Aracılığıyla paylaş

Yetkilendirme yönetiminde bağlı kuruluşları yönetme

Yetkilendirme yönetimi ile kuruluşunuzun dışındaki kişilerle işbirliği yapabilirsiniz. Belirli dış kuruluşlardan birçok kullanıcıyla sık sık işbirliği yaparsanız, bu kuruluşun kimlik kaynaklarını bağlı kuruluşlar olarak ekleyebilirsiniz. Bağlı bir kuruluşa sahip olmak, bu kuruluşlardan daha fazla kişinin erişim isteme şeklini basitleştirir. Bu makalede, kuruluşunuz dışındaki kullanıcıların dizininizdeki kaynakları istemesine izin vermek için bağlı bir kuruluşun nasıl ekleneceği açıklanır.

Bağlı kuruluş nedir?

Bağlı kuruluş, ilişki içinde olduğunuz başka bir kuruluşdur. Bu kuruluştaki kullanıcıların SharePoint Online siteleriniz veya uygulamalarınız gibi kaynaklarınıza erişebilmesi için söz konusu kuruluş kullanıcılarının bu dizinde bir gösterimine sahip olmanız gerekir. Çoğu durumda söz konusu kuruluştaki kullanıcılar zaten Microsoft Entra dizininizde olmadığından, yetkilendirme yönetimini kullanarak gerektiğinde bunları Microsoft Entra dizininize getirebilirsiniz.

Herkesin erişim istemesi için bir yol sağlamak istiyorsanız ve bu yeni kullanıcıların hangi kuruluşlardan olabileceğinden emin değilseniz, dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi yapılandırabilirsiniz. Bu ilkede Tüm kullanıcılar (Tüm bağlı kuruluşlar + yeni dış kullanıcılar) seçeneğini belirleyin. İstek sahibi onaylanırsa ve dizininizdeki bağlı bir kuruluşa ait değilse, bunlar için otomatik olarak bağlı bir kuruluş oluşturulur.

Yalnızca belirlenen kuruluşlardan kişilerin erişim istemesine izin vermek istiyorsanız, önce bu bağlı kuruluşları oluşturun. İkincisi, dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi yapılandırın, Belirli bağlı kuruluşlar seçeneğini belirleyin ve oluşturduğunuz kuruluşları seçin.

Yetkilendirme yönetiminin bağlı bir kuruluş oluşturan kullanıcıları belirtmenize olanak tanıyan dört yolu vardır. Şu olabilir:

  • başka bir Microsoft Entra dizinindeki kullanıcılar (herhangi bir Microsoft bulutundan),
  • Başka bir Microsoft dışı dizindeki ve SAML/WS-Fed kimlik sağlayıcısı (IdP) federasyonu için yapılandırılmış kullanıcılar,
  • Microsoft dışı bir dizinde bulunan ve tamamı aynı etki alanı adını paylaşan, özellikle o kuruluşa ait e-posta adresine sahip kullanıcılar veya
  • Microsoft Hesabı olan kullanıcılar, örneğin etki alanı live.com gibi, ortak bir kuruluşa sahip olmayan kullanıcılarla işbirliği yapma ihtiyacınız olduğunda.

Örneğin, Woodgrove Bank'ta çalıştığınızı ve iki dış kuruluşla işbirliği yapmak istediğinizi varsayalım. Her iki dış kuruluştan kullanıcılara aynı kaynaklara erişim vermek istiyorsunuz, ancak bu iki kuruluşun farklı yapılandırmaları var:

  • Contoso henüz Microsoft Entra Kimliğini kullanmaz. Contoso kullanıcılarının contoso.com ile biten bir e-posta adresi vardır.
  • Grafik Tasarım Enstitüsü, Microsoft Entra Id kullanır ve kullanıcılarından en az bazılarının graphicdesigninstitute.com ile biten bir kullanıcı asıl adı vardır.

Bu durumda, bağlı iki kuruluşu ve ardından bir ilkeyle bir erişim paketini yapılandırabilirsiniz.

