Yetkilendirme yönetiminde erişim paketi oluşturma

  • Makale

Erişim paketi, erişim paketinin ömrü boyunca erişimi otomatik olarak yöneten tek seferlik bir kaynak ve ilke kurulumu yapmanıza olanak tanır. Bu makalede erişim paketinin nasıl oluşturulacağı açıklanmaktadır.

Genel Bakış

Tüm erişim paketleri katalog adı verilen bir kapsayıcıda olmalıdır. Katalog, erişim paketinize ekleyebileceğiniz kaynakları tanımlar. Katalog belirtmezseniz, erişim paketiniz genel kataloğa gider. Şu anda mevcut bir erişim paketini farklı bir kataloğa taşıyamazsınız.

Erişim paketi, katalogdaki birden çok kaynağın rollerine erişim atamak için kullanılabilir. Yönetici veya katalog sahibiyseniz, erişim paketi oluştururken kataloğa kaynak ekleyebilirsiniz. Ayrıca, erişim paketi oluşturulduktan sonra kaynak ekleyebilirsiniz ve erişim paketine atanan kullanıcılar da ek kaynakları alır.

Erişim paketi yöneticisiyseniz, sahip olduğunuz kaynakları kataloğa ekleyemezsiniz. Katalogda bulunan kaynakları kullanmakla sınırlısınız. Bir kataloğa kaynak eklemeniz gerekiyorsa, katalog sahibine sorabilirsiniz.

Kullanıcıların atanması için tüm erişim paketlerinin en az bir ilkesi olmalıdır. İlkeler, onay ve yaşam döngüsü ayarlarıyla birlikte erişim paketini kimlerin isteyebileceğini veya erişimin otomatik olarak nasıl atanacağını belirtir. Erişim paketi oluşturduğunuzda, dizininizdeki kullanıcılar, dizininizde olmayan kullanıcılar veya yalnızca yönetici doğrudan atamaları için bir ilk ilke oluşturabilirsiniz.

Diagram of an example marketing catalog, including its resources and its access package.

İlk ilkeyle erişim paketi oluşturmanın üst düzey adımları şunlardır:

  1. Kimlik İdaresi'nde bir erişim paketi oluşturma işlemini başlatın.

  2. Erişim paketini yerleştirmek istediğiniz kataloğu seçin ve gerekli kaynaklara sahip olduğundan emin olun.

  3. Katalogdaki kaynaklardan kaynak rollerini erişim paketinize ekleyin.

  4. Erişim isteyebilecek kullanıcılar için bir ilk ilke belirtin.

  5. Bu ilkede onay ayarlarını ve yaşam döngüsü ayarlarını belirtin.

Ardından erişim paketi oluşturulduktan sonra gizli ayarı değiştirebilir, kaynak rolleri ekleyebilir veya kaldırabilir ve ek ilkeler ekleyebilirsiniz.

Oluşturma işlemini başlatma

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Aşağıdaki adımları tamamlamak için genel Yönetici istrator, Identity Governance Yönetici istrator, katalog sahibi veya erişim paketi yöneticisi rolüne sahip olmanız gerekir.

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Yeni erişim paketi'ni seçin.

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Temel bilgileri yapılandırma

Temel Bilgiler sekmesinde, erişim paketine bir ad verir ve erişim paketinin oluşturulacağı kataloğu belirtirsiniz.

  1. Erişim paketi için bir görünen ad ve açıklama girin. Kullanıcılar erişim paketi için bir istek gönderdiğinde bu bilgileri görür.

  2. Katalog açılan listesinde, erişim paketini yerleştirmek istediğiniz kataloğu seçin. Örneğin, istenebilecek tüm pazarlama kaynaklarını yöneten bir katalog sahibiniz olabilir. Bu durumda pazarlama kataloğunu seçebilirsiniz.

    Yalnızca içinde erişim paketleri oluşturma izniniz olan katalogları görürsünüz. Mevcut bir katalogda erişim paketi oluşturmak için Genel Yönetici veya Kimlik İdaresi Yönetici istrator olmanız gerekir. Veya bu katalogda bir katalog sahibi veya erişim paketi yöneticisi olmanız gerekir.

    Screenshot that shows basic information for a new access package.

    Genel Yönetici oluşturucusu, Kimlik İdaresi Yönetici oluşturucusu veya katalog oluşturucusuysanız ve erişim paketinizi listelenmeyen yeni bir katalogda oluşturmak istiyorsanız Yeni katalog oluştur'u seçin. Katalog adını ve açıklamasını girip Oluştur'u seçin.

    Oluşturduğunuz erişim paketi ve içindeki tüm kaynaklar yeni kataloğa eklenir. Daha sonra, daha fazla katalog sahibi ekleyebilir veya kataloğa eklediğiniz kaynaklara öznitelikler ekleyebilirsiniz. Belirli bir katalog kaynağının öznitelik listesini ve önkoşul rollerini düzenleme hakkında daha fazla bilgi edinmek için Bkz . Katalogda kaynak öznitelikleri ekleme.

