Aracılığıyla paylaş

Yetkilendirme yönetimi sorunlarını giderme

  • Makale

Bu makalede yetkilendirme yönetimi sorunlarını gidermenize yardımcı olması için denetlemeniz gereken bazı öğeler açıklanmaktadır.

Yönetim

  • Yetkilendirme yönetimini yapılandırırken erişim reddedildi iletisi alırsanız ve Genel Yöneticiyseniz, dizininizin Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi (veya EMS E5) lisansına sahip olduğundan emin olun. Son zamanlarda süresi dolmuş bir Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi aboneliğini yenilediyseniz, bu lisans yenilemenin görünür olması 8 saat sürebilir.

  • Kiracınızın Microsoft Entra Id P2 veya Microsoft Entra Kimlik Yönetimi lisansının süresi dolarsa yeni erişim isteklerini işleyemez veya erişim gözden geçirmeleri yapamazsınız.

  • Erişim paketlerini oluştururken veya görüntülerken erişim reddedildi iletisi alırsanız ve Bir Katalog oluşturucu grubunun üyesiyseniz, ilk erişim paketinizi oluşturmadan önce bir katalog oluşturmanız gerekir.

Kaynaklar

  • Uygulamalar için roller uygulamanın kendisi tarafından tanımlanır ve Microsoft Entra Kimliği'nde yönetilir. Bir uygulamanın kaynak rolü yoksa, yetkilendirme yönetimi kullanıcıları Varsayılan Erişim rolüne atar.

    Microsoft Entra yönetim merkezi, uygulama olarak seçilmeyecek hizmetler için hizmet sorumlularını da gösterebilir. Özellikle, Exchange Online ve SharePoint Online , dizinde kaynak rolleri olan uygulamalar değil hizmetlerdir, bu nedenle erişim paketine eklenemezler. Bunun yerine, bu hizmetlere erişmesi gereken bir kullanıcı için uygun bir lisans oluşturmak için grup tabanlı lisanslama kullanın.

  • Kimlik doğrulaması için yalnızca Kişisel Microsoft Hesabı kullanıcılarını destekleyen ve dizininizdeki kuruluş hesaplarını desteklemeyen uygulamalar, uygulama rollerine sahip değildir ve paket kataloglarına erişmek için eklenemez.

  • Bir grubun erişim paketindeki bir kaynak olması için, Grubun Microsoft Entra Id'de değiştirilebilir olması gerekir. Bir şirket içi Active Directory kaynağı olan gruplar, sahip veya üye öznitelikleri Microsoft Entra Kimliği'nde değiştirilemediğinden kaynak olarak atanamaz. Exchange Online'dan Dağıtım grupları olarak gelen gruplar da Microsoft Entra Kimliği'nde değiştirilemez.

  • SharePoint Online belge kitaplıkları ve tek tek belgeler kaynak olarak eklenemez. Bunun yerine, bir Microsoft Entra güvenlik grubu oluşturun, bu grubu ve site rolünü erişim paketine ekleyin ve SharePoint Online'da belge kitaplığına veya belgeye erişimi denetlemek için bu grubu kullanın.

  • Erişim paketiyle yönetmek istediğiniz bir kaynağa zaten atanmış kullanıcılar varsa, kullanıcıların erişim paketine uygun bir ilkeyle atandığından emin olun. Örneğin, zaten grupta kullanıcıları olan bir erişim paketine bir grup eklemek isteyebilirsiniz. Gruptaki kullanıcıların sürekli erişime ihtiyacı varsa, gruba erişimini kaybetmemeleri için erişim paketleri için uygun bir ilkeye sahip olmaları gerekir. Erişim paketini, kullanıcılardan bu kaynağı içeren erişim paketini istemelerini isteyerek veya doğrudan erişim paketine atayarak atayabilirsiniz. Daha fazla bilgi için bkz . Erişim paketi için istek ve onay ayarlarını değiştirme.

  • Ekibin bir üyesini kaldırdığınızda, bu kişiler De Microsoft 365 Grubundan kaldırılır. Ekibin sohbet işlevselliğinden kaldırma işlemi gecikebilir. Daha fazla bilgi için bkz . Grup üyeliği.

Erişim paketleri

  • Bir erişim paketini veya ilkeyi silmeye çalışırsanız ve etkin atamalar olduğunu belirten bir hata iletisi görürseniz, atamaları olan herhangi bir kullanıcı görmüyorsanız, son silinen kullanıcıların hala atamaları olup olmadığını denetleyin. Kullanıcı silindikten sonraki 30 günlük süre boyunca kullanıcı hesabı geri yüklenebilir.

