Aracılığıyla paylaş

Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma

  • Makale

Microsoft Entra ID P1 veya P2 ile rol atanabilir gruplar oluşturabilir ve Microsoft Entra rollerini bu gruplara atayabilirsiniz. Bu özellik rol yönetimini basitleştirir, tutarlı erişim sağlar ve denetim izinlerini daha kolay hale getirir. Bir gruba kişiler yerine roller atamak, kullanıcıların bir rolden kolayca eklenmesini veya kaldırılmasını sağlar ve grubun tüm üyeleri için tutarlı izinler oluşturur. Ayrıca belirli izinlere sahip özel roller oluşturabilir ve bunları gruplara atayabilirsiniz.

Neden gruplara rol atayın?

Contoso şirketinin Microsoft Entra kuruluşundaki çalışanların parolalarını yönetmek ve sıfırlamak için coğrafyalar arasında kişileri işe aldığı örneği düşünün. Ayrıcalıklı Rol Yöneticisi'nin her bir kişiye Yardım Masası Yöneticisi rolünü tek tek atamasını istemek yerine, bir Contoso_Helpdesk_Administrators grubu oluşturabilir ve rolü gruba atayabilir. Kişiler gruba katıldığında, rol dolaylı olarak atanır. Mevcut idare iş akışınız, yalnızca meşru kullanıcıların grubun üyesi olduğundan ve bu nedenle Yardım Masası Yöneticisi rolüne atandığından emin olmak için grup üyeliğinin onay sürecini ve denetimini üstlenebilir.

Gruplara rol atamaları nasıl çalışır?

Bir gruba rol atamak için, özelliği isAssignableToRole olarak ayarlanmış true ile yeni bir güvenlik veya Microsoft 365 grubu oluşturmanız gerekir. Microsoft Entra yönetim merkezinde, Microsoft Entra rolleri grup seçeneğine atanabilir seçeneğini Evet olarak ayarlarsınız. Her iki durumda da, kullanıcılara rol atarken olduğu gibi gruba bir veya daha fazla Microsoft Entra rolü atayabilirsiniz.

Roller ve yöneticiler sayfasının ekran görüntüsü

Rol atanabilir gruplar için kısıtlamalar

Rol atanabilir gruplar aşağıdaki kısıtlamalara sahiptir:

  • Yalnızca yeni gruplar için isAssignableToRole özelliğini ayarlayabilir veya Microsoft Entra rolleri grubuna atanabilir seçeneğini belirleyebilirsiniz.
  • Özellik isAssignableToRole sabittir. Bu özellik kümesiyle bir grup oluşturulduktan sonra değiştirilemez.
  • Mevcut bir grubu rol atanabilir bir grup yapamazsınız.
  • Tek bir Microsoft Entra kuruluşunda (kiracı) en fazla 500 rol atanabilir grup oluşturulabilir.

Rol atanabilir gruplar nasıl korunur?

Bir gruba rol atanırsa, dinamik üyelik gruplarını yönetebilen tüm BT yöneticileri de bu rolün üyeliğini dolaylı olarak yönetebilir. Örneğin, Contoso_User_Administrators adlı bir gruba Kullanıcı Yöneticisi rolü atandığını varsayalım. Dinamik üyelik gruplarını değiştirebilen bir Exchange yöneticisi, kendisini Contoso_User_Administrators grubuna ekleyebilir ve bu şekilde Kullanıcı Yöneticisi olabilir. Gördüğünüz gibi, bir yönetici ayrıcalıklarını sizin istemediğiniz bir şekilde yükseltebilir.

Yalnızca oluşturulurken özelliği isAssignableToRole olarak true ayarlanmış gruplara bir rol atanabilir. Bu özellik sabittir. Bu özellik kümesiyle bir grup oluşturulduktan sonra değiştirilemez. Mevcut bir grupta bir özelliği ayarlayamazsınız.

