Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma

  • Makale

Microsoft Entra ID P1 veya P2 ile rol atanabilir gruplar oluşturabilir ve Microsoft Entra rollerini bu gruplara atayabilirsiniz. Bu özellik rol yönetimini basitleştirir, tutarlı erişim sağlar ve denetim izinlerini daha kolay hale getirir. Bir gruba kişiler yerine roller atamak, kullanıcıların bir rolden kolayca eklenmesini veya kaldırılmasını sağlar ve grubun tüm üyeleri için tutarlı izinler oluşturur. Ayrıca belirli izinlere sahip özel roller oluşturabilir ve bunları gruplara atayabilirsiniz.

Neden gruplara rol atayın?

Contoso şirketinin Microsoft Entra kuruluşundaki çalışanların parolalarını yönetmek ve sıfırlamak için coğrafyalar arasında kişileri işe aldığı örneği düşünün. Privileged Role Yönetici istrator veya Global Yönetici istrator'ın her bir kişiye Yardım Masası Yönetici istrator rolünü tek tek atamasını istemek yerine, bir Contoso_Helpdesk_Yönetici istrators grubu oluşturabilir ve rolü gruba atayabilir. Kişiler gruba katıldığında, rol dolaylı olarak atanır. Mevcut idare iş akışınız, yalnızca meşru kullanıcıların grubun üyesi olduğundan ve bu nedenle Yardım masası Yönetici istrator rolüne atandığından emin olmak için grup üyeliğinin onay sürecini ve denetimini üstlenebilir.

Gruplara rol atamaları nasıl çalışır?

Bir gruba rol atamak için, özelliği olarak ayarlanmış trueyeni bir güvenlik veya Microsoft 365 grubu isAssignableToRole oluşturmanız gerekir. Microsoft Entra yönetim merkezinde, Microsoft Entra rolleri grup seçeneğine atanabilir seçeneğini Evet olarak ayarlarsınız. Her iki durumda da, kullanıcılara rol atarken olduğu gibi gruba bir veya daha fazla Microsoft Entra rolü atayabilirsiniz.

Screenshot of the Roles and administrators page

Rol atanabilir gruplar için kısıtlamalar

Rol atanabilir gruplar aşağıdaki kısıtlamalara sahiptir:

  • Özelliği yalnızca ayarlayabilirsiniz isAssignableToRole veya Microsoft Entra rolleri yeni gruplar için grup seçeneğine atanabilir.
  • Özellik isAssignableToRole sabittir. Bu özellik kümesiyle bir grup oluşturulduktan sonra değiştirilemez.
  • Mevcut bir grubu rol atanabilir bir grup yapamazsınız.
  • Tek bir Microsoft Entra kuruluşunda (kiracı) en fazla 500 rol atanabilir grup oluşturulabilir.

Rol atanabilir gruplar nasıl korunur?

Bir gruba bir rol atanırsa, grup üyeliğini yönetebilen herhangi bir BT yöneticisi de bu rolün üyeliğini dolaylı olarak yönetebilir. Örneğin, Contoso_User_Yönetici istrators adlı bir gruba Kullanıcı Yönetici istrator rolü atandığını varsayalım. Grup üyeliğini değiştirebilen bir Exchange yöneticisi kendisini Contoso_User_Yönetici istrators grubuna ekleyebilir ve bu şekilde Kullanıcı Yönetici istrator olabilir. Gördüğünüz gibi, bir yönetici ayrıcalıklarını sizin istemediğiniz bir şekilde yükseltebilir.

Yalnızca oluşturma zamanında özelliği ayarlanmış gruplara isAssignableToRoletrue bir rol atanabilir. Bu özellik sabittir. Bu özellik kümesiyle bir grup oluşturulduktan sonra değiştirilemez. Mevcut bir grupta özelliğini ayarlayamazsınız.

