microsoft Graph PowerShell modülü
  • Microsoft Graph API için Graph Explorer kullanırken onay Yönetici

Daha fazla bilgi için bkz . PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Yönetim birimi kapsamıyla atanabilecek roller

Aşağıdaki Microsoft Entra rolleri yönetim birimi kapsamıyla atanabilir. Ayrıca, özel rolün izinleri kullanıcılar, gruplar veya cihazlarla ilgili en az bir izin içerdiği sürece, herhangi bir özel rol yönetim birimi kapsamıyla atanabilir.

Rol Açıklama
Kimlik doğrulama Yönetici istrator Yalnızca atanan yönetim birimindeki yönetici olmayan kullanıcılar için kimlik doğrulama yöntemi bilgilerini görüntüleme, ayarlama ve sıfırlama erişimine sahiptir.
Bulut Cihazı Yönetici istrator Microsoft Entra Id'de cihazları yönetmek için sınırlı erişim.
Gruplar Yönetici istrator Yalnızca atanan yönetim birimindeki grupların tüm yönlerini yönetebilir.
Yardım masası Yönetici istrator Yalnızca atanan yönetim biriminde yönetici olmayanlar için parolaları sıfırlayabilir.
Lisans Yönetici istrator Lisans atamalarını yalnızca yönetim birimi içinde atayabilir, kaldırabilir ve güncelleştirebilir.
Parola Yönetici istrator Yalnızca atanan yönetim birimi içinde yönetici olmayanlar için parolaları sıfırlayabilir.
Yazıcı Yönetici Istrator Yazıcıları ve yazıcı bağlayıcılarını yönetebilir. Daha fazla bilgi için bkz . Evrensel Yazdırma'da yazıcıların yönetimine temsilci atama.
Privileged Authentication Yönetici istrator Herhangi bir kullanıcının (yönetici veya yönetici olmayan) kimlik doğrulama yöntemi bilgilerini görüntüleyebilir, ayarlayabilir ve sıfırlayabilir.
SharePoint Yönetici istrator Microsoft 365 gruplarını yalnızca atanan yönetim biriminde yönetebilir. Bir yönetim birimindeki Microsoft 365 gruplarıyla ilişkilendirilmiş SharePoint siteleri için, Microsoft 365 yönetim merkezi kullanarak site özelliklerini de güncelleştirebilir (site adı, URL ve dış paylaşım ilkesi). Siteleri yönetmek için SharePoint yönetim merkezi veya SharePoint API'leri kullanılamaz.
Teams Yönetici istrator Microsoft 365 gruplarını yalnızca atanan yönetim biriminde yönetebilir. Yalnızca atanan yönetim birimindeki gruplarla ilişkili ekipler için Microsoft 365 yönetim merkezi ekip üyelerini yönetebilir. Teams yönetim merkezi kullanılamaz.
Teams Cihazları Yönetici istrator Teams sertifikalı cihazlarda yönetimle ilgili görevleri gerçekleştirebilir.
Kullanıcı Yöneticisi Yalnızca atanan yönetim birimi içindeki sınırlı yöneticilerin parolalarını sıfırlama da dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir. Şu anda kullanıcıların profil fotoğrafları yönetilemiyor.
<Özel rol> Özel rolün tanımına göre kullanıcılara, gruplara veya cihazlara uygulanan eylemler gerçekleştirebilir.

Belirli rol izinleri yalnızca bir yönetim biriminin kapsamıyla atandığında yönetici olmayan kullanıcılar için geçerlidir. Başka bir deyişle, yönetim birimi kapsamlı Yardım Masası Yönetici istrator'lar, yönetici birimindeki kullanıcıların parolalarını ancak bu kullanıcıların yönetici rollerine sahip olmadığı durumlarda sıfırlayabilir. Bir eylemin hedefi başka bir yönetici olduğunda aşağıdaki izin listesi kısıtlanır:

  • Kullanıcı kimlik doğrulama yöntemlerini okuma ve değiştirme veya kullanıcı parolalarını sıfırlama
  • Telefon numaraları, alternatif e-posta adresleri veya Açık Yetkilendirme (OAuth) gizli anahtarları gibi hassas kullanıcı özelliklerini değiştirme
  • Kullanıcı hesaplarını silme veya geri yükleme

