Microsoft Teams konuk kullanıcılarının idaresi

Bu örnek senaryo, Microsoft Entra B2B işbirliği kullanılırken dış kullanıcılar için kimlik ve idare denetimleri sağlayarak kullanıcıların diğer kuruluşlarla işbirliği yapmasına yardımcı olur.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

Workflow

1. Kaynak dizini - Bu, Microsoft 365 grupları ve ekipleri olan kaynakları içeren Microsoft Entra dizinidir. Bu örnekte kaynak, kuruluş dışındaki kullanıcıların erişim isteğinde bulunabilmesi için erişim paketine eklenen bir proje ekibidir.

2. Dış dizin (Bağlan kuruluş) -Bu, bağlı kuruluştan dış kullanıcıları içeren dış Microsoft Entra dizinidir. Bu kullanıcılara, proje ekibine erişim istemek için bir ilke tarafından izin verilebiliyor.

3. Katalog 1 - Katalog, ilgili kaynaklar ve erişim paketleri için bir kapsayıcıdır. Katalog 1, proje ekibini ve erişim paketini içerir.

   Kataloglar, yönetici olmayanların erişim paketleri oluşturabilmesi için temsilci seçmeye olanak sağlar. Katalog sahipleri, sahip oldukları kaynakları kataloğa ekleyebilir.

4. Kaynaklar - Bunlar erişim paketlerinde görüntülenen kaynaklardır. Bunlar güvenlik gruplarını, uygulamaları ve SharePoint Online sitelerini içerebilir. Bu örnekte proje ekibidir.

5. Access 1 - Erişim paketi, her biri için erişim türlerine sahip bir kaynak koleksiyonudur. Erişim paketleri, iç ve dış kullanıcıların erişimini yönetmek için kullanılır. Bu örnekte proje ekibi, dış kullanıcıların erişim istemesine izin veren tek bir ilkeye sahip kaynaktır. Bu örnekteki iç kullanıcıların Microsoft Entra yetkilendirme yönetimini kullanması gerekmez. Microsoft Teams kullanılarak proje ekibine eklenirler.

6. Grup 1 kaynak rolü - Kaynak rolleri, bir kaynakla ilişkilendirilmiş ve kaynak tarafından tanımlanan izinlerdir. Grubun iki rolü vardır: üye ve sahip. SharePoint siteleri genellikle üç role sahiptir, ancak ek özel rollere sahip olabilir. Uygulamaların özel rolleri olabilir.

7. Dış erişim ilkesi - Bu, bir erişim paketine atama kurallarını tanımlayan ilkedir. Bu örnekte, bağlı kuruluşlardaki kullanıcıların proje ekibine erişim isteyebilmesini sağlamak için bir ilke kullanılır. bir istek yapıldıktan sonra, ilkede tanımlandığı gibi onaylayanlardan onay gerekir. İlke ayrıca zaman sınırlarını ve yenileme ayarlarını da belirtir.

8. Onaylayan - Erişim isteğini onaylayan onaylar. Bu bir iç veya dış kullanıcı olabilir.

9. İstek sahibi - Bu, Erişimim portalı üzerinden erişim isteyen dış kullanıcıdır. Portalda yalnızca istekte bulunanın istemesine izin verilen erişim paketleri gösterilir.

Kuruluş akışı dışındaki kullanıcılar için kaynağa erişim isteme

Microsoft 365 grubuna veya ekibine erişimin dış kullanıcılara nasıl verildiğini gösteren üst düzey bir iş akışı aşağıda verilmiştir. Erişim artık gerekli olmadığında veya bir süre sınırına ulaşıldığında konuk hesabının kaldırılmasını içerir.

