Microsoft Entra Id'de gruplar ve erişim hakları hakkında bilgi edinin

Makale
09.02.2025

Microsoft Entra ID kaynaklara, uygulamalara ve görevlere erişimi yönetmek için çeşitli yollar sağlar. Microsoft Entra gruplarıyla, tek tek her kullanıcı yerine bir kullanıcı grubuna erişim ve izinler verilmektedir. Microsoft Entra kaynaklarına erişimi yalnızca erişime ihtiyacı olan kullanıcılarla sınırlamak, Sıfır Güven temel güvenlik ilkelerinden biridir.

Bu makalede, Microsoft Entra kullanıcılarınızı yönetmeyi kolaylaştırırken aynı zamanda en iyi güvenlik yöntemlerini uygulamak için grupların ve erişim haklarının birlikte nasıl kullanılabileceğini gösteren bir genel bakış sunulmaktadır.

Microsoft Entra Id, uygulamalara, verilere ve kaynaklara erişimi yönetmek için grupları kullanmanıza olanak tanır. Kaynaklar şu şekilde olabilir:

Microsoft Entra id'deki roller aracılığıyla nesneleri yönetme izinleri gibi Microsoft Entra kuruluşunun bir parçası
Hizmet Olarak Yazılım (SaaS) uygulamaları gibi kuruluş dışında
Azure hizmetleri
SharePoint siteleri
Şirket içi kaynaklar

Bazı gruplar Azure portalında yönetilemiyor:

şirket içi Active Directory eşitlenen gruplar yalnızca şirket içi Active Directory yönetilebilir.
Dağıtım listeleri ve posta etkin güvenlik grupları yalnızca Exchange yönetim merkezinde veya Microsoft 365 yönetim merkezi yönetilir. Bu grupları yönetmek için Exchange yönetim merkezinde veya Microsoft 365 yönetim merkezi oturum açmanız gerekir.

Grup oluşturmadan önce bilinmesi gerekenler

İki grup türü ve üç grup üyeliği türü vardır. Senaryonuz için doğru bileşimi bulmak için seçenekleri gözden geçirin.

Grup türleri:

Güvenlik: Paylaşılan kaynaklara kullanıcı ve bilgisayar erişimini yönetmek için kullanılır.

Örneğin, tüm grup üyelerinin aynı güvenlik izinleri kümesine sahip olması için bir güvenlik grubu oluşturabilirsiniz. Güvenlik grubunun üyeleri, erişim ilkesini ve izinleri tanımlayan kullanıcıları, cihazları, hizmet sorumlularını ve diğer grupları (iç içe gruplar olarak da bilinir) içerebilir. Güvenlik grubunun sahipleri kullanıcıları ve hizmet sorumlularını içerebilir.

Not

Mevcut bir güvenlik grubunu başka bir güvenlik grubuna iç içe yerleştirdiğinizde, yalnızca üst gruptaki üyeler paylaşılan kaynaklara ve uygulamalara erişebilir. İç içe grup üyeleri, üst grup üyeleriyle aynı atanmış üyeye sahip değildir. İç içe grupları yönetme hakkında daha fazla bilgi için bkz . Grupları yönetme.

Microsoft 365: Grup üyelerine paylaşılan posta kutusuna, takvime, dosyalara, SharePoint sitelerine ve daha fazlasına erişim vererek işbirliği fırsatları sağlar.

Bu seçenek, kuruluşunuzun dışındaki kişilerin de gruba erişmesini sağlar. Microsoft 365 grubunun üyeleri yalnızca kullanıcıları içerebilir. Microsoft 365 grubunun sahipleri kullanıcıları ve hizmet sorumlularını içerebilir. Microsoft 365 Grupları hakkında daha fazla bilgi için bkz. Microsoft 365 Grupları hakkında bilgi edinin.

