Yetkilendirme yönetiminde erişim paketi için istek ayarlarını değiştirme

  • Makale

Erişim paketi yöneticisi olarak, erişim paketi atama istekleri için bir ilke düzenleyerek veya erişim paketine yeni bir ilke ekleyerek istediğiniz zaman erişim paketi isteyebilen kullanıcıları değiştirebilirsiniz. Bu makalede, mevcut bir erişim paketi atama ilkesi için istek ayarlarının nasıl değiştireceği açıklanır.

Bir veya birden çok ilke arasında seçim yapma

Kimlerin erişim paketi isteyebileceğini belirtme yönteminiz bir ilkedir. Yeni bir ilke oluşturmadan veya erişim paketinde var olan bir ilkeyi düzenlemeden önce, erişim paketinin kaç ilkeye ihtiyacı olduğunu belirlemeniz gerekir.

Erişim paketi oluşturduğunuzda, erişim paketinin ilk ilkesinde depolanan istek, onay ve yaşam döngüsü ayarlarını belirtebilirsiniz. Çoğu erişim paketi, kullanıcıların erişim istemesi için tek bir ilkeye sahiptir, ancak tek bir erişim paketinin birden çok ilkesi olabilir. Farklı istek ve onay ayarlarına sahip farklı kullanıcı kümelerine atama verilmesine izin vermek istiyorsanız, erişim paketi için birden çok ilke oluşturabilirsiniz.

Örneğin, iç ve dış kullanıcıları aynı erişim paketine atamak için tek bir ilke kullanılamaz. Ancak, aynı erişim paketinde biri iç kullanıcılar, diğeri de dış kullanıcılar için iki ilke oluşturabilirsiniz. Bir kullanıcıya istekte bulunmak için geçerli olan birden çok ilke varsa, istek sırasında atanmak istediği ilkeyi seçmesi istenir. Aşağıdaki diyagramda iki ilke içeren bir erişim paketi gösterilmektedir.

Diagram that illustrates multiple policies, along with multiple resource roles, can be contained within an access package.

Kullanıcıların erişim isteme ilkelerine ek olarak, otomatik atama ilkelerine ve yöneticiler veya katalog sahipleri tarafından doğrudan atama ilkelerine de sahip olabilirsiniz.

Kaç ilkeye ihtiyacım olacak?

Senaryo İlke sayısı
Dizinimdeki tüm kullanıcıların erişim paketi için aynı istek ve onay ayarlarına sahip olmasını istiyorum Bir
Belirli bağlı kuruluşlardaki tüm kullanıcıların erişim paketi isteyebilmesini istiyorum Bir
Hem dizinimdeki hem de dizinim dışındaki kullanıcıların erişim paketi istemesine izin vermek istiyorum İki
Bazı kullanıcılar için farklı onay ayarları belirtmek istiyorum Her kullanıcı grubu için bir tane
Bazı kullanıcıların erişimlerini genişletirken bazı kullanıcıların paket atamalarının süresinin dolmasını istiyorum Her kullanıcı grubu için bir tane
Bazı kullanıcıların erişim istemesini ve diğer kullanıcılara yönetici tarafından erişim atanmasını istiyorum İki
Kuruluşumdaki bazı kullanıcıların otomatik olarak erişim almasını, kuruluşumdaki diğer kullanıcıların istekte bulunabilmesini ve diğer kullanıcıların yönetici tarafından erişim atanmasını istiyorum Üç

Birden çok ilke uygulandığında kullanılan öncelik mantığı hakkında bilgi için bkz . Birden çok ilke.

Mevcut bir erişim paketini açma ve farklı istek ayarlarıyla yeni bir ilke ekleme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Farklı istek ve onay ayarlarına sahip olması gereken bir kullanıcı kümeniz varsa, büyük olasılıkla yeni bir ilke oluşturmanız gerekir. Mevcut erişim paketine yeni ilke eklemeye başlamak için şu adımları izleyin:

Önkoşul rolü: Genel Yönetici istrator, Kimlik İdaresi Yönetici istrator, Katalog sahibi veya Access paket yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında, düzenlemek istediğiniz erişim paketini açın.

  4. İlkeler'i ve ardından İlke ekle'yi seçin.

  5. Temel Bilgiler sekmesinde, ilke için bir ad ve açıklama yazın.

    Create policy with name and description

  6. İstekler sekmesini açmak için İleri'yi seçin.

