Öğretici: Yetkilendirme yönetiminde kaynaklara erişimi yönetme

  • Makale

Çalışanların ihtiyaç duyduğu gruplar, uygulamalar ve siteler gibi tüm kaynaklara erişimi yönetmek kuruluşlar için önemli bir işlevdir. Çalışanlara üretken olmaları için gereken doğru erişim düzeyini vermek ve artık gerekli olmadığında erişimlerini kaldırmak istiyorsunuz.

Bu öğreticide Woodgrove Bank'ta BT yöneticisi olarak çalışacaksınız. Şirket içi kullanıcıların self servis isteği için kullanabileceği bir pazarlama kampanyası için kaynak paketi oluşturmanız istendi. İstekler onay gerektirmez ve kullanıcının erişiminin süresi 30 gün sonra dolar. Bu öğreticide, pazarlama kampanyası kaynakları yalnızca tek bir grubun üyeliğidir, ancak bir grup, uygulama veya SharePoint Online sitesi koleksiyonu olabilir.

Diagram that shows the scenario overview.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Kaynak olarak bir grupla erişim paketi oluşturma
  • Dizininizdeki bir kullanıcının erişim istemesine izin verme
  • bir iç kullanıcının erişim paketini nasıl isteyebileceğini gösterme

İlk erişim paketinizi oluşturma da dahil olmak üzere Microsoft Entra yetkilendirme yönetimi dağıtma işleminin adım adım tanıtımı için aşağıdaki videoyu izleyin:

Bu makalenin geri kalanında yetkilendirme yönetimini yapılandırmak ve göstermek için Microsoft Entra yönetim merkezi kullanılır.

Önkoşullar

Yetkilendirme yönetimini kullanmak için aşağıdaki lisanslardan birine sahip olmanız gerekir:

  • Microsoft Entra Id P2 veya Microsoft Entra Kimlik Yönetimi
  • Enterprise Mobility + Security (EMS) E5 lisansı

Daha fazla bilgi için bkz . Lisans gereksinimleri.

1. Adım: Kullanıcıları ve grubu ayarlama

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Kaynak dizininde paylaşacak bir veya daha fazla kaynak vardır. Bu adımda, Woodgrove Bank dizininde yetkilendirme yönetimi için hedef kaynak olan Pazarlama kaynakları adlı bir grup oluşturursunuz. Ayrıca bir iç istek sahibi de ayarlarsınız.

Önkoşul rolü: Genel yönetici veya Kimlik İdaresi Yönetici istrator

Diagram that shows the users and groups for this tutorial.

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  3. İki kullanıcı oluşturun. Aşağıdaki adları veya farklı adları kullanın.

    Adı Dizin rolü
    Yönetici 1 Genel yönetici veya Kimlik İdaresi Yönetici istrator. Bu kullanıcı, şu anda oturum açtığınız kullanıcı olabilir.
    İstek Sahibi1 User

  4. Üyelik türü Atanan olan Pazarlama kaynakları adlı bir Microsoft Entra güvenlik grubu oluşturun. Bu grup, yetkilendirme yönetimi için hedef kaynaktır. Başlatılacak grup üyelerin boş olması gerekir.

2. Adım: Erişim paketi oluşturma

Erişim paketi, bir ekibin veya projenin ihtiyaç duyduğu ve ilkelerle yönetilen bir kaynak paketidir. Erişim paketleri katalog adı verilen kapsayıcılarda tanımlanır. Bu adımda, Genel kataloğunda bir Pazarlama Kampanyası erişim paketi oluşturursunuz.

Önkoşul rolü: Genel Yönetici istrator, Kimlik İdaresi Yönetici istrator, Katalog sahibi veya Access paket yöneticisi

Diagram that describes the relationship between the access package elements.

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Erişim reddedildi ifadesini görüyorsanız erişim paketini açarken dizininizde bir Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi lisansı bulunduğundan emin olun.

  5. Yeni erişim paketi'ni seçin.

    Screenshots that shows how to create an access package.

  6. Temel Bilgiler sekmesinde Pazarlama Kampanyası erişim paketi adını ve kampanya için kaynaklara erişim açıklamasını yazın.

  7. Katalog açılan listesini Genel olarak bırakın.

    Screenshot showing how to set the basic of the access policy.

  8. Kaynak rolleri sekmesini açmak için İleri'yi seçin. Bu sekmede, erişim paketine eklenecek kaynakları ve kaynak rolünü seçin. Gruplara, ekiplere, uygulamalara ve SharePoint Online sitelerine erişimi yönetmeyi seçebilirsiniz. Bu senaryoda Gruplar ve Teams'i seçin.

    Screenshot showing how to select groups and teams.

  9. Grupları seçin bölmesinde, daha önce oluşturduğunuz Pazarlama kaynakları grubunu bulun ve seçin.

    Varsayılan olarak, Genel kataloğunda grupları görürsünüz. Genel kataloğun dışından bir grup seçtiğinizde, Tümünü gör onay kutusunu işaretlerseniz, genel kataloğa eklenir.

