Yetkilendirme yönetiminde kaynak kataloğu oluşturma ve yönetme
Bu makalede, yetkilendirme yönetiminde kaynak ve erişim paketleri kataloğu oluşturma ve yönetme işlemleri gösterilmektedir.
Katalog oluşturma
Katalog, kaynakların ve erişim paketlerinin kapsayıcısıdır. İlgili kaynakları gruplandırmak ve paketlere erişmek istediğinizde bir katalog oluşturursunuz. Bir yönetici katalog oluşturabilir. Ayrıca, katalog oluşturucu rolüne temsilci atanan bir kullanıcı, sahip olduğu kaynaklar için bir katalog oluşturabilir. Kataloğu oluşturan yönetici olmayan bir kişi, ilk katalog sahibi olur. Katalog sahibi katalog sahibi olarak daha fazla kullanıcı, kullanıcı grubu veya uygulama hizmeti sorumlusu ekleyebilir.
Katalog oluşturmak için:
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
İpucu
Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog oluşturucusu yer alır. Kullanıcı Yöneticisi rolüne atanan kullanıcılar artık sahip olmadığı bir katalogda katalog oluşturamaz veya erişim paketlerini yönetemez. Kuruluşunuzdaki kullanıcılara yetkilendirme yönetiminde katalogları, erişim paketlerini veya ilkeleri yapılandırmak için Kullanıcı Yöneticisi rolü atanmışsa, bunun yerine bu kullanıcılara Kimlik İdaresi Yöneticisi rolünü atamanız gerekir.
Kimlik idaresi>Yetkilendirme yönetimi>Katalogları'na göz atın.
Yeni katalog'a tıklayın.
Katalog için benzersiz bir ad girin ve bir açıklama girin.
Kullanıcılar bu bilgileri bir erişim paketinin ayrıntılarında görür.
Bu katalogdaki erişim paketlerinin, kullanıcıların oluşturuldukları anda istekte bulunabilecekleri şekilde kullanılabilmesini istiyorsanız, Etkin'i Evet olarak ayarlayın.
Bağlı kuruluşların dış dizinlerindeki kullanıcıların bu katalogda erişim paketleri isteyebilmesine izin vermek istiyorsanız, Dış kullanıcılar için etkin seçeneğini Evet olarak ayarlayın. Erişim paketleri, bağlı kuruluşlardaki kullanıcıların istekte bulunmasına olanak sağlayan bir ilkeye de sahip olmalıdır. Bu katalogdaki erişim paketleri yalnızca dizinde bulunan kullanıcılara yönelikse, Dış kullanıcılar için etkin seçeneğini Hayır olarak ayarlayın.
Kataloğu oluşturmak için Oluştur'u seçin.
Program aracılığıyla katalog oluşturma
Program aracılığıyla katalog oluşturmanın iki yolu vardır.
Microsoft Graph ile katalog oluşturma
Microsoft Graph kullanarak katalog oluşturabilirsiniz. Temsilci EntitlementManagement.ReadWrite.All
iznine sahip bir uygulamaya veya uygulama iznine sahip bir uygulamaya sahip uygun roldeki EntitlementManagement.ReadWrite.All
bir kullanıcı, katalog oluşturmak için API'yi çağırabilir.
PowerShell ile katalog oluşturma
Ayrıca, Kimlik İdaresi modülü sürüm 2.2.0 veya üzeri için Microsoft Graph PowerShell cmdlet'leri cmdlet'iyle New-MgEntitlementManagementCatalog
PowerShell'de bir katalog oluşturabilirsiniz.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
Kataloğa kaynak ekleme
Kaynakları bir erişim paketine eklemek için kaynakların bir katalogda mevcut olması gerekir. Kataloğa ekleyebileceğiniz kaynak türleri gruplar, uygulamalar ve SharePoint Online siteleridir.
