Artık kaynak erişimi olmayan dış kullanıcıları gözden geçirmek ve kaldırmak için Microsoft Entra Kimlik Yönetimi kullanın

Bu makalede, dış kimlikleri inceleyip artık gerekli değilse Microsoft Entra Id'den kaldırabilmeniz için bunları belirlemenize ve seçmenize olanak sağlayan özellikler ve yöntemler açıklanmaktadır. Bulut, iç veya dış kullanıcılarla işbirliği yapmak her zamankinden daha kolay hale getirir. Office 365'i benimseen kuruluşlar, kullanıcılar veri, belge veya Teams gibi dijital çalışma alanları üzerinde birlikte çalışırken dış kimliklerin (konuklar dahil) yaygınlaşmasını görmeye başlar. Kuruluşların dengelemesi, işbirliğine olanak sağlaması ve güvenlik ve idare gereksinimlerini karşılaması gerekir. Bu çabaların bir bölümü, kiracınızda işbirliği için davet edilen, iş ortağı kuruluşlarından gelen dış kullanıcıları değerlendirmeyi ve temizlemeyi ve artık gerekli olmadığında bunları Microsoft Entra Kimliğinizden kaldırmayı içermelidir.

Not

Microsoft Entra erişim gözden geçirmelerini kullanmak için geçerli bir Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi, Enterprise Mobility + Security E5 ücretli veya deneme lisansı gereklidir. Daha fazla bilgi için bkz . Microsoft Entra sürümleri.

Kiracınızdaki dış kuruluşlardaki kullanıcıları neden gözden geçiresiniz?

Çoğu kuruluşta, son kullanıcılar iş ortaklarını ve satıcıları işbirliğine davet etme sürecini başlatır. İşbirliği yapma gereksinimi, kuruluşları kaynak sahiplerine ve son kullanıcılara dış kullanıcıları düzenli olarak değerlendirme ve test etme yöntemi sağlama konusunda yönlendirmektedir. Yeni işbirliği iş ortaklarını ekleme işlemi genellikle planlanır ve hesaba katılır, ancak birçok işbirliği net bir bitiş tarihine sahip olmadığında, kullanıcının artık erişime ihtiyacı kalmadığında her zaman belirgin değildir. Ayrıca kimlik yaşam döngüsü yönetimi, kuruluşları Microsoft Entra Id'yi temiz tutmaya ve kuruluşun kaynaklarına artık erişmesi gerekmeyen kullanıcıları kaldırmaya yönlendirir. İş ortakları ve satıcılar için yalnızca ilgili kimlik başvurularının dizinde tutulması, çalışanlarınızın riskini azaltmaya yardımcı olur ve yanlışlıkla kaldırılmış olması gereken dış kullanıcıları seçip bunlara erişim izni verir. Bu belge, önerilen proaktif önerilerden reaktif ve temizleme etkinliklerine ve dış kimlikleri idare etmeye kadar çeşitli seçeneklerde size yol gösterir.

Erişim vermek ve iptal etmek için Yetkilendirme Yönetimi'ni kullanma

Yetkilendirme yönetimi özellikleri, kaynaklara erişimi olan dış kimliklerin otomatik yaşam döngüsünü etkinleştirir. Yetkilendirme Yönetimi aracılığıyla erişimi yönetmek için süreçler ve yordamlar oluşturarak ve kaynakları Erişim Paketleri aracılığıyla yayımlayarak, kaynaklara dış kullanıcı erişimini izlemek, çözülmesi çok daha az karmaşık bir sorun haline gelir. Microsoft Entra ID'de Yetkilendirme Yönetimi Erişim Paketleri aracılığıyla erişimi yönetirken, kuruluşunuz hem kullanıcılarınızın hem de iş ortağı kuruluşlarının kullanıcılarının erişimini merkezi olarak tanımlayabilir ve yönetebilir. Yetkilendirme Yönetimi, dış kullanıcıların erişim istediği ve atandığı yerleri izlemek için Erişim Paketlerinin onaylarını ve atamalarını kullanır. Dış kullanıcı tüm atamalarını kaybederse, Yetkilendirme Yönetimi bu dış kullanıcıları kiracıdan otomatik olarak kaldırabilir.

Yetkilendirme Yönetimi aracılığıyla davet edilmeyen konukları bulma

Çalışanlar dış kullanıcılarla işbirliği yapma yetkisine sahip olduğunda, kuruluşunuzun dışından herhangi bir sayıda kullanıcıyı davet edebilir. Gözden geçirilemeyecek kadar çok farklı tek tek şirket olabileceği veya kuruluşun sahibi veya sponsoru olmadığı için dış iş ortaklarını aramak ve bunları şirketle uyumlu dinamik gruplar halinde gruplandırmak ve gözden geçirmek mümkün olmayabilir. Microsoft, bir kiracıda dış kimliklerin kullanımını çözümlemenize yardımcı olabilecek örnek bir PowerShell betiği sağlar. Betik dış kimlikleri numaralandırır ve kategorilere ayırır. Betik, artık gerek duyulmayabilecek dış kimlikleri tanımlamanıza ve temizlemenize yardımcı olabilir. Betiğin çıktısının bir parçası olarak betik örneği, daha fazla analiz ve Microsoft Entra erişim gözden geçirmeleriyle birlikte kullanmak için tanımlanan grup içermeyen dış iş ortaklarını içeren güvenlik gruplarının otomatik olarak oluşturulmasını destekler. Betik GitHub'da kullanılabilir. Betiğin çalışması tamamlandıktan sonra aşağıdaki dış kimliklerin ana hatlarını oluşturan bir HTML çıkış dosyası oluşturur:

  • Artık kiracıda herhangi bir grup üyeliği yok
  • Kiracıda ayrıcalıklı bir rol için atamanız var
  • Kiracıdaki bir uygulamaya atamanız olması

Çıkış, bu dış kimliklerin her biri için tek tek etki alanlarını da içerir.

Not

Daha önce başvurulan betik, Microsoft Entra Id'de grup üyeliğini, rol atamalarını ve uygulama atamalarını denetleen örnek bir betiktir. Dış kullanıcıların Microsoft Entra Id dışında aldığı uygulamalarda SharePoint (doğrudan üyelik ataması) veya Azure RBAC veya Azure DevOps gibi başka atamalar da olabilir.

Dış kimlikler tarafından kullanılan kaynakları gözden geçirme

Teams gibi kaynakları veya henüz Yetkilendirme Yönetimi tarafından yönetilmeyen diğer uygulamaları kullanan dış kimlikleriniz varsa, bu kaynaklara erişimi düzenli olarak da gözden geçirmek isteyebilirsiniz. Microsoft Entra Access Gözden Geçirmeleri , kaynak sahibinin, dış kimliklerin veya güvendiğiniz başka bir temsilcinin gerekli erişime devam edip etmediğini denetlemesine izin vererek dış kimliklerin erişimini gözden geçirmenizi sağlar. Access Gözden Geçirmeleri bir kaynağı hedefler ve kaynağa erişimi olan herkes veya yalnızca Konuk kullanıcılar kapsamında bir gözden geçirme etkinliği oluşturur. Gözden geçiren daha sonra gözden geçirmesi gereken kullanıcıların (kuruluşunuzun çalışanları veya yalnızca dış kimlikler dahil olmak üzere tüm kullanıcılar) sonuç listesini görür.

Kaynak sahibi odaklı bir gözden geçirme kültürü oluşturmak, dış kimliklere erişimi yönetmeye yardımcı olur. Sahip oldukları bilgilerin erişimi, kullanılabilirliği ve güvenliğinden sorumlu olan kaynak sahipleri, çoğu durumda kaynaklarına erişimle ilgili kararlar almak için en iyi hedef kitlenizdir ve bunlara erişen kullanıcılara merkezi BT'den veya birçok dış kullanıcıyı yöneten bir sponsordan daha yakındır.

Dış kimlikler için Erişim Gözden Geçirmeleri Oluşturma

Kiracınızdaki kaynaklara artık erişimi olmayan kullanıcılar artık kuruluşunuzla çalışmıyorsa kaldırılabilir. Bu dış kimlikleri engellemeden ve silmeden önce, bu dış kullanıcılara ulaşmak ve bir projeyi veya hala ihtiyaç duydukları ayakta erişimleri göz ardı etmediğinizden emin olmak isteyebilirsiniz. Kiracınızdaki herhangi bir kaynağa erişimi olmadığını bulduğunuz üye olarak tüm dış kimlikleri içeren bir grup oluşturduğunuzda, erişim gözden geçirmelerini kullanarak tüm dış kişilerin hala erişime veya erişime sahip olup olmadıklarını kendi kendine doğrulamasını sağlayabilirsiniz. Gözden geçirmenin bir parçası olarak, Access Gözden Geçirmeleri'ndeki gözden geçirme oluşturucusu, dış kullanıcıların kiracınızda nerede ve nasıl erişime ihtiyaç duydukları hakkında bilgi edinebileceğiniz bir gerekçe sağlamak üzere Onay için neden iste işlevini kullanabilir. Ayrıca, kullanıcılara yanıt vermezlerse erişimi kaybedeceklerini bildirmek ve yine de erişime ihtiyaç duymaları durumunda gerekçelendirmek için Gözden geçiren e-postası için ek içerik özelliğini etkinleştirebilirsiniz. Devam etmek ve Erişim Gözden Geçirmeleri'nin dış kimlikleri devre dışı bırakmasına ve silmesine izin vermek istiyorsanız, yanıt verememesi veya devam eden erişim için geçerli bir neden sağlaması durumunda, sonraki bölümde açıklandığı gibi Devre dışı bırak ve sil seçeneğini kullanabilirsiniz.

Dış kimlikler için Erişim Gözden Geçirmesi oluşturmak için şu adımları izlemeniz gerekir:

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik>Grupları>Tüm gruplar'a göz atın.

  3. Kiracınızdaki kaynaklara erişimi olmayan dış kimlikler olan üyeleri içeren grubu arayın ve bu grubu not edin. Bu ölçütlere uyan üyelerle grup oluşturmayı otomatikleştirmek için bkz. Dış kimlik yayılmasıyla ilgili bilgi toplama.

  4. Kimlik idaresi>Erişim Gözden Geçirmeleri'ne göz atın.

  5. + Yeni erişim gözden geçirme'yi seçin.

  6. Teams + Gruplar'ı seçin ve ardından gözden geçirme kapsamını ayarlamak için daha önce not ettiğiniz dış kimlikleri içeren grubu seçin.

  7. Kapsamı yalnızca Konuk kullanıcılar olarak ayarlayın. Gözden geçirmenin kapsamını yalnızca konuk kullanıcılarla sınırlamanın ekran görüntüsü.

  8. Tamamlandıktan sonra ayarları bölümünde Kullanıcıların 30 gün boyunca oturum açmasını engelle'yi seçebilir, ardından Reddedilen kullanıcılara uygulanacak eylem seçeneğinin altında kullanıcıyı kiracıdan kaldırabilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra erişim gözden geçirmeleriyle dış kimlikleri devre dışı bırakma ve silme.

  9. Erişim gözden geçirmesi oluşturulduktan sonra, gözden geçirme tamamlanmadan önce konuk kullanıcının erişimini onaylaması gerekir. Bu, konuk Erişimim portalında erişimini onaylar veya onaylamaz. Tam adım adım kılavuz için bkz. Erişim gözden geçirmelerinde gruplara ve uygulamalara erişimi gözden geçirme.

Gözden geçirme tamamlandığında, Sonuçlar sayfasında her dış kimlik tarafından verilen yanıta genel bir bakış gösterilir. Sonuçları otomatik olarak uygulamayı ve Access Gözden Geçirmeleri'nin bunları devre dışı bırakmasına ve silmesine izin vermeyi seçebilirsiniz. Alternatif olarak, verilen yanıtlara göz atabilir ve bir kullanıcının erişimini kaldırmak mı yoksa bu kullanıcılarla ilgili takip mi yapmak istediğinize karar verebilir ve karar vermeden önce ek bilgi alabilirsiniz. Bazı kullanıcılar henüz gözden geçirmediğiniz kaynaklara erişmeye devam ediyorsa, incelemeyi bulma ve sonraki gözden geçirme ve kanıtlama döngünüzü zenginleştirme kapsamında kullanabilirsiniz.

Ayrıntılı adım adım kılavuz için bkz. Microsoft Entra Id'de grupların ve uygulamaların erişim gözden geçirmesini oluşturma.

Microsoft Entra erişim gözden geçirmeleri ile dış kimlikleri devre dışı bırakma ve silme

Microsoft Entra erişim gözden geçirmeleri, gruplar veya uygulamalar gibi kaynaklardan istenmeyen dış kimlikleri kaldırma seçeneğine ek olarak, dış kimliklerin kiracınızda oturum açmasını engelleyebilir ve 30 gün sonra dış kimlikleri kiracınızdan silebilir. Kullanıcının 30 gün oturum açmasını engelle'yi seçtikten sonra kullanıcıyı kiracıdan kaldırdığınızda, gözden geçirme 30 gün boyunca "uygulama" durumunda kalır. Bu süre boyunca, geçerli gözden geçirme kapsamındaki ayarlar, sonuçlar, gözden geçirenler veya Denetim günlükleri görüntülenebilir veya yapılandırılamaz.

tamamlandıktan sonra ayarları

Bu ayar, Microsoft Entra kiracınızdaki dış kimlikleri tanımlamanıza, engellemenize ve silmenize olanak tanır. Gözden geçiren tarafından gözden geçirilen ve erişimi reddedilen dış kimlikler, sahip oldukları kaynak erişimi veya grup üyeliğinden bağımsız olarak engellenir ve silinir. Bu ayar, gözden geçirmedeki dış kullanıcıların artık kaynak erişimi taşımadığını ve kiracınızdan güvenli bir şekilde kaldırılabildiğini doğruladıktan sonra veya ayakta erişimlerinden bağımsız olarak kaldırıldıklarından emin olmak istiyorsanız son adım olarak kullanılır. "Devre dışı bırak ve sil" özelliği önce dış kullanıcıyı engeller ve kiracınızda oturum açma ve kaynaklara erişme olanaklarını ortadan kaldırır. Kaynak erişimi bu aşamada iptal edilmemiştir ve dış kullanıcıyı yeniden doğrulamak istemeniz durumunda, bu kullanıcının oturum açabilme özelliği yeniden yapılandırılabilir. Başka bir işlem yapılmazsa, engellenen dış kimlik 30 gün sonra dizinden silinir ve hesap ve erişimleri kaldırılır.

Sonraki adımlar