Microsoft Entra Id'deki kullanıcı hesapları nelerdir?
Microsoft Entra Id'de tüm kullanıcı hesaplarına bir dizi varsayılan izin verilir. Kullanıcının hesap erişimi kullanıcı türünden, rol atamalarından ve nesnelerin sahipliklerinden oluşur.
Microsoft Entra Id'de farklı türlerde kullanıcı hesabı vardır. Her türün, her bir kullanıcı hesabı türü kapsamında yapılması beklenen iş kapsamına özgü bir erişim düzeyi vardır. Yöneticiler en yüksek erişim düzeyine sahiptir ve bunu Microsoft Entra kuruluşundaki üye kullanıcı hesapları izler. Konuk kullanıcılar en kısıtlı erişim düzeyine sahiptir.
İzinler ve roller
Microsoft Entra Id, bir kullanıcıya veya gruba verilen erişim haklarını denetlemenize yardımcı olmak için izinleri kullanır. Bu, roller aracılığıyla yapılır. Microsoft Entra Id'de farklı izinlere sahip birçok rol vardır. Bir kullanıcıya belirli bir rol atandığında kullanıcı o roldeki izinleri devralır. Örneğin, Kullanıcı Yöneticisi rolüne atanan bir kullanıcı, kullanıcı hesapları oluşturabilir ve silebilir.
Doğru kullanıcıya doğru rol türünün ne zaman atanacağını anlamak, gizlilik ve güvenlik uyumluluğunun korunmasında temel ve önemli bir adımdır. Yanlış kullanıcıya yanlış rol atanırsa, bu rolle birlikte gelen izinler, kullanıcının kuruluşa ciddi zarar vermesine neden olabilir.
Yönetici rolleri
Microsoft Entra Id'deki yönetici rolleri, kullanıcıların kimlerin ne yapma iznine sahip olduğunu denetlemek için yükseltilmiş erişime izin verir. Bir Microsoft Entra kuruluşundaki kimlik görevlerini yönetmek için bu rolleri sınırlı bir kullanıcı grubuna atarsınız. Kullanıcının kullanıcılar oluşturmasına veya düzenlemesine, başkalarına yönetici rolleri atamasına, kullanıcı parolalarını sıfırlamasına, kullanıcı lisanslarını yönetmesine veya daha fazlasını yapmasına izin veren yönetici rolleri atayabilirsiniz.
Kullanıcı hesabınızda Kullanıcı Yöneticisi veya Genel Yönetici rolü varsa, Azure portalını, Azure CLI'yı veya PowerShell'i kullanarak Microsoft Entra ID'de yeni bir kullanıcı oluşturabilirsiniz. PowerShell'de cmdlet'ini New-MgUser
çalıştırın. Azure CLI’de az ad user create
kullanın.
Üye kullanıcılar
Üye kullanıcı hesabı, Microsoft Entra kuruluşunun profil bilgilerini yönetebilmek gibi bir dizi varsayılan izni olan yerel bir üyesidir. Kuruluşunuza yeni biri katıldığında, genellikle bu kişi için bu hesap türü oluşturulur.
Konuk kullanıcı olmayan veya yönetici rolü atanmamış olan herkes bu türe karşılık gelir. Üye kullanıcı rolü, bir kuruluşun içinde kabul edilen ve Microsoft Entra kuruluşunun üyesi olan kullanıcılara yöneliktir. Ancak, bu kullanıcıların kullanıcı oluşturup silerek (örneğin) diğer kullanıcıları yönetememeleri gerekir. Üye kullanıcılar genellikle konuk kullanıcılara uygulanan aynı kısıtlamalara sahip değildir.
Konuk kullanıcılar
Konuk kullanıcılar Microsoft Entra kuruluş izinlerini kısıtlamış. Kuruluşunuzla işbirliği yapmaya davet ettiğiniz kişileri Microsoft Entra kuruluşunuza konuk kullanıcı olarak eklersiniz. Ardından, kullanım bağlantısı içeren bir davet e-postası gönderebilir veya paylaşmak istediğiniz bir uygulamaya doğrudan bağlantı gönderebilirsiniz. Konuk kullanıcılar, kendi iş, okul veya sosyal kimlikleriyle oturum açar. Varsayılan olarak, Microsoft Entra üyesi kullanıcılar konuk kullanıcıları davet edebilir. Kullanıcı Yöneticisi rolüne sahip biri bu varsayılanı devre dışı bırakabilir.
Kuruluşunuzun dış iş ortaklarıyla çalışması gerekebilir. Kuruluşunuzla işbirliği yapmak için bu iş ortaklarının genellikle belirli kaynaklara belirli bir erişim düzeyinin olması gerekir. Bu durumda, konuk kullanıcı hesaplarının kullanılması iyi bir fikirdir. Daha sonra iş ortaklarının ihtiyaç duyduklarından daha yüksek erişim düzeyine sahip olmadan, işlerini yapmak için doğru erişim düzeyine sahip olduğundan emin olun.
Kullanıcı hesabı ekleme
Azure portal, Azure PowerShell veya Azure CLI aracılığıyla tek tek kullanıcı hesapları ekleyebilirsiniz.
Azure CLI'yı kullanmak istiyorsanız aşağıdaki cmdlet'i çalıştırın:
# create a new user
az ad user create
Bu komut, Azure CLI kullanarak yeni bir kullanıcı oluşturur.
Azure PowerShell için aşağıdaki cmdlet'i çalıştırın:
# create a new user
New-MgUser
Toplu olarak üye kullanıcı ve konuk hesapları oluşturabilirsiniz. Aşağıdaki örnekte konuk kullanıcıları toplu olarak davet etme gösterilmektedir:
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Virgülle ayrılmış değerler (CSV) dosyasını, eklemek istediğiniz tüm kullanıcıların listesiyle birlikte oluşturursunuz. Bu CSV dosyasındaki her bir kullanıcıya davet gönderilir.
Kullanıcı hesaplarını silme
Azure portal, Azure PowerShell veya Azure CLI aracılığıyla da kullanıcı hesaplarını silebilirsiniz. PowerShell'de cmdlet'ini Remove-MgUser
çalıştırın. Azure CLI'de cmdlet'ini az ad user delete
çalıştırın.
Bir kullanıcıyı sildiğinizde, hesap 30 gün boyunca askıya alınmış durumda kalır. Bu 30 günlük süre boyunca kullanıcı hesabını geri yükleyebilirsiniz.