Yetkilendirme yönetiminde dış kullanıcılar için erişimi idare etme

Yetkilendirme yönetimi, kuruluşunuzun dışındaki kişilerle işbirliği yapabilmeniz için erişimi paylaşmak için Microsoft Entra işletmeler arası (B2B) kullanır. Microsoft Entra B2B ile dış kullanıcılar giriş dizinlerinde kimlik doğrulaması yapar, ancak dizininizde bir temsili olur. Dizininizdeki gösterim, kullanıcıya kaynaklarınıza erişim atamasını sağlar.

Bu makalede, dış kullanıcılara erişimi idare etmek için belirtebileceğiniz ayarlar açıklanmaktadır.

Yetkilendirme yönetimi nasıl yardımcı olabilir?

Microsoft Entra B2B davet deneyimini kullanırken, kaynak dizininize getirmek ve birlikte çalışmak istediğiniz dış konuk kullanıcıların e-posta adreslerini zaten bilmeniz gerekir. Her kullanıcıyı doğrudan davet etmek, daha küçük veya kısa vadeli bir proje üzerinde çalışırken ve tüm katılımcıları zaten tanıyorsanız harika çalışır, ancak çalışmak istediğiniz çok sayıda kullanıcı varsa veya katılımcılar zaman içinde değişirse bu süreci yönetmek daha zordur. Örneğin, başka bir kuruluşla çalışıyor olabilirsiniz ve bu kuruluşla bir iletişim noktanız olabilir, ancak zaman içinde bu kuruluştan ek kullanıcıların da erişmesi gerekir.

Yetkilendirme yönetimiyle, belirttiğiniz kuruluşların kullanıcılarının kendi kendine erişim paketi isteyebilmesini sağlayan bir ilke tanımlayabilirsiniz. Bu ilke onay gerekip gerekmediğini, erişim gözden geçirmelerinin gerekip gerekmediğini ve erişim için son kullanma tarihini içerir. Çoğu durumda, hangi kullanıcıların dizininize getirildiği konusunda uygun gözetime sahip olmak için onay istemeniz gerekir. Onay gerekiyorsa, büyük dış kuruluş iş ortakları için dış kuruluştan bir veya daha fazla kullanıcıyı dizininize davet etmeyi, sponsor olarak belirlemeyi ve sponsorların onaylayanlar olduğunu yapılandırmayı düşünebilirsiniz çünkü kuruluşlarından hangi dış kullanıcıların erişime ihtiyacı olduğunu büyük olasılıkla bilirler. Erişim paketini yapılandırdıktan sonra, bu bağlantıyı dış kuruluşta ilgili kişiye (sponsor) gönderebilmek için erişim paketinin istek bağlantısını alın. Bu kişi dış kuruluşundaki diğer kullanıcılarla paylaşabilir ve erişim paketini istemek için bu bağlantıyı kullanabilir. Bu kuruluştan dizininize zaten davet edilmiş kullanıcılar da bu bağlantıyı kullanabilir.

Yetkilendirme yönetimini, kendi Microsoft Entra dizini olmayan kuruluşlardan kullanıcı getirmek için de kullanabilirsiniz. Bir federasyon kimlik sağlayıcısını etki alanı için yapılandırabilir veya e-posta tabanlı kimlik doğrulamasını kullanabilirsiniz. Ayrıca, Microsoft hesapları olan kullanıcılar da dahil olmak üzere sosyal kimlik sağlayıcılarından kullanıcılar getirebilirsiniz.

Genellikle, bir istek onaylandığında yetkilendirme yönetimi kullanıcıya gerekli erişimi sağlar. Kullanıcı henüz dizininizde değilse yetkilendirme yönetimi önce kullanıcıyı davet eder. Kullanıcı davet edildiğinde, Microsoft Entra Id onlar için otomatik olarak bir B2B konuk hesabı oluşturur ancak kullanıcıya e-posta göndermez. Bir yönetici daha önce, diğer kuruluşun etki alanlarına davetlere izin verecek veya davetleri engelleyecek şekilde bir B2B izin ver veya engelle listesi ayarlayarak hangi kuruluşların işbirliğine izin verebileceğini sınırlamış olabilir. Kullanıcının etki alanına bu listeler tarafından izin verilmiyorsa, bu kişiler davet edilmez ve listeler güncelleştirilene kadar erişim atanamaz.

