Azure portalını kullanarak dış kullanıcılara Azure rolleri atama

  • Makale

Azure rol tabanlı erişim denetimi (Azure RBAC), büyük kuruluşlar ve ortamınızdaki belirli kaynaklara erişmesi gereken ancak altyapının tamamına veya faturalamayla ilgili kapsamlara erişmesi gerekmeyen dış ortak çalışanlar, satıcılar veya serbest çalışanlar ile çalışan küçük ve orta ölçekli işletmeler için daha iyi güvenlik yönetimi sağlar. Dış kullanıcılarla işbirliği yapmak için Microsoft Entra B2B'deki özellikleri kullanabilir ve yalnızca ortamınızda dış kullanıcıların ihtiyaç duyduğu izinleri vermek için Azure RBAC'yi kullanabilirsiniz.

Önkoşullar

Azure rolleri atamak veya rol atamalarını kaldırmak için şunlara sahip olmanız gerekir:

  • Microsoft.Authorization/roleAssignments/writeve Microsoft.Authorization/roleAssignments/delete Kullanıcı Erişimi Yönetici istrator veya Sahip gibi izinler

Dış kullanıcıları ne zaman davet edebilirsiniz?

Kullanıcıları kuruluşunuza davet edip izin verebilmek için birkaç örnek senaryo aşağıda verilmiştir:

  • Yalnızca e-posta hesabı olan bir dış serbest çalışan satıcının proje için Azure kaynaklarınıza erişmesine izin verin.
  • Dış iş ortağının belirli kaynakları veya aboneliğin tamamını yönetmesine izin verin.
  • Sorunları gidermek için kuruluşunuzdaki (Microsoft desteği gibi) destek mühendislerinin Azure kaynağınıza geçici olarak erişmesine izin verin.

Üye kullanıcılar ve konuk kullanıcılar arasındaki izin farkları

Üye türüne (üye kullanıcılar) sahip bir dizinin kullanıcıları, varsayılan olarak başka bir dizinden B2B işbirliği konuğu (konuk kullanıcılar) olarak davet edilen kullanıcılardan farklı izinlere sahiptir. Örneğin, konuk kullanıcılar kısıtlı dizin izinlerine sahipken üye kullanıcılar neredeyse tüm dizin bilgilerini okuyabilir. Üye kullanıcılar ve konuk kullanıcılar hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de varsayılan kullanıcı izinleri nelerdir?.

Dizininize dış kullanıcı davet etme

Microsoft Entra Id'de dizininize dış kullanıcı davet etmek için bu adımları izleyin.

  1. Azure Portal’ında oturum açın.

  2. Kuruluşunuzun dış işbirliği ayarlarının, dış kullanıcıları davet etme izniniz olacak şekilde yapılandırıldığından emin olun. Daha fazla bilgi için bkz. Dış işbirliği ayarlarını yapılandırma.

  3. Microsoft Entra ID>Users'ı seçin.

  4. Yeni kullanıcı Dış kullanıcıyı>davet et'i seçin.

    Screenshot of Invite external user page in Azure portal.

  5. Dış kullanıcıyı davet etmek için adımları izleyin. Daha fazla bilgi için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.

Bir dış kullanıcıyı dizine davet ettikten sonra, dış kullanıcıya paylaşılan bir uygulamaya doğrudan bağlantı gönderebilir veya dış kullanıcı davet e-postasında daveti kabul et bağlantısını seçebilir.

Screenshot of external user invite email.

Dış kullanıcının dizininize erişebilmesi için davet işlemini tamamlaması gerekir.

Screenshot of external user invite review permissions.

Davet işlemi hakkında daha fazla bilgi için bkz . Microsoft Entra B2B işbirliği daveti kullanımı.

Dış kullanıcıya rol atama

Azure RBAC'de erişim vermek için bir rol atarsınız. Bir dış kullanıcıya rol atamak için, üye kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlikle aynı adımları izlersiniz. Aşağıdaki adımları izleyerek farklı kapsamlarda bir dış kullanıcıya rol atayın.

  1. Azure Portal’ında oturum açın.

  2. En üstteki Arama kutusunda, erişim vermek istediğiniz kapsamı arayın. Örneğin Yönetim grupları, Abonelikler, Kaynak grupları veya belirli bir kaynak için arama yapın.

