Microsoft Entra Id'de self servis grup yönetimini ayarlama
Kullanıcıların Microsoft Entra Id'de kendi güvenlik gruplarını veya Microsoft 365 gruplarını oluşturmasını ve yönetmesini sağlayabilirsiniz. Grubun sahibi üyelik isteklerini onaylayabilir veya reddedebilir ve grup üyeliği denetimini temsilci olarak kullanabilir. Posta etkin güvenlik grupları veya dağıtım listeleri için self servis grup yönetimi özellikleri kullanılamaz.
Self servis grup üyeliği
Kullanıcıların paylaşılan kaynaklara erişimi yönetmek için kullanılan güvenlik grupları oluşturmasına izin vekleyebilirsiniz. Kullanıcılar, Azure Active Directory (Azure AD) PowerShell'i kullanarak veya Gruplarım portalından Azure portalında güvenlik grupları oluşturabilir.
Not
Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.
Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.
Yalnızca grubun sahipleri üyeliği güncelleştirebilir, ancak grup sahiplerine Gruplarım portalından üyelik isteklerini onaylama veya reddetme olanağı sağlayabilirsiniz. Self servis tarafından Gruplarım portalı aracılığıyla oluşturulan güvenlik grupları, sahip onaylı veya otomatik onaylanmış olsun tüm kullanıcılara katılabilir. Gruplarım portalında, grubu oluştururken üyelik seçeneklerini değiştirebilirsiniz.
Microsoft 365 grupları, kullanıcılarınız için işbirliği fırsatları sunar. SharePoint, Microsoft Teams ve Planner gibi Microsoft 365 uygulamalarından herhangi birinde grup oluşturabilirsiniz. Microsoft Graph PowerShell'i kullanarak veya Gruplarım portalından Azure portallarında Microsoft 365 grupları da oluşturabilirsiniz. Güvenlik grupları ile Microsoft 365 grupları arasındaki fark hakkında daha fazla bilgi için bkz . Gruplar hakkında bilgi edinin.
'da oluşturulan gruplar | Güvenlik grubu varsayılan davranışı | Microsoft 365 grubu varsayılan davranışı |
---|---|---|
Microsoft Graph PowerShell | Yalnızca sahipler üye ekleyebilir. Görünür ancak MyApp Groups Erişim Paneli katılamaz. |
Tüm kullanıcılar için katılmak üzere açın. |
Azure portalı | Yalnızca sahipler üye ekleyebilir. Gruplarım portalında görünür ancak katılamaz. Sahip, grup oluşturma sırasında otomatik olarak atanmıyor. |
Tüm kullanıcılar için katılmak üzere açın. |
Gruplarım portalı | Kullanıcılar burada grupları yönetebilir ve gruplara katılmak için erişim isteyebilir. Bir grup oluşturulduğunda üyelik seçenekleri değiştirilebilir. |
Tüm kullanıcılar için katılmak üzere açın. Bir grup oluşturulduğunda üyelik seçenekleri değiştirilebilir. |
Self servis grup yönetimi senaryoları
İki senaryo self servis grup yönetimini açıklamaya yardımcı olur.
Temsilcili grup yönetimi
Bu örnek senaryoda yönetici, şirketin kullandığı hizmet olarak yazılım (SaaS) uygulamasına erişimi yönetir. Erişim haklarını yönetmek zahmetli olduğundan yönetici, işletme sahibinden yeni bir grup oluşturmasını ister. Yönetici, uygulama için erişimi yeni gruba atar ve uygulamaya zaten erişen tüm kişileri gruba ekler. Ardından işletme sahibi daha fazla kullanıcı ekleyebilir ve bu kullanıcılar uygulamaya otomatik olarak sağlanır.