Dış kullanıcının erişiminin sonsuza kadar sürmesini istemediğiniz için ilkede 180 gün gibi bir son kullanma tarihi belirtirsiniz. 180 gün sonra erişimleri uzatılmadıysa yetkilendirme yönetimi söz konusu erişim paketiyle ilişkili tüm erişimi kaldırır. Varsayılan olarak, yetkilendirme yönetimi aracılığıyla davet edilen kullanıcının başka erişim paketi ataması yoksa, son atamasını kaybettiğinde konuk hesabının 30 gün boyunca oturum açması engellenir ve daha sonra kaldırılır. Bu, gereksiz hesapların çoğalmasını önler. Aşağıdaki bölümlerde açıklandığı gibi, bu ayarlar yapılandırılabilir.

Dış kullanıcılar için erişim nasıl çalışır?

Aşağıdaki diyagram ve adımlar, dış kullanıcılara erişim paketine nasıl erişim verildiğine ilişkin genel bir bakış sağlar.

1. İşbirliği yapmak istediğiniz Microsoft Entra dizini veya etki alanı için bağlı bir kuruluş eklersiniz. Ayrıca, bir sosyal kimlik sağlayıcısı için bağlı bir kuruluş yapılandırabilirsiniz.

2. Katalogdaki dış kullanıcılar için etkinleştirildi katalog ayarının erişim paketini içermesi için Evet'i denetlersiniz.

3. Dizininizde, dizininizde olmayan kullanıcılar için bir ilke içeren ve istekte bulunabilecek bağlı kuruluşları, onaylayan ve yaşam döngüsü ayarlarını belirten bir erişim paketi oluşturursunuz. İlkede belirli bağlı kuruluşların veya tüm bağlı kuruluşların seçeneğini belirtirseniz, yalnızca daha önce yapılandırılmış olan kuruluşlardaki kullanıcılar isteyebilir. İlkede tüm kullanıcıların seçeneğini seçerseniz, herhangi bir kullanıcı, henüz dizininizin parçası olmayan ve bağlı herhangi bir kuruluşun parçası olmayanlar da dahil olmak üzere istekte bulunabilir.

4. Erişim paketinin gizli olduğundan emin olmak için erişim paketindeki gizli ayarı denetlersiniz. Gizli değilse, bu erişim paketindeki ilke ayarları tarafından izin verilen tüm kullanıcılar, kiracınızın Erişim portalında erişim paketine göz atabilir.

5. Dış kuruluşta kişinize erişim paketi istemek için kullanıcılarıyla paylaşabilecekleri bir Erişim portalım bağlantısı gönderirsiniz.

6. Dış kullanıcı (bu örnekte İstek Sahibi A), erişim paketine erişim istemek için Erişim portalım bağlantısını kullanır. Erişimim portalı, kullanıcının bağlı kuruluşunun bir parçası olarak oturum açmasını gerektirir. Kullanıcının oturum açma şekli, bağlı kuruluşta ve dış kullanıcılar ayarlarında tanımlanan dizin veya etki alanının kimlik doğrulama türüne bağlıdır.

7. Onaylayan isteği onaylar (ilkenin onay gerektirdiği varsayılarak).

8. İstek teslim durumuna geçer.

9. B2B davet işlemi kullanılarak dizininizde bir konuk kullanıcı hesabı oluşturulur (Bu örnekte İstek Sahibi A (Konuk). İzin verilenler listesi veya blok listesi tanımlanmışsa, liste ayarı uygulanır.

10. Konuk kullanıcıya erişim paketindeki tüm kaynaklara erişim atanır. Microsoft Entra Id ve diğer Microsoft Online Services veya bağlı SaaS uygulamalarında değişikliklerin yapılması biraz zaman alabilir. Daha fazla bilgi için bkz . Değişiklikler uygulandığında.

11. Dış kullanıcı, erişiminin teslim edildiğine dair bir e-posta alır.

12. Kaynaklara erişmek için dış kullanıcı e-postadaki bağlantıyı seçebilir veya davet işlemini tamamlamak için doğrudan dizin kaynaklarından herhangi birine erişmeyi dener.

13. İlke ayarları bir son kullanma tarihi içerirse, daha sonra dış kullanıcının erişim paketi atamasının süresi dolduğunda, dış kullanıcının bu erişim paketinden erişim hakları kaldırılır.

14. Dış kullanıcı ayarlarının yaşam döngüsüne bağlı olarak, dış kullanıcının artık herhangi bir erişim paketi ataması olmadığında, dış kullanıcının oturum açması engellenir ve dış kullanıcı hesabı dizininizden kaldırılır.

