Yetkilendirme yönetiminde bağlı kuruluşları yönetme

  • Makale

Yetkilendirme yönetimi ile kuruluşunuzun dışındaki kişilerle işbirliği yapabilirsiniz. Belirli dış kuruluşlardan birçok kullanıcıyla sık sık işbirliği yaparsanız, bu kuruluşun kimlik kaynaklarını bağlı kuruluşlar olarak ekleyebilirsiniz. Bağlı bir kuruluşa sahip olmak, bu kuruluşlardan daha fazla kişinin erişim isteme şeklini basitleştirir. Bu makalede, kuruluşunuz dışındaki kullanıcıların dizininizdeki kaynakları istemesine izin vermek için bağlı bir kuruluşun nasıl ekleneceği açıklanır.

Bağlı kuruluş nedir?

Bağlı kuruluş, ilişki içinde olduğunuz başka bir kuruluşdur. Bu kuruluştaki kullanıcıların SharePoint Online siteleriniz veya uygulamalarınız gibi kaynaklarınıza erişebilmesi için söz konusu kuruluş kullanıcılarının bu dizindeki bir gösterimi gerekir. Çoğu durumda söz konusu kuruluştaki kullanıcılar zaten Microsoft Entra dizininizde olmadığından, yetkilendirme yönetimini kullanarak gerektiğinde bunları Microsoft Entra dizininize getirebilirsiniz.

Herkesin erişim istemesi için bir yol sağlamak istiyorsanız ve bu yeni kullanıcıların hangi kuruluşlardan olabileceğinden emin değilseniz, dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi yapılandırabilirsiniz. Bu ilkede Tüm kullanıcılar (Tüm bağlı kuruluşlar + yeni dış kullanıcılar) seçeneğini belirleyin. İstek sahibi onaylanırsa ve dizininizdeki bağlı bir kuruluşa ait değilse, bunlar için otomatik olarak bağlı bir kuruluş oluşturulur.

Yalnızca belirlenen kuruluşlardan kişilerin erişim istemesine izin vermek istiyorsanız, önce bu bağlı kuruluşları oluşturun. İkincisi, dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi yapılandırın, Belirli bağlı kuruluşlar seçeneğini belirleyin ve oluşturduğunuz kuruluşları seçin.

Yetkilendirme yönetiminin bağlı bir kuruluş oluşturan kullanıcıları belirtmenize olanak tanıyan dört yolu vardır. Bu olabilir.

  • başka bir Microsoft Entra dizinindeki kullanıcılar (herhangi bir Microsoft bulutundan),
  • SAML/WS-Fed kimlik sağlayıcısı (IdP) federasyonu için yapılandırılmış microsoft olmayan başka bir dizindeki kullanıcılar,
  • e-posta adreslerinin tümü ortak ve bu kuruluşa özgü aynı etki alanı adına sahip olan microsoft olmayan başka bir dizindeki kullanıcılar veya
  • ortak bir kuruluşa sahip olmayan kullanıcılarla iş işbirliğine ihtiyacınız varsa, etki alanı live.com gibi bir Microsoft Hesabı olan kullanıcılar.

Örneğin, Woodgrove Bank'ta çalıştığınızı ve iki dış kuruluşla işbirliği yapmak istediğinizi varsayalım. Her iki dış kuruluştan kullanıcılara aynı kaynaklara erişim vermek istiyorsunuz, ancak bu iki kuruluşun farklı yapılandırmaları var:

  • Contoso henüz Microsoft Entra Id kullanmıyor. Contoso kullanıcılarının contoso.com ile biten bir e-posta adresi vardır.
  • Grafik Tasarım Enstitüsü, Microsoft Entra Id kullanır ve kullanıcılarından en az bazılarının graphicdesigninstitute.com ile biten bir kullanıcı asıl adı vardır.

Bu durumda, bağlı iki kuruluşu ve ardından bir ilkeyle bir erişim paketini yapılandırabilirsiniz.