Gruplar bulut Microsoft 365 Grupları veya bulut tarafından oluşturulan Microsoft Entra güvenlik grupları olabilir.
Bir şirket içi Active Directory kaynağı olan gruplar, sahip veya üye öznitelikleri Microsoft Entra Kimliği'nde değiştirilemediğinden kaynak olarak atanamaz. Bir kullanıcıya AD güvenlik grubu üyeliklerini kullanan bir uygulamaya erişim vermek için Microsoft Entra ID'de yeni bir güvenlik grubu oluşturun, AD'ye grup geri yazmayı yapılandırın ve bu grubun AD'ye yazılabilmesini sağlayın; böylece bulut tarafından oluşturulan grup AD tabanlı bir uygulama tarafından kullanılabilir.
Exchange Online'dan Dağıtım grupları olarak gelen gruplar da Microsoft Entra Kimliği'nde değiştirilemez, bu nedenle kataloglara eklenemezler.
Uygulamalar, hizmet olarak yazılım (SaaS) uygulamaları, şirket içi uygulamalar ve Microsoft Entra ID ile tümleşik kendi uygulamalarınızı içeren Microsoft Entra kurumsal uygulamaları olabilir.
Uygulamanız henüz Microsoft Entra ID ile tümleştirilmemişse bkz . Ortamınızdaki uygulamalar için erişimi yönetme ve bir uygulamayı Microsoft Entra ID ile tümleştirme ve uygulamayı kataloğa eklemeden önce dizininize ekleme.
Birden çok rolü olan uygulamalar için uygun kaynakları seçme hakkında daha fazla bilgi için bkz . Erişim paketine hangi kaynak rollerinin dahilleneceğini belirleme.
Siteler, SharePoint Online siteleri veya SharePoint Online site koleksiyonları olabilir.
Not
Arama kutusu büyük/küçük harfe duyarlı olduğundan, SharePoint Sitesi'nde site adına veya tam URL'ye göre arama yapın.
Önkoşul rolleri: Bkz. Bir kataloğa kaynak eklemek için gerekli roller.
Bir kataloğa kaynak eklemek için:
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Kimlik idaresi>Yetkilendirme yönetimi>Katalogları'na göz atın.
Kataloglar sayfasında, kaynak eklemek istediğiniz kataloğu açın.
Soldaki menüde Kaynaklar'ı seçin.
Kaynak ekle'yi seçin.
Gruplar ve Teams, Uygulamalar veya SharePoint siteleri kaynak türünü seçin.
Eklemek istediğiniz kaynağı görmüyorsanız veya kaynak ekleyemiyorsanız, gerekli Microsoft Entra dizin rolüne ve yetkilendirme yönetimi rolüne sahip olduğunuzdan emin olun. Gerekli rollere sahip birinin kaynağı kataloğunuza eklemesini isteyebilirsiniz. Daha fazla bilgi için bkz . Bir kataloğa kaynak eklemek için gerekli roller.
Kataloğa eklemek istediğiniz türde bir veya daha fazla kaynak seçin.
bitirdiğinizde Ekle'yi seçin.
Bu kaynaklar artık katalog içindeki erişim paketlerine eklenebilir.
Katalogda kaynak öznitelikleri ekleme
Öznitelikler, istek sahiplerinden erişim isteklerini göndermeden önce yanıtlamaları istenen gerekli alanlardır. Bu özniteliklere yönelik yanıtları onaylayanlara gösterilir ve ayrıca Microsoft Entra Id'deki kullanıcı nesnesine damgalanır.
Not
Bir kaynakta ayarlanan tüm öznitelikler, bu kaynağı içeren bir erişim paketi isteği gönderilmeden önce bir yanıt gerektirir. İstek sahipleri yanıt vermezse istekleri işlenmez.
Erişim istekleri için öznitelikler gerektirmek için:
Soldaki menüden Kaynaklar'ı seçtiğinizde katalogdaki kaynakların listesi görüntülenir.
