Grup türleri, üyelik türleri ve erişim yönetimi hakkında bilgi edinin

Microsoft Entra ID kaynaklara, uygulamalara ve görevlere erişimi yönetmek için çeşitli yollar sağlar. Microsoft Entra gruplarıyla, tek tek her kullanıcı yerine bir kullanıcı grubuna erişim ve izinler verilmektedir. Microsoft Entra kaynaklarına erişimi yalnızca erişime ihtiyacı olan kullanıcılarla sınırlamak, Sıfır Güven temel güvenlik ilkelerinden biridir.

Bu makalede, Microsoft Entra kullanıcılarınızı yönetmeyi kolaylaştırmak için grupların ve erişim haklarının birlikte nasıl kullanılabileceğinin bir genel bakışı sağlanır ve ayrıca en iyi güvenlik yöntemleri uygulanır.

Microsoft Entra gruplarına genel bakış

Grupların etkili kullanımı, tek tek kullanıcılara rol ve izin atama gibi el ile görevleri azaltabilir. Bir gruba roller atayabilir ve iş işlevine veya departmanına göre bir gruba üye atayabilirsiniz. Bir gruba uygulanan bir Koşullu Erişim ilkesi oluşturabilir ve ardından ilkeyi gruba atayabilirsiniz. Grupların olası kullanımları nedeniyle nasıl çalıştıklarını ve nasıl yönetildiklerini anlamak önemlidir.

Grup türleri

Microsoft Entra yönetim merkezinde iki tür grubu yönetebilirsiniz:

• Güvenlik grupları: Paylaşılan kaynaklara erişimi yönetmek için kullanılır.

  • Bir güvenlik grubunun üyeleri, kullanıcılar, cihazlar, hizmet sorumlularıiçerebilir.
  • Gruplar, bazen iç içe gruplar olarak da bilinen diğer grupların üyeleri olabilir. Nota bakın.
  • Kullanıcılar ve hizmet sorumluları bir güvenlik grubunun sahibi olabilir.

• Microsoft 365 grupları: İşbirliği fırsatları sağlar.

  • Microsoft 365 grubunun üyeleri yalnızca kullanıcıları içerebilir.
  • Kullanıcılar ve hizmet sorumluları bir Microsoft 365 grubunun sahibi olabilir.
  • Kuruluşunuzun dışındaki kişiler bir grubun üyesi olabilir.
  • Daha fazla bilgi için bkz. Microsoft 365 Gruplarıhakkında bilgi edinin.

Üyelik türleri

• Atanan gruplar: Belirli kullanıcıları bir grubun üyesi olarak eklemenize ve benzersiz izinlere sahip olmanıza olanak tanır.
• Kullanıcılar için dinamik üyelik grubu : Kullanıcıları otomatik olarak üye olarak eklemek ve kaldırmak için kuralları kullanmanıza izin verir. Bir üyenin öznitelikleri değişirse, sistem dizin için dinamik üyelik gruplarına yönelik kurallarınıza bakar. Sistem, üyenin kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) denetler.
• cihazlar için dinamik üyelik grubu : Cihazları otomatik olarak üye olarak eklemek ve kaldırmak için kuralları kullanmanıza olanak tanır. Bir cihazın öznitelikleri değişirse sistem, cihazın kural gereksinimlerini karşılayıp karşılamadığını (eklendiğini) veya artık kural gereksinimlerini karşılayıp karşılamadığını (kaldırıldığını) görmek için dizin için dinamik üyelik gruplarına yönelik kurallarınıza bakar.

Erişim yönetimi

Microsoft Entra Id, tek bir kullanıcıya veya gruba erişim hakları sağlayarak kuruluşunuzun kaynaklarına erişim vermenize yardımcı olur. Grupların kullanılması, kaynak sahibinin veya Microsoft Entra dizin sahibinin grubun tüm üyelerine bir erişim izinleri kümesi atamasına olanak tanır. Kaynak veya dizin sahibi, bölüm yöneticisi veya yardım masası yöneticisi gibi bir kişiye grup yönetimi hakları da verebilir ve bu da söz konusu kişinin üye eklemesine ve kaldırmasına olanak tanır. Grup sahiplerini yönetme hakkında daha fazla bilgi için Grupları yönetme makalesine bakın.

Microsoft Entra gruplarının erişimi yönetebileceği kaynaklar:

• Kullanıcıları, uygulamaları, faturalamayı ve diğer nesneleri yönetme izinleri gibi Microsoft Entra kuruluşunuzun bir parçasıdır.
• Kuruluşunuzun dışındaki, Microsoft olmayan Hizmet Olarak Yazılım (SaaS) uygulamaları gibi.
• Azure hizmetleri
• SharePoint siteleri
• Şirket içi kaynaklar

Erişim izinleri gerektiren her uygulama, kaynak ve hizmetin ayrı olarak yönetilmesi gerekir çünkü birinin izinleri başka bir uygulamayla aynı olmayabilir. Saldırı veya güvenlik ihlali riskini azaltmaya yardımcı olmak için en az ayrıcalık ilkesini kullanarak erişim izni verin.

Atama türleri

Grup oluşturduktan sonra erişimini nasıl yöneteceğine karar vermeniz gerekir.

• Doğrudan atama. Kaynak sahibi kullanıcıyı doğrudan kaynağa atar.