Rol atanabilir gruplar, aşağıdaki kısıtlamalara sahip olarak olası ihlalleri önlemeye yardımcı olmak için tasarlanmıştır:

  • Yalnızca Genel Yönetici istrator'lar ve Ayrıcalıklı Rol Yönetici istrator'lar rol atanabilir bir grup oluşturabilir.
  • Rol atanabilir grupların üyelik türü Atanmış olmalıdır ve Microsoft Entra dinamik grubu olamaz. Dinamik grupların otomatik popülasyonu, gruba istenmeyen bir hesabın eklenmesine ve bu nedenle role atanmasına neden olabilir.
  • Varsayılan olarak, rol atanabilir bir grubun üyeliğini yalnızca Genel Yönetici istrator'lar ve Ayrıcalıklı Rol Yönetici istrator'lar yönetebilir, ancak grup sahipleri ekleyerek rol atanabilir grupların yönetimine temsilci atayabilirsiniz.
  • Rol atanabilir grupların üyeliğini yönetebilmek için Microsoft Graph için RoleManagement.ReadWrite.Directory izni gereklidir. Group.ReadWrite.All izni çalışmaz.
  • Ayrıcalıkların yükseltilmesini önlemek için, yalnızca Ayrıcalıklı Kimlik Doğrulama Yönetici istratörü veya Genel Yönetici okuyucusu kimlik bilgilerini değiştirebilir veya MFA'yı sıfırlayabilir ya da rol atanabilir bir grubun üyeleri ve sahipleri için hassas öznitelikleri değiştirebilir.
  • Grup iç içe yerleştirme desteklenmez. Bir grup, rol atanabilir bir grubun üyesi olarak eklenemez.

Bir grubu rol ataması için uygun hale getirmek için PIM kullanma

Grubun üyelerinin bir role ayakta erişim sahibi olmasını istemiyorsanız, bir grubu rol ataması için uygun hale getirmek için Microsoft Entra Privileged Identity Management'ı (PIM) kullanabilirsiniz. Ardından grubun her üyesi, rol atamasını sabit bir süre boyunca etkinleştirmeye uygun olur.

Dekont

Microsoft Entra rollerine yükseltmek için kullanılan gruplar için uygun üye atamaları için bir onay sürecine ihtiyacınız olmasını öneririz. Onay olmadan etkinleştirilebilen atamalar, sizi daha az ayrıcalıklı yöneticilerin güvenlik riskine karşı savunmasız bırakabilir. Örneğin, Yardım Masası Yönetici istrator uygun bir kullanıcının parolalarını sıfırlama iznine sahiptir.

Senaryolar desteklenmiyor

Aşağıdaki senaryolar desteklenmez:

  • Şirket içi gruplara Microsoft Entra rollerini (yerleşik veya özel) atayın.

Bilinen sorunlar

Rol atanabilir gruplarla ilgili bilinen sorunlar şunlardır:

  • Yalnızca Microsoft Entra Id P2 lisanslı müşterileri: Grubu sildikten sonra bile PIM kullanıcı arabiriminde rolün uygun bir üyesi gösterilir. İşlevsel olarak bir sorun yoktur; Bu yalnızca Microsoft Entra yönetim merkezindeki bir önbellek sorunudur.
  • Grup üyeliği aracılığıyla rol atamaları için yeni Exchange yönetim merkezini kullanın. Eski Exchange yönetim merkezi bu özelliği desteklemiyor. Eski Exchange yönetim merkezine erişmek gerekiyorsa, uygun rolü doğrudan kullanıcıya atayın (rol atanabilir gruplar aracılığıyla değil). Exchange PowerShell cmdlet'leri beklendiği gibi çalışır.
  • Tek tek kullanıcılar yerine rol atanabilir bir gruba yönetici rolü atanırsa, grubun üyeleri yeni Exchange yönetim merkezinde Kurallar, Kuruluş veya Ortak Klasörler'e erişemez. Geçici çözüm, rolü grup yerine doğrudan kullanıcılara atamaktır.
  • Azure Information Protection Portalı (klasik portal) henüz grup aracılığıyla rol üyeliğini tanımıyor. Birleşik duyarlılık etiketleme platformuna geçiş yapabilir ve ardından Microsoft Purview uyumluluk portalı kullanarak rolleri yönetmek için grup atamalarını kullanabilirsiniz.

Lisans gereksinimleri

Bu özelliği kullanmak bir Microsoft Entra ID P1 lisansı gerektirir. Tam zamanında rol etkinleştirme için Privileged Identity Management bir Microsoft Entra ID P2 lisansı gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.

Sonraki adımlar