  1. E-posta tek seferlik geçiş kodu (OTP) kimlik doğrulamasının açık olduğundan emin olun; böylece, henüz Microsoft Entra dizinlerinin parçası olmayan ve erişim isterken veya kaynaklarınıza daha sonra erişirken e-posta tek seferlik geçiş kodu kullanarak kimlik doğrulaması yapacak olan bu etki alanlarındaki kullanıcılar. Ayrıca, dış kullanıcılara erişim izni vermek için Microsoft Entra B2B dış işbirliği ayarlarınızı yapılandırmanız gerekebilir.
  2. Contoso için bağlı bir kuruluş oluşturun. Etki alanı contoso.com belirttiğinizde, yetkilendirme yönetimi söz konusu etki alanıyla ilişkilendirilmiş mevcut bir Microsoft Entra kiracısı olmadığını ve bu bağlı kuruluştan kullanıcıların contoso.com e-posta adresi etki alanıyla tek seferlik geçiş koduyla kimlik doğrulaması yaptıklarında tanınacağını anlar.
  3. Grafik Tasarım Enstitüsü için başka bir bağlı kuruluş oluşturun. Etki alanı graphicdesigninstitute.com belirttiğinizde, yetkilendirme yönetimi bu etki alanıyla ilişkilendirilmiş bir kiracı olduğunu algılar.
  4. Dış kullanıcıların istemesine izin veren bir katalogda bir erişim paketi oluşturun.
  5. Bu erişim paketinde henüz dizininizde olmayan kullanıcılar için bir erişim paketi atama ilkesi oluşturun. Bu ilkede Belirli bağlı kuruluşlar seçeneğini belirleyin ve bağlı iki kuruluşu belirtin. Bu, bağlı kuruluşlardan biriyle eşleşen bir kimlik kaynağına sahip her kuruluştan kullanıcıların erişim paketini istemesine olanak sağlar.
  6. Etki alanı contoso.com olan kullanıcı asıl adına sahip dış kullanıcılar erişim paketini istediğinde, e-posta kullanarak kimlik doğrulaması yapar. Bu e-posta etki alanı Contoso'ya bağlı kuruluşla eşleşecek ve kullanıcının paketi istemesine izin verilecektir. İstekte bulunduktan sonra, dış kullanıcılar için erişimin nasıl çalıştığı B2B kullanıcısının daha sonra nasıl davet edileceğini ve dış kullanıcı için erişimin nasıl atandığını açıklar.
  7. Ayrıca, Grafik Tasarım Enstitüsü kiracısından bir kuruluş hesabı kullanan dış kullanıcılar Grafik Tasarım Enstitüsü'ne bağlı kuruluşla eşleşebilir ve erişim paketini istemelerine izin verilir. Grafik Tasarım Enstitüsü Microsoft Entra Id kullandığından, Grafik Tasarım Enstitüsü kiracısına eklenen doğrulanmış başka bir etki alanıyla eşleşen asıl adı olan tüm kullanıcılar (örneğin, graphicdesigninstitute.example) aynı ilkeyi kullanarak erişim paketleri isteyebilir.

Diagram of connected organizations in example and their relationships with an assignment policy and with a tenant.

Microsoft Entra dizinindeki veya etki alanındaki kullanıcıların kimlik doğrulaması, kimlik doğrulama türüne bağlıdır. Bağlı kuruluşlar için kimlik doğrulama türleri şunlardır:

Bağlı bir kuruluşun nasıl ekleneceğini gösteren bir tanıtım için aşağıdaki videoyu izleyin:

Bağlı kuruluşların listesini görüntüleme

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Önkoşul rolü: Global Yönetici istrator veya Identity Governance Yönetici istrator

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi> Bağlan kuruluşlara göz atın.

  3. Arama kutusunda, bağlı kuruluşun adını kullanarak bağlı bir kuruluşu arayabilirsiniz. Ancak, bir etki alanı adı için arama yapamazsınız.

Bağlı kuruluş ekleme

Dış Microsoft Entra dizinini veya etki alanını bağlı bir kuruluş olarak eklemek için bu bölümdeki yönergeleri izleyin.

Önkoşul rolü: Global Yönetici istrator veya Identity Governance Yönetici istrator

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi> Bağlan kuruluşlara göz atın.

  3. Bağlan kuruluşlar sayfasında Bağlı kuruluş ekle'yi seçin.

    The

  4. Temel Bilgiler sekmesini seçin ve kuruluş için bir görünen ad ve açıklama girin.

    The

  5. Yeni bir bağlı kuruluş oluşturduğunuzda durum otomatik olarak Yapılandırıldı olarak ayarlanır. Bağlı bir kuruluşun durum özelliği hakkında daha fazla bilgi için bkz. Bağlı kuruluşların State özelliği

  6. Dizin + etki alanı sekmesini ve ardından Dizin + etki alanı ekle'yi seçin.

    Ardından Dizinleri seçin + etki alanları bölmesi açılır.

