Bir uygulamanın mevcut kullanıcılarını yönetme - Microsoft PowerShell

Uygulamayı erişim gözden geçirmeleri gibi bir Microsoft Entra Kimlik Yönetimi özelliğiyle kullanmadan önce Microsoft Entra Id'yi bir uygulamanın mevcut kullanıcılarıyla doldurmanın gerekli olduğu üç yaygın senaryo vardır.

Lisans gereksinimleri

Bu özelliğin kullanılması için Microsoft Entra Kimlik Yönetimi lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz. lisanslamayla ilgili temel bilgileri Microsoft Entra Kimlik Yönetimi.

Uygulama kendi kimlik sağlayıcısını kullanıldıktan sonra Microsoft Entra Id'ye geçirildi

İlk senaryoda, uygulama ortamda zaten var. Daha önce uygulama, hangi kullanıcıların erişimi olduğunu izlemek için kendi kimlik sağlayıcısını veya veri deposunu kullanıyordu.

Uygulamayı Microsoft Entra Id'ye bağlı olacak şekilde değiştirdiğinizde, yalnızca Microsoft Entra Id'de bulunan ve bu uygulamaya erişim izni olan kullanıcılar bu uygulamaya erişebilir. Bu yapılandırma değişikliğinin bir parçası olarak, mevcut kullanıcıları bu uygulamanın veri deposundan Microsoft Entra Id'ye getirmeyi seçebilirsiniz. Daha sonra bu kullanıcılar Microsoft Entra Id aracılığıyla erişime sahip olur.

Microsoft Entra Id ile temsil edilen uygulamayla ilişkilendirilmiş kullanıcıların olması, uygulamayla ilişkileri başka bir yerden kaynaklanıyor olsa bile, Microsoft Entra Id'nin uygulamaya erişimi olan kullanıcıları izlemesini sağlar. Örneğin, ilişki bir uygulamanın veritabanından veya dizininden kaynaklanıyor olabilir.

Microsoft Entra Id kullanıcının atamasını fark ettikten sonra uygulamanın veri deposuna güncelleştirmeler gönderebilir. Güncelleştirmeler kullanıcının özniteliklerinin ne zaman değiştirildiğini veya kullanıcının uygulama kapsamının dışına çıktığını içerir.

Tek kimlik sağlayıcısı olarak Microsoft Entra Id kullanmayan uygulama

İkinci senaryoda, bir uygulama yalnızca kimlik sağlayıcısı olarak Microsoft Entra Id'yi kullanmaz.

Bazı durumlarda, bir uygulama AD gruplarına bağımlı olabilir. Bu senaryo, Kullanıcıların uygulamaya erişiminin erişim gözden geçirilmesi için hazırlanma bölümünde B Düzeni'nde açıklanmıştır. Bu makalede açıklandığı gibi söz konusu uygulama için sağlamayı yapılandırmanız gerekmez, bunun yerine AD gruplarının üyeliğini gözden geçirmeyle ilgili bu makaledeki Desen B yönergelerini izleyin.

Diğer durumlarda, bir uygulama birden çok kimlik sağlayıcısını destekleyebileceğinden veya kendi yerleşik kimlik bilgisi depolama alanına sahip olabilir. Bu senaryo, kullanıcıların uygulamaya erişiminin erişim gözden geçirilmesi için hazırlanma bölümünde Desen C olarak açıklanmıştır.

Uygulamadan diğer kimlik sağlayıcılarını veya yerel kimlik bilgileri kimlik doğrulamasını kaldırmak mümkün olmayabilir. Bu durumda, söz konusu uygulamaya kimlerin erişimi olduğunu gözden geçirmek veya bir kişinin bu uygulamadan erişimini kaldırmak için Microsoft Entra Id kullanmak istiyorsanız, Kimlik doğrulaması için Microsoft Entra Id'ye güvenmeyen uygulama kullanıcılarını temsil eden Microsoft Entra Id'de atamalar oluşturmanız gerekir.

Erişim gözden geçirmesinin bir parçası olarak uygulamaya erişimi olan tüm kullanıcıları gözden geçirmeyi planlıyorsanız, bu atamalara sahip olmak gereklidir.

Örneğin, bir kullanıcının uygulamanın veri deposunda olduğunu varsayalım. Microsoft Entra Id, uygulamaya rol atamaları gerektirecek şekilde yapılandırılmıştır. Ancak kullanıcının Microsoft Entra Id'de bir uygulama rolü ataması yoktur.

Kullanıcı Microsoft Entra Id ile güncelleştirildiyse uygulamaya hiçbir değişiklik gönderilmez. Uygulamanın rol atamaları gözden geçirilirse, kullanıcı incelemeye dahil edilmeyecektir. Tüm kullanıcıların incelemeye dahil edilmesi için, uygulamanın tüm kullanıcıları için uygulama rolü atamalarının olması gerekir.

Uygulama, kimlik sağlayıcısı olarak Microsoft Entra Id kullanmaz veya sağlamayı desteklemez

Bazı eski uygulamalarda, diğer kimlik sağlayıcılarını veya yerel kimlik bilgileri kimlik doğrulamasını uygulamadan kaldırmak veya bu uygulamalar için sağlama protokolleri desteğini etkinleştirmek mümkün olmayabilir.

Sağlama protokollerini desteklemeyen bir uygulamanın senaryosu, sağlamayı desteklemeyen bir uygulamanın mevcut kullanıcılarını yönetme adlı ayrı bir makalede ele alınmıştır.

Terminoloji

Bu makalede, Microsoft Graph PowerShell cmdlet'lerini kullanarak uygulama rolü atamalarını yönetme işlemi gösterilmektedir. Aşağıdaki Microsoft Graph terminolojisini kullanır.

Microsoft Entra Id'de hizmet sorumlusu (ServicePrincipal), belirli bir kuruluşun dizinindeki bir uygulamayı temsil eder. ServicePrincipalgibi bir uygulamanın desteklediği Marketing specialistrolleri listeleyen adlı AppRoles bir özelliği vardır. AppRoleAssignment bir kullanıcıyı hizmet sorumlusuna bağlar ve kullanıcının bu uygulamada hangi rolü olduğunu belirtir. Uygulamada çoklu oturum açma ve uygulamaya sağlama ayrı olarak işlenirse, bir uygulamanın birden fazla hizmet sorumlusu olabilir.

