Azure Active Directory'de gruplar ve erişim hakları hakkında bilgi edinin

Azure Active Directory (Azure AD), kaynaklara, uygulamalara ve görevlere erişimi yönetmek için çeşitli yollar sağlar. Azure AD gruplarla, her bir kullanıcı için yerine bir kullanıcı grubuna erişim ve izinler verilmektedir. Azure AD kaynaklarına erişimi yalnızca erişime ihtiyacı olan kullanıcılarla sınırlamak, Sıfır Güven temel güvenlik ilkelerinden biridir. Bu makalede, Azure AD kullanıcılarınızı yönetmeyi kolaylaştırırken güvenlik en iyi yöntemlerini uygulamak için grupların ve erişim haklarının birlikte nasıl kullanılabileceğini gösteren bir genel bakış sağlanır.

Azure AD uygulamalara, verilere ve kaynaklara erişimi yönetmek için grupları kullanmanıza olanak tanır. Kaynaklar şu olabilir:

  • Azure AD kuruluşun bir parçası, örneğin Azure AD'deki roller aracılığıyla nesneleri yönetme izinleri
  • Hizmet Olarak Yazılım (SaaS) uygulamaları gibi kuruluş dışından
  • Azure hizmetleri
  • SharePoint siteleri
  • Şirket içi kaynaklar

Bazı gruplar Azure AD portalında yönetilemiyor:

  • şirket içi Active Directory eşitlenen gruplar yalnızca şirket içi Active Directory'da yönetilebilir.
  • Dağıtım listeleri ve posta etkin güvenlik grupları yalnızca Exchange yönetim merkezinde veya Microsoft 365 yönetim merkezi yönetilir. Bu grupları yönetmek için Exchange yönetim merkezinde veya Microsoft 365 yönetim merkezi oturum açmanız gerekir.

Grup oluşturmadan önce bilinmesi gerekenler

İki grup türü ve üç grup üyeliği türü vardır. Senaryonuz için doğru bileşimi bulmak için seçenekleri gözden geçirin.

Grup türleri:

Güvenlik: Paylaşılan kaynaklara kullanıcı ve bilgisayar erişimini yönetmek için kullanılır.

Örneğin, tüm grup üyelerinin aynı güvenlik izinleri kümesine sahip olması için bir güvenlik grubu oluşturabilirsiniz. Güvenlik grubunun üyeleri, erişim ilkesini ve izinlerini tanımlayan kullanıcıları, cihazları, diğer grupları ve hizmet sorumlularını içerebilir. Güvenlik grubunun sahipleri kullanıcıları ve hizmet sorumlularını içerebilir.

Microsoft 365: Grup üyelerine paylaşılan posta kutusuna, takvime, dosyalara, SharePoint sitelerine ve daha fazlasına erişim vererek işbirliği fırsatları sağlar.

Bu seçenek, kuruluşunuzun dışındaki kişilerin de gruba erişmesini sağlar. Microsoft 365 grubunun üyeleri yalnızca kullanıcıları içerebilir. Microsoft 365 grubunun sahipleri kullanıcıları ve hizmet sorumlularını içerebilir. Microsoft 365 Grupları hakkında daha fazla bilgi için bkz. Microsoft 365 Grupları hakkında bilgi edinin.

Üyelik türleri:

  • Atanan: Belirli kullanıcıları bir grubun üyesi olarak eklemenize ve benzersiz izinlere sahip olmanıza olanak tanır.

  • Dinamik kullanıcı: Üyeleri otomatik olarak eklemek ve kaldırmak için dinamik üyelik kurallarını kullanmanıza olanak tanır. Bir üyenin öznitelikleri değişirse sistem, üyenin kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) görmek için dizin için dinamik grup kurallarınıza bakar.

  • Dinamik cihaz: Cihazları otomatik olarak eklemek ve kaldırmak için dinamik grup kurallarını kullanmanıza olanak tanır. Bir cihazın öznitelikleri değişirse sistem, cihazın kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) görmek için dizin için dinamik grup kurallarınıza bakar.