  3. İleri: Kaynak rolleri'ne tıklayın.

Kaynak rollerini seçme

Kaynak rolleri sekmesinde, erişim paketine eklenecek kaynakları seçersiniz. Erişim paketini isteyen ve alan kullanıcılar, erişim paketinde grup üyeliği gibi tüm kaynak rollerini alır.

Hangi kaynak rollerini dahil etmek istediğinizden emin değilseniz, erişim paketini oluştururken bunları eklemeyi atlayabilir ve daha sonra ekleyebilirsiniz .

  1. Eklemek istediğiniz kaynak türünü seçin (Gruplar ve Teams, Uygulamalar veya SharePoint siteleri).

  2. Görüntülenen Uygulamaları seçin panelinde listeden bir veya daha fazla kaynak seçin.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Erişim paketini genel katalogda veya yeni bir katalogda oluşturuyorsanız, sahip olduğunuz dizinden herhangi bir kaynağı seçebilirsiniz. En azından genel yönetici, Kimlik İdaresi Yönetici oluşturucu veya katalog oluşturucu olmanız gerekir.

    Dekont

    Bir kataloğa ve erişim paketine dinamik gruplar ekleyebilirsiniz. Ancak, bir erişim paketindeki dinamik grup kaynağını yönetirken yalnızca sahip rolünü seçebilirsiniz.

    Erişim paketini mevcut bir katalogda oluşturuyorsanız, o kaynağın sahibi olmanıza gerek kalmadan katalogda bulunan herhangi bir kaynağı seçebilirsiniz.

    Genel yönetici, Kimlik İdaresi Yönetici istrator veya katalog sahibiyseniz, sahip olduğunuz veya yönetdiğiniz ancak henüz katalogda olmayan kaynakları seçme seçeneğiniz vardır. Dizindeki kaynakları seçerseniz ancak şu anda seçili katalogda değilseniz, bu kaynaklar diğer katalog yöneticilerinin erişim paketleri oluşturması için kataloğa da eklenir. Dizinde kataloğa eklenebilen tüm kaynakları görmek için panelin üst kısmındaki Tümünü görüntüle onay kutusunu seçin. Yalnızca seçili katalogda bulunan kaynakları seçmek istiyorsanız Tümünü göster onay kutusunu (varsayılan durum) temizlenmiş olarak bırakın.

  3. Rol listesinde, kullanıcıların kaynak için atanmasını istediğiniz rolü seçin. Bir kaynak için uygun rolleri seçme hakkında daha fazla bilgi için bkz . Erişim paketine hangi kaynak rollerinin ekleneceğini belirleme.

    Screenshot that shows resource role selection for a new access package.

  4. İleri: İstekler'i seçin.

İstek ilkeleri oluşturma

İstekler sekmesinde, erişim paketini kimlerin isteyebileceğini belirtmek için ilk ilkeyi oluşturursunuz. Onay ayarlarını da yapılandırabilirsiniz. Daha sonra, ek kullanıcı gruplarının erişim paketini kendi onay ayarlarıyla istemesine izin vermek için daha fazla istek ilkesi oluşturabilirsiniz.

Screenshot that shows the Requests tab for a new access package.

Bu erişim paketini isteyebilmek istediğiniz kullanıcılara bağlı olarak, aşağıdaki bölümlerden birinde yer alan adımları gerçekleştirin.

Dizininizdeki kullanıcıların erişim paketini istemesine izin verme

Dizininizdeki kullanıcıların bu erişim paketini isteyebilmesine izin vermek istiyorsanız aşağıdaki adımları kullanın. İstek ilkesini tanımlarken tek tek kullanıcıları veya (daha yaygın olarak) kullanıcı gruplarını belirtebilirsiniz. Örneğin, kuruluşunuzun zaten Tüm çalışanlar gibi bir grubu olabilir. Bu grup, erişim isteğinde bulunabilen kullanıcılar için ilkeye eklenirse, bu grubun herhangi bir üyesi erişim isteyebilir.

  1. Erişim isteyebilecek kullanıcılar bölümünde Dizininizdeki kullanıcılar için'i seçin.

    Bu seçeneği belirlediğinizde, dizininizdeki kimlerin bu erişim paketini isteyebileceğini daraltabilmeniz için yeni seçenekler görüntülenir.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. Aşağıdaki seçeneklerden birini belirleyin:

    Seçenek Açıklama
    Belirli kullanıcılar ve gruplar Yalnızca dizininizde belirttiğiniz kullanıcıların ve grupların bu erişim paketini isteyebilmesini istiyorsanız bu seçeneği belirleyin.
    Tüm üyeler (konuklar hariç) Dizininizdeki tüm üye kullanıcıların bu erişim paketini isteyebilmesini istiyorsanız bu seçeneği belirleyin. Bu seçenek dizininize davet etmiş olabileceğiniz konuk kullanıcıları içermez.
    Tüm kullanıcılar (konuklar dahil) Dizininizdeki tüm üye kullanıcıların ve konuk kullanıcıların bu erişim paketini isteyebilmesini istiyorsanız bu seçeneği belirleyin.