Öznitelik eklemek istediğiniz kaynağın yanındaki üç noktayı seçin ve ardından Öznitelik gerektir'i seçin.
Öznitelik türünü seçin:
- Yerleşik , Microsoft Entra kullanıcı profili özniteliklerini içerir.
- Dizin şeması uzantısı , Microsoft Entra kullanıcılarında daha fazla veri depolamak için bir yol sağlar. Uzantı özniteliği oluşturarak şemayı genişletebilirsiniz. Kullanıcı nesnelerindeki bu uzantı öznitelikleri, sağlama veya çoklu oturum açma sırasında uygulamalara talep göndermek için kullanılabilir.
Yerleşik'i seçtiyseniz, açılan listeden bir öznitelik seçin. Dizin şeması uzantısını seçtiyseniz, metin kutusuna öznitelik adını girin.
Not
User.mobilePhone özniteliği, yalnızca bazı yöneticiler tarafından güncelleştirilebilen hassas bir özelliktir. Daha fazla bilgi için bkz . Hassas kullanıcı özniteliklerini kimler güncelleştirebilir?.
İstekte bulunanların yanıt için kullanmasını istediğiniz yanıt biçimini seçin. Yanıt biçimleri kısa metin, çoktan seçmeli ve uzun metindir.
Birden çok seçenek seçerseniz, yanıt seçeneklerini yapılandırmak için Düzenle ve yerelleştir'i seçin.
- Görüntülenen Soruyu görüntüle/düzenle bölmesinde, yanıt değerleri kutularına soruyu yanıtlarken istek sahibine vermek istediğiniz yanıt seçeneklerini girin.
- Yanıt seçeneğinin dilini seçin. Daha fazla dil seçerseniz yanıt seçeneklerini yerelleştirebilirsiniz.
- İhtiyacınız olan sayıda yanıt girin ve Kaydet'i seçin.
Öznitelik değerinin doğrudan atamalar ve self servis istekleri sırasında düzenlenebilir olmasını istiyorsanız Evet'i seçin.
Not
- Öznitelik değeri düzenlenebilir kutusunda Hayır'ı seçerseniz ve öznitelik değeri boşsa, kullanıcılar bu özniteliğin değerini girebilir. Kaydettikten sonra değer düzenlenemez.
- Öznitelik değeri düzenlenebilir kutusunda Hayır'ı seçerseniz ve öznitelik değeri boş değilse, kullanıcılar doğrudan atamalar ve self servis istekleri sırasında önceden var olan değeri düzenleyemez.
Yerelleştirme eklemek istiyorsanız Yerelleştirme ekle'yi seçin.
Soru için yerelleştirmeler ekle bölmesinde, seçili öznitelikle ilgili soruyu yerelleştirmek istediğiniz dilin dil kodunu seçin.
Yapılandırdığınız dilde, soruyu Yerelleştirilmiş Metin kutusuna girin.
İhtiyacınız olan tüm yerelleştirmeleri ekledikten sonra Kaydet'i seçin.
Öznitelik gerektir sayfasında tüm öznitelik bilgileri tamamlandıktan sonra Kaydet'i seçin.
Multi-Geo SharePoint sitesi ekleme
SharePoint için Multi-Geo etkinse, siteleri seçmek istediğiniz ortamı seçin.
Ardından kataloğa eklenmesini istediğiniz siteleri seçin.
Bir kataloğa program aracılığıyla kaynak ekleme
Microsoft Graph'ı kullanarak da kataloğa kaynak ekleyebilirsiniz. Temsilci iznine sahip bir uygulamaya sahip EntitlementManagement.ReadWrite.All
uygun roldeki bir kullanıcı veya katalog ve kaynak sahibi, resourceRequest oluşturmak için API'yi çağırabilir. Uygulama iznine EntitlementManagement.ReadWrite.All
ve gibi Group.ReadWrite.All
kaynakları değiştirme izinlerine sahip bir uygulama da kataloğa kaynak ekleyebilir.