Kullanıcılara uygulamaya sınırlı süreyle erişim vermek için Microsoft Entra yetkilendirme yönetimi erişim paketlerini de kullanıyor olabilirsiniz. Yetkilendirme yönetiminde, AccessPackage birden çok hizmet sorumlusuna ait olabilecek bir veya daha fazla kaynak rolü içerir. AccessPackage ayrıca erişim paketine kullanıcılar için atamaları (Assignment) vardır.

Bir kullanıcı için erişim paketine atama oluşturduğunuzda, Microsoft Entra yetkilendirme yönetimi erişim paketindeki her uygulamanın hizmet sorumlusuna kullanıcı için gerekli AppRoleAssignment örnekleri otomatik olarak oluşturur. Daha fazla bilgi için PowerShell aracılığıyla erişim paketleri oluşturma hakkında Microsoft Entra yetkilendirme yönetimindeki kaynaklara erişimi yönetme öğreticisine bakın.

Başlamadan önce

• Kiracınızda aşağıdaki lisanslardan birine sahip olmanız gerekir:

  • Microsoft Entra Id P2 veya Microsoft Entra Kimlik Yönetimi
  • Enterprise Mobility + Security E5 lisansı

• Uygun bir yönetim rolüne sahip olmanız gerekir. Bu adımları ilk kez gerçekleştiriyorsanız, kiracınızda Microsoft Graph PowerShell kullanımını yetkilendirmek için Genel Yönetici istrator rolüne ihtiyacınız vardır.

• Uygulamanızın kiracınızda en az bir hizmet sorumlusu olması gerekir:

  • Uygulama bir LDAP dizini kullanıyorsa Microsoft Entra Bağlan Sağlama Aracısı paketini indirmek, yüklemek ve yapılandırmak için bölümü aracılığıyla kullanıcıları LDAP dizinlerine sağlamak üzere Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.
  • Uygulama bir SQL veritabanı kullanıyorsa, Microsoft Entra Bağlan Sağlama Aracısı paketini indirmek, yüklemek ve yapılandırmak için bölümünden kullanıcıları SQL tabanlı uygulamalara sağlamak için Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.
  • Uygulama SAP Cloud Identity Services kullanıyorsa veya SCIM protokollerini destekleyen bir bulut uygulamasıysa ve uygulama kiracınızda henüz yapılandırılmamışsa, bu kılavuzun ilerleyen bölümlerinde uygulamayı uygulama galerisinden kaydedersiniz.
  • Uygulama şirket içindeyse ve SCIM protokollerini destekliyorsa, kullanıcıları şirket içi SCIM tabanlı uygulamalara sağlamak için Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.

Bir uygulamadan mevcut kullanıcıları toplama

Tüm kullanıcıların Microsoft Entra Id'ye kaydedilmesini sağlamanın ilk adımı, uygulamaya erişimi olan mevcut kullanıcıların listesini toplamaktır.

Bazı uygulamaların, veri deposundan geçerli kullanıcıların listesini dışarı aktarmak için yerleşik bir komutu olabilir. Diğer durumlarda, uygulama bir dış dizine veya veritabanına bağımlı olabilir.

Bazı ortamlarda uygulama, Microsoft Entra Id'ye erişimi yönetmek için uygun olmayan bir ağ kesiminde veya sistemde bulunabilir. Bu nedenle, bu dizinden veya veritabanından kullanıcı listesini ayıklamanız ve microsoft Entra etkileşimleri için kullanılabilecek başka bir sisteme dosya olarak aktarmanız gerekebilir.

Bu bölümde, virgülle ayrılmış değerler (CSV) dosyasındaki kullanıcıların listesini almaya yönelik dört yaklaşım açıklanmaktadır:

• LDAP dizininden
• SQL Server veritabanından
• Başka bir SQL tabanlı veritabanından
• SAP Cloud Identity Services'dan

LDAP dizini kullanan bir uygulamadan mevcut kullanıcıları toplama

Bu bölüm, Microsoft Entra Id kimlik doğrulaması yapmayan kullanıcılar için temel veri deposu olarak LDAP dizini kullanan uygulamalar için geçerlidir. Active Directory gibi birçok LDAP dizini, kullanıcı listesinin çıkışını veren bir komut içerir.

1. Bu dizindeki kullanıcıların hangilerinin uygulamanın kullanıcısı olma kapsamında olduğunu belirleyin. Bu seçim, uygulamanızın yapılandırmasına bağlıdır. Bazı uygulamalar için LDAP dizininde bulunan tüm kullanıcılar geçerli bir kullanıcıdır. Diğer uygulamalar, kullanıcının belirli bir özniteliğe sahip olmasını veya bu dizindeki bir grubun üyesi olmasını gerektirebilir.

2. Dizininizden bu kullanıcı alt kümesini alan komutu çalıştırın. Çıkışın, Microsoft Entra Id ile eşleştirmek için kullanılacak kullanıcıların özniteliklerini içerdiğinden emin olun. Bu özniteliklere örnek olarak çalışan kimliği, hesap adı ve e-posta adresi verilebilir.

   Örneğin, bu komut geçerli dosya sistemi dizininde LDAP dizinindeki her kişinin özniteliğine sahip userPrincipalName bir CSV dosyası oluşturur:

   $out_filename = ".\users.csv"
   csvde -f $out_filename -l userPrincipalName,cn -r "(objectclass=person)"
   

3. Gerekirse, kullanıcı listesini içeren CSV dosyasını Microsoft Graph PowerShell cmdlet'lerinin yüklü olduğu bir sisteme aktarın.

4. Bu makalenin devamında yer alan Microsoft Entra Id'nin uygulamadaki kullanıcılarla eşleşen kullanıcılara sahip olduğunu onaylayın bölümünde okumaya devam edin.

SQL Server sihirbazını kullanarak uygulamanın veritabanı tablosundan mevcut kullanıcıları toplama

Bu bölüm, temel alınan veri deposu olarak SQL Server kullanan uygulamalar için geçerlidir.

İlk olarak, tablolardan kullanıcıların listesini alın. Çoğu veritabanı, tabloların içeriğini csv dosyası gibi standart bir dosya biçiminde dışarı aktarmanın bir yolunu sağlar. Uygulama bir SQL Server veritabanı kullanıyorsa, veritabanının bölümlerini dışarı aktarmak için SQL Server İçeri ve Dışarı Aktarma Sihirbazı'nı kullanabilirsiniz. Veritabanınız için bir yardımcı programınız yoksa, sonraki bölümde açıklandığı gibi PowerShell ile ODBC sürücüsünü kullanabilirsiniz.