    Konuk kullanıcılar, Microsoft Entra B2B aracılığıyla dizininize davet edilen dış kullanıcılardır. Üye kullanıcılar ve konuk kullanıcılar arasındaki farklar hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de varsayılan kullanıcı izinleri nelerdir?.

  3. Belirli kullanıcılar ve gruplar'ı seçtiyseniz Kullanıcı ve grup ekle'yi seçin.

  4. Kullanıcıları ve grupları seçin bölmesinde, eklemek istediğiniz kullanıcıları ve grupları seçin.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Kullanıcıları ve grupları eklemek için Seç'i seçin.

  6. Onay ayarlarını belirtin bölümüne atlayın.

Dizininizde bulunmayan kullanıcıların erişim paketini istemesine izin verme

Başka bir Microsoft Entra dizininde veya etki alanında bulunan kullanıcılar henüz dizininize davet edilmemiş olabilir. Microsoft Entra dizinleri, İşbirliği kısıtlamalarındaki davetlere izin verecek şekilde yapılandırılmalıdır. Daha fazla bilgi için bkz. Dış işbirliği ayarlarını yapılandırma.

Henüz dizininizde olmayan ve isteği onaylanan veya onay gerektirmeyen bir kullanıcı için konuk kullanıcı hesabı oluşturulur. Konuk davet edilecek ancak davet e-postası almayacak. Bunun yerine erişim paketi atamaları teslim edildiğinde bir e-posta alırlar. Daha sonra, son atamanın süresi dolduğu veya iptal edildiği için konuk kullanıcının artık herhangi bir erişim paketi ataması olmadığında hesabın oturum açması engellenir ve ardından silinir. Engelleme ve silme işlemi varsayılan olarak gerçekleşir.

Konuk kullanıcıların, erişim paketi atamaları olmasa bile süresiz olarak dizininizde kalmasını istiyorsanız, yetkilendirme yönetimi yapılandırmanızın ayarlarını değiştirebilirsiniz. Konuk kullanıcı nesnesi hakkında daha fazla bilgi için bkz . Microsoft Entra B2B işbirliği kullanıcısının özellikleri.

Dizininizde olmayan kullanıcıların erişim paketini istemesine izin vermek istiyorsanız şu adımları izleyin:

  1. Erişim isteyebilecek kullanıcılar bölümünde Dizininizde olmayan kullanıcılar için'i seçin.

    Bu seçeneği belirlediğinizde yeni seçenekler görüntülenir.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. Aşağıdaki seçeneklerden birini belirleyin:

    Seçenek Açıklama
    Belirli bağlı kuruluşlar Yöneticinizin daha önce eklediği bir kuruluş listesinden seçim yapmak istiyorsanız bu seçeneği belirleyin. Seçilen kuruluşlardaki tüm kullanıcılar bu erişim paketini isteyebilir.
    Tüm bağlı kuruluşlar Yapılandırılmış tüm bağlı kuruluşlarınızdaki tüm kullanıcılar bu erişim paketini isteyebilirse bu seçeneği belirleyin.
    Tüm kullanıcılar (Tüm bağlı kuruluşlar + yeni dış kullanıcılar) Herhangi bir kullanıcı bu erişim paketini talep edebilirse ve B2B izin verilenler listesi veya blok listesi ayarları yeni dış kullanıcılar için öncelikli olmalıdır.

    Bağlı kuruluş, ilişkiniz olan bir dış Microsoft Entra dizini veya etki alanıdır.

  3. Belirli bağlı kuruluşlar'ı seçtiyseniz, yöneticinizin daha önce eklediği bağlı kuruluşlar listesinden dizin ekle'yi seçin.

  4. Daha önce bağlı bir kuruluşu aramak için adı veya etki alanı adını girin.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    İşbirliği yapmak istediğiniz kuruluş listede yoksa, yöneticinizden bunu bağlı bir kuruluş olarak eklemesini isteyebilirsiniz. Daha fazla bilgi için bkz . Bağlı kuruluş ekleme.

  5. Tüm bağlı kuruluşlar'ı seçtiyseniz, genel yöneticinize şu anda yapılandırılmış ve kapsam dahilinde olması planlanan bağlı kuruluşların listesini onaylamanız gerekir.

  6. Tüm kullanıcılar'ı seçtiyseniz, onaylar bölümünde onayları yapılandırmanız gerekir, bu kapsam İnternet'teki herhangi bir kimliğin erişim istemesine izin verir.

