Azure Active Directory'de varsayılan kullanıcı izinleri nelerdir?

Makale
03/17/2023
Okumak için 9 dakika

Azure Active Directory'de (Azure AD) tüm kullanıcılara varsayılan olarak belirli izinler verilir. Kullanıcının erişimi, kullanıcı türünden, rol atamalarından ve nesnelerin sahipliklerinden oluşur.

Bu makalede bu varsayılan izinler açıklanır ve üye ve konuk kullanıcı varsayılanları karşılaştırılmaktadır. Varsayılan kullanıcı izinleri yalnızca Azure AD'daki kullanıcı ayarlarında değiştirilebilir.

Üyeler ve konuk kullanıcılar

Varsayılan izinler kümesi, kullanıcının kiracının yerel bir üyesi (üye kullanıcı) olup olmadığına veya kullanıcının başka bir dizinden işletmeler arası (B2B) işbirliği konuğu (konuk kullanıcı) olarak getirilip getirilmediğine bağlıdır. Konuk kullanıcı ekleme hakkında daha fazla bilgi için bkz. B2B işbirliği Azure AD nedir?. Varsayılan izinlerin özellikleri şunlardır:

Üye kullanıcılar uygulamaları kaydedebilir, kendi profil fotoğraflarını ve cep telefonu numaralarını yönetebilir, kendi parolalarını değiştirebilir ve B2B konuklarını davet edebilir. Bu kullanıcılar tüm dizin bilgilerini de okuyabilir (birkaç özel durum dışında).
Konuk kullanıcıların dizin izinleri kısıtlandı. Kendi profillerini yönetebilir, kendi parolalarını değiştirebilir ve diğer kullanıcılar, gruplar ve uygulamalar hakkında bazı bilgileri alabilirler. Ancak, tüm dizin bilgilerini okuyamaz.

Örneğin, konuk kullanıcılar tüm kullanıcıların, grupların ve diğer dizin nesnelerinin listesini numaralandıramaz. Konuklar yönetici rollerine eklenebilir ve bu roller onlara tam okuma ve yazma izinleri verir. Konuklar başka konuklar da davet edebilir.

Üye ve konuk varsayılan izinlerini karşılaştırma

Alan	Üye kullanıcı izinleri	Varsayılan konuk kullanıcı izinleri	Kısıtlı konuk kullanıcı izinleri
Kullanıcılar ve ilgili kişiler	Tüm kullanıcıların ve kişilerin listesini listeleme Kullanıcıların ve kişilerin tüm genel özelliklerini okuma Konuk davet etme Kendi parolalarını değiştirme Kendi cep telefonu numarasını yönetme Kendi fotoğrafını yönetme Kendi yenileme belirteçlerini geçersiz kılma	Kendi özelliklerini okuma Diğer kullanıcıların ve kişilerin görünen ad, e-posta, oturum açma adı, fotoğraf, kullanıcı asıl adı ve kullanıcı türü özelliklerini okuma Kendi parolalarını değiştirme Nesne kimliğine göre başka bir kullanıcı arama (izin veriliyorsa) Diğer kullanıcıların yönetici ve doğrudan rapor bilgilerini okuma	Kendi özelliklerini okuma Kendi parolalarını değiştirme Kendi cep telefonu numarasını yönetme
Gruplar	Güvenlik grubu oluşturma Microsoft 365 grupları oluşturma Tüm grupların listesini listeleme Grupların tüm özelliklerini okuma Gizli olmayan grup üyeliklerini okuma Katılmış gruplar için gizli Microsoft 365 grup üyeliklerini okuma Kullanıcının sahip olduğu grupların özelliklerini, sahipliğini ve üyeliğini yönetme Sahip olunan gruplara konuk ekleme Dinamik üyelik ayarlarını yönetme Sahip olunan grupları silme Sahip olunan Microsoft 365 gruplarını geri yükleme	Üyelik ve sahiplik de dahil olmak üzere gizli olmayan grupların özelliklerini okuma (katılmamış gruplar bile) Katılmış gruplar için gizli Microsoft 365 grup üyeliklerini okuma Görünen ada veya nesne kimliğine göre grupları arama (izin veriliyorsa)	Birleştirilmiş gruplar için nesne kimliğini okuma Bazı Microsoft 365 uygulamalarında katılmış grupların üyeliğini ve sahipliğini okuma (izin veriliyorsa)
Uygulamalar	Yeni uygulamaları kaydetme (oluşturma) Tüm uygulamaların listesini listeleme Kayıtlı ve kurumsal uygulamaların özelliklerini okuma Uygulamalara verilen izinleri listeleme Sahip olunan uygulamaların uygulama özelliklerini, atamalarını ve kimlik bilgilerini yönetme Kullanıcılar için uygulama parolaları oluşturma veya silme Sahip olunan uygulamaları silme Sahip olunan uygulamaları geri yükleme Uygulamalara verilen izinleri listeleme	Kayıtlı ve kurumsal uygulamaların özelliklerini okuma Uygulamalara verilen izinleri listeleme	Kayıtlı ve kurumsal uygulamaların özelliklerini okuma Uygulamalara verilen izinleri listeleme
Cihazlar	Tüm cihazların listesini listeleme Cihazların tüm özelliklerini okuma Sahip olunan cihazların tüm özelliklerini yönetme	İzin yok	İzin yok
Kuruluş	Tüm şirket bilgilerini okuma Tüm etki alanlarını okuma Sertifika tabanlı kimlik doğrulamasının okuma yapılandırması Tüm iş ortağı sözleşmelerini okuma	Şirket görünen adını okuma Tüm etki alanlarını okuma Sertifika tabanlı kimlik doğrulamasının okuma yapılandırması	Şirket görünen adını okuma Tüm etki alanlarını okuma
Roller ve kapsamlar	Tüm yönetim rollerini ve üyelikleri okuma Tüm yönetim birimlerinin özelliklerini ve üyeliklerini okuma	İzin yok	İzin yok
Abonelikler	Tüm lisans aboneliklerini okuma Hizmet planı üyeliklerini etkinleştirme	İzin yok	İzin yok
İlkeler	İlkelerin tüm özelliklerini okuma Sahip olunan ilkelerin tüm özelliklerini yönetme	İzin yok	İzin yok