Üyelik türleri:

Atanan gruplar: Belirli kullanıcıları bir grubun üyesi olarak eklemenize ve benzersiz izinlere sahip olmanıza olanak tanır.
Kullanıcılar için dinamik üyelik grubu: Kullanıcıların kullanıcıları otomatik olarak üye olarak eklemesi ve kaldırması için kuralları kullanmanıza olanak tanır. Bir üyenin öznitelikleri değişirse, sistem dizin için dinamik üyelik gruplarına yönelik kurallarınıza bakar. Sistem, üyenin kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) denetler.
Cihazlar için dinamik üyelik grubu: Cihazları otomatik olarak üye olarak eklemek ve kaldırmak için cihazların kurallarını kullanmanıza olanak tanır. Bir cihazın öznitelikleri değişirse sistem, cihazın kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) görmek için dizin için dinamik üyelik gruplarına yönelik kurallarınıza bakar.

Önemli

Ya cihazlar ya da kullanıcılar için bir dinamik grup oluşturabilirsiniz, her ikisi için oluşturamazsınız. Cihaz sahiplerinin özniteliklerine göre bir cihaz grubu oluşturamazsınız. Cihaz üyeliği kuralları yalnızca cihaz ilişkilendirmesine başvurabilir. Kullanıcılar ve cihazlar için dinamik grup oluşturma hakkında daha fazla bilgi için bkz . Dinamik grup oluşturma ve durumu denetleme.

Gruba erişim hakları eklemeden önce bilinmesi gerekenler

Bir Microsoft Entra grubu oluşturduktan sonra uygun erişimi vermeniz gerekir. Erişim izinleri gerektiren her uygulama, kaynak ve hizmetin ayrı olarak yönetilmesi gerekir çünkü birinin izinleri başka bir uygulamayla aynı olmayabilir. Saldırı veya güvenlik ihlali riskini azaltmaya yardımcı olmak için en az ayrıcalık ilkesini kullanarak erişim izni verin.

Microsoft Entra Id'de erişim yönetimi nasıl çalışır?

Microsoft Entra Id, tek bir kullanıcıya veya tüm Microsoft Entra grubuna erişim hakları sağlayarak kuruluşunuzun kaynaklarına erişim vermenize yardımcı olur. Grupların kullanılması, kaynak sahibinin veya Microsoft Entra dizin sahibinin grubun tüm üyelerine bir erişim izinleri kümesi atamasına olanak tanır. Kaynak veya dizin sahibi ayrıca bölüm yöneticisi veya yardım masası yöneticisi gibi bir kişiye yönetim hakları vererek söz konusu kişinin üye eklemesine ve kaldırmasına izin verebilir. Grup sahiplerini yönetme hakkında daha fazla bilgi için Grupları yönetme makalesine bakın.

Microsoft Entra ID erişim yönetimi diyagramının ekran görüntüsü.

Erişim hakları atama yolları

Grup oluşturduktan sonra erişim haklarının nasıl ataneceğine karar vermeniz gerekir. Senaryonuz için en iyi süreci belirlemek için erişim hakları atamanın yollarını keşfedin.

Doğrudan atama. Kaynak sahibi kullanıcıyı doğrudan kaynağa atar.
Grup ataması. Kaynak sahibi kaynağa bir Microsoft Entra grubu atar ve bu grup üyelerinin tümüne kaynağa otomatik olarak erişim verir. Hem grup sahibi hem de kaynak sahibi grup üyeliğini yöneterek, sahibin gruba üye eklemesine veya gruptan üye kaldırmasına izin vererek. Grup üyeliğini yönetme hakkında daha fazla bilgi için Yönetilen gruplar makalesine bakın.
Kural tabanlı atama. Kaynak sahibi bir grup oluşturur ve belirli bir kaynağa hangi kullanıcıların atanacaklarını tanımlamak için bir kural kullanır. Kural, tek tek kullanıcılara atanan öznitelikleri temel alır. Kaynak sahibi kuralı yönetir ve kaynağa erişime izin vermek için hangi özniteliklerin ve değerlerin gerekli olduğunu belirler. Daha fazla bilgi için bkz . Dinamik grup oluşturma ve durumu denetleme.
Dış yetkili ataması. Access, şirket içi dizin veya SaaS uygulaması gibi bir dış kaynaktan gelir. Bu durumda, kaynak sahibi kaynağa erişim sağlamak için bir grup atar ve ardından dış kaynak grup üyelerini yönetir.