Dış kullanıcılar için Ayarlar

Kuruluşunuzun dışındaki kişilerin erişim paketleri isteyebilmesini ve bu erişim paketlerindeki kaynaklara erişim sağlayabilmesini sağlamak için, düzgün yapılandırıldığını doğrulamanız gereken bazı ayarlar vardır.

Dış kullanıcılar için kataloğu etkinleştirme

• Varsayılan olarak, yeni bir katalog oluşturduğunuzda, dış kullanıcıların katalogda erişim paketleri istemesine izin vermek için etkinleştirilir. Dış kullanıcılar için Etkinleştirildi seçeneğinin Evet olarak ayarlandığından emin olun.

  

  Yönetici veya katalog sahibiyseniz, Dış kullanıcılar için etkinleştirildi filtre ayarını Evet olarak değiştirerek Microsoft Entra yönetim merkezi katalog listesinde dış kullanıcılariçin şu anda etkin olan katalogların listesini görüntüleyebilirsiniz. Bu filtrelenmiş görünümde gösterilen kataloglardan herhangi birinin sıfır olmayan sayıda erişim paketi varsa, bu erişim paketleri dizininizde olmayan kullanıcılar için dış kullanıcıların istemesine izin veren bir ilkeye sahip olabilir.

Microsoft Entra B2B dış işbirliği ayarlarınızı yapılandırma

• Konukların dizininize diğer konukları davet etmelerine izin vermek, konuk davetlerinin yetkilendirme yönetimi dışında gerçekleşebileceği anlamına gelir. Yalnızca düzgün yönetilen davetlere izin vermek için Konuklar Hayır'adavet edebilir ayarını yapmanızı öneririz.

• Daha önce B2B izin verilenler listesini kullandıysanız, bu listeyi kaldırmanız veya yetkilendirme yönetimi kullanarak iş ortaklığı yapmak istediğiniz tüm kuruluşların tüm etki alanlarının listeye eklendiğinden emin olmanız gerekir. Alternatif olarak, B2B blok listesini kullanıyorsanız, iş ortağı olmak istediğiniz hiçbir kuruluşun etki alanının bu listede olmadığından emin olmanız gerekir.

• Tüm kullanıcılar (Tüm bağlı kuruluşlar + yeni dış kullanıcılar) için bir yetkilendirme yönetimi ilkesi oluşturursanız ve bir kullanıcı dizininizdeki bağlı bir kuruluşa ait değilse, paket istendiğinde bu kullanıcılar için otomatik olarak bir bağlı kuruluş oluşturulur. Ancak, sahip olduğunuz tüm B2B izin verme veya engelleme listesi ayarları önceliklidir. Bu nedenle, tüm kullanıcıların erişim isteyebilmesi ve blok listesi kullanıyorsanız tüm yetkili etki alanlarını engellenenler listenizden dışlayabilmesi için izin verilenler listesini kaldırmak istiyorsunuz.

• Tüm kullanıcıları (Tüm bağlı kuruluşlar + tüm yeni dış kullanıcılar) içeren bir yetkilendirme yönetimi ilkesi oluşturmak istiyorsanız, önce dizininiz için e-posta tek seferlik geçiş kodu kimlik doğrulamasını etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Tek seferlik geçiş kodu kimlik doğrulamasını e-postayla gönderme.

• Microsoft Entra B2B dış işbirliği ayarları hakkında daha fazla bilgi için bkz . Dış işbirliği ayarlarını yapılandırma.

  

  Not

  Farklı bir Microsoft bulutundan bir Microsoft Entra kiracısı için bağlı bir kuruluş oluşturursanız, kiracılar arası erişim ayarlarını da uygun şekilde yapılandırmanız gerekir. Bu ayarları yapılandırma hakkında daha fazla bilgi için bkz . Kiracılar arası erişim ayarlarını yapılandırma.

Koşullu Erişim ilkelerinizi gözden geçirme

• Yetkilendirme Yönetimi uygulamasını konuk kullanıcıları etkileyen tüm Koşullu Erişim ilkelerinin dışında tutduğunuzdan emin olun. Aksi takdirde, Koşullu Erişim ilkesi MyAccess'e erişmelerini veya dizininizde oturum açabilmelerini engelleyebilir. Örneğin, konukların büyük olasılıkla kayıtlı bir cihazı yoktur, bilinen bir konumda değildir ve çok faktörlü kimlik doğrulamasına (MFA) yeniden kaydolmak istemezler, bu nedenle bu gereksinimleri Koşullu Erişim ilkesine eklemek, konukların yetkilendirme yönetimini kullanmasını engeller. Daha fazla bilgi için bkz . Microsoft Entra Koşullu Erişim'deki koşullar nelerdir?.

