Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra yetkilendirme yönetimi, bir idare mekanizması olarak erişim paketleri sağlar. Erişim paketleri, aracı erişim atamalarının kasıtlı, denetlenebilir ve zamana bağlı olmasını sağlar. Erişim paketleri, aracı kimliği izinlerini yönetmeye yönelik yapılandırılmış bir yaklaşımı temsil eder ve uygun idare denetimlerinden yoksun olabilecek geçici izin atamalarıyla karşıtlık sağlar. Erişim paketleri, müşteri desteği yapay zeka aracıları filosu gibi aynı erişim gereksinimlerine sahip birçok yapay zeka aracısı için standart erişim sağlar. Kuruluşlar, erişim paketleri aracılığıyla aracı kimliği, aracının kullanıcı hesabı ve kaynaklara hizmet sorumlusu erişimi için tutarlı idare uygulamaları oluşturabilir. Daha fazla bilgi için bkz. Aracı kimliklerini yönetme.
Önkoşullar
Erişim paketi oluşturmadan önce, kuruluşunuzda aşağıdaki önkoşulların karşılandığından emin olun:
Aracılar, kaynaklara erişim yetkisi için Microsoft Entra Aracı Kimliği aracı kimliklerini veya hizmet sorumlularını kullanır.
Yetkilendirme aşağıdakilerden biridir:
- Aracıların, hedef kaynağın API'lerine erişebilmesi için microsoft graph veya uygulama gibi bir hedef kaynak için kimliklerine OAuth uygulama izinleri atanması gerekir.
- Aracıların kimliklerinin gruplara üye olarak atanması gerekiyor.
- Aracıların kimliklerinin dizin rollerine atanmaları gerekir. İzin verilen roller, acentalar için izin verilen Microsoft Entra rollerinde listelenir.
Bu kaynakları barındırmaya uygun bir yetkilendirme yönetimi kataloğunuz var veya oluşturabilirsiniz. Oluşturacağınız erişim paketi ve içindeki tüm kaynaklar kataloğa eklenir. Daha fazla bilgi için bkz. Katalog oluşturma.
Uyarı
Erişim paketine kaynak rolleri olarak OAuth API izinleri veya dizin rolleri ekleyecekseniz, katalog erişim paketine eklendiğinde ayrıcalıklı olarak işaretlenir .
Aracı kimlikleri için bir erişim paketi oluşturma
BT yöneticisi, aracılara yönelik erişim paketlerini kullanmak için ilk olarak Uygulama API'lerine Entra rolleri, grup üyelikleri ve OAuth izinleri de dahil olmak üzere ilgili kaynaklarla yeni bir erişim paketi yapılandırıyor. Ardından yönetici, erişim paketinde gerekli ilke ayarlarını yapılandırıyor. Bu ayarlar kimlerin erişim alabileceğini, kimlerin erişim isteğinde bulunabileceğini, onayları, erişim süre sonunu ve uzantıyı tanımlar.
Aracı kimlikleri ve hizmet sorumluları uygulama rollerine, SAP rollerine veya SharePoint Online site rollerine erişim paketleri aracılığıyla eklenemediğinden, bu kaynak rollerinden herhangi birini içeren mevcut bir erişim paketini yeniden kullanamazsınız. Bunun yerine yeni bir erişim paketi oluşturun.
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Tip
Erişim paketine kaynak rolleri olarak OAuth API izinleri veya dizin rolleri ekleyecekseniz Genel Yönetici olmanız gerekir.
KİM yönetimi>Yetki yönetimi>Erişim paketleri sekmesine göz atın.
Yeni erişim paketi'ni seçin.
Temel Bilgiler sekmesinde, erişim paketine bir ad ve açıklama verir ve erişim paketinin oluşturulacağı kataloğu belirtirsiniz. Katalog açılan listesinde, erişim paketini yerleştirmek istediğiniz kataloğu seçin.
Seçin İleri: Kaynak rolleri. Kaynak rolleri sekmesinde, erişim paketine eklenecek kaynak rollerini seçersiniz. Aracı kimlikleri için erişim paketleri, kaynak rolleri olarak güvenlik grubu üyeliklerine, dizin rollerine veya API izinlerine sahip olabilir. Daha fazla bilgi için bkz. bir grup ekleme, Microsoft Entra rolü ekleme ve API izni ekleme. Aracı kimlikleri için bir erişim paketine uygulama rolleri, SAP rolleri veya SharePoint Online site rolleri eklemeyin.