  7. Erişim isteyebilecek kullanıcılar ayarını değiştirin. Ayarı aşağıdaki seçeneklerden biriyle değiştirmek için aşağıdaki bölümlerdeki adımları kullanın:

Dizininizdeki kullanıcılar için

Dizininizdeki kullanıcıların bu erişim paketini isteyebilmesine izin vermek istiyorsanız bu adımları izleyin. İstek ilkesini tanımlarken, tek tek kullanıcıları veya daha yaygın olarak kullanıcı gruplarını belirtebilirsiniz. Örneğin, kuruluşunuzun zaten Tüm çalışanlar gibi bir grubu olabilir. Bu grup, erişim isteğinde bulunabilen kullanıcılar için ilkeye eklenirse, o grubun herhangi bir üyesi erişim isteyebilir.

  1. Erişim isteyebilecek kullanıcılar bölümünde Dizininizdeki kullanıcılar için'e tıklayın.

    Bu seçeneği belirlediğinizde, dizininizde bu erişim paketini kimlerin isteyebileceğini daha da daraltmak için yeni seçenekler görüntülenir.

    Access package - Requests - For users in your directory

  2. Aşağıdaki seçeneklerden birini belirleyin:

    Açıklama
    Belirli kullanıcılar ve gruplar Yalnızca dizininizde belirttiğiniz kullanıcıların ve grupların bu erişim paketini isteyebilmesini istiyorsanız bu seçeneği belirleyin.
    Tüm üyeler (konuklar hariç) Dizininizdeki tüm üye kullanıcıların bu erişim paketini isteyebilmesini istiyorsanız bu seçeneği belirleyin. Bu seçenek dizininize davet etmiş olabileceğiniz konuk kullanıcıları içermez.
    Tüm kullanıcılar (konuklar dahil) Dizininizdeki tüm üye kullanıcıların ve konuk kullanıcıların bu erişim paketini isteyebilmesini istiyorsanız bu seçeneği belirleyin.

    Konuk kullanıcılar, Microsoft Entra B2B ile dizininize davet edilen dış kullanıcılara başvurur. Üye kullanıcılar ve konuk kullanıcılar arasındaki farklar hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de varsayılan kullanıcı izinleri nelerdir?.

  3. Belirli kullanıcılar ve gruplar'ı seçtiyseniz Kullanıcı ve grup ekle'ye tıklayın.

  4. Kullanıcıları ve grupları seçin bölmesinde, eklemek istediğiniz kullanıcıları ve grupları seçin.

    Access package - Requests - Select users and groups

  5. Kullanıcıları ve grupları eklemek için Seç'e tıklayın.

  6. Onay gerektirmek istiyorsanız, onay ayarlarını yapılandırmak için yetkilendirme yönetimindeki erişim paketinin onay ayarlarını değiştirme bölümünde yer alan adımları kullanın.

  7. İstekleri etkinleştir bölümüne gidin.

Dizininizde bulunmayan kullanıcılar için

Dizininizde bulunmayan kullanıcılar, başka bir Microsoft Entra dizininde veya etki alanında bulunan kullanıcıları ifade eder. Bu kullanıcılar henüz dizininize davet edilmemiş olabilir. Microsoft Entra dizinleri, İşbirliği kısıtlamalarındaki davetlere izin verecek şekilde yapılandırılmalıdır. Daha fazla bilgi için bkz. Dış işbirliği ayarlarını yapılandırma.

Not

Henüz dizininizde olmayan ve isteği onaylanan veya otomatik olarak onaylanan bir kullanıcı için konuk kullanıcı hesabı oluşturulur. Konuk davet edilecek, ancak davet e-postası almayacak. Bunun yerine, erişim paketi atamaları teslim edildiğinde bir e-posta alırlar. Varsayılan olarak, daha sonra konuk kullanıcının artık herhangi bir erişim paketi ataması olmadığında, son ataması sona erdiğinden veya iptal edildiğinde, konuk kullanıcı hesabının oturum açması engellenir ve daha sonra silinir. Konuk kullanıcıların erişim paketi atamaları olmasa bile dizininizde süresiz olarak kalmasını istiyorsanız, yetkilendirme yönetimi yapılandırmanızın ayarlarını değiştirebilirsiniz. Konuk kullanıcı nesnesi hakkında daha fazla bilgi için bkz . Microsoft Entra B2B işbirliği kullanıcısının özellikleri.

Dizininizde olmayan kullanıcıların bu erişim paketini istemesine izin vermek istiyorsanız şu adımları izleyin:

  1. Erişim isteyebilecek kullanıcılar bölümünde Dizininizde bulunmayan kullanıcılar için'e tıklayın.

    Bu seçeneği belirlediğinizde yeni seçenekler görüntülenir.