  7. Microsoft Entra dizinini veya etki alanını aramak için arama kutusuna bir etki alanı adı girin. Ayrıca, herhangi bir Microsoft Entra diziniyle ilişkilendirilmemiş etki alanları da ekleyebilirsiniz. Etki alanı adının tamamını girdiğinizden emin olun.

  8. Kuruluş adlarının ve kimlik doğrulama türlerinin doğru olduğunu onaylayın. MyAccess portalına erişebilmeden önce kullanıcının oturum açması, kuruluşunun kimlik doğrulama türüne bağlıdır. Bağlı bir kuruluşun kimlik doğrulama türü Microsoft Entra Id ise, söz konusu kuruluşun dizininde hesabı olan ve bu Microsoft Entra dizininin doğrulanmış etki alanına sahip tüm kullanıcılar kendi dizinlerinde oturum açar ve bu bağlı kuruluşa izin veren paketlere erişim isteyebilir. Kimlik doğrulama türü Tek seferlik geçiş koduysa, bu, yalnızca bu etki alanından e-posta adresleri olan kullanıcıların MyAccess portalını ziyaret etmesine olanak tanır. Geçiş koduyla kimlik doğrulaması yaptıktan sonra kullanıcı bir istekte bulunabilir.

    The

    Dekont

    Bazı etki alanlarından erişim, Microsoft Entra işletmesinden işletmeye (B2B) izin verme veya reddetme listesi tarafından engellenebilir. Ayrıca, Microsoft Entra kimlik doğrulaması için yapılandırılmış bağlı bir kuruluşla aynı etki alanına sahip bir e-posta adresine sahip olan ancak bu Microsoft Entra dizininde kimlik doğrulaması yapmayan kullanıcılar, bu bağlı kuruluşun parçası olarak tanınmaz. Daha fazla bilgi için bkz . Belirli kuruluşların B2B kullanıcılarına yönelik davetlere izin verme veya davetleri engelleme.

  9. Microsoft Entra dizinini veya etki alanını eklemek için Ekle'yi seçin. Birden çok Microsoft Entra dizini ve etki alanı ekleyebilirsiniz.

  10. Microsoft Entra dizinlerini veya etki alanlarını ekledikten sonra Seç'i seçin.

    Kuruluşlar listede görünür.

    The

  11. Sponsorlar sekmesini seçin ve ardından bu bağlı kuruluş için isteğe bağlı sponsorlar ekleyin.

    Sponsorlar, bu bağlı kuruluşla ilişkinin iletişim noktası olan, zaten dizininizde bulunan iç veya dış kullanıcılardır. İç sponsorlar dizininizdeki üye kullanıcılardır. Dış sponsorlar, daha önce davet edilmiş ve zaten dizininizde olan bağlı kuruluştaki konuk kullanıcılardır. Bu bağlı kuruluştaki kullanıcılar bu erişim paketine erişim istediğinde sponsorlar onaylayan olarak kullanılabilir. Dizininize konuk kullanıcı davet etme hakkında bilgi için bkz . Microsoft Entra B2B işbirliği kullanıcıları ekleme.

    Ekle/Kaldır'ı seçtiğinizde, iç veya dış sponsorları seçebileceğiniz bir bölme açılır. Bölmede dizininizdeki kullanıcıların ve grupların filtrelenmemiş bir listesi görüntülenir.

    The Sponsors pane

  12. Gözden geçir ve oluştur sekmesini seçin, kuruluş ayarlarınızı gözden geçirin ve ardından Oluştur'u seçin.

    The

Bağlı bir kuruluşu güncelleştirme

Bağlı kuruluş farklı bir etki alanına dönüşürse, kuruluşun adı değişirse veya sponsorları değiştirmek istiyorsanız, bu bölümdeki yönergeleri izleyerek bağlı kuruluşu güncelleştirebilirsiniz.

Önkoşul rolü: Global Yönetici istrator veya Identity Governance Yönetici istrator

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi> Bağlan kuruluşlara göz atın.

  3. Bağlan kuruluşlar sayfasında güncelleştirmek istediğiniz bağlı kuruluşu seçin.

  4. Bağlı kuruluşun genel bakış bölmesinde Düzenle'yi seçerek kuruluş adını, açıklamasını veya durumunu değiştirin.

  5. Dizin + etki alanı bölmesinde Dizini güncelleştir + etki alanını seçerek farklı bir dizine veya etki alanına geçin.

  6. Sponsorlar bölmesinde dahili sponsor ekle'yi veya Dış sponsor ekle'yi seçerek kullanıcıyı sponsor olarak ekleyin. Sponsoru kaldırmak için sponsoru seçin ve sağ bölmede Sil'i seçin.