Üye kullanıcıların varsayılan izinlerini kısıtlama

Kullanıcıların varsayılan izinlerine kısıtlamalar eklemek mümkündür.

Üye kullanıcılar için varsayılan izinleri aşağıdaki şekillerde kısıtlayabilirsiniz:

Dikkat

Azure AD yönetim portalına erişimi kısıtlaanahtarının kullanılması bir güvenlik önlemi DEĞİlDR. İşlev hakkında daha fazla bilgi için aşağıdaki tabloya bakın.

İzin	Ayar açıklaması
Uygulamaları kaydetme	Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların uygulama kayıtları oluşturmasını engeller. Daha sonra belirli kişilere uygulama geliştirici rolüne ekleyerek bu özelliği geri vekleyebilirsiniz.
Kullanıcıların LinkedIn ile iş veya okul hesabını bağlamasına izin verme	Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların iş veya okul hesabını LinkedIn hesaplarına bağlamasını engeller. Daha fazla bilgi için bkz . LinkedIn hesap bağlantıları veri paylaşımı ve onayı.
Güvenlik grupları oluşturma	Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların güvenlik grupları oluşturmasını engeller. Genel yöneticiler ve kullanıcı yöneticileri yine de güvenlik grupları oluşturabilir. Nasıl yapılacağını öğrenmek için bkz. Grup ayarlarını yapılandırmak için Azure Active Directory cmdlet'leri.
Microsoft 365 grupları oluşturma	Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların Microsoft 365 grupları oluşturmasını engeller. Bu seçeneğin Bazıları olarak ayarlanması, bir kullanıcı kümesinin Microsoft 365 grupları oluşturmasına olanak tanır. Genel yöneticiler ve kullanıcı yöneticileri yine de Microsoft 365 grupları oluşturabilir. Nasıl yapılacağını öğrenmek için bkz. Grup ayarlarını yapılandırmak için Azure Active Directory cmdlet'leri.
Azure AD yönetim portalına erişimi kısıtlama	Bu anahtar ne yapar? Hayır, yönetici olmayanların Azure AD yönetim portalına göz atmalarına izin verir. Evet Yönetici olmayanların Azure AD yönetim portalına gözatmalarını kısıtlar. Grup veya uygulama sahibi olan yönetici olmayanlar, sahip oldukları kaynakları yönetmek için Azure portal kullanamaz. Ne işe yarmıyor? PowerShell, Microsoft GraphAPI veya Visual Studio gibi diğer istemcileri kullanarak Azure AD verilere erişimi kısıtlamaz. Kullanıcıya özel rol (veya herhangi bir rol) atandığı sürece erişimi kısıtlamaz. Bu anahtarı ne zaman kullanmalıyım? Kullanıcıların sahip oldukları kaynakları yanlış yapılandırmalarını önlemek için bu seçeneği kullanın. Bu anahtarı ne zaman kullanmamalıyım? Bu anahtarı güvenlik önlemi olarak kullanmayın. Bunun yerine, Microsoft Azure Yönetimi'ni hedefleyen ve yönetici olmayanların Microsoft Azure Yönetimi'ne erişimini engelleyen bir Koşullu Erişim ilkesi oluşturun. Nasıl yaparım? yalnızca yönetici olmayan belirli kullanıcılara Azure AD yönetim portalını kullanma izni mi versin? Bu seçeneği Evet olarak ayarlayın ve genel okuyucu gibi bir rol atayın. Entra yönetim portalına erişimi kısıtlama Microsoft Azure Yönetimi'ni hedefleyen bir Koşullu Erişim ilkesi, tüm Azure yönetimine erişimi hedefler.