Components

• Microsoft Entra ID , kullanıcıların oturum açması ve kaynaklara erişmesi için bir yol sağlayan bulut tabanlı kimlik ve erişim yönetimi hizmetleri sunar. Aşağıdaki özelliklere ve özelliklere sahiptir:
  • Microsoft Entra yetkilendirme yönetimi , kuruluşların erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmelerini ve süre sonunu otomatikleştirerek kimlik ve erişim yaşam döngülerini büyük ölçekte yönetmesini sağlayan bir kimlik idaresi özelliğidir.
  • Microsoft Entra işletmeler arası (B2B) işbirliği , microsoft Entra yetkilendirme yönetimi tarafından erişimi paylaşmak için kullanılır, böylece iç kullanıcılar dış kullanıcılarla işbirliği yapabilir.
  • Microsoft Entra erişim gözden geçirmeleri , kuruluşların grup üyeliklerini, kurumsal uygulamalara erişimi ve rol atamalarını verimli bir şekilde yönetmesini sağlar. Yalnızca doğru kişilerin sürekli erişime sahip olduğundan emin olmak için kullanıcı erişimi düzenli olarak gözden geçirilebilir.
  • Microsoft Teams konuk erişimi dış kullanıcıların ekiplere, kanallara, kaynaklara, sohbetlere ve uygulamalara erişmesine olanak tanırken, siz de şirket kaynaklarınız üzerinde denetim sahibi olursunuz.
  • Microsoft Entra Koşullu Erişim , kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir. Bu çözümdeki Koşullu Erişim, Kullanım Koşulları sözleşmelerini ve çok faktörlü kimlik doğrulamasını zorunlu kılmak ve konuk hesapları için oturum zaman aşımlarını ayarlamak için kullanılmıştır.

Alternatifler

Microsoft Entra yetkilendirme yönetiminin alternatif bir çözümü, iç kullanıcıların dış kullanıcıları bir takıma davet etmelerine izin vermektir. Davet edilen bir kullanıcı daha sonra kaynak dizininde bir konuk hesabı oluşturabilir.

Bu alternatif, müşterinin gerektirdiği kimlik ve idare denetimlerini sağlamaz. AD yetkilendirme yönetimiyle karşılaştırıldığında eksiklikler şunlardır:

• Dış kullanıcılar erişim isteyemez; bir davet olmalıdır. Dış kullanıcının davet isteğinde bulunmayı, ekibe göre değişebilen ve zaman içinde değişebilen bir süreci bilmesi gerekir.
• Bir denetim sorunu olan iş gerekçeleri, e-posta bildirimleri, gözden geçirme işlemleri veya onay süreçleri yoktur.
• Belirli kaynaklara erişim kolayca yönetilebilir, kaldırılamaz veya güncelleştirilemez. Proje kaynaklarının değişme olasılığı yüksek olduğundan, bu bir verimlilik sorunudur.
• Dış kullanıcı davet edilirse ancak kullanıcının kuruluşuna izin verilmiyorsa, kullanıcının erişimi reddedilir ve karışıklığa neden olur.
• Konuk hesapları otomatik olarak kaldırılmaz ve süre sonu kümesi yoktur. Süre sonunu işlemek için el ile gerçekleştirilen bir işlem hataya açıktır ve hesap oluşturma sırasında sınırların ayarlanmasını gerektiren otomatik bir işlemden daha az verimlidir. Bu bir güvenlik sorunu ve verimlilik sorunudur.

Bu sorunları çözmek için özel bir çözüm oluşturmanın, AD yetkilendirme yönetimiyle maliyet rekabeti veya özellik rekabeti olması pek olası değildir.

Senaryo ayrıntıları

Bu örnek senaryo COVID-19 pandemisi sırasında, bir müşterinin diğer kuruluşlarla işbirliği yapma gereksinimi olduğunda oluşturulmuştu. Bu, dış kullanıcılar için kimlik ve idare denetimleri sağlamak anlamına geliyordu.

Microsoft Teams, müşterinin şirket iletişimleri için birincil aracıydı. Kullanıcılar Teams sohbeti, toplantıları ve arama özelliğini kullanarak işbirliği yaptı. Teams kanalları, dosyalara ve konuşmalara erişim sağlamıştı.