  3. Bu kapsam için belirli bir kaynağı seçin.

  4. Erişim denetimi (IAM) öğesini seçin.

    Aşağıda bir kaynak grubunun Erişim denetimi (IAM) sayfasının örneği gösterilir.

    Screenshot of Access control (IAM) page for a resource group.

  5. Bu kapsamdaki rol atamalarını görüntülemek için Rol atamaları sekmesine seçin.

  6. Ekle>Rol ataması ekle’yi seçin.

    Rol atama izinleriniz yoksa Rol ataması ekle seçeneği devre dışı bırakılır.

    Screenshot of Add > Add role assignment menu.

    Rol ataması ekle sayfası açılır.

  7. Rol sekmesinde Sanal Makine Katkıda Bulunanı gibi bir rol seçin.

    Screenshot of Add role assignment page with Roles tab.

  8. Üyeler sekmesinde Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.

    Screenshot of Add role assignment page with Members tab.

  9. Üyeleri seç öğesini seçin.

  10. Dış kullanıcıyı bulun ve seçin. Kullanıcıyı listede görmüyorsanız, dizinde görünen ad veya e-posta adresi aramak için Seç kutusuna yazabilirsiniz.

    Dizinde görünen adı veya e-posta adresini aramak için Seç kutusuna aradığınız öğeyi yazabilirsiniz.

    Screenshot of Select members pane.

  11. Dış kullanıcıyı Üyeler listesine eklemek için Seç'i seçin.

  12. Gözden Geçir ve ata sekmesinde Gözden geçir ve ata'yı seçin.

    Birkaç dakika sonra dış kullanıcıya seçilen kapsamda rol atanır.

    Screenshot of role assignment for Virtual Machine Contributor.

Henüz dizininizde olmayan bir dış kullanıcıya rol atama

Bir dış kullanıcıya rol atamak için, üye kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlikle aynı adımları izlersiniz.

Dış kullanıcı henüz dizininizde değilse, kullanıcıyı doğrudan Üye seç bölmesinden davet edebilirsiniz.

  1. Azure Portal’ında oturum açın.

  2. En üstteki Arama kutusunda, erişim vermek istediğiniz kapsamı arayın. Örneğin Yönetim grupları, Abonelikler, Kaynak grupları veya belirli bir kaynak için arama yapın.

  3. Bu kapsam için belirli bir kaynağı seçin.

  4. Erişim denetimi (IAM) öğesini seçin.

  5. Ekle>Rol ataması ekle’yi seçin.

    Rol atama izinleriniz yoksa Rol ataması ekle seçeneği devre dışı bırakılır.

    Screenshot of Add > Add role assignment menu.

    Rol ataması ekle sayfası açılır.

  6. Rol sekmesinde Sanal Makine Katkıda Bulunanı gibi bir rol seçin.

  7. Üyeler sekmesinde Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.

    Screenshot of Add role assignment page with Members tab.

  8. Üyeleri seç öğesini seçin.

  9. Seç kutusuna davet etmek istediğiniz kişinin e-posta adresini yazın ve bu kişiyi seçin.

    Screenshot of invite external user in Select members pane.

  10. Dış kullanıcıyı Üyeler listesine eklemek için Seç'i seçin.

  11. Gözden geçir ve ata sekmesinde Gözden geçir + ata'yı seçerek dış kullanıcıyı dizininize ekleyin, rolü atayın ve davet gönderin.

    Birkaç dakika sonra rol atamasının bildirimini ve davet hakkındaki bilgileri görürsünüz.

    Screenshot of role assignment and invited user notification.

  12. Dış kullanıcıyı el ile davet etmek için, bildirimdeki davet bağlantısına sağ tıklayın ve kopyalayın. Davet işlemini başlattığından davet bağlantısını seçmeyin.

    Davet bağlantısı aşağıdaki biçime sahip olacaktır:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Davet işlemini tamamlamak için davet bağlantısını dış kullanıcıya gönderin.

    Davet işlemi hakkında daha fazla bilgi için bkz . Microsoft Entra B2B işbirliği daveti kullanımı.

Dizininizden dış kullanıcı kaldırma

Bir dış kullanıcıyı dizinden kaldırmadan önce, bu dış kullanıcı için rol atamalarını kaldırmanız gerekir. Bir dış kullanıcıyı dizinden kaldırmak için bu adımları izleyin.