Yönetici olmayan kullanıcıların kiracı oluşturmalarını kısıtlama	Kullanıcılar, Azure AD ve Kiracıyı yönet altındaki Entra yönetim portalında kiracı oluşturabilir. Kiracı oluşturma işlemi Denetim günlüğüne DirectoryManagement ve etkinlik Create Company kategorisi olarak kaydedilir. Kiracı oluşturan herkes bu kiracının Genel Yöneticisi olur. Yeni oluşturulan kiracı hiçbir ayarı veya yapılandırmayı devralmıyor. Bu anahtar ne yapar? Bu seçeneğin Evet olarak ayarlanması, Azure AD kiracıların oluşturulmasını Genel Yönetici veya kiracı oluşturucu rolleri ile kısıtlar. Bu seçeneğin Hayır olarak ayarlanması, yönetici olmayan kullanıcıların Azure AD kiracı oluşturmasına izin verir. Kiracı oluşturma işlemi Denetim günlüğüne kaydedilmeye devam eder. Nasıl yaparım? yalnızca belirli yönetici olmayan kullanıcılara yeni kiracılar oluşturma olanağı mı verir? Bu seçeneği Evet olarak ayarlayın ve kiracı oluşturucu rolünü atayın.
Yönetici olmayan kullanıcıların sahip oldukları cihazlar için BitLocker anahtarlarını okumasını kısıtlama	Bu seçeneğin Evet olarak ayarlanması, kullanıcıların sahip oldukları cihazlar için BitLocker anahtarlarını kurtarabilmesini kısıtlar. Bu seçeneğin Hayır olarak ayarlanması, kullanıcıların BitLocker anahtarlarını kurtarmasına izin verir.
Diğer kullanıcıları okuma	Bu ayar yalnızca Microsoft Graph ve PowerShell'de kullanılabilir. Bu bayrağın olarak `$false` ayarlanması, yönetici olmayan tüm kullanıcıların dizinden kullanıcı bilgilerini okumasını engeller. Bu bayrak, Exchange Online gibi diğer Microsoft hizmetlerindeki kullanıcı bilgilerinin okunmasını engellemez. Bu ayar özel durumlar içindir, bu nedenle bayrağını olarak `$false`ayarlamanızı önermeyiz.

Yönetici olmayan kullanıcıların kiracı oluşturmasını kısıtla seçeneği aşağıda gösterilmiştir

**Yönetici olmayanların kiracı oluşturmasını kısıtlama** seçeneğini gösteren ekran görüntüsü

Konuk kullanıcıların varsayılan izinlerini kısıtlama

Konuk kullanıcılar için varsayılan izinleri aşağıdaki yollarla kısıtlayabilirsiniz.

Not

Konuk kullanıcı erişim kısıtlamaları ayarı, Konuk kullanıcı izinleri sınırlı ayarının yerini aldı. Bu özelliği kullanma yönergeleri için bkz. Azure Active Directory'de konuk erişimi izinlerini kısıtlama.

İzin	Ayar açıklaması
Konuk kullanıcı erişim kısıtlamaları	Bu seçeneği Konuk kullanıcılara ayarlamak, üyelerle aynı erişime sahip olur ve varsayılan olarak konuk kullanıcılara tüm üye kullanıcı izinlerini verir. Bu seçeneği Konuk kullanıcı erişimi olarak ayarlamak, kendi dizin nesnelerinin özellikleri ve üyelikleriyle sınırlıdır , konuk erişimini varsayılan olarak yalnızca kendi kullanıcı profiliyle kısıtlar. Kullanıcı asıl adına, nesne kimliğine veya görünen ada göre arama yaptıklarında bile diğer kullanıcılara erişime artık izin verilmez. Grup üyelikleri de dahil olmak üzere grup bilgilerine erişime artık izin verilmiyor. Bu ayar, Microsoft Teams gibi bazı Microsoft 365 hizmetlerinde birleştirilmiş gruplara erişimi engellemez. Daha fazla bilgi edinmek için bkz. Microsoft Teams konuk erişimi. Konuk kullanıcılar, bu izin ayarından bağımsız olarak yönetici rollerine eklenebilir.
Konuklar davet edebilir	Bu seçeneğin Evet olarak ayarlanması, konukların diğer konukları davet etmesine olanak tanır. Daha fazla bilgi edinmek için bkz. Dış işbirliği ayarlarını yapılandırma.