Yönetim birimi kapsamıyla atanabilecek güvenlik sorumluları

Aşağıdaki güvenlik sorumluları yönetim birimi kapsamına sahip bir role atanabilir:

  • Kullanıcılar
  • Microsoft Entra rol atanabilir grupları
  • Hizmet sorumluları

Hizmet sorumluları ve konuk kullanıcılar

Hizmet sorumluları ve konuk kullanıcılar, nesneleri okumak için bunlara karşılık gelen izinler atanmadığı sürece yönetim birimi kapsamındaki bir rol atamasını kullanamaz. Bunun nedeni, hizmet sorumlularının ve konuk kullanıcıların yönetici eylemleri gerçekleştirmek için gereken dizin okuma izinlerini varsayılan olarak almamalarıdır. Hizmet sorumlusunun veya konuk kullanıcının kapsamı yönetim birimi olan bir rol atamasını kullanmasını sağlamak için, kiracı kapsamında Dizin Okuyucuları rolünü (veya okuma izinlerini içeren başka bir rolü) atamanız gerekir.

Şu anda bir yönetim birimi kapsamında dizin okuma izinleri atamak mümkün değildir. Kullanıcılar için varsayılan izinler hakkında daha fazla bilgi için bkz . varsayılan kullanıcı izinleri.

Yönetim birimi kapsamına sahip bir rol atama

Microsoft Entra yönetim merkezini, PowerShell'i veya Microsoft Graph'ı kullanarak yönetim birimi kapsamına sahip bir Microsoft Entra rolü atayabilirsiniz.

Microsoft Entra yönetim merkezi

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

  3. Kullanıcı rolü kapsamı olarak atamak istediğiniz yönetim birimini seçin.

  4. Kullanılabilir tüm rolleri listelemek için sol bölmede Roller ve yöneticiler'i seçin.

    Rol kapsamını atamak istediğiniz bir yönetim birimini seçmek için

  5. Atanacak rolü seçin ve ardından Atama ekle'yi seçin.

  6. Atama ekle bölmesinde role atanacak bir veya daha fazla kullanıcıyı seçin.

    Kapsam rolü seçin ve ardından Atama ekle'yi seçin

Not

Microsoft Entra Privileged Identity Management (PIM) kullanarak bir yönetim biriminde rol atamak için bkz . PIM'de Microsoft Entra rolleri atama.

PowerShell

Yönetim birimi kapsamına sahip bir rol atamak için New-MgRoleManagementDirectoryRoleAssignment komutunu ve DirectoryScopeId parametresini kullanın.

$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

Yönetim birimi kapsamına sahip bir rol atamak için ScopedRoleMember API'sini kullanın.

İstek

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Gövde

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Yönetim birimi kapsamına sahip rol atamalarını listeleme

Microsoft Entra yönetim merkezini, PowerShell'i veya Microsoft Graph'ı kullanarak yönetim birimi kapsamına sahip Microsoft Entra rol atamalarının listesini görüntüleyebilirsiniz.

Microsoft Entra yönetim merkezi

Bir yönetim birimi kapsamıyla oluşturulan tüm rol atamalarını Microsoft Entra yönetim merkezinin Yönetici birimleri bölümünde görüntüleyebilirsiniz.

  1. Microsoft Entra yönetim merkezinde oturum açın.

  2. Kimlik>Rolleri ve yöneticiler> Yönetici birimlerine göz atın.

  3. Görüntülemek istediğiniz rol atamaları listesi için yönetim birimini seçin.

  4. Roller ve yöneticiler'i seçin ve ardından yönetim birimindeki atamaları görüntülemek için bir rol açın.

PowerShell

Yönetim birimi kapsamına sahip rol atamalarını listelemek için Get-MgDirectory Yönetici istrativeUnitScopedRoleMember komutunu kullanın.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Microsoft Graph API

Yönetim birimi kapsamına sahip rol atamalarını listelemek için List scopedRoleMembers API'sini kullanın.

İstek

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Gövde

{}

Sonraki adımlar