Teams toplantıları, dış kullanıcılarla toplantı yapmak için etkili bir yol sağladı. Ancak dış kullanıcılar ekiplere ve kanallara erişemediğinden, onlarla işbirliği yapmak hantaldı ve üretkenlik engellendi. Müşterinin daha iyi bir şeye ihtiyacı vardı.

Teams, dış kullanıcılarla iletişim kurmak ve işbirliği yapmak için iki seçenek sunar:

• Dış erişim - İç kullanıcıların dış kullanıcıları bulmasını, aramasını ve dış kullanıcılarla sohbet etmesini sağlayan bir federasyon türü. Dış erişim kullanıcıları, konuk erişimi kullanılarak konuk olarak davet edilmedikleri sürece takımlara eklenemez.
• Konuk erişimi - İç kullanıcıların dış kullanıcıları ekibe katılmaya davet etmesine izin verir. Davet edilen kullanıcılar Microsoft Entra Id'de bir konuk hesabı alır. Konuk erişimi, dış kullanıcıların ekiplere davet edilmesini sağlar ve kanallardaki belgelere ve kaynaklara, sohbetlere ve uygulamalara erişim sağlar. Müşteri, şirket verileri üzerinde gerekli denetimi sağlar.

Konuk erişimi müşterinin işbirliği gereksinimlerini karşılasa da güvenlik ve idare endişelerine neden oldu:

• Konukların yalnızca belirli ekiplere gerektiği kadar ve yalnızca gerektiği kadar erişimleri olmalıdır. Bir proje tamamlandığında konuk hesabı kaldırılmalıdır.
• Denetim gereksinimlerini karşılayan konuk hesapları oluşturmak için bir onay süreci olmalıdır. İç kullanıcıların istekleri gözden geçirmesi ve uygun şekilde onaylaması gerekir.
• Çözümü hızla oluşturmak ve otomatikleştirmek mümkün olmalıdır. Uygun güvenlik ve idare denetimleri uygulanmadan hiçbir konuk hesabı oluşturulamaz.

Microsoft Entra yetkilendirme yönetimi, güvenlik ve idare gereksinimlerini karşılamaya yönelik birincil araçtır:

• Hem iç hem de dış kullanıcılar için ekipler, uygulamalar ve SharePoint online siteleri dahil olmak üzere Microsoft 365 gruplarına erişimi verimli bir şekilde yönetmeye yardımcı olur.
• Erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu otomatikleştirme olanağı sağlar.

Konuk erişimi ve Microsoft Entra yetkilendirmesi birlikte müşterinin işbirliği gereksinimlerini karşıladı. Dış kullanıcılar seçili takımlara katılabilir ve erişim yönetilir. Ayrıca Microsoft Entra yetkilendirme yönetimi, gelecekteki olası kullanımlar için ekipler dışındaki kaynaklara erişimi yönetme gibi işlevler sunar.

Olası kullanım örnekleri

Bu çözüm, erişimin yönetilmesini gerektiren her durum için (buna ihtiyacı olan iç ve dış kullanıcılar, gruplar, uygulamalar ve SharePoint Online siteleri için) geçerlidir. Microsoft Entra yetkilendirme yönetimi şu özelliklere ve avantajlara sahiptir:

• Çalışanların kaynaklara erişimi için basitleştirilmiş ekleme ve yönetim vardır:
  • Microsoft Entra güvenlik grupları.
  • Microsoft 365 grupları.
  • Microsoft 365 ekipleri.
  • SaaS uygulamaları dahil olmak üzere uygulamalar.
  • Uygun güvenlik önlemlerini uygulayan özel uygulamalar.
  • SharePoint Online siteleri.
• Dış kullanıcıların ihtiyaç duydukları kaynaklara erişmesi için basitleştirilmiş yordamlar vardır.
• Erişim isteyebilecek dış kullanıcılara hangi bağlı kuruluşların izin verebileceğini belirleyebilirsiniz.
• Erişim isteyen ve onaylanan bir kullanıcı otomatik olarak ekip dizinine davet edilir ve kaynaklara erişim atanır.
• Kullanıcının kaynaklara erişiminde bir süre sınırı ayarlanabilir ve sınıra ulaşıldığında otomatik kaldırma yapılabilir.
• Başka erişim paketi ataması olmayan bir dış kullanıcı için erişim süresi dolduğunda, kullanıcının hesabı otomatik olarak kaldırılabilir.
• Kullanıcıların ihtiyaç duyduklarından daha fazla erişime sahip olmadığından emin olabilirsiniz.
• Erişim istekleri için, yöneticiler gibi belirli kişilerin onayını içeren bir onay süreci vardır.
• Microsoft Entra güvenlik gruplarını veya Microsoft 365 gruplarını kullanan diğer kaynaklara erişimi yönetebilirsiniz. Kullanıcılara grup tabanlı lisanslama kullanarak lisans verme örneği verilmiştir.
• Yönetici olmayanlara, kullanıcıların istekte bulunabileceği kaynakları içeren erişim paketleri oluşturma olanağı atayabilirsiniz.

Dikkat edilmesi gerekenler

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Önemli bir uygulama adımı, kiracı ayarlarını dış kullanıcılara izin verecek şekilde yapılandırmaktır.

1. Dış kullanıcılar için kataloğu etkinleştir - Kataloğun Dış kullanıcılar için etkinleştirildiğinden emin olun. Varsayılan olarak, Microsoft Entra yetkilendirme yönetiminde yeni bir katalog oluşturduğunuzda, dış kullanıcıların katalogdaki paketlere erişim istemesine izin vermek için etkinleştirilir.
2. Microsoft Entra B2B dış işbirliği ayarları - Azure B2B dış işbirliği ayarları, dış kullanıcıları kaynaklara davet etmek için Microsoft Entra yetkilendirme yönetimini kullanıp kullanamayacağınızı etkileyebilir. Şu ayarları doğrulayın:
   • Konukların dizininize diğer konukları davet etmelerine izin verilip verilmediğini denetleyin. Konukların yalnızca idare edilen davetlere izin verecek şekilde Hayır'adavet edebilir ayarını yapmanızı öneririz.
   • Davetlere uygun şekilde izin verdiğinizden veya davetleri engellediğinizden emin olun. Daha fazla bilgi için bkz . Belirli kuruluşların B2B kullanıcılarına yönelik davetlere izin verme veya davetleri engelleme.
3. Koşullu Erişim ilkelerinizi gözden geçirin - Konuk kullanıcıların karşılayamadıkları Koşullu Erişim ilkelerinin dışında tutulduğundan emin olmak için Koşullu Erişim'i doğrulayın. Aksi takdirde dizininizde oturum açamaz ve kaynağa erişemezler.
4. SharePoint Online dış paylaşım ayarlarınızı gözden geçirin - SharePoint Online sitelerini dış kullanıcılar için bir erişim paketine eklerseniz, kuruluş düzeyinde dış paylaşım ayarını yapılandırdığınızdan emin olun. Oturum açma gerekli değilse Herkes olarak veya davet edilen kullanıcılar için Mevcut konuklar olarak ayarlayın. Daha fazla bilgi için bkz . Kuruluş düzeyinde dış paylaşım ayarını değiştirme.
5. Microsoft 365 grup paylaşım ayarlarınızı gözden geçirin - Dış kullanıcılar için bir erişim paketine Microsoft 365 grupları veya ekipleri eklerseniz, Konuk erişimine izin vermek için Kullanıcıların kuruluşa yeni konuklar eklemesine izin ver seçeneğinin Açık olarak ayarlandığından emin olun.
6. Teams paylaşım ayarınızı gözden geçirin - Dış kullanıcılar için bir erişim paketine ekipler eklerseniz, konuk erişimine izin vermek için Microsoft Teams'de konuk erişimine izin ver seçeneğinin Açık olarak ayarlandığından emin olun. Ayrıca, Teams Konuk Erişimi ayarlarının yapılandırıldığından da denetleyin.
7. Dış kullanıcıların yaşam döngüsünü yönetme - Dış kullanıcının artık herhangi bir erişim paketi ataması olmadığında ne olacağını seçebilirsiniz. Tüm atamalar kullanıcı tarafından iptal edildiğinde veya süresi dolduğunda bu durum ortaya çıkar. Varsayılan olarak, kullanıcının dizininizde oturum açması engellenir. 30 gün sonra konuk kullanıcı hesabı dizininizden kaldırılır.