  7. Tüm bağlı kuruluşlarınızı seçtikten sonra Seç'i seçin.

    Seçilen bağlı kuruluşlardaki tüm kullanıcılar bu erişim paketini isteyebilir. Bu, Azure B2B izin verilenler listesi veya blok listesi bu etki alanlarını engellemediği sürece kuruluşla ilişkilendirilmiş tüm alt etki alanlarından Microsoft Entra ID'deki kullanıcıları içerir. live.com gibi bir sosyal kimlik sağlayıcısı etki alanı belirtirseniz, sosyal kimlik sağlayıcısındaki tüm kullanıcılar bu erişim paketini isteyebilir. Daha fazla bilgi için bkz . Belirli kuruluşların B2B kullanıcılarına yönelik davetlere izin verme veya davetleri engelleme.

  8. Onay ayarlarını belirtin bölümüne atlayın.

Yalnızca yönetici doğrudan atamalarına izin ver

Erişim isteklerini atlamak ve yöneticilerin bu erişim paketine doğrudan belirli kullanıcıları atamasına izin vermek istiyorsanız bu adımları izleyin. Kullanıcıların erişim paketini istemesi gerekmez. Yaşam döngüsü ayarlarını yine de ayarlayabilirsiniz, ancak istek ayarları yoktur.

  1. Erişim isteyebilecek kullanıcılar bölümünde Yok (yalnızca yönetici doğrudan atamaları) seçeneğini belirleyin.

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    Erişim paketini oluşturduktan sonra, buna doğrudan belirli iç ve dış kullanıcıları atayabilirsiniz. Dış kullanıcı belirtirseniz dizininizde bir konuk kullanıcı hesabı oluşturulur. Doğrudan kullanıcı atama hakkında bilgi için bkz . Erişim paketi için atamaları görüntüleme, ekleme ve kaldırma.

  2. İstekleri etkinleştir bölümüne atlayın.

Onay ayarlarını belirtme

Onay bölümünde, kullanıcılar bu erişim paketini istediğinde onay gerekip gerekmediğini belirtirsiniz. Onay ayarları aşağıdaki şekilde çalışır:

  • Seçilen onaylayanlardan veya geri dönüş onaylayanlardan yalnızca birinin tek aşamalı onay isteğini onaylaması gerekir.
  • Her aşamadan seçilen onaylayanlardan yalnızca birinin iki aşamalı onay isteğini onaylaması gerekir.
  • Onaylayan, ilkenin erişim idaresine bağlı olarak yönetici, kullanıcının sponsoru, iç sponsor veya dış sponsor olabilir.
  • Tek aşamalı veya iki aşamalı onay için seçilen her onaylayandan onay gerekmez.
  • Onay kararı, isteği ilk olarak hangi onaylayanın gözden geçirmesine bağlıdır.

İstek ilkesine onaylayanların nasıl ekleneceğini gösteren bir tanıtım için aşağıdaki videoyu izleyin:

İstek ilkesine birden çok aşamalı onay eklemeyi gösteren bir tanıtım için aşağıdaki videoyu izleyin:

Erişim paketine yönelik isteklerin onay ayarlarını belirtmek için şu adımları izleyin:

  1. Seçili kullanıcılardan gelen istekler için onay istemek için Onay iste iki durumlu düğmesini Evet olarak ayarlayın. İsteklerin otomatik olarak onaylanması için iki durumlu düğmeyi Hayır olarak da ayarlayabilirsiniz. İlke, kuruluşunuzun dışındaki dış kullanıcıların erişim istemesine izin veriyorsa, kuruluşunuzun dizinine kimlerin eklendiği konusunda gözetim sahibi olmak için onay istemeniz gerekir.

  2. Kullanıcıların erişim paketini istemek için bir gerekçe sağlamasını istemek için İstek sahibi gerekçesi gerektir iki durumlu düğmesini Evet olarak ayarlayın.

  3. İsteklerin tek aşamalı mı yoksa iki aşamalı onay mı gerektirdiğini belirleyin. Tek aşamalı onay için Kaç aşama iki durumlu düğmesini 1, iki aşamalı onay için 2 veya üç aşamalı onay için 3 olarak ayarlayın.

    Screenshot that shows approval settings for requests to an access package.

Aşama sayısını seçtikten sonra onaylayanları eklemek için aşağıdaki adımları kullanın.

Tek aşamalı onay

  1. İlk Onaylayan bilgilerini ekleyin:

    • İlke Dizininizdeki kullanıcılar için olarak ayarlandıysa, Onaylayan olarak Yönetici'yi veya onaylayan olarak Sponsorlar'ı seçebilirsiniz. İsterseniz, Belirli onaylayanları seç'i ve ardından Onaylayan ekle'yi seçerek belirli bir kullanıcı ekleyebilirsiniz.