Dış kullanıcılar

  • Dış kullanıcı erişim paketine erişim isteğinde bulunmak istediğinde, erişim paketi için Erişimim portalı bağlantısını kullandığından emin olun. Daha fazla bilgi için bkz . Erişim paketi istemek için bağlantıyı paylaşma. Dış kullanıcı yalnızca myaccess.microsoft.com ziyaret ederse ve Tam Erişim portalım bağlantısını kullanmıyorsa, kuruluşunuzda değil kendi kuruluşunda bu kullanıcılara sağlanan erişim paketlerini görür.

  • Dış kullanıcı bir erişim paketine erişim isteğinde bulunamıyorsa veya kaynaklara erişemiyorsa, dış kullanıcılar için ayarlarınızı kontrol edin.

  • Dizininizde daha önce oturum açmamış yeni bir dış kullanıcı SharePoint Online sitesi de dahil olmak üzere bir erişim paketi alırsa, hesabı SharePoint Online'da sağlanana kadar erişim paketi tam olarak teslim edilmemiş olarak görünür. Paylaşım ayarları hakkında daha fazla bilgi için bkz . SharePoint Online dış paylaşım ayarlarınızı gözden geçirme.

Istek

  • Bir kullanıcı erişim paketine erişim isteğinde bulunmak istediğinde, erişim paketi için Erişim portalım bağlantısını kullandığından emin olun. Daha fazla bilgi için bkz . Erişim paketi istemek için bağlantıyı paylaşma.

  • Tarayıcınız özel veya gizli moda ayarlanmış bir şekilde Erişimim portalını açarsanız, bu durum oturum açma davranışıyla çakışabilir. Erişimim portalını ziyaret ettiğinizde tarayıcınız için özel veya gizli modu kullanmamanızı öneririz.

  • Henüz dizininizde olmayan bir kullanıcı erişim paketi istemek için Erişimim portalında oturum açtığında, kuruluş hesabını kullanarak kimlik doğrulamasından geçtiğinden emin olun. Kuruluş hesabı, kaynak dizinindeki bir hesap veya erişim paketinin ilkelerinden birinde yer alan bir dizin olabilir. Kullanıcının hesabı bir kuruluş hesabı değilse veya kimlik doğrulaması yaptığı dizin ilkeye dahil değilse, kullanıcı erişim paketini görmez. Daha fazla bilgi için bkz . Erişim paketine erişim isteme.

  • Bir kullanıcının kaynak dizininde oturum açması engellenirse, Erişimim portalında erişim isteğinde bulunamaz. Kullanıcının erişim isteğinde bulunabilmesi için önce kullanıcının profilinden oturum açma bloğunu kaldırmanız gerekir. Oturum açma bloğunu kaldırmak için Microsoft Entra yönetim merkezinde Kimlik'i, Kullanıcılar'ı, kullanıcıyı ve ardından Profil'i seçin. Ayarlar bölümünü düzenleyin ve Oturum açmayı engelle seçeneğini Hayır olarak değiştirin. Daha fazla bilgi için bkz . Microsoft Entra Id kullanarak kullanıcının profil bilgilerini ekleme veya güncelleştirme. Ayrıca kullanıcının Microsoft Entra Kimlik Koruması risk algılamaları nedeniyle engellenip engellenmediğini de de de kontrol edebilirsiniz.

  • Erişimim portalında, bir kullanıcı hem istek sahibi hem de onaylayansa, erişim paketi isteğini Onaylar sayfasında görmez. Bu davranış kasıtlı olarak yapılır. Kullanıcı kendi isteğini onaylayamaz. İstekte bulundukları erişim paketinin ilkede yapılandırılmış ek onaylayanları olduğundan emin olun. Daha fazla bilgi için bkz . Erişim paketi için istek ve onay ayarlarını değiştirme.

İsteğin teslim hatalarını görüntüleme

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    Bahşiş

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibi, Access paket yöneticisi ve Access paket atama yöneticisidir.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  3. İstekler'i seçin.

  4. Görüntülemek istediğiniz isteği seçin.

    İstekte herhangi bir teslim hatası varsa, istek durumu Teslim Edilmedi veya Kısmen teslim edildi olur.

    Herhangi bir teslim hatası varsa, isteğin ayrıntı bölmesinde teslim hataları sayısı görüntülenir.