Ek hususlar:

• Erişim ataması - Erişim paketleri, erişim ataması için diğer mekanizmaları değiştirmez. Bunlar aşağıdaki gibi durumlarda en uygun olanlardır:
  • Çalışanların belirli bir görev için zaman sınırlı erişime ihtiyacı vardır.
  • Erişim için bir yöneticinin veya atanan başka bir kişinin onayı gerekir.
  • Departmanlar BT müdahalesi olmadan kaynaklarını yönetmek ister.
  • İki veya daha fazla kuruluş bir proje üzerinde işbirliği yaptığı için, bir kuruluştan birden çok kullanıcının başka bir kuruluşun kaynaklarına erişmesi için davet edilmesi gerekir.
• Kaynakları güncelleştirme - Microsoft Entra yetkilendirme yönetimi ile bir erişim paketindeki kaynakları istediğiniz zaman değiştirebilirsiniz. Paketin kullanıcıları, kaynak erişimlerini değiştirilen paketle eşleşecek şekilde otomatik olarak ayarlar.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

• Microsoft Entra yetkilendirme yönetiminin kullanılması için bir Microsoft Entra Id P2 lisansı gerekir.
• Konuk erişimi tüm Microsoft 365 İş Standart, Microsoft 365 İş Ekstra ve Microsoft 365 Eğitim abonelikleriyle kullanılabilir. Ek Microsoft 365 lisansı gerekmez.
• Microsoft Entra Dış Kimlik faturalama modeli Microsoft 365'teki konuklar için geçerlidir. Yalnızca dış kullanıcılar konuk olarak davet edilebilir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Martin Boam | Mimarı İlişkili Olarak İlişkili

Sonraki adımlar

• Microsoft Teams'de ekiplere ve kanallara genel bakış
• Microsoft Teams'de ekipleri ve kanalları anlama
• Kuruluşunuzun dışındaki kişilerle işbirliği yapmak için konuk erişimini ve harici erişimi kullanma
• Microsoft Entra yetkilendirme yönetiminde yeni erişim paketi oluşturma
• Öğretici: Microsoft Entra yetkilendirme yönetiminde kaynaklara erişimi yönetme
• Microsoft Entra yetkilendirme yönetimi nedir?
• Microsoft Entra Kimlik Yönetimi nedir?
• Microsoft Entra erişim gözden geçirmeleri nelerdir?
• Microsoft Entra yetkilendirme yönetiminde yaygın senaryolar
• Microsoft Entra yetkilendirme yönetiminde dış kullanıcılar için erişimi yönetme
• Kuruluşunuzun dışındaki kullanıcılar için erişimi yönetme
• Ekipteki konuklarla işbirliği yapma
• Kuruluşunuzun dışındaki kişilerle işbirliği yapmak için konuk erişimini ve dış erişimi kullanma
• Kuruluşunuzun dışındaki kişilerle işbirliği
• Koşullu Erişim nedir?

İlgili kaynaklar

• Azure'da AD DS kaynak ormanı oluşturma
• Azure sanal ağında AD DS dağıtma
• Karma kimlik
• Şirket içi AD etki alanlarını Microsoft Entra Id ile tümleştirme
• AWS için Microsoft Entra kimlik yönetimi ve erişim yönetimi