  1. Dış kullanıcının rol ataması olduğu yönetim grubu, abonelik, kaynak grubu veya kaynak gibi bir kapsamda Erişim denetimini (IAM) açın.

  2. Tüm rol atamalarını görüntülemek için Rol atamaları sekmesini seçin.

  3. Rol atamaları listesinde, kaldırmak istediğiniz rol atamasına sahip dış kullanıcının yanına bir onay işareti ekleyin.

    Screenshot of selected role assignment to remove.

  4. Kaldır seçeneğini belirleyin.

    Screenshot of Remove role assignment message.

  5. Görüntülenen rol atamasını kaldır iletisinde Evet'i seçin.

  6. Klasik yöneticiler sekmesini seçin.

  7. Dış kullanıcının Ortak Yönetici istratör ataması varsa, dış kullanıcının yanına bir onay işareti ekleyin ve Kaldır'ı seçin.

  8. Sol gezinti çubuğunda Microsoft Entra ID>Users'ı seçin.

  9. Kaldırmak istediğiniz dış kullanıcıyı seçin.

  10. Sil'i seçin.

    Screenshot of deleting an external user.

  11. Görüntülenen silme iletisinde Evet'i seçin.

Sorun giderme

Dış kullanıcı dizine göz atamıyor

Dış kullanıcıların dizin izinleri kısıtlandı. Örneğin, dış kullanıcılar dizine göz atamaz ve grup veya uygulama araması yapamaz. Daha fazla bilgi için bkz . Microsoft Entra Id'de varsayılan kullanıcı izinleri nelerdir?.

Screenshot of external user can't browse users in a directory.

Dış kullanıcının dizinde ek ayrıcalıklara ihtiyacı varsa, dış kullanıcıya bir Microsoft Entra rolü atayabilirsiniz. Bir dış kullanıcının dizininize tam okuma erişimi olmasını istiyorsanız, dış kullanıcıyı Microsoft Entra Id'deki Dizin Okuyucuları rolüne ekleyebilirsiniz. Daha fazla bilgi için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.

Screenshot of assigning Directory Readers role.

Dış kullanıcı rol atamak için kullanıcılara, gruplara veya hizmet sorumlularına göz atamaz

Dış kullanıcıların dizin izinleri kısıtlandı. Dış kullanıcı bir kapsamda Sahip olsa bile, başka birine erişim vermek için bir rol atamaya çalışırsa, kullanıcı, grup veya hizmet sorumluları listesine göz atamaz.

Screenshot of external user can't browse security principals to assign roles.

Dış kullanıcı, dizinde birinin tam oturum açma adını biliyorsa erişim verebilir. Bir dış kullanıcının dizininize tam okuma erişimi olmasını istiyorsanız, dış kullanıcıyı Microsoft Entra Id'deki Dizin Okuyucuları rolüne ekleyebilirsiniz. Daha fazla bilgi için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.

Dış kullanıcı uygulamaları kaydedemez veya hizmet sorumluları oluşturamaz

Dış kullanıcıların dizin izinleri kısıtlandı. Dış kullanıcının uygulamaları kaydedebilmesi veya hizmet sorumluları oluşturabilmesi gerekiyorsa, dış kullanıcıyı Microsoft Entra Id'deki Uygulama Geliştirici rolüne ekleyebilirsiniz. Daha fazla bilgi için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.

Screenshot of external user can't register applications.

Dış kullanıcı yeni dizini görmüyor

Bir dış kullanıcıya dizin erişimi verilmişse ancak Dizinler sayfasında geçiş yapmaya çalıştığında Azure portalında listelenen yeni dizini görmüyorsa, dış kullanıcının davet işlemini tamamladığından emin olun. Davet işlemi hakkında daha fazla bilgi için bkz . Microsoft Entra B2B işbirliği daveti kullanımı.

Dış kullanıcı kaynakları görmüyor

Bir dış kullanıcıya bir dizine erişim izni verildiyse ancak Azure portalında erişim izni verilen kaynakları görmüyorsa, dış kullanıcının doğru dizini seçtiğinden emin olun. Dış kullanıcının birden çok dizine erişimi olabilir. Dizinler arasında geçiş yapmak için sol üstteki Ayarlar> Directories öğesini seçin ve ardından uygun dizini seçin.

Screenshot of Portal setting Directories section in Azure portal.

Sonraki adımlar