Kullanıcılar atanmadan gruplara katılabilir mi?

Grup sahibi, kullanıcıların kendilerine atamak yerine katılmak için kendi gruplarını bulmalarına izin verebilir. Sahip, grubu katılan tüm kullanıcıları otomatik olarak kabul etmek veya onay istemek üzere de ayarlayabilir.

Kullanıcı gruba katılma isteğinde bulunduktan sonra, istek grup sahibine iletilir. Gerekirse, sahip isteği onaylayabilir ve kullanıcıya grup üyeliği bildirilir. Birden çok sahibiniz varsa ve bunlardan biri onaylamıyorsa, kullanıcıya bildirim gönderilir ancak gruba eklenmez. Kullanıcılarınızın gruplara katılma isteğinde bulunmalarına izin verme hakkında daha fazla bilgi ve yönergeler için bkz . Kullanıcıların gruplara katılma isteğinde bulunabilmesi için Microsoft Entra Id'yi ayarlama.

Buluttaki grupları yönetmek için en iyi yöntemler

Bulutta grupları yönetmek için en iyi yöntemler aşağıdadır:

Self-Service Grup Yönetimini Etkinleştirme: Kullanıcıların kendi Microsoft 365 (M365) gruplarını oluşturmasına ve yönetmesine izin verin. Bu, ekiplerin bt üzerindeki yönetim yükünü azaltırken kendilerini düzenlemelerini sağlar. Kısıtlanmış sözcüklerin kullanımını engellemek ve tutarlılık sağlamak için Grup Adlandırma İlkesi uygulayın. Grup süre sonu ilkelerini etkinleştirerek etkin olmayan grupların devam etmesini önleyin. Bu, bir grup sahibi tarafından yenilenmediği sürece, belirtilen süre sonunda kullanılmayan grupları otomatik olarak siler. Daha fazla bilgi için bkz. Microsoft Entra ID'de self servis grup yönetimini ayarlama
Duyarlılık Etiketlerinden Yararlanma: M365 gruplarını güvenlik ve uyumluluk gereksinimlerine göre sınıflandırmak ve yönetmek için duyarlılık etiketlerini kullanın. Bu, ayrıntılı erişim denetimleri sağlar ve hassas kaynakların korunmasını sağlar. Daha fazla bilgi için bkz. Microsoft Entra ID'de Microsoft 365 gruplarına duyarlılık etiketleri atama
Dinamik Gruplarla Üyeliği Otomatikleştirme: Departman, konum veya iş unvanı gibi özniteliklere göre kullanıcıları ve cihazları otomatik olarak eklemek veya gruplardan kaldırmak için dinamik üyelik kuralları uygulayın. Bu, el ile yapılan güncelleştirmeleri en aza indirir ve kalan erişim riskini azaltır. Bu özellik M365 grupları ve Güvenlik Grupları için geçerlidir.
Düzenli Erişim Gözden Geçirmeleri Yürütme: Düzenli erişim gözden geçirmeleri zamanlamak için Entra Identity Governance özelliklerini kullanın. Bunlar, atanan gruplarda üyeliğin zaman içinde doğru ve ilgili kalmasını sağlar. Daha fazla bilgi için bkz. Microsoft Entra ID'de dinamik üyelik grubu oluşturma veya güncelleştirme
Erişim Paketleriyle Üyeliği Yönet: Birden çok grup üyeliğinin yönetimini kolaylaştırmak için Entra Identity Governance ile erişim paketleri oluşturun. Erişim paketleri şunları yapabilir:
- Üyelik için onay iş akışlarını dahil et
- Erişim süre sonu ölçütlerini tanımlama
- Gruplar ve uygulamalar arasında erişim vermek, gözden geçirmek ve iptal etmek için merkezi bir yol sağlama Daha fazla bilgi için bkz. Yetkilendirme yönetiminde erişim paketi oluşturma
Birden Çok Grup Sahibi Atama: Sürekliliği sağlamak ve tek bir bireye bağımlılıkları azaltmak için bir gruba en az iki sahip atayın. Daha fazla bilgi için bkz. Microsoft Entra gruplarını ve grup üyeliğini yönetme
Grup Tabanlı Lisanslama Kullan: Grup tabanlı lisanslama, kullanıcı sağlamayı basitleştirir ve tutarlı lisans atamaları sağlar. Ayrıca, belirli ölçütlere uyan kullanıcıların lisanslarını otomatik olarak yönetmek için dinamik üyelik gruplarını da kullanabilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra Id'de grup tabanlı lisanslama nedir?
Rol Tabanlı Erişim Denetimlerini Zorla (RBAC): Grupları kimlerin yönetebileceğini denetlemek için rol atama (örn. Grup Yöneticisi). RBAC, ayrıcalık kötüye kullanımı riskini azaltır ve grup yönetimini basitleştirir. Daha fazla bilgi için bkz. Microsoft Entra ID'de rol tabanlı erişim denetimine genel bakış