İşletme sahibinin, yöneticinin kullanıcılar için erişimi yönetmesini beklemesi gerekmez. Yönetici farklı bir iş grubundaki bir yöneticiye aynı izni verirse, bu kişi kendi grup üyeleri için de erişimi yönetebilir. İşletme sahibi ve yönetici birbirlerinin grup üyeliklerini görüntüleyemez veya yönetemez. Yönetici, uygulamaya erişimi olan ve gerekirse erişim haklarını engelleyen tüm kullanıcıları görmeye devam edebilir.
Not
Temsilcili senaryolar için yöneticinin en az bir Ayrıcalıklı Rol Yöneticisi Microsoft Entra rolüne sahip olması gerekir.
Self servis grup yönetimi
Bu örnek senaryoda, iki kullanıcının bağımsız olarak ayarladıkları SharePoint Online siteleri vardır. Birbirlerinin ekiplerine sitelerine erişim vermek istiyorlar. Bu görevi gerçekleştirmek için Microsoft Entra Id'de bir grup oluşturabilirler. SharePoint Online'da, her biri sitelerine erişim sağlamak için bu grubu seçer.
Birisi erişim istediğinde, bu erişimi Gruplarım portalından ister. Onaydan sonra, her iki SharePoint Online sına da otomatik olarak erişim elde ederler. Daha sonra bu kişilerden biri, siteye erişen herkesin belirli bir SaaS uygulamasına da erişmesi gerektiğine karar verir. SaaS uygulamasının yöneticisi uygulamanın erişim haklarını SharePoint Online sitesine ekleyebilir. Bundan sonra, onaylanan tüm istekler iki SharePoint Online sına ve ayrıca SaaS uygulamasına erişim verir.
Bir grubu kullanıcı self servisi için kullanıma sunma
Microsoft Entra yönetim merkezinde en az Bir Grup Yöneticisi olarak oturum açın.
Microsoft Entra Kimlik'i seçin.
Tüm gruplar Grupları'nı> ve ardından Genel ayarlar'ı seçin.
Not
Bu ayar yalnızca Gruplarım'daki grup bilgilerine erişimi kısıtlar. Microsoft Graph API çağrıları veya Microsoft Entra yönetim merkezi gibi diğer yöntemler aracılığıyla grup bilgilerine erişimi kısıtlamaz.
Not
Başlangıçta Haziran 2024'e zamanlanan Self Servis Grup Yönetimi ayarıyla ilgili değişiklikler şu anda gözden geçirilmektedir ve başlangıçta planlandığı gibi gerçekleşmeyecektir. Gelecekte kullanımdan kaldırma tarihi duyurulacaktır.
Sahipler, Erişim Paneli grup üyeliği isteklerini Evet olarak yönetebilir.
Erişim Paneli grup özelliklerine kullanıcı erişimini kısıtla seçeneğini Hayır olarak ayarlayın.
Kullanıcılar Azure portallarında, API'lerinde veya PowerShell'de güvenlik grupları oluşturabilir seçeneğini Evet veya Hayır olarak ayarlayın.
Bu ayar hakkında daha fazla bilgi için bkz . Grup ayarları.
Kullanıcılar Azure portallarında, API'de veya PowerShell'de Microsoft 365 grupları oluşturabilir seçeneğini Evet veya Hayır olarak ayarlayın.
Bu ayar hakkında daha fazla bilgi için bkz . Grup ayarları.
Kullanıcılarınız için self servis grup yönetimi üzerinde daha ayrıntılı erişim denetimi elde etmek için Azure portalında üyeleri grup sahibi olarak atayabilen Sahipler'i de kullanabilirsiniz.
Kullanıcılar grup oluşturabildiğinde, kuruluşunuzdaki tüm kullanıcıların yeni gruplar oluşturmasına izin verilir. Varsayılan sahip olarak, bu gruplara üye ekleyebilirler. Kendi gruplarını oluşturabilecek kişileri belirtemezsiniz. Yalnızca başka bir grup üyesini grup sahibi yapmak için bireyleri belirtebilirsiniz.