• Grup ataması. Kaynak sahibi kaynağa bir Microsoft Entra grubu atar ve bu grup üyelerinin tümüne kaynağa otomatik olarak erişim verir. Hem grup sahibi hem de kaynak sahibi, gruba üye ekleme veya gruptan üye çıkarma yetkisine sahip olarak grup üyeliğini yönetir. Grup üyeliğini yönetme hakkında daha fazla bilgi için Yönetilen gruplar makalesine bakın.

• Kural tabanlı atama. Kaynak sahibi bir grup oluşturur ve belirli bir kaynağa hangi kullanıcıların atanacaklarını tanımlamak için bir kural kullanır. Kural, tek tek kullanıcılara atanan öznitelikleri temel alır. Kaynak sahibi kuralı yönetir ve kaynağa erişime izin vermek için hangi özniteliklerin ve değerlerin gerekli olduğunu belirler. Daha fazla bilgi için bkz. Dinamik grup oluşturma.

• Dış yetkili ataması. Access, şirket içi dizin veya SaaS uygulaması gibi bir dış kaynaktan gelir. Bu durumda, kaynak sahibi kaynağa erişim sağlamak için bir grup atar ve ardından dış kaynak grup üyelerini yönetir.

Buluttaki grupları yönetmek için en iyi yöntemler

Bulutta grupları yönetmek için en iyi yöntemler aşağıdadır:

• Self servis grup yönetimini etkinleştir: Kullanıcıların grupları aramasına ve grupları eklemesine veya kendi Microsoft 365 gruplarını oluşturmasına ve yönetmesine izin verin.
  • BT üzerindeki yönetim yükünü azaltırken, ekiplerin kendilerini organize etmesine olanak tanır.
  • Kısıtlanmış sözcüklerin kullanımını engellemek ve tutarlılık sağlamak için grup adlandırma ilkesi uygulayın.
  • Grup sahibi tarafından yenilenmediği sürece, belirtilen süre sonunda kullanılmayan grupları otomatik olarak silen grup süre sonu ilkelerini etkinleştirerek etkin olmayan grupların devam etmesini önleyin.
  • Grupları, katılan veya onay gerektiren tüm kullanıcıları otomatik olarak kabul etmek için yapılandırın.
  • Daha fazla bilgi için bkz. Microsoft Entra ID'de self servis grup yönetimini ayarlama.
• Duyarlılık etiketlerinden yararlanma: Microsoft 365 gruplarını güvenlik ve uyumluluk gereksinimlerine göre sınıflandırmak ve yönetmek için duyarlılık etiketlerini kullanın.
  • Ayrıntılı erişim denetimleri sağlar ve hassas kaynakların korunmasını sağlar.
  • Daha fazla bilgi için bkz. Microsoft Entra ID'de Microsoft 365 gruplarına duyarlılık etiketleri atama
• Dinamik gruplarla üyeliği otomatikleştirme: Departman, konum veya iş unvanı gibi özniteliklere göre gruplarda kullanıcıları ve cihazları otomatik olarak eklemek veya kaldırmak için dinamik üyelik kuralları uygulayın.
  • El ile yapılan güncelleştirmeleri en aza indirir ve kalan erişim riskini azaltır.
  • Bu özellik Microsoft 365 grupları ve Güvenlik Grupları için geçerlidir.
• Düzenli Erişim Gözden Geçirmeleri Yürütme: Düzenli erişim gözden geçirmeleri zamanlamak için Microsoft Entra Identity Governance özelliklerini kullanın.
  • Atanan gruplarda üyeliğin zaman içinde doğru ve ilgili kalmasını sağlar.
  • Daha fazla bilgi için bkz. Microsoft Entra ID'de dinamik üyelik grubu oluşturma veya güncelleştirme
• Erişim paketleriyle üyeliği yönetme: Birden çok grup üyeliğinin yönetimini kolaylaştırmak için Microsoft Entra Identity Governance ile erişim paketleri oluşturun. Erişim paketleri şunları yapabilir:
  • Üyelik için onay iş akışlarını dahil et
  • Erişim süre sonu ölçütlerini tanımlama
  • Gruplar ve uygulamalar arasında erişim vermek, gözden geçirmek ve iptal etmek için merkezi bir yol sağlama
  • Daha fazla bilgi için bkz . Yetkilendirme yönetiminde erişim paketi oluşturma
• Birden çok grup sahibi atama: Sürekliliği sağlamak ve tek bir bireye bağımlılıkları azaltmak için bir gruba en az iki sahip atayın.
  • Daha fazla bilgi için bkz. Microsoft Entra gruplarını ve grup üyeliğini yönetme
• Grup tabanlı lisanslama kullan: Grup tabanlı lisanslama, kullanıcı sağlamayı basitleştirir ve tutarlı lisans atamaları sağlar.
  • Belirli ölçütleri karşılayan kullanıcıların lisanslarını otomatik olarak yönetmek için dinamik üyelik gruplarını kullanın.
  • Daha fazla bilgi için bkz. Microsoft Entra Id'de grup tabanlı lisanslama nedir?
• Rol Tabanlı Erişim Denetimlerini Uygulayın (RBAC): Grupları kimlerin yönetebileceğini kontrol etmek için rol atayın.
  • RBAC, ayrıcalık kötüye kullanımı riskini azaltır ve grup yönetimini basitleştirir.
  • Daha fazla bilgi için bkz. Microsoft Entra ID'de rol tabanlı erişim denetimine genel bakış

İlgili içerik

• Microsoft Entra gruplarını ve grup üyeliğini oluşturma ve yönetme
• Grupları kullanarak SaaS uygulamalarına erişimi yönetme
• Dinamik üyelik grupları için kuralları yönetme