Microsoft Entra rollerini Microsoft Entra gruplarına atamaya yönelik bazı yaygın sorular ve sorun giderme ipuçları aşağıdadır.
Gruplar Yönetici istrator'ım ama 'Microsoft Entra rolleri gruba atanabilir' anahtarını göremiyorum.
Ayrıcalıklı Rol Yönetici istrator'lar rol ataması için uygun bir grup oluşturabilir. Bu role sahip kullanıcılar bu anahtarı görebilir.
Microsoft Entra rollerine atanan grupların üyeliğini kimler değiştirebilir?
Varsayılan olarak, Privileged Role Yönetici istrator rol atanabilir bir grubun üyeliğini yönetir, ancak grup sahipleri ekleyerek rol atanabilir grupların yönetimine temsilci atayabilirsiniz.
Kuruluşumda Yardım Masası Yönetici istratörüyüm ancak Dizin Okuyucusu olan bir kullanıcının parolasını güncelleştiremiyorum. Bu neden oluyor?
Kullanıcı rol atanabilir bir grup yoluyla Dizin Okuyucuları almış olabilir. Rol atanabilir grupların tüm üyeleri ve sahipleri korunur. Privileged Authentication Yönetici istrator rolüne sahip kullanıcılar korumalı bir kullanıcının kimlik bilgilerini sıfırlayabilir.
Kullanıcının parolasını güncelleştiremiyorum. Atanmış daha yüksek ayrıcalıklı bir role sahip değildir. Neden oluyor?
Kullanıcı rol atanabilir bir grubun sahibi olabilir. Ayrıcalıkların yükseltilmesini önlemek için rol atanabilir grupların sahiplerini koruruz. Bir grup Contoso_Security_Yönetici Güvenlik Yönetici istrator rolüne atanmışsa buna örnek olarak Bob grup sahibi, Alice ise kuruluşta Parola Yönetici istrator olabilir. Bu koruma mevcut değilse, Alice Bob'ın kimlik bilgilerini sıfırlayabilir ve kimliğini devralabilir. Bundan sonra Alice, kuruluşta Güvenlik Yönetici istratörü olmak için kendisini veya herhangi birini grup Contoso_Security_Yönetici grubuna ekleyebilir. Bir kullanıcının grup sahibi olup olmadığını öğrenmek için, söz konusu kullanıcının sahip olduğu nesnelerin listesini alın ve gruplardan herhangi birinin isAssignableToRole değerinin true olarak ayarlanıp ayarlanmadığını görün. Evet ise, bu kullanıcı korunur ve davranış tasarım gereğidir. Sahip olunan nesneleri almak için şu belgelere bakın:
Microsoft Entra rollerine atanabilecek gruplar (özellikle isAssignableToRole özelliği true olarak ayarlanmış gruplar) üzerinde bir erişim gözden geçirmesi oluşturabilir miyim?
Evet, sürdürebilirsiniz. Ayrıcalıklı Rol Yönetici istrator'lar rol atanabilir gruplarda erişim gözden geçirmeleri oluşturabilir.
Bir erişim paketi oluşturabilir ve içinde Microsoft Entra rollerine atanabilecek grupları ekleyebilir miyim?
Evet, sürdürebilirsiniz. Kullanıcı Yönetici istrator, herhangi bir grubu bir erişim paketine yerleştirme izinlerine sahiptir. Genel Yönetici istrator için hiçbir değişiklik yoktur, ancak Kullanıcı Yönetici istrator rol izinlerinde küçük bir değişiklik vardır. Rol atanabilir bir grubu bir erişim paketine yerleştirmek için Kullanıcı Yönetici istratörü ve rol atanabilir grubun sahibi olmanız gerekir. Kurumsal Lisans Yönetimi'nde kimlerin erişim paketi oluşturabileceğini gösteren tam tablo aşağıdadır:
Microsoft Entra dizin rolü | Yetkilendirme yönetimi rolü | Güvenlik grubu ekleyebilir* | Microsoft 365 grubu ekleyebilir* | Uygulama ekleyebilir | SharePoint Online sitesi ekleyebilir |
---|---|---|---|---|---|
Genel Yönetici | yok | ✔️ | ✔️ | ✔️ | ✔️ |
Kullanıcı Yöneticisi | yok | ✔️ | ✔️ | ✔️ | |
Intune Yöneticisi | Katalog sahibi | ✔️ | ✔️ | ||
Exchange Yöneticisi | Katalog sahibi | ✔️ | |||
Teams hizmeti Yönetici istrator | Katalog sahibi | ✔️ | |||
SharePoint Yönetici istrator | Katalog sahibi | ✔️ | ✔️ | ||
Uygulama Yöneticisi | Katalog sahibi | ✔️ | |||
Bulut uygulaması Yönetici istrator | Katalog sahibi | ✔️ | |||
User | Katalog sahibi | Yalnızca grup sahibi | Yalnızca grup sahibi | Yalnızca uygulama sahibi |
*Grup rol atanamaz; yani isAssignableToRole = false. Bir grup rol atanabilirse, erişim paketini oluşturan kişinin de rol atanabilir grubun sahibi olması gerekir.
"Atanan Roller" içinde "Atamayı kaldır" seçeneğini bulamıyorum. Kullanıcıya rol ataması Nasıl yaparım? silinsin mi?
Bu yanıt yalnızca Microsoft Entra ID P1 kuruluşları için geçerlidir.
- En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.
- Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
- Bir kullanıcı seçin.
- Atanan roller'i seçin.
- Kaldırmak istediğiniz rol atamasını seçin.
- Doğrudan rol atamalarını kaldırmak için Atamaları kaldır'ı seçin.
Dolaylı rol atamalarını kaldırmak için, kullanıcıyı rol atanmış olan gruptan kaldırın.
Rol atanabilir tüm grupları görmek Nasıl yaparım??
Şu adımları izleyin:
- Microsoft Entra yönetim merkezinde oturum açın.
- Kimlik>Grupları>Tüm gruplar'a göz atın.
- Filtre ekle'yi seçin.
- Rol atanabilir olarak filtreleyin.
Nasıl yaparım? sorumluya doğrudan ve dolaylı olarak hangi rolün atandığı biliyor musunuz?
Şu adımları izleyin:
- Microsoft Entra yönetim merkezinde oturum açın.
- Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
- Bir kullanıcı seçin.
- Atanan roller'i seçin.
- Microsoft Entra ID P1 lisansınız varsa Atama Yolu sütununu görüntüleyin.
- Microsoft Entra Id P2 lisansınız varsa Üyelik sütununu görüntüleyin.
Neden role atamak için yeni bir grup oluşturmayı zorunluyoruz?
Mevcut bir grubu bir role atarsanız, mevcut grup sahibi yeni üyeler rolün kendilerine sahip olduğunu fark etmeden bu gruba başka üyeler ekleyebilir. Rol atanabilir gruplar güçlü olduğundan, onları korumak için birçok kısıtlama koyuyoruz. Grupta, grubu yöneten kişi için şaşırtıcı olabilecek değişiklikler olmasını istemezsiniz.