  1. E-posta tek seferlik geçiş kodu (OTP) kimlik doğrulamasının etkin olduğundan emin olun; böylece, henüz Microsoft Entra dizinlerinin parçası olmayan ve bu etki alanlarından gelen kullanıcılar, kaynaklarınıza erişim talep ederken veya daha sonra erişim sağlarken e-posta tek seferlik geçiş kodu kullanarak kimliklerini doğrulayabilirler. Ayrıca, dış kullanıcılara erişim izni vermek için Microsoft Entra B2B dış işbirliği ayarlarınızı yapılandırmanız gerekebilir.
  2. Contoso için bağlı bir kuruluş oluşturun. Bu etki alanı contoso.com olarak belirlendiğinde, yetkilendirme yönetimi, bu etki alanıyla ilişkili mevcut bir Microsoft Entra kiracısı olmadığını, ve contoso.com e-posta adresi etki alanıyla tek seferlik bir e-posta geçici kodu ile kimlik doğrulaması yapıldığında, bu bağlantılı kuruluştan kullanıcıların tanınacağını belirler.
  3. Grafik Tasarım Enstitüsü için başka bir bağlı kuruluş oluşturun. Etki alanı graphicdesigninstitute.com belirttiğinizde, yetkilendirme yönetimi bu etki alanıyla ilişkilendirilmiş bir kiracı olduğunu tanır.
  4. Dış kullanıcıların istemesine izin veren bir katalogda bir erişim paketi oluşturun.
  5. Bu erişim paketinde henüz dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi oluşturun. Bu ilkede Belirli bağlı kuruluşlar seçeneğini belirleyin ve bağlı iki kuruluşu belirtin. Bu, bağlı kuruluşlardan biriyle eşleşen bir kimlik kaynağına sahip her kuruluştan kullanıcıların erişim paketini istemesine olanak tanır.
  6. etki alanı contoso.com olan kullanıcı asıl adına sahip dış kullanıcılar erişim paketini istediğinde, e-posta kullanarak kimlik doğrulaması yaparlar. Bu e-posta etki alanı Contoso'ya bağlı kuruluşla eşleşir ve kullanıcının paketi istemesine izin verilir. İstekten sonra, dış kullanıcılar için erişimin nasıl çalıştığını, B2B kullanıcısının nasıl davet edildiğini ve dış kullanıcıya erişimin nasıl atandığını açıklar.
  7. Ayrıca, Grafik Tasarım Enstitüsü kiracısından bir kuruluş hesabı kullanan dış kullanıcılar Grafik Tasarım Enstitüsü'ne bağlı kuruluşla eşleşebilir ve erişim paketini istemelerine izin verilir. Grafik Tasarım Enstitüsü, Microsoft Entra ID kullandığı için, Grafik Tasarım Enstitüsü kiracısına eklenen başka bir doğrulanmış etki alanıyla eşleşen birincil adı olan tüm kullanıcılar (örneğin graphicdesigninstitute.example), aynı politikayı kullanarak erişim paketleri isteyebilir.

Örnekteki bağlı kuruluşların ve bunların bir atama ilkesiyle ve kiracıyla ilişkilerinin diyagramı.

Microsoft Entra dizinindeki veya etki alanındaki kullanıcıların kimlik doğrulaması, kimlik doğrulama türüne bağlıdır. Bağlı kuruluşlar için kimlik doğrulama türleri şunlardır:

Bağlı bir kuruluşun nasıl ekleneceğini gösteren bir tanıtım için aşağıdaki videoyu izleyin:

Bağlı kuruluşların listesini görüntüleme

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

  2. Kimlik İdaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.

  3. Arama kutusunda, bağlı kuruluşun adını kullanarak bağlı bir kuruluşu arayabilirsiniz. Ancak, bir alan adı için arama yapamazsınız.

Bağlı kuruluş ekleme

Dış Microsoft Entra dizinini veya etki alanını bağlı bir kuruluş olarak eklemek için bu bölümdeki yönergeleri izleyin.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

  2. Kimlik İdaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.

  3. Bağlı kuruluşlar sayfasında Bağlı kuruluş ekle'yi seçin.

  4. Temel Bilgiler sekmesini seçin ve kuruluş için bir görünen ad ve açıklama girin.

  5. Yeni bir bağlı kuruluş oluşturduğunuzda durum otomatik olarak Yapılandırıldı olarak ayarlanır. Bağlı bir kuruluşun durum özelliği hakkında daha fazla bilgi için bkz. Bağlı kuruluşların durum özelliği

  6. Dizin + etki alanı sekmesini seçin ve ardından Dizin + etki alanı ekle'yi seçin.

    Ardından Dizinleri seçin + etki alanları bölmesi açılır.

  7. Microsoft Entra dizinini veya etki alanını aramak için arama kutusuna bir etki alanı adı girin. Ayrıca, herhangi bir Microsoft Entra diziniyle ilişkilendirilmeyen etki alanları da ekleyebilirsiniz. Etki alanı adının tamamını girdiğinizden emin olun.

  8. Kuruluş adlarının ve kimlik doğrulama türlerinin doğru olduğunu onaylayın. MyAccess portalına erişebilmeden önce kullanıcının oturum açması, kuruluşunun kimlik doğrulama türüne bağlıdır. Bağlı bir kuruluşun kimlik doğrulama türü Microsoft Entra Id ise, söz konusu kuruluşun dizininde hesabı olan ve bu Microsoft Entra dizininin doğrulanmış etki alanına sahip tüm kullanıcılar kendi dizinlerinde oturum açar ve bu bağlı kuruluşa izin veren paketlere erişim isteyebilir. Kimlik doğrulama türü Tek seferlik geçiş koduysa, bu, yalnızca bu etki alanından e-posta adresleri olan kullanıcıların MyAccess portalını ziyaret etmesine olanak tanır. Geçiş koduyla kimlik doğrulaması yaptıktan sonra kullanıcı bir istekte bulunabilir.