      Sponsorları Onay onaylayanları olarak kullanmak için Microsoft Entra Kimlik Yönetimi lisansına sahip olmanız gerekir. Daha fazla bilgi için bkz . Microsoft Entra Id'nin genel kullanıma sunulan özelliklerini karşılaştırma.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • İlke Dizininizde olmayan kullanıcılar için olarak ayarlandıysa Dış sponsor veya İç sponsor'u seçebilirsiniz. İsterseniz, Belirli onaylayanları seç'i ve ardından Onaylayan ekle'yi seçerek belirli bir kullanıcı ekleyebilirsiniz.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. İlk onaylayan olarak Yönetici'yi seçtiyseniz, dizininizdeki bir veya daha fazla kullanıcıyı veya grubu geri dönüş onaylayıcısı olarak seçmek için Geri dönüş ekle'yi seçin. Yetkilendirme yönetimi erişim isteyen kullanıcının yöneticisini bulamazsa geri dönüş onaylayanlar isteği alır.

    Yetkilendirme yönetimi, Manager özniteliğini kullanarak yöneticiyi bulur. özniteliği, Kullanıcının Microsoft Entra Id'deki profilinde yer alır. Daha fazla bilgi için bkz . Kullanıcının profil bilgilerini ve ayarlarını ekleme veya güncelleştirme.

  3. İlk onaylayan olarak Sponsorlar'ı seçtiyseniz, dizininizdeki bir veya daha fazla kullanıcıyı veya grubu geri dönüş onaylayıcısı olarak seçmek için Geri dönüş ekle'yi seçin. Yetkilendirme yönetimi erişim isteyen kullanıcının sponsorunu bulamazsa geri dönüş onaylayanlar isteği alır.

    Yetkilendirme yönetimi Sponsorlar özniteliğini kullanarak sponsorları bulur. özniteliği, Kullanıcının Microsoft Entra Id'deki profilinde yer alır. Daha fazla bilgi için bkz . Kullanıcının profil bilgilerini ve ayarlarını ekleme veya güncelleştirme.

  4. Belirli onaylayanları seç'i seçtiyseniz, onaylayan olarak dizininizdeki bir veya daha fazla kullanıcı veya grup seçmek için Onaylayan ekle'yi seçin.

  5. Karar kaç gün içinde verilmelidir? kutusunda, onaylayanın bu erişim paketi için bir isteği gözden geçirmesi gereken gün sayısını belirtin.

    Bir istek bu süre içinde onaylanmamışsa otomatik olarak reddedilir. Daha sonra kullanıcının erişim paketi için başka bir istek göndermesi gerekir.

  6. Onaylayanların kararlarında gerekçe sağlamasını istemek için Onaylayan gerekçesi gerektir seçeneğini Evet olarak ayarlayın.

    Gerekçe diğer onaylayanlar ve istekte bulunanlar tarafından görülebilir.

İki aşamalı onay

İki aşamalı onay seçtiyseniz ikinci bir onaylayan eklemeniz gerekir:

  1. İkinci Onaylayan bilgilerini ekleyin:

    • Kullanıcılar dizininizdeyse Sponsorlar'ı onaylayan olarak seçebilirsiniz. İsterseniz, açılan menüden Belirli onaylayanları seç'i ve ardından Onaylayan ekle'yi seçerek belirli bir kullanıcıyı da ekleyebilirsiniz.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Kullanıcılar dizininizde değilse, ikinci onaylayan olarak İç sponsor veya Dış sponsor'ı seçin. Onaylayanı seçtikten sonra geri dönüş onaylayanlarını ekleyin.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. Karar kaç gün içinde alınmalıdır? kutusunda, ikinci onaylayanın isteği onaylaması gereken gün sayısını belirtin.

  3. Onaylayan gerekçesi gerektir iki durumlu düğmesini Evet veya Hayır olarak ayarlayın.

Üç aşamalı onay

Üç aşamalı bir onay seçtiyseniz, üçüncü bir onaylayan eklemeniz gerekir:

  1. Üçüncü Onaylayan bilgilerini ekleyin:

    Kullanıcılar dizininizdeyse, Belirli onaylayanları seç Onaylayan ekle'yi seçerek belirli bir kullanıcıyı üçüncü onaylayan olarak ekleyin.>

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. Karar kaç gün içinde alınmalıdır? kutusunda, ikinci onaylayanın isteği onaylaması gereken gün sayısını belirtin.

  3. Onaylayan gerekçesi gerektir iki durumlu düğmesini Evet veya Hayır olarak ayarlayın.

Alternatif onaylayanlar

İstekleri onaylayan ilk ve ikinci onaylayanları belirtmeye benzer şekilde alternatif onaylayanlar belirtebilirsiniz. Alternatif onaylayanların olması, isteklerin süresi dolmadan önce onaylandığından veya reddedildiğinden emin olunmasına yardımcı olur (zaman aşımı). İlk onaylayan için alternatif onaylayanları, ikinci onaylayanı da iki aşamalı onay için listeleyebilirsiniz.