  5. İsteğin teslim hatalarının tümünü görmek için sayıyı seçin.

İsteği yeniden işleme

Erişim paketi yeniden işleme isteğini tetikledikten sonra bir hata oluşursa, sistem isteği yeniden işlemeye devam ederken beklemeniz gerekir. Sistem birkaç saat boyunca yeniden işlemeyi birden çok kez dener, bu nedenle bu süre boyunca yeniden işlemeye zorlayamazsınız.

Yalnızca Teslim başarısız veya Kısmen teslim edildi durumuna ve bir haftadan kısa bir tamamlanma tarihine sahip bir isteği yeniden işleyebilirsiniz. Aksi takdirde yeniden işleme düğmesi gri görünür.

Yeniden işleme düğmesi gri gösterildi

  • Denemeler penceresi sırasında hata düzeltilirse istek durumu Teslim Etme olarak değişir. İstek, kullanıcıdan daha fazla işlem yapmadan yeniden işleme alır.

  • Denemeler penceresi sırasında hata düzeltilmediyse, istek durumu Teslim başarısız oldu veya kısmen teslim edildi olabilir. Daha sonra yeniden işleme düğmesini kullanabilirsiniz. İsteği yeniden işlemek için yedi gününüz var.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    Bahşiş

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibi, Access paket yöneticisi ve Access paket atama yöneticisidir.

  2. Erişim paketini açmak için Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  3. İstekler'i seçin.

  4. Yeniden işlemek istediğiniz isteği seçin.

  5. İstek ayrıntıları bölmesinde İsteği yeniden işle'yi seçin.

    Başarısız bir isteği yeniden işleme

Bekleyen isteği iptal etme

Yalnızca henüz teslim edilmemiş veya teslimi başarısız olan bekleyen bir isteği iptal edebilirsiniz. İptal düğmesi aksi takdirde gri görünür.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    Bahşiş

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibi, Access paket yöneticisi ve Access paket atama yöneticisidir.

  2. Erişim paketini açmak için Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  3. İstekler'i seçin.

  4. İptal etmek istediğiniz isteği seçin.

  5. İstek ayrıntıları bölmesinde İsteği iptal et'i seçin.

Otomatik atama ilkeleri

  • Her otomatik atama ilkesi, kuralı kapsamında en fazla 5000 kullanıcı içerebilir. Kural kapsamındaki diğer kullanıcılara erişim atanamayabilir.

Birden çok ilke

  • Yetkilendirme yönetimi en az ayrıcalık en iyi yöntemlerini izler. Kullanıcı, geçerli birden çok ilkesi olan bir erişim paketine erişim istediğinde, yetkilendirme yönetimi genel ilkelere göre daha katı veya daha belirli ilkelerin önceliklendirildiğinden emin olmak için mantık içerir. İlke genelse, yetkilendirme yönetimi ilkeyi istek sahibine görüntülemeyebilir veya otomatik olarak daha katı bir ilke seçebilir.

  • Örneğin, dizindeki kullanıcılar için iki ilke içeren ve her iki ilkenin de istek sahibi için geçerli olduğu bir erişim paketi düşünün. İlk ilke, istek sahibini içeren belirli kullanıcılar içindir. İkinci ilke, dizindeki tüm kullanıcılar içindir. Bu senaryoda, daha katı olduğundan istek sahibi için ilk ilke otomatik olarak seçilir. İstek sahibine ikinci ilkeyi seçme seçeneği verilmez.

  • Birden çok ilke uygulandığında, otomatik olarak seçilen ilke veya istek sahibine görüntülenen ilkeler aşağıdaki öncelik mantığını temel alır:

    İlke önceliği Kapsam
    P1 Dizininizdeki belirli kullanıcılar ve gruplar VEYA Belirli bağlı kuruluşlar
    P2 Dizininizdeki tüm üyeler (konuklar hariç)
    P3 Dizininizdeki tüm kullanıcılar (konuklar dahil) VEYA Belirli bağlı kuruluşlar
    P4 Yapılandırılmış tüm bağlı kuruluşlar VEYA Tüm kullanıcılar (tüm bağlı kuruluşlar + yeni dış kullanıcılar)

    Herhangi bir ilke daha yüksek öncelikli bir kategorideyse, düşük öncelikli kategoriler yoksayılır. İstek sahibine aynı önceliğe sahip birden çok ilkenin nasıl görüntülendiğine ilişkin bir örnek için bkz . İlke seçme.

Sonraki adımlar