    Screenshot that shows how to select the groups

  10. Grubu listeye eklemek için Seç'i seçin.

  11. Rol açılan listesinde Üye'yi seçin. Sahip rolünü seçerseniz, bu rol kullanıcıların diğer üyeleri veya sahipleri eklemesine veya kaldırmasına olanak tanır. Bir kaynak için uygun rolleri seçme hakkında daha fazla bilgi için bkz . Kaynak rolleri ekleme.

    Screenshot the shows how to select the member role.

    Önemli

    Erişim paketine eklenen rol atanabilir gruplar, Rollere Atanabilir Alt Türü kullanılarak belirtilir. Daha fazla bilgi için Rol atanabilir grup oluşturma makalesine bakın. Erişim paketi kataloğunda rol atanabilir bir grup mevcut olduğunda, Genel Yönetici istrator rolündeki kullanıcılar, Kimlik yönetimi Yönetici istrator rolündeki kullanıcılar ve kataloğun katalog sahipleri dahil olmak üzere yetkilendirme yönetiminde yönetebilen yönetici kullanıcıların katalogdaki erişim paketlerini denetleyebileceklerini unutmayın. bu gruplara kimlerin eklenebileceğini seçmelerine izin verir. Eklemek istediğiniz rol atanabilir bir grup görmüyorsanız veya ekleyemiyorsanız, bu işlemi gerçekleştirmek için gerekli Microsoft Entra rolüne ve yetkilendirme yönetimi rolüne sahip olduğunuzdan emin olun. Gerekli rollere sahip birinden kaynağı kataloğunuza eklemesini istemeniz gerekebilir. Daha fazla bilgi için bkz . Bir kataloğa kaynak eklemek için gerekli roller.

    Dekont

    Dinamik grupları kullanırken sahip dışında başka hiçbir rol görmezsiniz. Bu tasarım gereğidir. Screenshots that shows a dynamic group available roles.

  12. İstekler sekmesini açmak için İleri'yi seçin. İstekler sekmesinde bir istek ilkesi oluşturursunuz. İlke, bir erişim paketine erişmek için kuralları veya korumaları tanımlar. Kaynak dizinindeki belirli bir kullanıcının bu erişim paketini istemesine izin veren bir ilke oluşturursunuz.

  13. Erişim isteğinde bulunabilecek kullanıcılar bölümünde Dizininizdeki kullanıcılar için'i ve ardından Belirli kullanıcılar ve gruplar'ı seçin.

    Screenshot of the access package requests tab.

  14. Kullanıcı ve grup ekle'yi seçin.

  15. Kullanıcıları ve grupları seçin bölmesinde, daha önce oluşturduğunuz Requestor1 kullanıcısını seçin.

    Screenshot of select users and groups.

  16. Kullanıcıyı listeye eklemek için Seç'i seçin.

  17. Ekranı aşağı kaydırarak Onay ve İstekleri etkinleştir bölümlerine gelin.

  18. Onay gerektir seçeneğini Hayır olarak bırakın.

  19. İstekleri etkinleştir için Evet'i seçerek bu erişim paketinin oluşturulduğu anda istenebilmesini sağlayın.

  20. Kuruluşunuz doğrulanmış kimlikleri alacak şekilde ayarlandıysa, istek sahiplerinin doğrulanmış kimlik sağlamasını gerektirecek bir erişim paketi yapılandırma seçeneği vardır. Daha fazla bilgi edinmek için bkz. Yetkilendirme yönetiminde erişim paketi için doğrulanmış kimlik ayarlarını yapılandırma (Önizleme)

    Screenshot of the Verified ID picker selection.

  21. İstek sahibi bilgileri sekmesini açmak için İleri'yi seçin.

    Screenshots of the requests tab approval and enable requests settings.

  22. İstek sahibi bilgileri sekmesinde, istek sahibinden daha fazla bilgi toplamak için sorular sorabilirsiniz. Sorular istek formunda gösterilir ve gerekli veya isteğe bağlı olabilir. Bu senaryoda, erişim paketi için istek sahibi bilgilerini eklemeniz istenmedi, bu nedenle bu kutuları boş bırakabilirsiniz. Yaşam Döngüsü sekmesini açmak için İleri'yi seçin.

  23. Yaşam Döngüsü sekmesinde, kullanıcının erişim paketine atamasının süresinin ne zaman dolacağını belirtirsiniz. Kullanıcıların atamalarını genişletip genişletemeyeceğini de belirtebilirsiniz. Süre Sonu bölümünde:

    1. Erişim paketi atamalarının süresinin dolmasına Gün sayısı olarak ayarlayın.
    2. Atamaların süresinin 30 gün sonra dolmasına ayarlayın.
    3. Kullanıcılar belirli bir zaman çizelgesi isteğinde bulunabilir varsayılan değeri olan Evet'i bırakın.
    4. Erişim gözden geçirmeleri gerektir seçeneğini Hayır olarak ayarlayın.