Alternatif onaylayanlar belirttiğinizde, birinci veya ikinci onaylayanlar isteği onaylayamaz veya reddedemezse, bekleyen istek diğer onaylayanlara iletilir. İstek, ilke kurulumu sırasında belirttiğiniz iletme zamanlamasına göre gönderilir. Onaylayanlar, bekleyen isteği onaylamak veya reddetmek için bir e-posta alır.

İstek diğer onaylayanlara iletildikten sonra, birinci veya ikinci onaylayanlar yine de isteği onaylayabilir veya reddedebilir. Diğer onaylayanlar, bekleyen isteği onaylamak veya reddetmek için aynı Erişimim sitesini kullanır.

Onaylayan ve alternatif onaylayan olacak kişileri veya kişi gruplarını listeleyebilirsiniz. Birinci, ikinci ve alternatif onaylayan olacak farklı kişi kümelerini listelediğinizden emin olun. Örneğin, Alice ve Bob'u ilk onaylayanlar olarak listelediyseniz, Carol ve Dave'i alternatif onaylayanlar olarak listeleyin.

Erişim paketine alternatif onaylayanlar eklemek için aşağıdaki adımları kullanın:

  1. İlk Onaylayan, İkinci Onaylayan veya her ikisi altında Gelişmiş istek ayarlarını göster'i seçin.

    Screenshot of the selection for showing advanced request settings.

  2. Eylem yapılmadıysa, diğer onaylayanlara ilet? düğmesini Evet olarak ayarlayın.

  3. Alternatif onaylayan ekle'yi seçin ve ardından listeden alternatif onaylayanları seçin.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    İlk onaylayan olarak Yönetici'yi seçerseniz, Alternatif Onaylayan kutusunda fazladan bir seçenek görüntülenir: alternatif onaylayan olarak ikinci düzey yönetici. Bu seçeneği seçerseniz, sistemin ikinci düzey yöneticiyi bulamama ihtimaline karşı isteği iletmek için bir geri dönüş onaylayıcısı eklemeniz gerekir.

  4. Kaç gün sonra diğer onaylayanlara ilet kutusuna, onaylayanların bir isteği onaylaması veya reddetmesi gereken gün sayısını girin. İstek süresinden önce onaylayan veya reddeden yoksa, isteğin süresi dolar (zaman aşımına uğrar). Daha sonra kullanıcının erişim paketi için başka bir istek göndermesi gerekir.

İstekler, istek süresi yarıya ulaştıktan bir gün sonra alternatif onaylayanlara iletilebilir. Ana onaylayanların kararı en az dört gün sonra zaman aşımına uğradı. İstek zaman aşımı üç günden kısa veya buna eşitse, isteği alternatif onaylayanlara iletmek için yeterli zaman yoktur.

Bu örnekte isteğin süresi 14 gündür. İstek süresi 7. günde yarı ömüre ulaşır. Bu nedenle istek 8. günden önce iletilemiyor.

Ayrıca istekler, istek süresinin son gününde iletilemiyor. Bu nedenle örnekte isteğin iletilebileceği en son 13. gündür.

İstekleri etkinleştirme

  1. Erişim paketinin istek ilkesindeki kullanıcılar tarafından hemen kullanıma sunulmasını istiyorsanız, Yeni istekleri ve atamaları etkinleştir iki durumlu düğmesini Evet'e getirin.

    Erişim paketini oluşturmayı tamamladıktan sonra gelecekte istediğiniz zaman etkinleştirebilirsiniz.

    Hiçbiri'ni (yalnızca yönetici doğrudan atamaları) seçerseniz ve Yeni istekleri ve atamaları etkinleştir seçeneğini Hayır olarak ayarlarsanız, yöneticiler bu erişim paketini doğrudan atayamaz.

    Screenshot that shows the option for enabling new requests and assignments.

  2. Erişim paketinize doğrulanmış kimlik gereksinimi eklemeyi öğrenmek için sonraki bölüme gidin. Aksi takdirde İleri'yi seçin.

Doğrulanmış kimlik gereksinimi ekleme

Erişim paketi ilkenize doğrulanmış kimlik gereksinimi eklemek istiyorsanız aşağıdaki adımları kullanın. Erişim paketine erişmek isteyen kullanıcıların, isteklerini başarıyla göndermeden önce gerekli doğrulanmış kimlikleri sunmaları gerekir. kiracınızı Microsoft Entra Kimlik Doğrulama hizmetiyle yapılandırmayı öğrenmek için bkz. Microsoft Entra Kimlik Doğrulama giriş.

Erişim paketine doğrulanmış kimlik gereksinimleri eklemek için genel yönetici rolüne ihtiyacınız vardır. Kimlik İdaresi yöneticisi, kullanıcı yöneticisi, katalog sahibi veya erişim paketi yöneticisi henüz doğrulanmış kimlik gereksinimleri ekleyemez.