1. SQL Server'ın yüklü olduğu sistemde oturum açın.
2. SQL Server 2019 İçeri ve Dışarı Aktarma (64 bit) veya veritabanınızın eşdeğerini açın.
3. Kaynak olarak mevcut veritabanını seçin.
4. Hedef olarak Düz Dosya Hedefi'ni seçin. Bir dosya adı girin ve Kod sayfası değerini 65001 (UTF-8) olarak değiştirin.
5. Sihirbazı tamamlayın ve hemen çalıştırma seçeneğini belirleyin.
6. Yürütmenin bitmesini bekleyin.
7. Gerekirse, kullanıcı listesini içeren CSV dosyasını Microsoft Graph PowerShell cmdlet'lerinin yüklü olduğu bir sisteme aktarın.
8. Bu makalenin devamında yer alan Microsoft Entra Id'nin uygulamadaki kullanıcılarla eşleşen kullanıcılara sahip olduğunu onaylayın bölümünde okumaya devam edin.

PowerShell kullanarak bir uygulamanın veritabanı tablosundan mevcut kullanıcıları toplama

Bu bölüm, kullanıcıları bu uygulamaya sağlamak için ECMA Bağlan veya Ana Bilgisayarı kullandığınız temel veri deposu olarak başka bir SQL veritabanı kullanan uygulamalar için geçerlidir. Sağlama aracısını henüz yapılandırmadıysanız, bu bölümde kullanacağınız DSN bağlantı dosyasını oluşturmak için bu kılavuzu kullanın.

1. Sağlama aracısının yüklü olduğu veya yükleneceği sistemde oturum açın.

2. PowerShell’i açın.

3. Veritabanı sisteminize bağlanmak için bir bağlantı dizesi oluşturma.

   bağlantı dizesi bileşenleri veritabanınızın gereksinimlerine bağlıdır. SQL Server kullanıyorsanız DSN ve bağlantı dizesi anahtar sözcükleri ve öznitelikleri listesine bakın.

   Farklı bir veritabanı kullanıyorsanız, bu veritabanına bağlanmak için zorunlu anahtar sözcükleri eklemeniz gerekir. Örneğin, veritabanınız DSN dosyasının tam yol adını, kullanıcı kimliğini ve parolayı kullanıyorsa, aşağıdaki komutları kullanarak bağlantı dizesi oluşturur:

   $filedsn = "c:\users\administrator\documents\db.dsn"
   $db_cs = "filedsn=" + $filedsn + ";uid=p;pwd=secret"
   

4. Aşağıdaki komutları kullanarak veritabanınıza bir bağlantı açın ve bağlantı dizesi sağlayın:

   $db_conn = New-Object data.odbc.OdbcConnection
   $db_conn.ConnectionString = $db_cs
   $db_conn.Open()
   

5. Kullanıcıları veritabanı tablosundan almak için bir SQL sorgusu oluşturma. Uygulamanın veritabanındaki kullanıcıları Microsoft Entra Id'deki kullanıcılarla eşleştirmek için kullanılacak sütunları eklediğinizden emin olun. Sütunlar çalışan kimliği, hesap adı veya e-posta adresi içerebilir.

   Örneğin, kullanıcılarınız ve emailsütunları name olan adlı USERS bir veritabanı tablosunda tutulursa aşağıdaki komutu girin:

   $db_query = "SELECT name,email from USERS"
   
   

6. Sorguyu veritabanına bağlantı üzerinden gönderin:

   $result = (new-object data.odbc.OdbcCommand($db_query,$db_conn)).ExecuteReader()
   $table = new-object System.Data.DataTable
   $table.Load($result)
   

   Sonuç, sorgudan alınan kullanıcıları temsil eden satırların listesidir.

7. Sonucu bir CSV dosyasına yazın:

   $out_filename = ".\users.csv"
   $table.Rows | Export-Csv -Path $out_filename -NoTypeInformation -Encoding UTF8
   

8. Bu sistemde Microsoft Graph PowerShell cmdlet'leri yüklü değilse veya Microsoft Entra Id bağlantısı yoksa, kullanıcı listesini içeren CSV dosyasını Microsoft Graph PowerShell cmdlet'lerinin yüklü olduğu bir sisteme aktarın.

SAP Cloud Identity Services'dan mevcut kullanıcıları toplama

Bu bölüm, kullanıcı sağlama için temel hizmet olarak SAP Cloud Identity Services kullanan SAP uygulamaları için geçerlidir.

1. SAP Cloud Identity Services Yönetici Konsolunuzda https://<tenantID>.accounts.ondemand.com/admin veya https://<tenantID>.trial-accounts.ondemand.com/admin deneme sürümünde oturum açın.
2. Kullanıcılar ve Yetkilendirmeler > Kullanıcıları Dışarı Aktar'a gidin.
3. Microsoft Entra kullanıcılarını SAP'deki kullanıcılarla eşleştirmek için gereken tüm öznitelikleri seçin. Bu, SAP Sistemlerinizde kullanıyor olabileceğiniz , userName, emailsve diğer öznitelikleri içerirSCIM ID.
4. Dışarı Aktar'ı seçin ve tarayıcının CSV dosyasını indirmesini bekleyin.
5. Bu sistemde Microsoft Graph PowerShell cmdlet'leri yüklü değilse veya Microsoft Entra Id bağlantısı yoksa, kullanıcı listesini içeren CSV dosyasını Microsoft Graph PowerShell cmdlet'lerinin yüklü olduğu bir sisteme aktarın.

Microsoft Entra Id'de uygulamadaki kullanıcılarla eşleşen kullanıcılar olduğunu onaylayın

Artık uygulamadan elde edilen tüm kullanıcıların listesini edindiğinize göre, uygulamanın veri deposundaki bu kullanıcıları Microsoft Entra ID'deki kullanıcılarla eşleştireceksiniz.

Devam etmeden önce kaynak ve hedef sistemlerdeki eşleşen kullanıcılar hakkındaki bilgileri gözden geçirin. Daha sonra Microsoft Entra sağlamayı eşdeğer eşlemelerle yapılandıracaksınız. Bu adım, Microsoft Entra sağlamanın uygulamanın veri deposunu aynı eşleşen kurallarla sorgulamasına olanak sağlar.

Microsoft Entra Id'de kullanıcıların kimliklerini alma

Bu bölümde, Microsoft Graph PowerShell cmdlet'lerini kullanarak Microsoft Entra ID ile nasıl etkileşim kurulacak gösterilmektedir.