İzin

Ayar açıklaması

Konuk kullanıcı erişim kısıtlamaları

Bu seçeneği Konuk kullanıcılara ayarlamak, üyelerle aynı erişime sahip olur ve varsayılan olarak konuk kullanıcılara tüm üye kullanıcı izinlerini verir.

Bu seçeneği Konuk kullanıcı erişimi olarak ayarlamak, kendi dizin nesnelerinin özellikleri ve üyelikleriyle sınırlıdır , konuk erişimini varsayılan olarak yalnızca kendi kullanıcı profiliyle kısıtlar. Kullanıcı asıl adına, nesne kimliğine veya görünen ada göre arama yaptıklarında bile diğer kullanıcılara erişime artık izin verilmez. Grup üyelikleri de dahil olmak üzere grup bilgilerine erişime artık izin verilmiyor.

Bu ayar, Microsoft Teams gibi bazı Microsoft 365 hizmetlerinde birleştirilmiş gruplara erişimi engellemez. Daha fazla bilgi edinmek için bkz. Microsoft Teams konuk erişimi.

Konuk kullanıcılar, bu izin ayarından bağımsız olarak yönetici rollerine eklenebilir.

Konuklar davet edebilir

Bu seçeneğin Evet olarak ayarlanması, konukların diğer konukları davet etmesine olanak tanır. Daha fazla bilgi edinmek için bkz. Dış işbirliği ayarlarını yapılandırma.

Nesne sahipliği

Uygulama kaydı sahibi izinleri

Kullanıcı bir uygulamayı kaydettirdiğinde otomatik olarak uygulamanın sahibi olarak eklenir. Bir sahip olarak, uygulamanın istediği ad ve izinler gibi uygulamanın meta verilerini yönetebilir. Ayrıca, çoklu oturum açma (SSO) yapılandırması ve kullanıcı atamaları gibi uygulamanın kiracıya özgü yapılandırmasını da yönetebilirler.

Sahipler başka kullanıcıları sahip olarak ekleyebilir veya kaldırabilir. Genel yöneticilerin aksine, sahipler yalnızca sahip oldukları uygulamaları yönetebilir.

Kurumsal uygulama sahibi izinleri

Kullanıcı yeni bir kurumsal uygulama eklediğinde otomatik olarak sahip olarak eklenir. Sahip olarak SSO yapılandırması, sağlama ve kullanıcı atamaları gibi uygulamanın kiracıya özgü yapılandırmasını yönetebilir.

Sahipler başka kullanıcıları sahip olarak ekleyebilir veya kaldırabilir. Genel yöneticilerin aksine, sahipler yalnızca sahip oldukları uygulamaları yönetebilir.

Grup sahibi izinleri

Kullanıcı bir grup oluşturduğunda, otomatik olarak bu grubun sahibi olarak eklenir. Sahip olarak, grubun özelliklerini (ad gibi) yönetebilir ve grup üyeliğini yönetebilir.

Sahipler başka kullanıcıları sahip olarak ekleyebilir veya kaldırabilir. Genel yöneticilerin ve kullanıcı yöneticilerinin aksine, sahipler yalnızca sahip oldukları grupları yönetebilir.

Grup sahibi atamak için bkz. Grup sahiplerini yönetme.

Sahiplik izinleri

Aşağıdaki tablolarda, üye kullanıcıların sahip olduğu nesneler üzerinde sahip olduğu Azure AD belirli izinler açıklanmaktadır. Kullanıcılar bu izinlere yalnızca sahip oldukları nesneler üzerinde sahip olur.

Sahip olunan uygulama kayıtları

Kullanıcılar sahip olunan uygulama kayıtlarında aşağıdaki eylemleri gerçekleştirebilir:

Eylem	Açıklama
microsoft.directory/applications/audience/update	`applications.audience` Azure AD özelliğini güncelleştirin.
microsoft.directory/applications/authentication/update	`applications.authentication` Azure AD özelliğini güncelleştirin.
microsoft.directory/applications/basic/update	Azure AD'daki uygulamalardaki temel özellikleri güncelleştirin.
microsoft.directory/applications/credentials/update	`applications.credentials` Azure AD özelliğini güncelleştirin.
microsoft.directory/applications/delete	Azure AD'da uygulamaları silin.
microsoft.directory/applications/owners/update	`applications.owners` Azure AD özelliğini güncelleştirin.
microsoft.directory/applications/permissions/update	`applications.permissions` Azure AD özelliğini güncelleştirin.
microsoft.directory/applications/policies/update	`applications.policies` Azure AD özelliğini güncelleştirin.
microsoft.directory/applications/restore	uygulamaları Azure AD geri yükleyin.