    Not

    Bazı etki alanlarından erişim, Microsoft Entra'nın işten işe (B2B) izin verme veya reddetme listesi tarafından engellenebilir. Ayrıca, Microsoft Entra kimlik doğrulaması için yapılandırılmış bağlı bir kuruluşla aynı etki alanına sahip bir e-posta adresine sahip olan ancak bu Microsoft Entra dizininde kimlik doğrulaması yapmayan kullanıcılar, bu bağlı kuruluşun parçası olarak tanınmaz. Daha fazla bilgi için bkz . Belirli kuruluşların B2B kullanıcılarına yönelik davetlere izin verme veya davetleri engelleme.

  9. Microsoft Entra dizinini veya etki alanını eklemek için Ekle'yi seçin. Birden çok Microsoft Entra dizini ve etki alanı ekleyebilirsiniz.

  10. Microsoft Entra dizinlerini veya etki alanlarını ekledikten sonra Seç'i seçin.

    Kuruluşlar listede görünür.

  11. Sponsorlar sekmesini seçin ve ardından bu bağlı kuruluş için isteğe bağlı sponsorlar ekleyin.

    Sponsorlar, bu bağlı kuruluşla ilişkinin iletişim noktası olan, zaten dizininizde bulunan iç veya dış kullanıcılardır. İç sponsorlar dizininizdeki üye kullanıcılardır. Dış sponsorlar, daha önce davet edilmiş ve zaten dizininizde olan bağlı kuruluştaki konuk kullanıcılardır. Bu bağlı kuruluştaki kullanıcılar bu erişim paketine erişim istediğinde sponsorlar onaylayan olarak kullanılabilir. Dizininize konuk kullanıcı davet etme hakkında bilgi için Microsoft Entra B2B iş birliği kullanıcıları ekleme bölümüne bakın.

    Ekle/Kaldır'ı seçtiğinizde, iç veya dış sponsorları seçebileceğiniz bir bölme açılır. Bölmede dizininizdeki kullanıcıların ve grupların filtrelenmemiş bir listesi görüntülenir.

    Sponsorlar bölmesi

  12. Gözden geçir ve oluştur sekmesini seçin, kuruluş ayarlarınızı gözden geçirin ve ardından Oluştur'u seçin.

Bağlı bir kuruluşu güncelleştirme

Bağlı kuruluş farklı bir etki alanına dönüşürse, kuruluşun adı değişirse veya sponsorları değiştirmek istiyorsanız, bu bölümdeki yönergeleri izleyerek bağlı kuruluşu güncelleştirebilirsiniz.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

  2. Kimlik İdaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.

  3. Bağlı kuruluşlar sayfasında, güncelleştirmek istediğiniz bağlı kuruluşu seçin.

  4. Bağlı kuruluşun genel bakış bölmesinde Düzenle'yi seçerek kuruluş adını, açıklamasını veya durumunu değiştirin.

  5. Dizin + etki alanı bölmesinde Dizini güncelleştir + etki alanını seçerek farklı bir dizine veya etki alanına geçin.

  6. Sponsorlar bölmesinde dahili sponsor ekle'yi veya Dış sponsor ekle'yi seçerek kullanıcıyı sponsor olarak ekleyin. Sponsoru kaldırmak için sponsoru seçin ve sağ bölmede Sil'i seçin.

Bağlı kuruluşu silme

Dış Microsoft Entra dizini veya etki alanıyla artık bir ilişkiniz yoksa veya artık önerilen bir bağlı kuruluşa sahip olmak istemiyorsanız, bağlı kuruluşu silebilirsiniz.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

  2. Kimlik İdaresi>Yetkilendirme yönetimi>Bağlı kuruluşlar'a göz atın.

  3. Bağlı kuruluşlar sayfasında, silmek istediğiniz bağlı kuruluşu seçerek açın.

  4. Bağlı kuruluşun genel bakış bölmesinde Sil'i seçerek silin.

    Bağlı kuruluş Sil düğmesi

Bağlı bir kuruluşu program aracılığıyla yönetme

Ayrıca Microsoft Graph kullanarak bağlı kuruluşlar oluşturabilir, listeleyebilir, güncelleştirebilir ve silebilirsiniz. Temsil edilmiş EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya uygun rolde bir kullanıcı, API'yi çağırarak connectedOrganization nesnelerini yönetebilir ve bunlar için sponsorlar ayarlayabilir.