    Screenshot of the access package lifecycle tab

  24. Özel uzantılar adımını atlayın.

  25. Gözden Geçir + Oluştur sekmesini açmak için İleri'yi seçin.

  26. Gözden Geçir + Oluştur sekmesinde Oluştur'u seçin. Birkaç dakika sonra erişim paketinin başarıyla oluşturulduğuna ilişkin bir bildirim görmeniz gerekir.

  27. Pazarlama Kampanyası erişim paketinin sol menüsünde Genel Bakış'ı seçin.

  28. Erişimim portalı bağlantısını kopyalayın.

    Sonraki adım için bu bağlantıyı kullanacaksınız.

    Screenshot that demonstrates how to copy the link to the access policy.

3. Adım: Erişim isteme

Bu adımda, iç istek sahibi olarak adımları gerçekleştirir ve erişim paketine erişim isteğinde bulunursunuz. İstek sahipleri, erişim portalı adlı bir siteyi kullanarak isteklerini gönderir. Erişimim portalı, istekte bulunanların erişim paketleri için istek göndermesine, zaten erişimleri olan erişim paketlerini görmesine ve istek geçmişini görüntülemesine olanak tanır. Yeni bir konuk MyAccess'te erişim paketi istediğinde, tercih ettiği dil, istek zamanında MyAccess tarayıcı diline göre damgalanır. Bu, yeni konukların anladıkları dilde e-posta iletişimi almalarını sağlar.

Önkoşul rolü: İç istek sahibi

  1. Microsoft Entra yönetim merkezinde oturumu kapatın.

  2. Yeni bir tarayıcı penceresinde, önceki adımda kopyaladığınız Erişimim portalı bağlantısına gidin.

  3. Erişimim portalında requestor1 olarak oturum açın.

    Pazarlama Kampanyası erişim paketini görmeniz gerekir.

  4. İş gerekçesi kutusuna yeni pazarlama kampanyası üzerinde çalıştığım gerekçeyi yazın.

    Screenshot of the My Access portal listing the access packages.

  5. Gönder'i seçin.

  6. soldaki menüde İstek geçmişi'ni seçerek isteğinizin teslim edilmiş olduğunu doğrulayın. Diğer ayrıntılar için Görünüm'ü seçin.

    Screenshot of the My Access portal request history.

4. Adım: Erişimin atandığını doğrulama

Bu adımda, iç istek sahibine erişim paketi atandığını ve artık Pazarlama kaynakları grubunun bir üyesi olduğunu onaylarsınız.

Önkoşul rolü: Genel Yönetici istrator, Kimlik İdaresi Yönetici istrator, Katalog sahibi veya Access paket yöneticisi

  1. Erişimim portalında oturumu kapatın.

  2. Microsoft Entra yönetim merkezinde Yönetici 1 olarak oturum açın.

  3. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  4. Pazarlama Kampanyası erişim paketini bulun ve seçin.

  5. Soldaki menüde İstekler'i seçin.

    Requestor1'i ve Durumu Teslim Edildi olan İlke'yi görmeniz gerekir.

  6. İstek ayrıntılarını görmek için isteği seçin.

    Screenshot of the access package request details.

  7. Sol gezinti bölmesinde Kimlik'i seçin.

  8. Gruplar'ıseçin ve Pazarlama kaynakları grubunu açın.

  9. Üyeler'i seçin.

    Requestor1'in üye olarak listelendiğini görmeniz gerekir.

    Screenshot shows the requestor one has been added to the marketing resources group.

5. Adım: Kaynakları temizleme

Bu adımda, yaptığınız değişiklikleri kaldırır ve Pazarlama Kampanyası erişim paketini silersiniz.

Önkoşul rolü: Global Yönetici istrator veya Identity Governance Yönetici istrator

  1. Microsoft Entra yönetim merkezinde Kimlik İdaresi.

  2. Pazarlama Kampanyası erişim paketini açın.

  3. Atamalar'ı seçin.

  4. İstek Sahibi1 için üç noktayı (...) ve ardından Erişimi kaldır'ı seçin. Görüntülenen iletide Evet'i seçin.

    Birkaç dakika sonra, durum Teslim Edildi olan Süresi Doldu olarak değişir.

  5. Kaynak rolleri'ne tıklayın.

  6. Pazarlama kaynakları için üç noktayı (...) ve ardından Kaynak rolünü kaldır'ı seçin. Görüntülenen iletide Evet'i seçin.

  7. Erişim paketleri listesini açın.

  8. Pazarlama Kampanyası için üç noktayı (...) ve ardından Sil'i seçin. Görüntülenen iletide Evet'i seçin.

  9. Kimlik bölümünde, Requestor1 ve Yönetici 1 gibi oluşturduğunuz tüm kullanıcıları silin.

  10. Pazarlama kaynakları grubunu silin.

Sonraki adımlar

Yetkilendirme yönetimindeki yaygın senaryo adımları hakkında bilgi edinmek için sonraki makaleye ilerleyin.

Genel senaryolar