  1. + Veren ekle'yi seçin ve ardından Microsoft Entra Kimlik Doğrulama ağından bir veren seçin. Kullanıcılara kendi kimlik bilgilerinizi vermek istiyorsanız, Uygulamadan kimlik bilgileri Microsoft Entra Kimlik Doğrulama verme başlığında yönergeleri bulabilirsiniz.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. kullanıcıların istek işlemi sırasında sunmasını istediğiniz kimlik bilgisi türlerini seçin.

    Screenshot that shows the area for selecting credential types for an access package.

    Bir verenden birden çok kimlik bilgisi türü seçerseniz, kullanıcıların seçilen tüm türlerin kimlik bilgilerini sunmaları gerekir. Benzer şekilde, birden çok veren eklerseniz, kullanıcıların ilkeye eklediğiniz verenlerin her birinden kimlik bilgilerini sunmaları gerekir. Kullanıcılara çeşitli verenlerden farklı kimlik bilgileri sunma seçeneği sunmak için, kabul ettiğiniz her veren veya kimlik bilgisi türü için ayrı ilkeler yapılandırın.

  3. Erişim paketi ilkesine doğrulanmış kimlik gereksinimini eklemek için Ekle'yi seçin.

Erişim paketine istek sahibi bilgileri ekleme

  1. İstek sahibi bilgileri sekmesine gidin ve Sorular sekmesini seçin.

  2. Soru kutusuna, istekte bulunana sormak istediğiniz bir soru girin. Bu soru, görüntüleme dizesi olarak da bilinir.

  3. Kendi yerelleştirme seçeneklerinizi eklemek istiyorsanız Yerelleştirme ekle'yi seçin.

    Screenshot that shows the box for entering a question for a requestor.

    Soru için yerelleştirmeler ekle bölmesinde:

    1. Dil kodu için, soruyu yerelleştirdiğiniz dilin dil kodunu seçin.
    2. Yerelleştirilmiş Metin kutusuna, soruyu yapılandırdığınız dilde girin.
    3. İhtiyacınız olan tüm yerelleştirmeleri eklemeyi bitirdiğinizde Kaydet'i seçin.

    Screenshot that shows localization selections for a question.

  4. Yanıt biçimi için istekte bulunanların yanıtlamasını istediğiniz biçimi seçin. Yanıt biçimleri Kısa metin, Çoktan seçmeli ve Uzun metindir.

  5. Birden çok seçenek seçtiyseniz, yanıt seçeneklerini yapılandırmak için Düzenle ve yerelleştir düğmesini seçin.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    Soruyu görüntüle/düzenle bölmesinde:

    1. Yanıt değerleri kutularına, istek sahibi soruyu yanıtlarken vermek istediğiniz yanıt seçeneklerini girin.
    2. Dil kutularında yanıt seçeneklerinin dilini seçin. Ek diller seçerseniz yanıt seçeneklerini yerelleştirebilirsiniz.
    3. Kaydet'i seçin.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. İstek sahiplerinin erişim paketine erişim isterken bu soruyu yanıtlamasını istemek için Gerekli onay kutusunu seçin.

  7. Erişim paketine eklediğiniz kaynaklarla ilişkili öznitelikleri görüntülemek için Öznitelikler sekmesini seçin.

    Dekont

    Erişim paketinin kaynaklarına öznitelik eklemek veya güncelleştirmek için Kataloglar'a gidin ve erişim paketiyle ilişkili kataloğu bulun. Belirli bir katalog kaynağının öznitelik listesini ve önkoşul rollerini düzenleme hakkında daha fazla bilgi edinmek için Bkz . Katalogda kaynak öznitelikleri ekleme.

  8. İleri'yi seçin.

Yaşam döngüsü belirtme

Yaşam Döngüsü sekmesinde, kullanıcının erişim paketine atamasının süresinin ne zaman dolacağını belirtirsiniz. Kullanıcıların atamalarını genişletip genişletemeyeceğini de belirtebilirsiniz.

  1. Süre Sonu bölümünde Erişim paketi atamalarının süresi dolmak üzere Tarih, Gün sayısı, Saat sayısı veya Hiçbir zaman olarak ayarlayın.

    • Tarih için gelecekte bir son kullanma tarihi seçin.
    • Gün sayısı için 0 ile 3660 gün arasını belirtin.
    • Saat sayısı için kaç saat olduğunu belirtin.

    Seçiminize bağlı olarak, kullanıcının erişim paketine atamasının süresi belirli bir tarihte, onaylandıktan birkaç gün sonra veya hiçbir zaman sona erer.

  2. Kullanıcının erişimi için belirli bir başlangıç ve bitiş tarihi istemesini istiyorsanız, Kullanıcılar belirli bir zaman çizelgesi isteyebilir iki durumlu düğmesi için Evet'i seçin.

  3. Daha fazla ayar göstermek için Gelişmiş süre sonu ayarlarını göster'i seçin.

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Kullanıcının atamalarını genişletmesine izin vermek için Kullanıcıların erişimi genişletmesine izin ver seçeneğini Evet olarak ayarlayın.