    Önemli

    Ya cihazlar ya da kullanıcılar için bir dinamik grup oluşturabilirsiniz, her ikisi için oluşturamazsınız. Cihaz sahiplerinin özniteliklerine göre bir cihaz grubu oluşturamazsınız. Cihaz üyeliği kuralları yalnızca cihaz ilişkilendirmesine başvurabilir. Kullanıcılar ve cihazlar için dinamik grup oluşturma hakkında daha fazla bilgi için bkz. Dinamik grup oluşturma ve durumu denetleme

Gruba erişim hakları eklemeden önce bilinmesi gerekenler

bir Azure AD grubu oluşturduktan sonra uygun erişimi vermeniz gerekir. Erişim izinleri gerektiren her uygulama, kaynak ve hizmetin ayrı olarak yönetilmesi gerekir çünkü birinin izinleri diğerininkiyle aynı olmayabilir. Saldırı veya güvenlik ihlali riskini azaltmaya yardımcı olmak için en az ayrıcalık ilkesini kullanarak erişim izni verin.

Azure AD'da erişim yönetimi nasıl çalışır?

Azure AD, tek bir kullanıcıya veya Azure AD grubunun tamamına erişim hakları sağlayarak kuruluşunuzun kaynaklarına erişim vermenize yardımcı olur. Grupların kullanılması, kaynak sahibinin veya Azure AD dizin sahibinin grubun tüm üyelerine bir erişim izinleri kümesi atamasına olanak tanır. Kaynak veya dizin sahibi ayrıca departman yöneticisi veya yardım masası yöneticisi gibi birine yönetim hakları vererek bu kişinin üye eklemesine ve kaldırmasına izin verebilir. Grup sahiplerini yönetme hakkında daha fazla bilgi için Grupları yönetme makalesine bakın.

Azure Active Directory erişim yönetimi diyagramı.

Erişim hakları atama yolları

Grup oluşturduktan sonra erişim haklarını atamaya karar vermeniz gerekir. Senaryonuz için en iyi süreci belirlemek için erişim hakları atama yollarını keşfedin.

  • Doğrudan atama. Kaynak sahibi kullanıcıyı doğrudan kaynağa atar.

  • Grup ataması. Kaynak sahibi kaynağa otomatik olarak tüm grup üyelerine kaynak erişimi veren bir Azure AD grubu atar. Grup üyeliği hem grup sahibi hem de kaynak sahibi tarafından yönetilir ve bu da sahibin gruba üye eklemesine veya gruptan üye kaldırmasına izin sağlar. Grup üyeliğini yönetme hakkında daha fazla bilgi için Grupları yönetme makalesine bakın.

  • Kural tabanlı atama. Kaynak sahibi bir grup oluşturur ve belirli bir kaynağa atanan kullanıcıları tanımlamak için bir kural kullanır. Kural, tek tek kullanıcılara atanan öznitelikleri temel alır. Kaynak sahibi, kaynağa erişim izni vermek için hangi özniteliklerin ve değerlerin gerekli olduğunu belirleyerek kuralı yönetir. Daha fazla bilgi için bkz. Dinamik grup oluşturma ve durumu denetleme.

  • Dış yetkili ataması. Access, şirket içi dizin veya SaaS uygulaması gibi bir dış kaynaktan gelir. Bu durumda, kaynak sahibi kaynağa erişim sağlamak için bir grup atar ve ardından dış kaynak grup üyelerini yönetir.

    Erişim yönetimine genel bakış diyagramı.

Kullanıcılar atanmadan gruplara katılabilir mi?

Grup sahibi, kullanıcıların katılmak için kendi gruplarını atamak yerine kendi gruplarını bulmalarına izin verebilir. Ayrıca sahip, gruba katılan tüm kullanıcıları otomatik olarak kabul etmek veya onay istemek için grubu ayarlayabilir.

Kullanıcı gruba katılma isteğinde bulunduktan sonra istek grup sahibine iletilir. Gerekliyse, istek sahibi tarafından onaylanabilir ve kullanıcıya grup üyeliği bildirilir. Birden çok sahibiniz varsa ve bunlardan biri onaylamıyorsa kullanıcıya bildirilir, ancak gruba eklenmez. Kullanıcılarınızın gruplara katılma isteğinde bulunmalarına izin verme hakkında daha fazla bilgi ve yönergeler için bkz. Kullanıcıların gruplara katılma isteğinde bulunabilmesi için Azure AD ayarlama.

Sonraki adımlar