Sahip olunan kurumsal uygulamalar

Kullanıcılar, sahip olunan kurumsal uygulamalarda aşağıdaki eylemleri gerçekleştirebilir. Kurumsal uygulama bir hizmet sorumlusu, bir veya daha fazla uygulama ilkesi ve bazen hizmet sorumlusuyla aynı kiracıdaki bir uygulama nesnesinden oluşur.

Eylem	Açıklama
microsoft.directory/auditLogs/allProperties/read	Azure AD denetim günlüklerindeki tüm özellikleri (ayrıcalıklı özellikler dahil) okuyun.
microsoft.directory/policies/basic/update	Azure AD ilkelerdeki temel özellikleri güncelleştirin.
microsoft.directory/policies/delete	Azure AD'da ilkeleri silin.
microsoft.directory/policies/owners/update	`policies.owners` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	`servicePrincipals.appRoleAssignedTo` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/appRoleAssignments/update	`users.appRoleAssignments` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/audience/update	`servicePrincipals.audience` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/authentication/update	`servicePrincipals.authentication` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/basic/update	Azure AD'da hizmet sorumlularındaki temel özellikleri güncelleştirin.
microsoft.directory/servicePrincipals/credentials/update	`servicePrincipals.credentials` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/delete	Azure AD'da hizmet sorumlularını silin.
microsoft.directory/servicePrincipals/owners/update	`servicePrincipals.owners` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/permissions/update	`servicePrincipals.permissions` Azure AD özelliğini güncelleştirin.
microsoft.directory/servicePrincipals/policies/update	`servicePrincipals.policies` Azure AD özelliğini güncelleştirin.
microsoft.directory/signInReports/allProperties/read	Azure AD oturum açma raporlarında tüm özellikleri (ayrıcalıklı özellikler dahil) okuyun.

Sahip olunan cihazlar

Kullanıcılar sahip olunan cihazlarda aşağıdaki eylemleri gerçekleştirebilir:

Eylem	Açıklama
microsoft.directory/devices/bitLockerRecoveryKeys/read	`devices.bitLockerRecoveryKeys` Azure AD özelliğini okuyun.
microsoft.directory/devices/disable	Azure AD cihazları devre dışı bırakın.

Sahip olunan gruplar

Kullanıcılar sahip olunan gruplarda aşağıdaki eylemleri gerçekleştirebilir.

Not

Grup üyeliği kurallarını düzenlemek için dinamik grupların sahiplerinin genel yönetici, grup yöneticisi, Intune yöneticisi veya kullanıcı yöneticisi rolü olmalıdır. Daha fazla bilgi için bkz. Azure Active Directory'de dinamik grup oluşturma veya güncelleştirme.

Eylem	Açıklama
microsoft.directory/groups/appRoleAssignments/update	`groups.appRoleAssignments` Azure AD özelliğini güncelleştirin.
microsoft.directory/groups/basic/update	Azure AD grupların temel özelliklerini güncelleştirin.
microsoft.directory/groups/delete	Azure AD grupları silin.
microsoft.directory/groups/members/update	`groups.members` Azure AD özelliğini güncelleştirin.
microsoft.directory/groups/owners/update	`groups.owners` Azure AD özelliğini güncelleştirin.
microsoft.directory/groups/restore	Azure AD grupları geri yükleyin.
microsoft.directory/groups/settings/update	`groups.settings` Azure AD özelliğini güncelleştirin.

Sonraki adımlar

Konuk kullanıcı erişim kısıtlamaları ayarı hakkında daha fazla bilgi edinmek için bkz. Azure Active Directory'de konuk erişimi izinlerini kısıtlama.
Azure AD yönetici rolleri atama hakkında daha fazla bilgi edinmek için bkz. Azure Active Directory'de yönetici rollerine kullanıcı atama.
Microsoft Azure'da kaynak erişiminin nasıl denetlendiğini öğrenmek için bkz. Azure'da kaynak erişimini anlama.
Azure AD Azure aboneliğinizle ilişkisi hakkında daha fazla bilgi için bkz. Azure abonelikleri Azure Active Directory ile nasıl ilişkilendirilir?
Kullanıcıları yönetme.