• Yetkilendirme Yönetimi müşterileri için ortak bir ilke, konuklar için Yetkilendirme Yönetimi dışında konuklardan gelen tüm uygulamaları engellemektir. Bu ilke, konukların Erişimim'e girmesine ve erişim paketi istemesine olanak tanır. Bu paket, tüm uygulamaları engelle ilkesinin dışında tutulacak bir grup (aşağıdaki örnekte Erişimim'den Konuklar olarak adlandırılır) içermelidir. Paket onaylandıktan sonra konuk dizindedir. Son kullanıcının erişim paketi atamasına sahip olduğu ve grubun bir parçası olduğu göz önünde bulundurulduğunda, son kullanıcı diğer tüm uygulamalara erişebilir. Diğer yaygın ilkeler arasında Yetkilendirme Yönetimi uygulamasınıN MFA'dan ve uyumlu cihazdan dışlanması yer alır.

  

  

  

Not

Yetkilendirme Yönetimi uygulaması MyAccess'in yetkilendirme yönetimi tarafını, Microsoft Entra yönetim merkezinin Yetkilendirme Yönetimi tarafını ve MS grafının Yetkilendirme Yönetimi bölümünü içerir. İkinci ikisi erişim için ek izinler gerektirir, bu nedenle açık izin verilmediği sürece konuklar tarafından erişilmeyecektir.

SharePoint Online dış paylaşım ayarlarınızı gözden geçirin

• Dış kullanıcılar için erişim paketlerinize SharePoint Online sitelerini eklemek istiyorsanız, kuruluş düzeyinde dış paylaşım ayarınızın Herkes (kullanıcıların oturum açması gerekmez) veya Yeni ve mevcut konuklar (konukların oturum açması veya doğrulama kodu sağlaması gerekir) olarak ayarlandığından emin olun. Daha fazla bilgi için bkz . Dış paylaşımı açma veya kapatma.

• Yetkilendirme yönetimi dışında herhangi bir dış paylaşımı kısıtlamak istiyorsanız, dış paylaşım ayarını Mevcut konuklar olarak ayarlayabilirsiniz. Ardından, yalnızca yetkilendirme yönetimi aracılığıyla davet edilen yeni kullanıcılar bu sitelere erişebilir. Daha fazla bilgi için bkz . Dış paylaşımı açma veya kapatma.

• Site düzeyi ayarlarının konuk erişimini etkinleştirdiğinden emin olun (daha önce listelendiği gibi aynı seçenek seçimleri). Daha fazla bilgi için bkz . Site için dış paylaşımı açma veya kapatma.

Microsoft 365 grup paylaşım ayarlarınızı gözden geçirin

• Dış kullanıcılar için erişim paketlerinize Microsoft 365 grupları eklemek istiyorsanız, konuk erişimine izin vermek için Kullanıcıların kuruluşa yeni konuklar eklemesine izin ver seçeneğinin Açık olarak ayarlandığından emin olun. Daha fazla bilgi için bkz. Microsoft 365 Grupları konuk erişimini yönetme.

• Dış kullanıcıların SharePoint Online sitesine ve bir Microsoft 365 grubuyla ilişkili kaynaklara erişebilmesini istiyorsanız, SharePoint Online dış paylaşımını açtığınızdan emin olun. Daha fazla bilgi için bkz . Dış paylaşımı açma veya kapatma.

• Microsoft 365 grupları için konuk ilkesini PowerShell'de dizin düzeyinde ayarlama hakkında bilgi için bkz . Örnek: Dizin düzeyinde gruplar için Konuk ilkesini yapılandırma.

Teams paylaşım ayarlarınızı gözden geçirin

• Dış kullanıcılar için erişim paketlerinize Teams'i eklemek istiyorsanız, konuk erişimine izin vermek için Microsoft Teams'de konuk erişimine izin ver seçeneğinin Açık olarak ayarlandığından emin olun. Daha fazla bilgi için bkz . Microsoft Teams yönetim merkezinde konuk erişimini yapılandırma.