    Access package - Requests - For users not in your directory

  2. Erişim isteğinde bulunabilen kullanıcıların mevcut bir bağlı kuruluşa bağlı olması gerekip gerekmediğini veya İnternet'te herhangi biri olup olmayacağını seçin. Bağlı bir kuruluş, dış Microsoft Entra dizinine veya başka bir kimlik sağlayıcısına sahip olabilecek, önceden var olan bir ilişkiniz olan kuruluştır. Aşağıdaki seçeneklerden birini belirleyin:

    Açıklama
    Belirli bağlı kuruluşlar Yöneticinizin daha önce eklediği bir kuruluş listesinden seçim yapmak istiyorsanız bu seçeneği belirleyin. Seçilen kuruluşlardaki tüm kullanıcılar bu erişim paketini isteyebilir.
    Yapılandırılmış tüm bağlı kuruluşlar Yapılandırılmış tüm bağlı kuruluşlarınızdaki tüm kullanıcılar bu erişim paketini isteyebilirse bu seçeneği belirleyin. Yalnızca yapılandırılmış bağlı kuruluşların kullanıcıları erişim paketleri isteyebilir, bu nedenle bir kullanıcı mevcut bir bağlı kuruluşla ilişkili bir Microsoft Entra kiracısından, etki alanından veya kimlik sağlayıcısından değilse istekte bulunamaz.
    Tüm kullanıcılar (Tüm bağlı kuruluşlar + yeni dış kullanıcılar) İnternet'te herhangi bir kullanıcının bu erişim paketini istemesi gerekiyorsa bu seçeneği belirleyin. Bunlar dizininizdeki bağlı bir kuruluşa ait değilse, paket istendiğinde bu kuruluş için otomatik olarak bir bağlı kuruluş oluşturulur. Otomatik olarak oluşturulan bağlı kuruluş önerilen durumda olur. Önerilen durum hakkında daha fazla bilgi için bkz . Bağlı kuruluşların State özelliği.

  3. Belirli bağlı kuruluşlar'ı seçtiyseniz, yöneticinizin daha önce eklediği bağlı kuruluşlar listesinden seçim yapmak için Dizin ekle'ye tıklayın.

  4. Daha önce bağlı bir kuruluşu aramak için adı veya etki alanı adını yazın.

    Access package - Requests - Select directories

    İşbirliği yapmak istediğiniz kuruluş listede yoksa, yöneticinizden bunu bağlı bir kuruluş olarak eklemesini isteyebilirsiniz. Daha fazla bilgi için bkz . Bağlı kuruluş ekleme.

  5. Tüm bağlı kuruluşlarınızı seçtikten sonra Seç'e tıklayın.

    Not

    Seçili bağlı kuruluşlardaki tüm kullanıcılar bu erişim paketini isteyebilir. Microsoft Entra dizini olan bağlı bir kuruluş için, Bu etki alanları Azure B2B izin verme veya reddetme listesi tarafından engellenmediği sürece, Microsoft Entra diziniyle ilişkili tüm doğrulanmış etki alanlarından kullanıcılar istekte bulunabilir. Daha fazla bilgi için bkz . Belirli kuruluşların B2B kullanıcılarına yönelik davetlere izin verme veya davetleri engelleme.

  6. Ardından yetkilendirme yönetimindeki erişim paketinin onay ayarlarını değiştirme bölümünde yer alan adımları kullanarak, kuruluşunuzda olmayan kullanıcılardan gelen istekleri kimin onaylaması gerektiğini belirtmek üzere onay ayarlarını yapılandırın.

  7. İstekleri etkinleştir bölümüne gidin.

Hiçbiri (yalnızca yönetici doğrudan atamaları)

Erişim isteklerini atlamak ve yöneticilerin bu erişim paketine doğrudan belirli kullanıcıları atamasına izin vermek istiyorsanız bu adımları izleyin. Kullanıcıların erişim paketini istemesi gerekmez. Yaşam döngüsü ayarlarını yine de ayarlayabilirsiniz, ancak istek ayarları yoktur.

  1. Erişim isteyebilecek kullanıcılar bölümünde Yok 'a (yalnızca yönetici doğrudan atamaları) tıklayın.

    Access package - Requests - None administrator direct assignments only

    Erişim paketini oluşturduktan sonra, erişim paketine doğrudan belirli iç ve dış kullanıcıları atayabilirsiniz. Dış kullanıcı belirtirseniz dizininizde bir konuk kullanıcı hesabı oluşturulur. Doğrudan kullanıcı atama hakkında bilgi için bkz . Erişim paketi için atamaları görüntüleme, ekleme ve kaldırma.

  2. İstekleri etkinleştir bölümüne atlayın.