PowerShell ile kataloğa kaynak ekleme
Ayrıca, Kimlik İdaresi modülü sürüm 2.1.x veya üzeri modül sürümünden Microsoft Graph PowerShell cmdlet'leri cmdlet'iyle New-MgEntitlementManagementResourceRequest
PowerShell'de bir kataloğa kaynak ekleyebilirsiniz. Aşağıdaki örnekte, Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0 kullanılarak bir kataloğa kaynak olarak bir grubun nasıl ekleneceği gösterilmektedir.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
Katalogdan kaynakları kaldırma
Kaynakları katalogdan kaldırabilirsiniz. Bir kaynak katalogdan kaldırılabilmesi için kataloğun erişim paketlerinden hiçbirinde kullanılmaması gerekir.
Önkoşul rolleri: Bkz. Bir kataloğa kaynak eklemek için gerekli roller.
Katalogdan kaynakları kaldırmak için:
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
Kimlik idaresi>Yetkilendirme yönetimi>Katalogları'na göz atın.
Kataloglar sayfasında, kaynakları kaldırmak istediğiniz kataloğu açın.
Soldaki menüde Kaynaklar'ı seçin.
Kaldırmak istediğiniz kaynakları seçin.
Kaldır seçeneğini belirleyin. İsteğe bağlı olarak üç noktayı (...) ve ardından Kaynağı kaldır'ı seçin.
Daha fazla katalog sahibi ekleme
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Katalog oluşturan kullanıcı, ilk katalog sahibi olur. Bir kataloğun yönetimine temsilci seçmek için kullanıcıları katalog sahibi rolüne ekleyin. Daha fazla katalog sahibi eklemek, katalog yönetimi sorumluluklarını paylaşmaya yardımcı olur.
Bir kullanıcıyı katalog sahibi rolüne atamak için:
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
İpucu
Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibidir.
Kimlik idaresi>Yetkilendirme yönetimi>Katalogları'na göz atın.
Kataloglar sayfasında, yönetici eklemek istediğiniz kataloğu açın.
Sol menüde Roller ve yöneticiler'i seçin.
Bu rollerin üyelerini seçmek için Sahip ekle'yi seçin.
Bu üyeleri eklemek için Seç'i seçin.
Kataloğu düzenleme
Kataloğun adını ve açıklamasını düzenleyebilirsiniz. Kullanıcılar bu bilgileri bir erişim paketinin ayrıntılarında görür.
Kataloğu düzenlemek için:
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
İpucu
Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog oluşturucusu yer alır.
Kimlik idaresi>Yetkilendirme yönetimi>Katalogları'na göz atın.
Kataloglar sayfasında, düzenlemek istediğiniz kataloğu açın.
Kataloğun Genel Bakış sayfasında Düzenle'yi seçin.
Kataloğun adını, açıklamasını veya etkin ayarlarını düzenleyin.
Kaydet'i seçin.
Kataloğu silme
Kataloğu silebilirsiniz, ancak yalnızca herhangi bir erişim paketi yoksa.
Kataloğu silmek için:
Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.
İpucu
Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri arasında Katalog oluşturucusu yer alır.
Kimlik idaresi>Yetkilendirme yönetimi>Katalogları'na göz atın.
Kataloglar sayfasında, silmek istediğiniz kataloğu açın.
Kataloğun Genel Bakış sayfasında Sil'i seçin.
Görüntülenen ileti kutusunda Evet'i seçin.
Kataloğu program aracılığıyla silme
Microsoft Graph'i kullanarak da kataloğu silebilirsiniz. Temsilci EntitlementManagement.ReadWrite.All
iznine sahip bir uygulamaya sahip uygun roldeki bir kullanıcı, accessPackageCatalog'u silmek için API'yi çağırabilir.