Microsoft PowerShell aracılığıyla bağlı kuruluşları yönetme

PowerShell'de bağlı kuruluşları, Kimlik İdaresi modülü sürüm 1.16.0 veya sonraki bir sürümdeki Microsoft Graph PowerShell cmdlet'leri ile de yönetebilirsiniz.

Aşağıdaki betik, bağlı kuruluşların tümünü almak için Graph profilinin v1.0 sürümünü kullanmayı göstermektedir. Döndürülen her bağlı kuruluş, o bağlı kuruluşun dizinleri ve etki alanlarından oluşan bir identitySources listesi içerir.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Bağlı kuruluşların devlet mülkiyeti

Yetkilendirme yönetiminde bağlı kuruluşlar için yapılandırılmış ve önerilen iki farklı durum vardır:

  • Yapılandırılmış bağlı kuruluş, söz konusu kuruluştaki kullanıcıların paketlere erişmesine izin veren tam işlevsel bir bağlı kuruluşdur. Bir yönetici Microsoft Entra yönetim merkezinde yeni bir bağlı kuruluş oluşturduğunda , yönetici bu bağlı kuruluşu oluşturduğundan ve kullanmak istediğinden varsayılan olarak yapılandırılmış durumda olur. Ayrıca, bağlı bir kuruluş API aracılığıyla program aracılığıyla oluşturulduğunda, açıkça başka bir duruma ayarlanmadığı sürece varsayılan durum yapılandırılmalıdır.

    Yapılandırılmış bağlı kuruluşlar, bağlı kuruluşlar için seçicilerde gösterilir ve "yapılandırılmış tüm bağlı kuruluşları" hedefleyen tüm ilkelerin kapsamına alınır.

  • Önerilen bağlı kuruluş, otomatik olarak oluşturulmuş, ancak bir yöneticinin kuruluş oluşturması veya onaylaması yapılmamış bağlı bir kuruluştur. Kullanıcı, yapılandırılmış bir bağlı kuruluşun dışındaki bir erişim paketine kaydolduğunda, otomatik olarak oluşturulan bağlı kuruluşlar, kiracıda herhangi bir yönetici bu ortaklığı kurmadığı için önerilen durumdadır.

    Önerilen bağlı kuruluşlar, herhangi bir ilkede "yapılandırılmış tüm bağlı kuruluşlar" ayarının kapsamında değildir, ancak yalnızca belirli kuruluşları hedefleyen ilkeler için ilkelerde kullanılabilir.

Yalnızca yapılandırılmış bağlı kuruluşlara ait kullanıcılar, yapılandırılmış tüm kuruluşlardan kullanıcılara sağlanan erişim paketleri isteyebilir. Önerilen bağlı kuruluşlardan gelen kullanıcılar, bu etki alanı için bağlı bir kuruluş yokmuş gibi bir deneyim yaşarlar; yalnızca kendi belirli kuruluşlarına veya herhangi bir kullanıcıya atanan erişim paketlerini görebilir ve isteyebilirler. Kiracınızda "yapılandırılmış tüm bağlı kuruluşlara" izin veren ilkeleriniz varsa, sosyal kimlik sağlayıcıları için önerilen bağlı kuruluşları yapılandırılana dönüştürmediğinizden emin olun.

Not

Bu yeni özelliğin kullanıma sunulma bir parçası olarak, 09.09.20'ye kadar oluşturulan tüm bağlı kuruluşlar yapılandırılmış olarak kabul edildi. Herhangi bir kuruluştan kullanıcıların kaydolmasına izin veren bir erişim paketiniz varsa, yapılandırıldığı gibi bunların hiçbirinin yanlış kategorilere ayrılmadığından emin olmak için bu tarihten önce oluşturulmuş bağlı kuruluşlar listenizi gözden geçirmeniz gerekir. Özellikle, yapılandırılmış tüm bağlı kuruluşların kullanıcıları için onay gerektirmeyen atama ilkeleri varsa sosyal kimlik sağlayıcıları yapılandırılmış olarak belirtilmemelidir. Bir yönetici State özelliğini uygun şekilde güncelleştirebilir. Yönergeler için Bağlı bir kuruluşu güncelleştirme bölümüne bakın.

Not

Bazı durumlarda, bir kullanıcı bir sosyal kimlik sağlayıcısından kişisel hesabını kullanarak bir erişim paketi isteyebilir; burada hesabın e-posta adresi, Microsoft Entra kiracısına karşılık gelen mevcut bir bağlı kuruluşla aynı etki alanına sahiptir. Bu kullanıcı onaylanırsa, bu etki alanını temsil eden yeni bir önerilen bağlı kuruluşla sonuçlanır. Bu durumda, kullanıcının yeniden erişim istemek yerine kuruluş hesabını kullandığından emin olun. Portal, yapılandırılmış bağlı kuruluş Microsoft Entra kiracısından gelen bu kullanıcıyı tanımlar.

Sonraki adımlar