Not
Kullanıcıların bir güvenlik grubuna veya Microsoft 365 grubuna katılma isteğinde bulunmaları ve sahiplerin üyelik isteklerini onaylamaları veya reddetmeleri için Microsoft Entra Id P1 veya P2 lisansı gereklidir. Microsoft Entra ID P1 veya P2 lisansı olmadan, kullanıcılar yine de MyApp Groups Erişim Paneli gruplarını yönetebilir. Ancak sahip onayı gerektiren bir grup oluşturamaz ve gruba katılma isteğinde bulunamaz.
Grup ayarları
Grup ayarları, kimlerin güvenlik ve Microsoft 365 grupları oluşturabileceğini denetlemenizi sağlar.
Aşağıdaki tablo, hangi değerleri seçeceğinize karar vermenize yardımcı olur.
Ayar | Value | Kiracınız üzerindeki etkisi |
---|---|---|
Kullanıcılar Azure portalında, API'de veya PowerShell'de güvenlik grupları oluşturabilir. | Yes | Microsoft Entra kuruluşunuzdaki tüm kullanıcıların Azure portalında, API'de veya PowerShell'de yeni güvenlik grupları oluşturmasına ve bu gruplara üye eklemesine izin verilir. Bu yeni gruplar, diğer tüm kullanıcılar için Erişim Paneli da gösterilir. Grup üzerindeki ilke ayarı izin veriyorsa diğer kullanıcılar bu gruplara katılmak için istekler oluşturabilir. |
Hayır | Kullanıcılar güvenlik grupları oluşturamaz. Yine de sahibi oldukları grupların üyeliğini yönetebilir ve diğer kullanıcıların gruplarına katılma isteklerini onaylayabilirler. | |
Kullanıcılar Azure portalında, API'de veya PowerShell'de Microsoft 365 grupları oluşturabilir. | Yes | Microsoft Entra kuruluşunuzdaki tüm kullanıcıların Azure portalında, API'de veya PowerShell'de yeni Microsoft 365 grupları oluşturmasına ve bu gruplara üye eklemesine izin verilir. Bu yeni gruplar, diğer tüm kullanıcılar için Erişim Paneli da gösterilir. Grup üzerindeki ilke ayarı izin veriyorsa diğer kullanıcılar bu gruplara katılmak için istekler oluşturabilir. |
Hayır | Kullanıcılar M365 Grupları oluşturamaz. Yine de sahibi oldukları grupların üyeliğini yönetebilir ve diğer kullanıcıların gruplarına katılma isteklerini onaylayabilirler. |
Bu grup ayarlarıyla ilgili diğer ayrıntılar şunlardır:
- Bu ayarların geçerlilik kazanması 15 dakika kadar sürebilir.
- Kullanıcılarınızın tümünü değil bazılarını grup oluşturmak için etkinleştirmek istiyorsanız, bu kullanıcılara Grup Yöneticisi gibi gruplar oluşturabilecek bir rol atayabilirsiniz.
- Bu ayarlar kullanıcılar içindir ve hizmet sorumlularını etkilemez. Örneğin, grup oluşturma izinlerine sahip bir hizmet sorumlunuzun olması durumunda, bu ayarları Hayır olarak ayarlasanız bile hizmet sorumlusu yine de grup oluşturabilir.
Microsoft Graph kullanarak grup ayarlarını yapılandırma
Kullanıcılar, Microsoft Graph kullanarak Azure portallarında, API'de veya PowerShell'de Microsoft 365 grupları oluşturabilir ayarını yapılandırmak için nesnedeki groupSettings
nesneyi yapılandırınEnableGroupCreation
. Daha fazla bilgi için bkz . Grup ayarlarına genel bakış.
Microsoft Graph kullanarak Kullanıcılar Azure portallarında, API'lerinde veya PowerShell'de güvenlik grupları oluşturabilir ayarını yapılandırmak için authorizationPolicy nesnesindeki özelliğini defaultUserRolePermissions
güncelleştirinallowedToCreateSecurityGroups
.
Sonraki adımlar
Microsoft Entra Id hakkında daha fazla bilgi için bkz: