Öğretici: Yetkilendirme yönetiminde kaynaklara erişimi yönetme
Çalışanların ihtiyaç duyduğu gruplar, uygulamalar ve siteler gibi tüm kaynaklara erişimi yönetmek kuruluşlar için önemli bir işlevdir. Çalışanlara üretken olmaları için gereken doğru erişim düzeyini vermek ve artık gerekli olmadığında erişimlerini kaldırmak istiyorsunuz.
Bu öğreticide Woodgrove Bank'ta BT yöneticisi olarak çalışacaksınız. Şirket içi kullanıcıların self servis isteği için kullanabileceği bir pazarlama kampanyası için kaynak paketi oluşturmanız istendi. İstekler onay gerektirmez ve kullanıcının erişiminin süresi 30 gün sonra dolar. Bu öğreticide, pazarlama kampanyası kaynakları yalnızca tek bir grubun üyeliğidir, ancak bir grup, uygulama veya SharePoint Online sitesi koleksiyonu olabilir.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Kaynak olarak bir grupla erişim paketi oluşturma
- Dizininizdeki bir kullanıcının erişim istemesine izin verme
- bir iç kullanıcının erişim paketini nasıl isteyebileceğini gösterme
İlk erişim paketinizi oluşturma da dahil olmak üzere Microsoft Entra yetkilendirme yönetimi dağıtma işleminin adım adım tanıtımı için aşağıdaki videoyu izleyin:
Bu makalenin geri kalanında yetkilendirme yönetimini yapılandırmak ve göstermek için Microsoft Entra yönetim merkezi kullanılır.
Önkoşullar
Yetkilendirme yönetimini kullanmak için aşağıdaki lisanslardan birine sahip olmanız gerekir:
- Microsoft Entra Id P2 veya Microsoft Entra Kimlik Yönetimi
- Enterprise Mobility + Security (EMS) E5 lisansı
Daha fazla bilgi için bkz . Lisans gereksinimleri.
1. Adım: Kullanıcıları ve grubu ayarlama
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Kaynak dizininde paylaşacak bir veya daha fazla kaynak vardır. Bu adımda, Woodgrove Bank dizininde yetkilendirme yönetimi için hedef kaynak olan Pazarlama kaynakları adlı bir grup oluşturursunuz. Ayrıca bir iç istek sahibi de ayarlarsınız.
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.
İki kullanıcı oluşturun. Aşağıdaki adları veya farklı adları kullanın.
Veri Akışı Adı Dizin rolü Yönetici1 En azından bir Kimlik İdaresi Yöneticisi. Bu kullanıcı, şu anda oturum açtığınız kullanıcı olabilir. İstek Sahibi1 User Üyelik türü Atanan olan Pazarlama kaynakları adlı bir Microsoft Entra güvenlik grubu oluşturun. Bu grup, yetkilendirme yönetimi için hedef kaynaktır. Başlatılacak grup üyelerin boş olması gerekir.
2. Adım: Erişim paketi oluşturma
Erişim paketi, bir ekibin veya projenin ihtiyaç duyduğu ve ilkelerle yönetilen bir kaynak paketidir. Erişim paketleri katalog adı verilen kapsayıcılarda tanımlanır. Bu adımda, Genel kataloğunda bir Pazarlama Kampanyası erişim paketi oluşturursunuz.
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
İpucu
Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog sahibi ve Access paket yöneticisi yer alır.
Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.
Erişim paketleri sayfasında bir erişim paketi açın.
Erişim reddedildi ifadesini görüyorsanız erişim paketini açarken dizininizde bir Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi lisansı bulunduğundan emin olun.
Yeni erişim paketi'ni seçin.
Temel Bilgiler sekmesinde Pazarlama Kampanyası erişim paketi adını ve kampanya için kaynaklara erişim açıklamasını yazın.
Katalog açılan listesini Genel olarak bırakın.
Kaynak rolleri sekmesini açmak için İleri'yi seçin. Bu sekmede, erişim paketine eklenecek kaynakları ve kaynak rolünü seçin. Gruplara, ekiplere, uygulamalara ve SharePoint Online sitelerine erişimi yönetmeyi seçebilirsiniz. Bu senaryoda Gruplar ve Teams'i seçin.
Grupları seçin bölmesinde, daha önce oluşturduğunuz Pazarlama kaynakları grubunu bulun ve seçin.
Varsayılan olarak, Genel kataloğunda grupları görürsünüz. Genel kataloğun dışından bir grup seçtiğinizde, Tümünü gör onay kutusunu işaretlerseniz, genel kataloğa eklenir.
Grubu listeye eklemek için Seç'i seçin.
Rol açılan listesinde Üye'yi seçin. Sahip rolünü seçerseniz, bu rol kullanıcıların diğer üyeleri veya sahipleri eklemesine veya kaldırmasına olanak tanır. Bir kaynak için uygun rolleri seçme hakkında daha fazla bilgi için bkz . Kaynak rolleri ekleme.
Önemli
Erişim paketine eklenen rol atanabilir gruplar, Rollere Atanabilir Alt Türü kullanılarak belirtilir. Daha fazla bilgi için Rol atanabilir grup oluşturma makalesine bakın. Erişim paketi kataloğunda rol atanabilir bir grup mevcut olduğunda, Genel Yönetici rolündeki kullanıcılar, Kimlik İdaresi Yöneticisi rolündeki kullanıcılar ve kataloğun katalog sahipleri de dahil olmak üzere yetkilendirme yönetiminde yönetebilen yönetici kullanıcıların katalogdaki erişim paketlerini denetleyebileceklerini unutmayın. bu gruplara kimlerin eklenebileceğini seçmelerine izin verir. Eklemek istediğiniz rol atanabilir bir grup görmüyorsanız veya ekleyemiyorsanız, bu işlemi gerçekleştirmek için gerekli Microsoft Entra rolüne ve yetkilendirme yönetimi rolüne sahip olduğunuzdan emin olun. Gerekli rollere sahip birinden kaynağı kataloğunuza eklemesini istemeniz gerekebilir. Daha fazla bilgi için bkz . Bir kataloğa kaynak eklemek için gerekli roller.
Not
Dinamik üyelik gruplarını kullanırken sahip dışında başka hiçbir rol görmezsiniz. Bu tasarım gereğidir.
İstekler sekmesini açmak için İleri'yi seçin. İstekler sekmesinde bir istek ilkesi oluşturursunuz. İlke, bir erişim paketine erişmek için kuralları veya korumaları tanımlar. Kaynak dizinindeki belirli bir kullanıcının bu erişim paketini istemesine izin veren bir ilke oluşturursunuz.
Erişim isteğinde bulunabilecek kullanıcılar bölümünde Dizininizdeki kullanıcılar için'i ve ardından Belirli kullanıcılar ve gruplar'ı seçin.
Kullanıcı ve grup ekle'yi seçin.
Kullanıcıları ve grupları seçin bölmesinde, daha önce oluşturduğunuz Requestor1 kullanıcısını seçin.
Kullanıcıyı listeye eklemek için Seç'i seçin.
Ekranı aşağı kaydırarak Onay ve İstekleri etkinleştir bölümlerine gelin.
Onay gerektir seçeneğini Hayır olarak bırakın.
İstekleri etkinleştir için Evet'i seçerek bu erişim paketinin oluşturulduğu anda istenebilmesini sağlayın.
Kuruluşunuz doğrulanmış kimlikleri alacak şekilde ayarlandıysa, istek sahiplerinin doğrulanmış kimlik sağlamasını gerektirecek bir erişim paketi yapılandırma seçeneği vardır. Daha fazla bilgi edinmek için bkz. Yetkilendirme yönetiminde erişim paketi için doğrulanmış kimlik ayarlarını yapılandırma (Önizleme)
İstek sahibi bilgileri sekmesini açmak için İleri'yi seçin.
İstek sahibi bilgileri sekmesinde, istek sahibinden daha fazla bilgi toplamak için sorular sorabilirsiniz. Sorular istek formunda gösterilir ve gerekli veya isteğe bağlı olabilir. Ayrıca, bir çalışanın yöneticisinin kendi adına istekte bulunup bulunamayacağını ve bunu yapması durumunda onay gerekip gerekmediğini belirtebilirsiniz. İlke yöneticilerin bir çalışan adına istekte bulunmalarına izin veriyorsa, yönetici soruları kendi adına değil, çalışan adına yanıtlar. Bu seçenek hakkında daha fazla bilgi için bkz. Diğer kullanıcılar adına erişim paketi isteme (Önizleme). Bu senaryoda, erişim paketi için istek sahibi bilgilerini eklemeniz istenmedi, bu nedenle bu kutuları boş bırakabilirsiniz. Yaşam Döngüsü sekmesini açmak için İleri'yi seçin.
Yaşam Döngüsü sekmesinde, kullanıcının erişim paketine atamasının süresinin ne zaman dolacağını belirtirsiniz. Kullanıcıların atamalarını genişletip genişletemeyeceğini de belirtebilirsiniz. Süre Sonu bölümünde:
- Erişim paketi atamalarının süresinin dolmasına Gün sayısı olarak ayarlayın.
- Atamaların süresinin 30 gün sonra dolmasına ayarlayın.