    İlkede uzantılara izin veriliyorsa, kullanıcı 14 gün önce bir e-posta alır ve bir gün önce erişim paketi atamasının süresi dolacak şekilde ayarlanır. E-posta, kullanıcıdan ödevi genişletmesini ister. Kullanıcının uzantı istediği sırada ilke kapsamında olması gerekir.

    Ayrıca, ilkenin atamalar için açık bir bitiş tarihi varsa ve kullanıcı erişimi uzatmak için bir istek gönderirse, istekteki uzantı tarihi atamaların süresi dolduğunda veya öncesinde olmalıdır. Kullanıcıya erişim paketine erişim izni vermek için kullandığınız ilke, uzantı tarihinin atama süre sonunda mı yoksa öncesinde mi olduğunu tanımlar. Örneğin, ilke atamaların süresinin 30 Haziran'da dolmak üzere ayarlandığını gösterirse, kullanıcının isteyebileceği en fazla uzantı 30 Haziran'dır.

    Kullanıcının erişimi genişletilirse, belirtilen uzantı tarihinden (ilkeyi oluşturan kullanıcının saat diliminde ayarlanan tarih) sonra erişim paketini isteyemez.

  5. Uzantı vermek için onay istemek için, Uzantı vermek için Onay iste seçeneğini Evet olarak ayarlayın.

    Bu onay, İstekler sekmesinde belirttiğiniz onay ayarlarını kullanır.

  6. İleri'yi veya Güncelleştir'i seçin.

Erişim paketini gözden geçirme ve oluşturma

Gözden Geçir ve oluştur sekmesinde ayarlarınızı gözden geçirebilir ve doğrulama hatalarını de kontrol edebilirsiniz.

  1. Erişim paketinin ayarlarını gözden geçirin.

    Screenshot that shows a summary of access package configuration.

  2. Erişim paketini oluşturmak için Oluştur'u seçin.

    Yeni erişim paketi, erişim paketleri listesinde görünür.

  3. Erişim paketinin ilkeler kapsamında herkes tarafından görülebilecek şekilde tasarlanması amaçlanıyorsa, erişim paketinin Gizli ayarını Hayır olarak bırakın. İsteğe bağlı olarak, yalnızca doğrudan bağlantıya sahip kullanıcıların erişim paketini istemesine izin vermek istiyorsanız, Gizli ayarını Evet olarak değiştirmek için erişim paketini düzenleyin. Ardından , erişim paketini istemek için bağlantıyı kopyalayın ve erişime ihtiyacı olan kullanıcılarla paylaşın.

Program aracılığıyla erişim paketi oluşturma

Program aracılığıyla erişim paketi oluşturmanın iki yolu vardır: Microsoft Graph aracılığıyla ve Microsoft Graph için PowerShell cmdlet'leri aracılığıyla.

Microsoft Graph kullanarak erişim paketi oluşturma

Microsoft Graph kullanarak bir erişim paketi oluşturabilirsiniz. Temsilci EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya sahip uygun roldeki bir kullanıcı API'yi şu şekilde çağırabilir:

  1. Katalogdaki kaynakları listeleyin ve henüz katalogda olmayan kaynaklar için accessPackageResourceRequest oluşturun.
  2. Katalogdaki her kaynağın rollerini ve kapsamlarını alın. Bu rol listesi daha sonra resourceRoleScope oluşturulurken bir rol seçmek için kullanılır.
  3. AccessPackage oluşturun.
  4. Erişim paketinde gereken her kaynak rolü için bir resourceRoleScope oluşturun.
  5. Erişim paketinde gereken her ilke için bir assignmentPolicy oluşturun.

Microsoft PowerShell kullanarak erişim paketi oluşturma

Ayrıca, Kimlik İdaresi için Microsoft Graph PowerShell cmdlet'leri modülündeki cmdlet'leri kullanarak PowerShell'de bir erişim paketi oluşturabilirsiniz.

İlk olarak, katalog kimliğini ve bu katalogdaki kaynağın kimliğini ve erişim paketine eklemek istediğiniz kapsamlarını ve rollerini alın. Aşağıdaki örneğe benzer bir betik kullanın:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Ardından erişim paketini oluşturun:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Erişim paketini oluşturduktan sonra, bu pakete kaynak rollerini atayın. Örneğin, daha önce döndürülen kaynağın ilk kaynak rolünü yeni erişim paketinin kaynak rolü olarak eklemek istiyorsanız, şuna benzer bir betik kullanabilirsiniz:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Son olarak ilkeleri oluşturun. Bu ilkede yalnızca yöneticiler veya erişim paketi atama yöneticileri erişim atayabilir ve erişim gözden geçirmesi yoktur. Daha fazla örnek için bkz. PowerShell aracılığıyla atama ilkesi oluşturma ve Atama oluşturmaİlke.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Sonraki adımlar