Microsoft Entra Id'de konuk erişim izinlerini kısıtlama

  • Makale

Microsoft Entra'nın bir parçası olan Microsoft Entra Id, dış konuk kullanıcıların Microsoft Entra Id'de kuruluşlarında görebileceklerini kısıtlamanıza olanak tanır. Konuk kullanıcılar, Microsoft Entra Id'de varsayılan olarak sınırlı izin düzeyine ayarlanırken, üye kullanıcılar için varsayılan ayar tam kullanıcı izinleri kümesidir. Microsoft Entra kuruluşunuzun daha kısıtlı erişim için dış işbirliği ayarlarında başka bir konuk kullanıcı izin düzeyi vardır, böylece konuk erişim düzeyleri şunlardır:

İzin düzeyi Erişim düzeyi Değer
Üye kullanıcılarla aynı Konuklar, Microsoft Entra kaynaklarına üye kullanıcılarla aynı erişime sahiptir a0b1b346-4d3e-4e8b-98f8-753987be4970
Sınırlı erişim (varsayılan) Konuklar gizli olmayan tüm grupların üyeliğini görebilir 10dae51f-b6af-4016-8d66-8c2a99b929b3
Kısıtlı erişim (yeni) Konuklar hiçbir grubun üyeliğini göremez 2af84b1e-32c8-42b7-82bc-daa82404023b

Konuk erişimi kısıtlandığında konuklar yalnızca kendi kullanıcı profillerini görüntüleyebilir. Konuk, Kullanıcı Asıl Adı veya objectId değeriyle arama yapıyor olsa bile diğer kullanıcıları görüntülemeye izin verilmez. Kısıtlı erişim, konuk kullanıcıların bulundukları grupların üyeliğini görmelerini de kısıtlar. Konuk kullanıcı izinleri de dahil olmak üzere genel varsayılan kullanıcı izinleri hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de varsayılan kullanıcı izinleri nelerdir?.

İzinler ve lisanslar

Konuk kullanıcı erişimini yapılandırmak için Genel Yönetici istrator rolünde olmanız gerekir. Konuk erişimini kısıtlamak için ek lisanslama gereksinimi yoktur.

Azure portalında güncelleştirme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Konuk kullanıcı izinleri için mevcut Azure portalı denetimlerinde değişiklikler yaptık.

  1. Microsoft Entra yönetim merkezinde en azından Genel Yönetici istrator olarak oturum açın.

  2. Microsoft Entra ID >Users>All users(Tüm kullanıcılar) öğesini seçin.

  3. Dış kullanıcılar'ın altında Dış işbirliği ayarlarını yönet'i seçin.

  4. Dış işbirliği ayarları sayfasında Konuk kullanıcı erişimi kendi dizin nesnelerinin özellikleri ve üyelikleriyle sınırlıdır seçeneğini belirleyin.

    Microsoft Entra dış işbirliği ayarları sayfasının ekran görüntüsü.

  5. Kaydet'i seçin. Değişikliklerin konuk kullanıcılar için geçerli olması 15 dakika kadar sürebilir.

Microsoft Graph API'siyle güncelleştirme

Microsoft Entra kuruluşunuzda konuk izinlerini yapılandırmak için yeni bir Microsoft Graph API'sini ekledik. Herhangi bir izin düzeyi atamak için aşağıdaki API çağrıları yapılabilir. Burada kullanılan guestUserRoleId değeri, en kısıtlı konuk kullanıcı ayarını göstermektir. Konuk izinlerini ayarlamak için Microsoft Graph kullanma hakkında daha fazla bilgi için bkz authorizationPolicy . kaynak türü.

İlk kez yapılandırma

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Yanıt, Success 204 olmalıdır.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Mevcut değeri güncelleştirme

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Yanıt, Success 204 olmalıdır.

Geçerli değeri görüntüleme

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Örnek yanıt:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

PowerShell cmdlet'leri ile güncelleştirme

Bu özellik sayesinde Kısıtlı izinleri PowerShell v2 cmdlet'leri aracılığıyla yapılandırma özelliği ekledik. PowerShell cmdlet'lerini alma ve güncelleştirme sürümü 2.0.2.85yayımlandı.

Get komutu: Get-MgPolicyAuthorizationPolicy

Örnek:

Get-MgPolicyAuthorizationPolicy | Format-List

AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Update komutu: Update-MgPolicyAuthorizationPolicy

Örnek:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Desteklenen Microsoft 365 hizmetleri

Desteklenen hizmetler

Desteklendiğinde, deneyimin beklendiği gibi olduğu anlamına gelir; özellikle geçerli konuk deneyimiyle aynı olduğunu gösterir.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Teams'de Planner
  • Planner mobil uygulaması
  • Planner web uygulaması
  • Web için Project
  • Project Operations

Şu anda desteklenmeyen hizmetler

Geçerli destek olmadan hizmette yeni konuk kısıtlama ayarıyla ilgili uyumluluk sorunları olabilir.

  • Formlar
  • Project Online
  • Yammer
  • SharePoint'te Planner

Sık sorulan sorular (SSS)

Soru Yanıt
Bu izinler nereye uygulanır? Bu dizin düzeyi izinleri Microsoft Graph, PowerShell v2, Azure portalı ve Uygulamalarım portalı gibi Microsoft Entra hizmetlerinde uygulanır. İşbirliği senaryoları için Microsoft 365 gruplarından yararlanan Microsoft 365 hizmetleri, özellikle Outlook, Microsoft Teams ve SharePoint'i de etkiler.
Kısıtlı izinler, konukların görebileceği grupları nasıl etkiler? Varsayılan veya kısıtlanmış konuk izinlerinden bağımsız olarak, konuklar grup veya kullanıcı listesini numaralandıramaz. İzinlere bağlı olarak, konuklar üyesi oldukları grupları hem Azure portalında hem de Uygulamalarım portalında görebilir:
  • Varsayılan izinler: Konuk, Üyesi oldukları grupları Azure portalında bulmak için Tüm kullanıcılar listesinde nesne kimliğini aramalı ve ardından Gruplar'ı seçmelidir. Burada ad, e-posta vb. dahil olmak üzere tüm grup ayrıntıları dahil olmak üzere üye oldukları grupların listesini görebilirler. Uygulamalarım portalında sahip oldukları grupların ve bulundukları grupların listesini görebilirler.
  • Kısıtlı konuk izinleri: Azure portalında, tüm kullanıcılar listesinde nesne kimliklerini arayarak ve ardından Gruplar'ı seçerek bulundukları grupların listesini bulabilirler. Grupla ilgili, özellikle nesne kimliğiyle ilgili yalnızca sınırlı ayrıntıları görebilirler. Tasarım gereği, Ad ve E-posta sütunları boş ve Grup Türü Tanınmaz. Uygulamalarım portalında sahip oldukları grupların veya üyesi oldukları grupların listesine erişemezler.

Graph API'sinden gelen dizin izinlerinin daha ayrıntılı karşılaştırması için bkz . Varsayılan kullanıcı izinleri.
Bu özellik Uygulamalarım portalın hangi bölümlerini etkileyecek? Uygulamalarım portalındaki gruplar işlevselliği bu yeni izinleri kabul edecektir. Bu işlevsellik, Uygulamalarım grup listesini ve grup üyeliklerini görüntülemeye yönelik tüm yolları içerir. Grup kutucuğu kullanılabilirliğiyle ilgili hiçbir değişiklik yapılmadı. Grup kutucuğu kullanılabilirliği, Azure portalındaki mevcut grup ayarı tarafından denetlendi.
Bu izinler SharePoint veya Microsoft Teams konuk ayarlarını geçersiz kılar mı? Hayır Bu mevcut ayarlar, bu uygulamalarda deneyimi ve erişimi denetlemeye devam ediyor. Örneğin, SharePoint'te sorunlar görürseniz dış paylaşım ayarlarınızı bir kez daha denetleyin. Ekip düzeyinde ekip sahipleri tarafından eklenen konuklar, özel ve paylaşılan kanallar hariç olmak üzere yalnızca standart kanallar için kanal toplantısı sohbetine erişebilir.
Yammer'da bilinen uyumluluk sorunları nelerdir? İzinler 'kısıtlı' olarak ayarlandığında Yammer'da oturum açan konuklar gruptan ayrılamaz.
Kiracımda mevcut konuk izinlerim değiştirilecek mi? Geçerli ayarlarınızda değişiklik yapılmadı. Mevcut ayarlarınız ile geriye dönük uyumluluğu koruruz. Ne zaman değişiklik yapmak istediğinize siz karar verirsiniz.
Bu izinler varsayılan olarak ayarlanacak mı? Hayır Mevcut varsayılan izinler değişmeden kalır. İsteğe bağlı olarak izinleri daha kısıtlayıcı olacak şekilde ayarlayabilirsiniz.
Bu özellik için herhangi bir lisans gereksinimi var mı? Hayır, bu özellik ile yeni lisanslama gereksinimleri yoktur.

Sonraki adımlar