- Kullanıcılar belirli bir zaman çizelgesi isteğinde bulunabilir varsayılan değeri olan Evet'i bırakın.
- Erişim gözden geçirmeleri gerektir seçeneğini Hayır olarak ayarlayın.
Özel uzantılar adımını atlayın.
Gözden Geçir + Oluştur sekmesini açmak için İleri'yi seçin.
Gözden Geçir + Oluştur sekmesinde Oluştur'u seçin. Birkaç dakika sonra erişim paketinin başarıyla oluşturulduğuna ilişkin bir bildirim görmeniz gerekir.
Pazarlama Kampanyası erişim paketinin sol menüsünde Genel Bakış'ı seçin.
Erişimim portalı bağlantısını kopyalayın.
Sonraki adım için bu bağlantıyı kullanacaksınız.
3. Adım: Erişim isteme
Bu adımda, iç istek sahibi olarak adımları gerçekleştirir ve erişim paketine erişim isteğinde bulunursunuz. İstek sahipleri, erişim portalı adlı bir siteyi kullanarak isteklerini gönderir. Erişimim portalı, istekte bulunanların erişim paketleri için istek göndermesine, zaten erişimleri olan erişim paketlerini görmesine ve istek geçmişini görüntülemesine olanak tanır. Yeni bir konuk MyAccess'te erişim paketi istediğinde, tercih ettiği dil, istek zamanında MyAccess tarayıcı diline göre damgalanır. Bu, yeni konukların anladıkları dilde e-posta iletişimi almalarını sağlar.
Önkoşul rolü: İç istek sahibi
Microsoft Entra yönetim merkezinde oturumu kapatın.
Yeni bir tarayıcı penceresinde, önceki adımda kopyaladığınız Erişimim portalı bağlantısına gidin.
Erişimim portalında requestor1 olarak oturum açın.
Pazarlama Kampanyası erişim paketini görmeniz gerekir.
İş gerekçesi kutusuna yeni pazarlama kampanyası üzerinde çalıştığım gerekçeyi yazın.
Gönder'i seçin.
soldaki menüde İstek geçmişi'ni seçerek isteğinizin teslim edilmiş olduğunu doğrulayın. Diğer ayrıntılar için Görünüm'ü seçin.
4. Adım: Erişimin atandığını doğrulama
Bu adımda, iç istek sahibine erişim paketi atandığını ve artık Pazarlama kaynakları grubunun bir üyesi olduğunu onaylarsınız.
Erişimim portalında oturumu kapatın.
Microsoft Entra yönetim merkezinde en az Bir Kimlik İdaresi Yöneticisi olan Yönetici1 olarak oturum açın.
İpucu
Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog sahibi ve Access paket yöneticisi yer alır.
Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.
Pazarlama Kampanyası erişim paketini bulun ve seçin.
Soldaki menüde İstekler'i seçin.
Requestor1'i ve Durumu Teslim Edildi olan İlke'yi görmeniz gerekir.
İstek ayrıntılarını görmek için isteği seçin.
Sol gezinti bölmesinde Kimlik'i seçin.
Gruplar'ı seçin ve Pazarlama kaynakları grubunu açın.
Üyeler'i seçin.
Requestor1'in üye olarak listelendiğini görmeniz gerekir.
5. Adım: Kaynakları temizleme
Bu adımda, yaptığınız değişiklikleri kaldırır ve Pazarlama Kampanyası erişim paketini silersiniz.
Microsoft Entra yönetim merkezinde en az bir Kimlik İdaresi Yöneticisi olarak Kimlik İdaresi'ni seçin.
Pazarlama Kampanyası erişim paketini açın.
Atamalar'ı seçin.
İstek Sahibi1 için üç noktayı (...) ve ardından Erişimi kaldır'ı seçin. Görüntülenen iletide Evet'i seçin.
Birkaç dakika sonra, durum Teslim Edildi olan Süresi Doldu olarak değişir.
Kaynak rolleri'ne tıklayın.
Pazarlama kaynakları için üç noktayı (...) ve ardından Kaynak rolünü kaldır'ı seçin. Görüntülenen iletide Evet'i seçin.
Erişim paketleri listesini açın.
Pazarlama Kampanyası için üç noktayı (...) ve ardından Sil'i seçin. Görüntülenen iletide Evet'i seçin.
Kimlik bölümünde, Requestor1 ve Admin1 gibi oluşturduğunuz tüm kullanıcıları silin.
Pazarlama kaynakları grubunu silin.
Sonraki adımlar
Yetkilendirme yönetimindeki yaygın senaryo adımları hakkında bilgi edinmek için sonraki makaleye ilerleyin.