Dış kullanıcıların yaşam döngüsünü yönetme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Erişim paketi isteğinde bulunarak dizininize davet edilen bir dış kullanıcının artık herhangi bir erişim paketi ataması olmadığında ne olacağını seçebilirsiniz. Kullanıcı tüm erişim paketi atamalarını geri verirse veya son erişim paketi atamasının süresi dolarsa bu durum oluşabilir. Varsayılan olarak, dış kullanıcının artık herhangi bir erişim paketi ataması olmadığında dizininizde oturum açması engellenir. 30 gün sonra konuk kullanıcı hesabı dizininizden kaldırılır. Ayrıca, dış kullanıcının oturum açması veya silinmesi engellenmediğini veya dış kullanıcının oturum açması engellenmediğini ancak silindiğini (önizleme) yapılandırabilirsiniz.

Önkoşul rolü: Global Yönetici istrator veya Identity Governance Yönetici istrator

1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

2. Kimlik idaresi>Yetkilendirme yönetimi> Ayarlar'ne göz atın.

3. Düzenle öğesini seçin.

   

4. Dış kullanıcıların yaşam döngüsünü yönet bölümünde dış kullanıcılar için farklı ayarları seçin.

5. Dış kullanıcı herhangi bir erişim paketine son atamasını kaybettiğinde, bu dizinde oturum açmasını engellemek istiyorsanız Dış kullanıcının bu dizinde oturum açmasını engelle seçeneğini Evet olarak ayarlayın.

   Not

   Yetkilendirme yönetimi, yalnızca yetkilendirme yönetimi aracılığıyla davet edilen veya konuk kullanıcı hesapları idareye dönüştürülerek yaşam döngüsü yönetimi için yetkilendirme yönetimine eklenen dış konuk kullanıcı hesaplarının oturum açmasını engeller. Ayrıca, kullanıcının bu dizindeki erişim paketi atamaları olmayan kaynaklara eklenmiş olsa bile oturum açması engellenir. Bir kullanıcının bu dizinde oturum açması engellenirse, kullanıcı erişim paketini yeniden isteyemez veya bu dizinde ek erişim isteyemez. Daha sonra bu veya diğer erişim paketlerine erişim istemeleri gerekecekse, oturum açmalarını engellemeyi yapılandırmayın.

6. Dış kullanıcı herhangi bir erişim paketine son atamasını kaybettiğinde, bu dizindeki konuk kullanıcı hesabını kaldırmak istiyorsanız Dış kullanıcıyı kaldır seçeneğini Evet olarak ayarlayın.

   Not

   Yetkilendirme yönetimi yalnızca yetkilendirme yönetimi aracılığıyla davet edilen veya konuk kullanıcı hesaplarını idareye dönüştürerek yaşam döngüsü yönetimi için yetkilendirme yönetimine eklenen dış konuk kullanıcı hesaplarını kaldırır. Ayrıca, bu kullanıcı bu dizindeki erişim paketi atamaları olmayan kaynaklara eklenmiş olsa bile kullanıcının bu dizinden kaldırılacağını unutmayın. Konuk, erişim paketi atamalarını almadan önce bu dizinde mevcutsa kalır. Ancak, konuk bir erişim paketi ataması aracılığıyla davet edildiyse ve davet edildikten sonra da bir OneDrive İş veya SharePoint Online sitesine atandıysa, yine de kaldırılır. Dış kullanıcıyı kaldır ayarının Hayır olarak değiştirilmesi yalnızca son erişim paketi atamasını kaybeden kullanıcıları etkiler; silinmek üzere zamanlanmış olan ve oturum açması engellenen kullanıcılar özgün zamanlamalarında silinmeye devam eder.

7. Bu dizindeki konuk kullanıcı hesabını kaldırmak istiyorsanız, kaldırılmadan önce geçmesi gereken gün sayısını ayarlayabilirsiniz. Erişim paketinin süresi dolduğunda dış kullanıcıya bildirim gönderilirken, hesabı kaldırıldığında bildirim olmaz. Konuk kullanıcı hesabını herhangi bir erişim paketine son atamasını kaybettiği anda kaldırmak istiyorsanız, dış kullanıcıyı bu dizinden kaldırmadan önce geçen gün sayısı değerini 0 olarak ayarlayın. Bu değerdeki değişiklikler yalnızca son erişim paketi atamalarını kullanan kullanıcıları etkiler; silinmek üzere zamanlanmış kullanıcılar özgün zamanlamalarında silinmeye devam eder.

8. Kaydet'i seçin.

Sonraki adımlar

• Bağlı kuruluş ekleme
• Dizininizde bulunmayan kullanıcılar için
• Sorun giderme