Rol atanabilir gruplar, aşağıdaki kısıtlamalara sahip olarak olası ihlalleri önlemeye yardımcı olmak için tasarlanmıştır:

  • Rol atanabilir bir grup oluşturmak için en azından Ayrıcalıklı Rol Yöneticisi rolüne atanmalısınız.
  • Rol atanabilir grupların üyelik türü Atanmış olmalıdır ve Microsoft Entra dinamik grubu olamaz. Dinamik üyelik gruplarının otomatik popülasyonu, gruba istenmeyen bir hesabın eklenmesine ve bu nedenle role atanmasına neden olabilir.
  • Varsayılan olarak, Ayrıcalıklı Rol Yöneticileri, rol atanabilir bir grubun üyelik yönetimini yapabilir, ancak grup sahiplerini ekleyerek rol atanabilir grupların yönetimini yapmalarını sağlayabilirsiniz.
  • Rol atanabilir grupların üyeliğini yönetebilmek için Microsoft Graph için RoleManagement.ReadWrite.Directory izni gereklidir. Group.ReadWrite.All izni çalışmaz.
  • Yetki yükselmesini önlemek için, kimlik bilgilerini değiştirmek, MFA'yı sıfırlamak veya rol atanabilir bir grubun üyeleri ve sahipleri için hassas öznitelikleri değiştirmek amacıyla en azından Privileged Authentication Administrator rolüne atanmış olmanız gerekmektedir.
  • Grup iç içe yerleştirme desteklenmez. Bir grup, rol atanabilir bir grubun üyesi olarak eklenemez.

Bir grubu rol ataması için uygun hale getirmek için PIM kullanma

Grubun üyelerinin bir role ayakta erişim sahibi olmasını istemiyorsanız, bir grubu rol ataması için uygun hale getirmek için Microsoft Entra Privileged Identity Management'ı (PIM) kullanabilirsiniz. Ardından grubun her üyesi, rol atamasını sabit bir süre boyunca etkinleştirmeye uygun olur.

Not

Microsoft Entra rollerine yükseltmek için kullanılan gruplar için uygun üye atamaları için bir onay sürecine ihtiyacınız olmasını öneririz. Onay olmadan etkinleştirilebilen atamalar, sizi daha az ayrıcalıklı yöneticilerin güvenlik riskine karşı savunmasız bırakabilir. Örneğin, Yardım Masası Yöneticisinin uygun bir kullanıcının parolalarını sıfırlama izni vardır.

Senaryolar desteklenmiyor

Aşağıdaki senaryolar desteklenmez:

  • Şirket içi gruplara Microsoft Entra rollerini (yerleşik veya özel) atayın.

Bilinen sorunlar

Rol atanabilir gruplarla ilgili bilinen sorunlar şunlardır:

  • Yalnızca Microsoft Entra ID P2 lisansına sahip müşteriler: Grubu sildikten sonra bile PIM kullanıcı arabiriminde rolün uygun bir üyesi olarak listelenmeye devam eder. İşlevsel olarak bir sorun yoktur; Bu yalnızca Microsoft Entra yönetim merkezindeki bir önbellek sorunudur.
  • Dinamik üyelik grupları aracılığıyla rol atamaları için yeni Exchange yönetim merkezini kullanın. Eski Exchange yönetim merkezi bu özelliği desteklemiyor. Eski Exchange yönetim merkezine erişmek gerekiyorsa, uygun rolü doğrudan kullanıcıya atayın (rol atanabilir gruplar aracılığıyla değil). Exchange PowerShell cmdlet'leri beklendiği gibi çalışır.
  • Bir yönetici rolü tek tek kullanıcılar yerine rol atanabilir bir gruba atanırsa, grubun üyeleri yeni Exchange yönetim merkezindeki Kurallar, Kuruluş veya Ortak Klasörler'eerişemez. Geçici çözüm, rolü grup yerine doğrudan kullanıcılara atamaktır.
  • Azure Information Protection Portalı (klasik portal) henüz grup aracılığıyla rol üyeliğini tanımıyor. Birleşik duyarlılık etiketleme platformuna geçiş yapabilir ve ardından Microsoft Purview uyumluluk portalı kullanarak rolleri yönetmek için grup atamalarını kullanabilirsiniz.

Lisans gereksinimleri

Bu özelliği kullanmak bir Microsoft Entra ID P1 lisansı gerektirir. Tam zamanında rol etkinleştirme için Privileged Identity Management bir Microsoft Entra ID P2 lisansı gerektirir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Ücretsiz ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.

Sonraki adımlar