Kuruluşunuz bu senaryo için bu cmdlet'leri ilk kez kullandığında, Microsoft Graph PowerShell'in kiracınızda kullanılmasına izin vermek için Genel Yönetici istrator rolünde olmanız gerekir. Sonraki etkileşimler aşağıdakiler gibi daha düşük ayrıcalıklı bir rol kullanabilir:

• Yeni kullanıcılar oluşturmayı düşünüyorsanız kullanıcı Yönetici istrator.
• Uygulama rolü atamalarını yalnızca yönetiyorsanız, Uygulama Yönetici istrator veya Kimlik İdaresi Yönetici istrator.

1. PowerShell’i açın.

2. Microsoft Graph PowerShell modülleri henüz yüklü değilse, şu komutu kullanarak modülü ve diğerlerini yükleyinMicrosoft.Graph.Users:

   Install-Module Microsoft.Graph
   

   Modülleri zaten yüklediyseniz son sürümü kullandığınızdan emin olun:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Microsoft Entra Id'ye Bağlan:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Bu komutu ilk kez kullanıyorsanız, Microsoft Graph Komut Satırı araçlarının bu izinlere sahip olmasını onaylamanız gerekebilir.

5. Uygulamanın veri deposundan edinilen kullanıcıların listesini PowerShell oturumuna okuyun. Kullanıcı listesi bir CSV dosyasındaysa PowerShell cmdlet'ini Import-Csv kullanabilir ve önceki bölümdeki dosyanın adını bağımsız değişken olarak belirtebilirsiniz.

   Örneğin, SAP Cloud Identity Services'ten alınan dosya Users-exported-from-sap.csv olarak adlandırılmışsa ve geçerli dizinde bulunuyorsa, bu komutu girin.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Veritabanı veya dizin kullanıyorsanız başka bir örnek için, dosya users.csv olarak adlandırılıyorsa ve geçerli dizinde bulunuyorsa şu komutu girin:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. users.csv dosyasının Microsoft Entra Id'deki bir kullanıcının özniteliğiyle eşleşecek sütununu seçin.

   SAP Cloud Identity Services kullanıyorsanız varsayılan eşleme, Microsoft Entra ID özniteliğine sahip SAP SCIM özniteliğidir userNameuserPrincipalName:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Bir veritabanı veya dizin kullanıyorsanız başka bir örnek için, adlı EMail sütundaki değerin Microsoft Entra özniteliğindeki userPrincipalNamedeğerle aynı olduğu bir veritabanında kullanıcılarınız olabilir:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Bu kullanıcıların kimliklerini Microsoft Entra Id'de alın.

   Aşağıdaki PowerShell betiği, daha önce belirtilen , $db_match_column_nameve $azuread_match_attr_name değerlerini kullanır$dbusers. Kaynak dosyadaki her kayıt için eşleşen değere sahip bir özniteliği olan bir kullanıcıyı bulmak için Microsoft Entra Kimliğini sorgular. Dosyada kaynak SAP Cloud Identity Services, veritabanı veya dizinden alınan çok sayıda kullanıcı varsa, bu betiğin tamamlanması birkaç dakika sürebilir. Microsoft Entra ID'de değeri olan bir özniteliğiniz yoksa ve bir veya başka bir contains filtre ifadesi kullanmanız gerekiyorsa, farklı bir filtre ifadesi kullanmak için bu betiği ve aşağıdaki 11. adımda bunu özelleştirmeniz gerekir.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Önceki sorguların sonuçlarını görüntüleyin. HATALAR veya eksik eşleşmeler nedeniyle SAP Cloud Identity Services, veritabanı veya dizindeki kullanıcılardan herhangi birinin Microsoft Entra Id'de bulunamadığını görün.

   Aşağıdaki PowerShell betiği, bulunamamış kayıtların sayısını görüntüler:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Betik tamamlandığında, veri kaynağındaki herhangi bir kayıt Microsoft Entra Kimliği'nde bulunmadıysa bir hata gösterir. Uygulamanın veri deposundaki kullanıcıların tüm kayıtları Microsoft Entra Id'de kullanıcı olarak bulunamıyorsa, hangi kayıtların neden eşleşmediğini araştırmanız gerekir.

   Örneğin, bir kişinin e-posta adresi ve userPrincipalName, ilgili özelliği uygulamanın veri kaynağında güncelleştirilmeden mail Microsoft Entra Kimliği'nde değiştirilmiş olabilir. Ya da kullanıcı kuruluşta zaten ayrılmış olabilir ancak uygulamanın veri kaynağındadır. Ya da uygulamanın veri kaynağında Microsoft Entra Id'deki belirli bir kişiye karşılık olmayan bir satıcı veya süper yönetici hesabı olabilir.

10. Microsoft Entra Id'de bulunamayan veya etkin olmayan ve oturum açamayan kullanıcılar varsa ancak bunların erişiminin gözden geçirilmesini veya özniteliklerinin SAP Cloud Identity Services, veritabanı veya dizinde güncelleştirilmesini istiyorsanız, uygulamayı, eşleşen kuralı güncelleştirmeniz veya onlar için Microsoft Entra kullanıcıları oluşturmanız gerekir. Hangi değişikliğin yapacağı hakkında daha fazla bilgi için bkz . Microsoft Entra Id'deki kullanıcılarla eşleşmeyen uygulamalarda eşlemeleri ve kullanıcı hesaplarını yönetme.

    Microsoft Entra Id'de kullanıcı oluşturma seçeneğini belirlerseniz, aşağıdakilerden birini kullanarak kullanıcıları toplu olarak oluşturabilirsiniz:

    • Microsoft Entra yönetim merkezinde kullanıcıları toplu oluşturma bölümünde açıklandığı gibi bir CSV dosyası
    • New-MgUser cmdlet'i

    Bu yeni kullanıcıların, daha sonra bunları uygulamadaki mevcut kullanıcılarla eşleştirmek için Microsoft Entra Id için gereken özniteliklerle ve ve dahil olmak üzere userPrincipalNamemailNicknamedisplayNameMicrosoft Entra Id için gereken özniteliklerle dolduruldığından emin olun. userPrincipalName dizinindeki tüm kullanıcılar arasında benzersiz olmalıdır.

    Örneğin, adlı EMail sütundaki değerin Microsoft Entra kullanıcı asıl Adı olarak kullanmak istediğiniz değer olduğu, sütundaki değerin Microsoft Entra Id posta takma adını ve sütundaki AliasFull name değerin kullanıcının görünen adını içerdiği bir veritabanında kullanıcılarınız olabilir:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Daha sonra BU betiği kullanarak SAP Cloud Identity Services, veritabanı veya dizinde bulunan ve Microsoft Entra Id'deki kullanıcılarla eşleşmeyen kullanıcılar için Microsoft Entra kullanıcıları oluşturabilirsiniz. Kuruluşunuzda gereken ek Microsoft Entra özniteliklerini eklemek için veya $azuread_match_attr_name bu Microsoft Entra özniteliğini sağlamak için ne ne mailNickname de userPrincipalNameise, bu betiği değiştirmeniz gerekebileceğini unutmayın.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Eksik kullanıcıları Microsoft Entra Id'ye ekledikten sonra 7. adımdaki betiği yeniden çalıştırın. Ardından 8. adımdaki betiği çalıştırın. Hata bildirilmemiş olup olmadığını denetleyin.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Uygulamayı kaydetme

Uygulama Zaten Microsoft Entra Id'de kayıtlıysa sonraki adıma geçin.

• Uygulama bir LDAP dizini kullanıyorsa, Microsoft Entra Id'de şirket içi ECMA uygulaması için yeni bir kayıt oluşturmak üzere kullanıcıları LDAP dizinlerine sağlamak üzere Microsoft Entra Kimliğini yapılandırma kılavuzunu izleyin.
• Uygulama bir SQL veritabanı kullanıyorsa, Microsoft Entra Id'de şirket içi ECMA uygulaması için yeni bir kayıt oluşturmak üzere KULLANıCıLARı SQL tabanlı uygulamalara sağlamak üzere Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.
• SAP Cloud Identity Services kullanıyorsanız, kullanıcıları SAP Cloud Identity Services'e sağlamak için Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.
• SCIM protokollerini destekleyen bir bulut uygulamasıysa, uygulamayı uygulama galerisinden ekleyebilirsiniz.
• Uygulama şirket içindeyse ve SCIM protokollerini destekliyorsa, kullanıcıları şirket içi SCIM tabanlı uygulamalara sağlamak için Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.

Uygulamaya henüz atanmamış kullanıcıları denetleme

Önceki adımlar, uygulamanın veri deposundaki tüm kullanıcıların Microsoft Entra Id'de kullanıcı olarak mevcut olduğunu doğruladı. Ancak, bunların tümü şu anda Microsoft Entra Id'de uygulamanın rollerine atanmayabilir. Bu nedenle, sonraki adımlar hangi kullanıcıların uygulama rollerine atamaları olmadığını görmektir.

1. Uygulamanın hizmet sorumlusu için hizmet sorumlusu kimliğini arayın. Kısa süre önce LDAP dizini veya SQL veritabanı kullanan bir uygulama için hizmet sorumlusu oluşturduysanız, bu hizmet sorumlusunun adını kullanın.

   Örneğin, kurumsal uygulamanın adı CORPDB1ise aşağıdaki komutları girin:

   $azuread_app_name = "CORPDB1"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Microsoft Entra Id'de uygulamaya atamaları olan kullanıcıları alın.

   Bu, önceki komutta $azuread_sp ayarlanan değişkene dayalıdır.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Önceki bölümde yer alan kullanıcı kimliklerinin listesini şu anda uygulamaya atanmış olan kullanıcılarla karşılaştırın:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
   

   Uygulama rollerine, tüm kullanıcıların uygulama rollerine atandığını belirten sıfır kullanıcı atanmazsa, erişim gözden geçirmesi yapmadan önce başka değişiklik yapmanız gerekmez.

   Ancak, şu anda uygulama rollerine bir veya daha fazla kullanıcı atanmamışsa, yordama devam etmeniz ve bunları uygulamanın rollerinden birine eklemeniz gerekir.

4. Kalan kullanıcıları atamak için uygulamanın rolünü seçin.

   Bir uygulamanın birden fazla rolü olabilir ve hizmet sorumlusu ek rollere sahip olabilir. Hizmet sorumlusunun kullanılabilir rollerini listelemek için şu komutu kullanın:

   $azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User"} | ft DisplayName,Id
   

   Listeden uygun rolü seçin ve rol kimliğini alın. Örneğin, rol adı ise Admin, aşağıdaki PowerShell komutlarında bu değeri sağlayın:

   $azuread_app_role_name = "Admin"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq $azuread_app_role_name}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

Uygulama sağlamayı yapılandırma

Uygulamanız LDAP dizini, SQL veritabanı, SAP Cloud Identity Services kullanıyorsa veya SCIM'yi destekliyorsa, yeni atamalar oluşturmadan önce Uygulamaya Microsoft Entra kullanıcılarının sağlanmasını yapılandırın. Atamaları oluşturmadan önce sağlamayı yapılandırmak, Microsoft Entra Id'nin Microsoft Entra ID'deki kullanıcıları uygulamanın veri deposundaki kullanıcılara uygulama rolü atamalarıyla eşleştirmesini sağlar. Uygulamanızın sağlanacak bir şirket içi dizini veya veritabanı varsa ve federasyon SSO'sunu da destekliyorsa, dizininizdeki uygulamayı temsil etmek için iki hizmet sorumlusuna ihtiyacınız olabilir: biri sağlama için, diğeri de SSO için. Uygulamanız sağlamayı desteklemiyorsa sonraki bölümde okumaya devam edin.

1. Uygulamanın kullanıcıların uygulama rolü atamalarına sahip olmasını gerektirecek şekilde yapılandırıldığından emin olun, böylece uygulamaya yalnızca seçili kullanıcılar sağlanacaktır.

2. Uygulama için sağlama yapılandırılmadıysa şimdi yapılandırın (ancak sağlamayı başlatmayın):

   • Uygulama bir LDAP dizini kullanıyorsa, kullanıcıları LDAP dizinlerine sağlamak için Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.
   • Uygulama bir SQL veritabanı kullanıyorsa, kullanıcıları SQL tabanlı uygulamalara sağlamak için Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.
   • Uygulama SAP Cloud Identity Services kullanıyorsa, kullanıcıları SAP Cloud Identity Services'e sağlamak için Microsoft Entra Id'yi yapılandırma kılavuzunu izleyin.
   • Diğer uygulamalar için, Graph API'leri aracılığıyla sağlamayı yapılandırmak için 1-3 arası adımları izleyin.

3. Uygulamanın Özellikler sekmesini denetleyin. Kullanıcı ataması gerekli mi? seçeneğinin Evet olarak ayarlandığını doğrulayın. Hayır olarak ayarlanırsa, dış kimlikler dahil olmak üzere dizininizdeki tüm kullanıcılar uygulamaya erişebilir ve uygulamaya erişimi gözden geçiremezsiniz.

4. Bu uygulamaya sağlama için öznitelik eşlemelerini denetleyin. Önceki bölümlerde eşleştirme için kullandığınız Microsoft Entra özniteliği ve sütunu için Bu özniteliği kullanarak nesneleri eşleştir seçeneğinin ayarlandığından emin olun.

   Bu kurallar daha önce kullandığınız özniteliklerin aynısını kullanmıyorsa, uygulama rolü atamaları oluşturulduğunda Microsoft Entra Kimliği uygulamanın veri deposundaki mevcut kullanıcıları bulamıyor olabilir. Microsoft Entra Id daha sonra yanlışlıkla yinelenen kullanıcılar oluşturabilir.

5. Uygulamanın özniteliğine isSoftDeleted yönelik bir öznitelik eşlemesi olup olmadığını denetleyin.

   Bir kullanıcı uygulamadan atanmadığında, Microsoft Entra Kimliği'nde geçici olarak silindiğinde veya oturum açması engellendiğinde, Microsoft Entra sağlama ile eşlenen isSoftDeletedözniteliği güncelleştirir. Hiçbir öznitelik eşlenmezse, daha sonra uygulama rolünden atanmamış kullanıcılar uygulamanın veri deposunda bulunmaya devam eder.

6. Uygulama için sağlama zaten etkinleştirildiyse, uygulama sağlamanın karantinada olup olmadığını denetleyin. Devam etmeden önce karantinaya neden olan sorunları çözün.

Microsoft Entra Id'de uygulama rolü atamaları oluşturma

Microsoft Entra Id'nin uygulamadaki kullanıcıları Microsoft Entra Id'deki kullanıcılarla eşleştirmesi için Microsoft Entra Id'de uygulama rolü atamaları oluşturmanız gerekir. Her uygulama rolü ataması, bir kullanıcıyı bir hizmet sorumlusunun bir uygulama rolüyle ilişkilendirir.

Bir uygulamaya kullanıcı için Microsoft Entra Id'de bir uygulama rolü ataması oluşturulduğunda ve uygulama sağlamayı desteklediğinde:

• Microsoft Entra Id, kullanıcının zaten var olup olmadığını belirlemek için scim veya onun dizini veya veritabanı aracılığıyla uygulamayı sorgular.
• Microsoft Entra Id'de kullanıcının özniteliklerinde sonraki güncelleştirmeler yapıldığında, Microsoft Entra Id bu güncelleştirmeleri uygulamaya gönderir.
• Kullanıcı, Microsoft Entra Id dışında güncelleştirilmediği sürece veya Microsoft Entra Id'deki atama kaldırılana kadar süresiz olarak uygulamada kalır.
• Bu uygulamanın rol atamalarının bir sonraki erişim gözden geçirmesinde kullanıcı erişim gözden geçirmesine dahil edilecek.
• Erişim gözden geçirmesinde kullanıcı reddedilirse, uygulama rolü ataması kaldırılır. Microsoft Entra Id, uygulamaya kullanıcının oturum açmasının engellendiğini bildirir.

Uygulama sağlamayı desteklemiyorsa

• Kullanıcı, Microsoft Entra Id dışında güncelleştirilmediği sürece veya Microsoft Entra Id'deki atama kaldırılana kadar süresiz olarak uygulamada kalır.
• Bu uygulamanın rol atamalarının bir sonraki gözden geçirmesinde kullanıcı incelemeye dahil edilecek.
• Erişim gözden geçirmesinde kullanıcı reddedilirse, uygulama rolü ataması kaldırılır. Kullanıcı artık Microsoft Entra Id'den uygulamada oturum açamayacaktır.

1. Şu anda rol atamaları olmayan kullanıcılar için uygulama rolü atamaları oluşturun:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id 
   }
   

2. Değişikliklerin Microsoft Entra Id içinde yayılması için bir dakika bekleyin.

Microsoft Entra sağlamanın mevcut kullanıcılarla eşleştiğinden emin olun

1. Güncelleştirilmiş rol atamaları listesini almak için Microsoft Entra Kimliğini sorgula:

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

2. Önceki bölümde yer alan kullanıcı kimliklerinin listesini uygulamaya atanmış kullanıcılarla karşılaştırın:

   $azuread_still_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_still_not_in_role_list += $id }
   }
   $azuread_still_not_in_role_count = $azuread_still_not_in_role_list.Count
   if ($azuread_still_not_in_role_count -gt 0) {
      Write-Output "$azuread_still_not_in_role_count users in the application's data store are not assigned to the application roles."
   }
   

   Uygulama rollerine herhangi bir kullanıcı atanmamışsa, önceki adımlardan bir hata için Microsoft Entra denetim günlüğünü denetleyin.

3. Uygulama hizmet sorumlusu sağlama için yapılandırılmışsa ve hizmet sorumlusu için Sağlama Durumu Kapalı ise, açık duruma getirin. Graph API'lerini kullanarak sağlamayı da başlatabilirsiniz.

4. Kullanıcıları sağlamanın ne kadar süreceğine ilişkin kılavuza bağlı olarak, Microsoft Entra sağlamanın uygulamanın mevcut kullanıcılarını yeni atanan kullanıcılarla eşleştirmesini bekleyin.

5. Tüm kullanıcıların başarıyla eşleştiğinden emin olmak için Portal veya Graph API'leri aracılığıyla sağlama durumunu izleyin.

   Kullanıcıların sağlandığını görmüyorsanız, sağlanan kullanıcı yok için sorun giderme kılavuzuna bakın. Sağlama durumunda bir hata görürseniz ve bir şirket içi uygulamaya sağlama işlemi görüyorsanız, şirket içi uygulama sağlama sorunlarını giderme kılavuzuna bakın.

6. Microsoft Entra yönetim merkezi veya Graph API'leri aracılığıyla sağlama günlüğünü denetleyin. Günlüğü Hata durumuna göre filtreleyin. ErrorCode of DuplicateTargetEntries ile ilgili hatalar varsa, bu, sağlama eşleştirme kurallarınızda bir belirsizlik olduğunu gösterir ve her Microsoft Entra kullanıcısının bir uygulama kullanıcısı ile eşleştiğinden emin olmak için Microsoft Entra kullanıcılarını veya eşleştirme için kullanılan eşlemeleri güncelleştirmeniz gerekir. Ardından günlüğü Oluştur ve Durumu Atlandı eylemine göre filtreleyin. Kullanıcılar NotEffectivelyEntitled SkipReason koduyla atlandıysa, kullanıcı hesabı durumu Devre Dışı olduğundan Microsoft Entra Kimliği'ndeki kullanıcı hesaplarının eşleşmediğini gösterebilir.

Microsoft Entra sağlama hizmeti, oluşturduğunuz uygulama rolü atamalarına göre kullanıcılarla eşleştirildikten sonra, bu kullanıcılarda yapılan sonraki değişiklikler uygulamaya gönderilir.

Uygun gözden geçirenleri seçin

Her erişim gözden geçirmesini oluşturduğunuzda, yöneticiler bir veya daha fazla gözden geçiren seçebilir. Gözden geçirenler, bir kaynağa sürekli erişim için kullanıcıları seçerek veya bunları kaldırarak bir gözden geçirme gerçekleştirebilir.

Genellikle bir kaynak sahibi gözden geçirme gerçekleştirmekle sorumludur. B deseni ile tümleştirilmiş bir uygulamanın erişimini gözden geçirmenin bir parçası olarak bir grubun gözden geçirmesini oluşturuyorsanız, grup sahiplerini gözden geçiren olarak seçebilirsiniz. Microsoft Entra Id'deki uygulamaların mutlaka sahibi olmadığından, uygulama sahibini gözden geçiren olarak seçme seçeneği mümkün değildir. Bunun yerine, gözden geçirmeyi oluştururken, gözden geçirenler olmak üzere uygulama sahiplerinin adlarını sağlayabilirsiniz.

Ayrıca, bir grup veya uygulamanın gözden geçirmesini oluştururken çok aşamalı bir gözden geçirme yapmayı da seçebilirsiniz. Örneğin, atanan her kullanıcının yöneticisinin incelemenin ilk aşamasını, kaynak sahibinin de ikinci aşamayı gerçekleştirmesini seçebilirsiniz. Bu şekilde kaynak sahibi, yöneticisi tarafından onaylanmış kullanıcılara odaklanabilir.

İncelemeleri oluşturmadan önce kiracınızda yeterli Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi SKU lisansına sahip olup olmadığınızı denetleyin. Ayrıca, tüm gözden geçirenlerin e-posta adresleri olan etkin kullanıcılar olup olmadığını denetleyin. Erişim gözden geçirmeleri başladığında, her bir kullanıcı Microsoft Entra Id'den bir e-postayı gözden geçirir. Gözden geçirenin posta kutusu yoksa, gözden geçirme başladığında e-postayı veya e-posta anımsatıcısını almaz. Ayrıca, Microsoft Entra Id'de oturum açabilmeleri engellenirse gözden geçirmeyi gerçekleştiremezler.

Erişim gözden geçirmelerini veya yetkilendirme yönetimini yapılandırma

Kullanıcılar uygulama rollerine girdikten ve gözden geçirenleri belirledikten sonra, erişim gözden geçirmelerini veya yetkilendirme yönetimini kullanarak bu kullanıcıları ve erişime ihtiyacı olacak ek kullanıcıları yönetebilirsiniz.

• Uygulamanın yalnızca tek bir uygulama rolü varsa, uygulama dizininizdeki tek bir hizmet sorumlusu tarafından temsil edilir ve uygulamaya başka hiçbir kullanıcının erişmesi gerekmez, ardından bir erişim gözden geçirmesi kullanarak mevcut erişimi gözden geçirmek ve kaldırmak için sonraki bölümle devam edin.
• Aksi takdirde yetkilendirme yönetimini kullanarak erişimi idare etmek için bu makalenin bölümünden devam edin.

Uygulama rolü atamalarının erişim gözden geçirmesini kullanarak mevcut erişimi gözden geçirme ve kaldırma

Uygulamanın birden çok uygulama rolü varsa, birden çok hizmet sorumlusu tarafından temsil edilirse veya kullanıcıların uygulamaya erişim istemesine veya uygulamaya erişim atamasına yönelik bir işlem yapmak istiyorsanız yetkilendirme yönetimini kullanarak erişimi yönetmek için bu makalenin aşağıdaki bölümünden devam edin.

Artık mevcut kullanıcıların bir uygulama rolüne atamaları olduğuna göre, Microsoft Entra Id'yi bu atamaların gözden geçirilmesini başlatacak şekilde yapılandırabilirsiniz.

1. Bu adım için veya Identity Governance administrator rolünde Global administrator olmanız gerekir.

2. Uygulama rol atamalarının gözden geçirilmesini oluşturmak için gruplar veya uygulamalar için erişim gözden geçirmesi oluşturma kılavuzundaki yönergeleri izleyin. Tamamlandığında sonuçları uygulamak için gözden geçirmeyi yapılandırın. Kimlik İdaresi için Microsoft Graph PowerShell cmdlet'leri modülündeki cmdlet ile New-MgIdentityGovernanceAccessReviewDefinition PowerShell'de erişim gözden geçirmesi oluşturabilirsiniz. Daha fazla bilgi için örneklere bakın.

   Not

   Erişim gözden geçirmesini oluştururken gözden geçirme kararı yardımcılarını etkinleştirirseniz, karar yardımcı önerileri kullanıcının Microsoft Entra Id kullanarak uygulamada en son ne zaman oturum açtığına bağlı olarak 30 günlük aralığı temel alır.

3. Erişim gözden geçirmesi başladığında, gözden geçirenlerden giriş yapmasını isteyin. Varsayılan olarak, her bir kullanıcı Microsoft Entra ID'den uygulamaya erişimi gözden geçirdikleri erişim panelinin bağlantısını içeren bir e-posta alır.

4. İncelemeler başladıktan sonra, erişim gözden geçirmesi tamamlanana kadar ilerleme durumunu izleyebilir ve gerekirse onaylayanları güncelleştirebilirsiniz. Daha sonra, gözden geçirenler tarafından erişimi reddedilen kullanıcıların uygulamadan erişimlerinin kaldırıldığını onaylayabilirsiniz.

5. Gözden geçirme oluşturulduğunda otomatik uygulama seçilmediyse, tamamlandığında gözden geçirme sonuçlarını uygulamanız gerekir.