Tip
Hangi kaynak rollerini dahil etmek istediğinizden emin değilseniz, erişim paketini oluştururken bunları eklemeyi atlayabilir ve daha sonra ekleyebilirsiniz . API izinleri için, hem erişim paketine izin eklediğinizde hem de bunları bir erişim paketine eklediğinizde kaynak sahipliği doğrulaması gerçekleşir. Bu doğrulama, erişim paketleri aracılığıyla API izinlerine yalnızca yetkili kaynak sahiplerinin erişimi tanıtabilmesini veya genişletebilmesini sağlamaya yardımcı olur.
İleri: İstekler'i seçin. İstekler sekmesinde, erişim paketini kimlerin isteyebileceğini belirtmek için ilk ilkeyi oluşturursunuz. Kimler erişim alabilir bölümünde Kullanıcılar, hizmet sorumluları ve dizininizdeki aracı kimlikleri için'i seçin. Belirli bir kapsam seçin bölümünde Tüm aracılar seçeneğini belirleyin.
Uyarı
Aracılarınız Microsoft Entra aracı kimlikleri yerine hizmet sorumlularını kullanıyorsa, dizininizdeki hizmet sorumlularının bu erişim paketini isteyebilmesini sağlamak için Tüm Hizmet sorumluları seçeneğiyle bir erişim paketi atama ilkesi de oluşturun.
Kaç onay aşaması gerektiğini belirleyin. Tek aşamalı onay için Kaç aşama iki durumlu düğmesini 1, iki aşamalı onay için 2 veya üç aşamalı onay için 3 olarak ayarlayın. Ardından onay aşamalarını ve onaylayanların kim olması gerektiğini yapılandırın. Daha fazla bilgi için bkz. Tek aşamalı onay.
Her onay aşamasını belirttikten sonra İleri: İstek Sahibi Bilgileri'ne tıklayın.
İleri: Yaşam Döngüsü'ne tıklayın. Erişim paketi atamalarının süresi dolmadan önce ne kadar süreyle kalması gerektiğini belirtin.
İleri: Kurallar'ı seçin.
Sonraki: Gözden geçirme ve oluşturma’yı seçin. Gözden Geçir ve oluştur sekmesinde ayarlarınızı gözden geçirebilir ve doğrulama hatalarını de kontrol edebilirsiniz.
Erişim paketini ve ilk ilkesini oluşturmak için Oluştur'u seçin.
Microsoft Entra Yönetim Merkezi'ni kullanmaya ek olarak, Microsoft Graph aracılığıyla ve Microsoft Graph için PowerShell cmdlet'leri aracılığıyla program aracılığıyla bir erişim paketi de oluşturabilirsiniz. Daha fazla bilgi için bkz. Program aracılığıyla erişim paketi oluşturma.
Erişim isteği ve onay işlemi
Aracılara daha sonra üç farklı istek yolu aracılığıyla erişim paketleri atanabilir.
- Aracı kimliğinin kendisi, faaliyetleri için gerektiğinde bir accessPackageAssignmentRequest oluşturarak programatik olarak bir erişim paketi isteyebilir.
- Ajanın sponsoru, ajanın kimliği adına erişim isteyebilir, böylece erişim talep sürecine insan gözetimi sağlar. Daha fazla bilgi için bkz. Aracı kimliği adına erişim paketi isteme.
- Yönetici , aracı kimliğini veya aracının kullanıcı hesabını erişim paketine doğrudan atayabilir.
Gönderimden sonra erişim isteği, erişim paketi ilkesi yapılandırmasına göre belirlenen onaylayanlara yönlendirilir.
Erişim ataması yaşam döngüsü
Onaylayan erişim paketi atama isteğini kabul ettikten sonra aracı kimliği belirtilen kaynaklara zamana bağlı erişim alır. Erişim, erişim paketinde tanımlanan kaynak rollerine göre verilir. Bu, aracının ihtiyaç duyabileceği erişim için net bir başlangıç ve bitiş tarihi oluşturur.
Eğer atama bir aracı kimliğine ise ve bu kimlikte bir sponsor ayarlandıysa, son kullanım tarihi yaklaştıkça sponsor yaklaşan süre sonu hakkında bildirimler alır. Sponsorun iki seçeneği vardır: erişim paketinin bir uzantısını isteyebilir (ilke tarafından izin verilirse) veya erişim paketi atamasının süresinin dolmasına izin verebilir.
Sponsor bir uzantı isterse, bu istek yeni bir onay döngüsü tetikleyebilir ve onaylayanlar sürekli erişimin uygun olup olmadığını yeniden onaylar. Sponsor hiçbir işlem gerçekleştirmezse, erişim paketi atamasının süresi bitiş tarihinde otomatik olarak dolar ve aracı kimliği hedef kaynaklara erişimi kaybeder.