Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra Id, bir kuruluştaki kaynaklara erişimi yönetmek için grupların kullanılmasına olanak tanır. Uygulamalara erişimi yönetmek ve en aza indirmek için erişim denetimi için grupları kullanın. Gruplar kullanıldığında kaynağa yalnızca bu grupların üyeleri erişebilir. Grupların kullanılması aşağıdaki yönetim özelliklerini de etkinleştirir:
- Öznitelik tabanlı dinamik üyelik grupları
- şirket içi Active Directory eşitlenen dış gruplar
- Yönetici tarafından yönetilen veya self servis yönetilen gruplar
Grupların erişim denetimi avantajları hakkında daha fazla bilgi edinmek için bkz . Uygulamaya erişimi yönetme.
Uygulama geliştirirken, gruplar talebiyle erişim yetkisi verin. Daha fazla bilgi edinmek için bkz . Microsoft Entra Id ile uygulamalar için grup taleplerini yapılandırma.
Günümüzde birçok uygulama, ölçek sınamalarından kaçınmak, yani belirteçte döndürülen grup sayısını azaltmak için bayrak ayarlanmış securityEnabled grupların true bir alt kümesini seçmektedir. Bir grup için bayrağın securityEnabled true olarak ayarlanması, grubun güvenli bir şekilde yönetildiğini garanti etmez.
Riski azaltmak için en iyi yöntemler
Aşağıdaki tabloda, güvenlik grupları için çeşitli en iyi güvenlik uygulamaları ve her bir uygulamanın azaltılmış olası güvenlik riskleri yer alır.
| En iyi güvenlik yöntemi | Güvenlik riski azaltıldı |
|---|---|
Kaynak sahibiyle grup sahibinin aynı sorumlu olduğundan emin olun. Uygulamalar kendi grup yönetimi deneyimlerini oluşturmalı ve erişimi yönetmek için yeni gruplar oluşturmalıdır. Örneğin, bir uygulama izinle Group.Create gruplar oluşturabilir ve kendisini grubun sahibi olarak ekleyebilir. Bu şekilde uygulama, kiracıdaki diğer grupları değiştirme ayrıcalığı olmadan grupları üzerinde denetim sahibi olur. |
Grup sahipleri ve kaynak sahipleri farklı varlıklar olduğunda, grup sahipleri gruba kaynağa erişmesi gerekmeyen ancak istemeden erişebilecek kullanıcıları ekleyebilir. |
| Kaynak sahibi ile grup sahibi arasında örtük bir sözleşme oluşturun. Kaynak sahibi ve grup sahibi, kaynağa erişim elde etmek için gruba eklenebilen grup amacına, ilkelere ve üyelere uygun olmalıdır. Bu güven düzeyi teknik değildir ve insan veya iş sözleşmesine dayanır. | Grup sahipleri ve kaynak sahipleri farklı amaçlara sahip olduğunda, grup sahibi kaynak sahibinin erişim vermeyi amaçlamamış olduğu gruba kullanıcı ekleyebilir. Bu eylem gereksiz ve riskli erişime neden olabilir. |
| Erişim denetimi için özel grupları kullanın. Microsoft 365 grupları görünürlük kavramı tarafından yönetilir. Bu özellik, grubun birleştirme ilkesini ve grup kaynaklarının görünürlüğünü denetler. Güvenlik gruplarının, herkesin katılmasına izin veren veya sahip onayı gerektiren katılma ilkeleri vardır. Şirket içi eşitlenmiş gruplar da genel veya özel olabilir. Şirket içi eşitlenmiş bir gruba katılan kullanıcılar da bulut kaynağına erişebilir. | Erişim denetimi için ortak bir grup kullandığınızda, herhangi bir üye gruba katılabilir ve kaynağa erişebilir. Dış kaynağa erişim vermek için ortak bir grup kullanıldığında ayrıcalık yükseltme riski vardır. |
| Grup iç içe yerleştirme. Erişim denetimi için bir grup kullandığınızda ve grubun üyesi olarak başka gruplar varsa, alt grupların üyeleri kaynağa erişebilir. Bu durumda, üst grubun ve alt grupların birden çok grup sahibi vardır. | Her grubun amacı doğrultusunda birden çok grup sahibiyle uyumlu hale getirmek ve bu gruplara doğru üyelerin nasıl ekleneceği daha karmaşıktır ve yanlışlıkla erişim verilmesine daha yatkındır. İç içe grupların sayısını sınırlayın veya mümkünse hiç kullanmayın. |