Sonraki adımlar

Microsoft Entra gruplarını ve grup üyeliğini oluşturma ve yönetme
Microsoft Entra Id'de grup tabanlı lisanslama hakkında bilgi edinin
Grupları kullanarak SaaS uygulamalarına erişimi yönetme
Dinamik üyelik grupları için kuralları yönetme
Microsoft Entra rolleri için Privileged Identity Management (PIM) hakkında bilgi edinin

Ek kaynaklar

Belgeler

Self servis grup yönetimini ayarlama - Microsoft Entra ID

Microsoft Entra Id içinde güvenlik grupları veya Microsoft 365 grupları oluşturup yönetin ve güvenlik grubu veya Microsoft 365 grup üyelikleri isteyin.
Grupları yönetme - Microsoft Entra

Üyelik ve ayarlar gibi Microsoft Entra gruplarını oluşturma ve güncelleştirme hakkında yönergeler.
Dinamik gruba kullanıcı ekleme - Microsoft Entra ID

Kullanıcıları otomatik olarak eklemek veya kaldırmak için kullanıcı üyeliği kuralları olan grupları kullanma
Dinamik üyelik grubu oluşturma veya düzenleme ve işlem durumunu alma - Microsoft Entra ID

Azure portalında dinamik üyelik grupları için kurallar oluşturma veya güncelleştirme ve işlem durumunu denetleme.
Grup üyelerini eklemek veya oluşturmak için toplu karşıya yükleme - Microsoft Entra ID

Virgülle ayrılmış değerler (CSV) dosyası kullanarak grup üyelerini toplu olarak ekleyin.
Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma - Microsoft Entra ID

Microsoft Entra Id'de rol atama yönetimini basitleştirmek için Microsoft Entra gruplarını kullanın.
Azure portalında memberOf özniteliğiyle dinamik üyelik gruplarını yapılandırma - Microsoft Entra ID

Microsoft Entra Id'de diğer grupların üyelerini içerebilen dinamik üyelik grubu oluşturmayı öğrenin.
Azure portalında kullanıcıların listesini indirme - Microsoft Entra ID

Microsoft Entra Id'deki Azure yönetim merkezinde kullanıcı kayıtlarını toplu olarak indirin.

Eğitim

Modül

Microsoft Entra Id'de kullanıcıları ve grupları yönetme - Training

Microsoft Entra Id'de kullanıcıları ve grupları yönetme

Sertifikasyon

Microsoft Sertifikalı: Kimlik ve Erişim Yöneticisi İş Ortağı - Certifications

Kimlik çözümlerini modernleştirmek, karma çözümleri uygulamak ve kimlik idaresini uygulamak için Microsoft Entra ID'nin özelliklerini gösterin.

Aracılığıyla paylaş