6. Gözden geçirmenin durumunun Sonuç uygulandı olarak değişmesini bekleyin. Varsa reddedilen kullanıcıların uygulama rolü atamalarının birkaç dakika içinde kaldırılmasını beklemeniz gerekir.

7. Sonuçlar uygulandıktan sonra, Microsoft Entra Id reddedilen kullanıcıların uygulamadan sağlamasını kaldırmaya başlar. Kullanıcıların sağlanmasının ne kadar süreceğine ilişkin yönergelere dayanarak, Microsoft Entra sağlamanın reddedilen kullanıcıların sağlamasını kaldırmaya başlamasını bekleyin. Tüm reddedilen kullanıcıların başarıyla kaldırıldığından emin olmak için Portal veya Graph API'leri aracılığıyla sağlama durumunu izleyin.

   Kullanıcıların sağlamasını kaldırıldığını görmüyorsanız, sağlanan kullanıcı yok için sorun giderme kılavuzuna bakın. Sağlama durumunda bir hata görürseniz ve bir şirket içi uygulamaya sağlama işlemi görüyorsanız, şirket içi uygulama sağlama sorunlarını giderme kılavuzuna bakın.

Artık mevcut erişimin gözden geçirildiğinden emin olan bir temele sahip olduğunuz için, yeni erişim isteklerini etkinleştirmek üzere yetkilendirme yönetimini yapılandırmak için sonraki bölümde devam edebilirsiniz.

Yetkilendirme yönetimini kullanarak erişimi yönetme

Her uygulama rolü için farklı gözden geçirenlere sahip olmak isteme gibi diğer durumlarda, uygulama birden çok hizmet sorumlusu tarafından temsil edilir veya kullanıcıların uygulamaya erişim istemesi veya uygulamaya atanması için bir işlem yapmak isterseniz, Microsoft Entra Id'yi her uygulama rolü için bir erişim paketiyle yapılandırabilirsiniz. Her erişim paketi, bu erişim paketine yapılan atamaların yinelenen gözden geçirilmesi için bir ilkeye sahip olabilir. Erişim paketleri ve ilkeleri oluşturulduktan sonra, mevcut uygulama rolü atamaları olan kullanıcıları erişim paketlerine atayabilirsiniz; böylece atamaları erişim paketi aracılığıyla gözden geçirilebilir.

Bu bölümde, uygulama rolü atamalarını içeren erişim paketi atamalarının gözden geçirilmesi için Microsoft Entra yetkilendirme yönetimini yapılandıracak ve ayrıca kullanıcıların uygulamanızın rollerine erişim isteyebilmesi için ek ilkeler yapılandıracaksınız.

1. Bu adım için veya rolünde Global administrator olmanız veya katalog oluşturucusu ve uygulamanın sahibi olarak temsilci olarak temsilci olmanız Identity Governance administrator gerekir.
2. Uygulama idare senaryonuz için henüz bir kataloğunuz yoksa, Microsoft Entra yetkilendirme yönetiminde bir katalog oluşturun. Her kataloğu oluşturmak için bir PowerShell betiği kullanabilirsiniz.
3. Uygulamayı ve uygulamanın dayandığı tüm Microsoft Entra gruplarını bu katalogdaki kaynaklar olarak ekleyerek kataloğu gerekli kaynaklarla doldurun. Her kaynağı kataloğa eklemek için Bir PowerShell betiği kullanabilirsiniz.
4. Uygulamaların her biri için ve uygulama rollerinin veya gruplarının her biri için, kaynak olarak bu rolü veya grubu içeren bir erişim paketi oluşturun. Bu erişim paketlerini yapılandırmanın bu aşamasında, her erişim paketindeki ilk erişim paketi atama ilkesini doğrudan atama ilkesi olacak şekilde yapılandırın; böylece yalnızca yöneticiler bu ilkeden atama oluşturabilir, varsa mevcut kullanıcılar için erişim gözden geçirme gereksinimlerini ayarlayarak erişimi süresiz olarak tutmalarını sağlayabilir. Çok sayıda erişim paketiniz varsa, katalogdaki her erişim paketini oluşturmak için bir PowerShell betiği kullanabilirsiniz.
5. Her erişim paketi için ilgili roldeki uygulamanın mevcut kullanıcılarını veya bu grubun üyelerini erişim paketine ve doğrudan atama ilkesine atayın. Microsoft Entra yönetim merkezini kullanarak veya Graph veya PowerShell aracılığıyla toplu olarak bir kullanıcıyı doğrudan erişim paketine atayabilirsiniz.
6. Erişim paketi atama ilkelerinde erişim gözden geçirmelerini yapılandırdıysanız, erişim gözden geçirmesi başladığında gözden geçirenlerden giriş vermesini isteyin. Varsayılan olarak, her bir kullanıcı Microsoft Entra ID'den erişim paneli bağlantısını içeren bir e-posta alır ve burada erişim paketi atamalarını gözden geçirir. Gözden geçirme tamamlandıktan sonra, reddedilen kullanıcıların uygulama rolü atamalarının birkaç dakika içinde kaldırılmasını beklemeniz gerekir. Daha sonra Microsoft Entra Id, reddedilen kullanıcıların uygulamadan sağlamasını kaldırmaya başlar. Kullanıcıların sağlanmasının ne kadar süreceğine ilişkin yönergelere dayanarak, Microsoft Entra sağlamanın reddedilen kullanıcıların sağlamasını kaldırmaya başlamasını bekleyin. Tüm reddedilen kullanıcıların başarıyla kaldırıldığından emin olmak için Portal veya Graph API'leri aracılığıyla sağlama durumunu izleyin.
7. Görev ayrımı gereksinimleriniz varsa, erişim paketiniz için uyumsuz erişim paketlerini veya mevcut grupları yapılandırın. Senaryonuz bir görev ayrımı denetimini geçersiz kılma özelliğini gerektiriyorsa, bu geçersiz kılma senaryoları için ek erişim paketleri de ayarlayabilirsiniz.
8. Erişim isteğine henüz erişimi olmayan kullanıcılara izin vermek istiyorsanız, her erişim paketinde kullanıcıların erişim istemesi için ek erişim paketi atama ilkeleri oluşturun. Bu ilkedeki onay ve yinelenen erişim gözden geçirme gereksinimlerini yapılandırın.

Sonraki adımlar

• Kullanıcıların uygulamaya erişiminin erişim gözden geçirmesine hazırlanma
• Microsoft Entra yetkilendirme yönetiminde kaynaklara erişimi yönetme