Not

Kullanıcıları bir erişim paketine atarken, yöneticilerin mevcut ilke gereksinimlerine göre kullanıcıların bu erişim paketi için uygun olduğunu doğrulaması gerekir. Aksi takdirde, kullanıcılar erişim paketine başarıyla atanamaz. Erişim paketi, kullanıcı isteklerinin onaylanmasını gerektiren bir ilke içeriyorsa, kullanıcılar belirlenen onaylayanlardan gerekli onaylar olmadan pakete doğrudan atanamaz.

Mevcut bir ilkenin istek ayarlarını açma ve düzenleme

Erişim paketinin istek ve onay ayarlarını değiştirmek için ilgili ilkeyi bu ayarlarla açmanız gerekir. Erişim paketi atama ilkesinin istek ayarlarını açmak ve düzenlemek için şu adımları izleyin:

Önkoşul rolü: Genel Yönetici istrator, Kimlik İdaresi Yönetici istrator, Katalog sahibi veya Access paket yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında, ilke isteği ayarlarını düzenlemek istediğiniz erişim paketini açın.

  4. İlkeler'i seçin ve düzenlemek istediğiniz ilkeye tıklayın.

    İlke ayrıntıları bölmesi sayfanın en altında açılır.

    Access package - Policy details pane

  5. İlkeyi düzenlemek için Düzenle'yi seçin.

    Access package - Edit policy

  6. İstek ayarlarını açmak için İstekler sekmesini seçin.

  7. İstek ayarlarını gerektiği gibi değiştirmek için önceki bölümlerdeki adımları kullanın.

  8. İstekleri etkinleştir bölümüne gidin.

İstekleri etkinleştirme

  1. Erişim paketinin istek ilkesindeki kullanıcılar tarafından hemen kullanıma sunulmasını istiyorsanız Etkinleştir iki durumlu düğmesini Evet'e getirin.

    Erişim paketini oluşturmayı tamamladıktan sonra gelecekte istediğiniz zaman etkinleştirebilirsiniz.

    Hiçbiri'ni (yalnızca yönetici doğrudan atamaları) seçtiyseniz ve etkinleştir seçeneğini Hayır olarak ayarladıysanız, yöneticiler bu erişim paketini doğrudan atayamaz.

    Access package - Policy- Enable policy setting

  2. İleri'yi seçin.

  3. İstek sahiplerinin bir erişim paketine erişim isterken ek bilgi sağlamasını istiyorsanız, istek sahibi bilgilerini yapılandırmak için Yetkilendirme yönetimindeki erişim paketi için onay ve istek sahibi bilgileri ayarlarını değiştirme makalesindeki adımları kullanın.

  4. Yaşam döngüsü ayarlarını yapılandırın.

  5. bir ilkeyi düzenliyorsanız Güncelleştir'i seçin. Yeni ilke ekliyorsanız Oluştur'u seçin.

Program aracılığıyla erişim paketi atama ilkesi oluşturma

Microsoft Graph ve Microsoft Graph için PowerShell cmdlet'leri aracılığıyla program aracılığıyla erişim paketi atama ilkesi oluşturmanın iki yolu vardır.

Graph aracılığıyla erişim paketi atama ilkesi oluşturma

Microsoft Graph kullanarak ilke oluşturabilirsiniz. Temsilci EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya veya katalog rolündeki bir uygulamaya sahip uygun EntitlementManagement.ReadWrite.All bir roldeki kullanıcı, atama oluşturmaİlke API'sini çağırabilir.

PowerShell aracılığıyla erişim paketi atama ilkesi oluşturma

Ayrıca PowerShell'de Kimlik İdaresi modülü 2.1.x veya üzeri modül sürümü için Microsoft Graph PowerShell cmdlet'lerinden cmdlet'lerle bir erişim paketi oluşturabilirsiniz.

Aşağıdaki betik, erişim paketine doğrudan atama için ilke oluşturmayı göstermektedir. Bu ilkede yalnızca yönetici erişim atayabilir ve onay veya erişim gözden geçirmesi yoktur. Otomatik atama ilkesi oluşturma ve atama oluşturma hakkında daha fazla örnek için bkz. Otomatik atama ilkesi oluşturmaİlke.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Uyumsuz erişimi olan kullanıcılardan gelen istekleri engelleme

kimlerin istekte bulunabileceğine ilişkin ilke denetimlerine ek olarak, zaten erişimi olan bir kullanıcının (bir grup veya başka bir erişim paketi aracılığıyla) aşırı erişim elde etmelerini önlemek için erişimi daha fazla kısıtlamak isteyebilirsiniz.

Kullanıcının bir erişim paketi isteyemeyeceğini yapılandırmak istiyorsanız, başka bir erişim paketine zaten ataması varsa veya bir grubun üyesiyse, Erişim paketi için görev ayrımı denetimlerini yapılandırma adımlarını kullanın.

Sonraki adımlar