Bağlı kuruluşu silme

Dış Microsoft Entra dizini veya etki alanıyla artık bir ilişkiniz yoksa veya artık önerilen bir bağlı kuruluşa sahip olmak istemiyorsanız, bağlı kuruluşu silebilirsiniz.

Önkoşul rolü: Global Yönetici istrator veya Identity Governance Yönetici istrator

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi> Bağlan kuruluşlara göz atın.

  3. Bağlan kuruluşlar sayfasında silmek istediğiniz bağlı kuruluşu seçerek açın.

  4. Bağlı kuruluşun genel bakış bölmesinde Sil'i seçerek silin.

    The connected organization Delete button

Bağlı bir kuruluşu program aracılığıyla yönetme

Ayrıca Microsoft Graph kullanarak bağlı kuruluşlar oluşturabilir, listeleyebilir, güncelleştirebilir ve silebilirsiniz. Temsilci EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya sahip uygun roldeki bir kullanıcı, connectedOrganization nesnelerini yönetmek ve onlar için sponsorlar ayarlamak için API'yi çağırabilir.

Microsoft PowerShell aracılığıyla bağlı kuruluşları yönetme

PowerShell'de bağlı kuruluşları, Kimlik İdaresi modülü sürüm 1.16.0 veya sonraki bir sürümdeki Microsoft Graph PowerShell cmdlet'leri ile de yönetebilirsiniz.

Aşağıdaki betik, tüm bağlı kuruluşları almak için Graph profilinin kullanılmasını v1.0 göstermektedir. Döndürülen her bağlı kuruluş, o bağlı kuruluşun dizinlerinin ve etki alanlarının bir liste kimliğini içerir.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Bağlı kuruluşların durum özelliği

Yetkilendirme yönetiminde bağlı kuruluşlar için yapılandırılmış ve önerilen iki farklı durum vardır:

  • Yapılandırılmış bağlı kuruluş, söz konusu kuruluştaki kullanıcıların paketlere erişmesine izin veren tam işlevsel bir bağlı kuruluşdur. Yönetici, Microsoft Entra yönetim merkezinde yeni bir bağlı kuruluş oluşturduğunda , yönetici bu bağlı kuruluşu oluşturduğundan ve kullanmak istediğinden varsayılan olarak yapılandırılmış durumda olur. Ayrıca, bağlı bir kuruluş API aracılığıyla program aracılığıyla oluşturulduğunda, açıkça başka bir duruma ayarlanmadığı sürece varsayılan durum yapılandırılmalıdır.

    Yapılandırılmış bağlı kuruluşlar, bağlı kuruluşların seçicilerinde görünür ve "yapılandırılmış tüm bağlı kuruluşları" hedefleyen tüm ilkelerin kapsamına alınır.

  • Önerilen bağlı kuruluş, otomatik olarak oluşturulmuş, ancak bir yöneticinin kuruluş oluşturması veya onaylaması yapılmamış bağlı bir kuruluştur. Kullanıcı yapılandırılmış bir bağlı kuruluşun dışındaki bir erişim paketine kaydolduğunda, otomatik olarak oluşturulan bağlı kuruluşlar önerilen durumda olur çünkü kiracıda yönetici bu ortaklığı ayarlamaz.

    Önerilen bağlı kuruluşlar, herhangi bir ilkedeki "yapılandırılmış tüm bağlı kuruluşlar" ayarının kapsamında değildir, ancak yalnızca belirli kuruluşları hedefleyen ilkeler için ilkelerde kullanılabilir.

Yalnızca yapılandırılmış bağlı kuruluşlara ait kullanıcılar, yapılandırılmış tüm kuruluşlardan kullanıcılara sağlanan erişim paketleri isteyebilir. Önerilen bağlı kuruluşların kullanıcıları, bu etki alanı için bağlı kuruluş yokmuş gibi bir deneyime sahiptir; yalnızca belirli bir kuruluş kapsamında veya kapsamı herhangi bir kullanıcı tarafından belirlenmiş erişim paketlerini görebilir ve isteyebilir. Kiracınızda "yapılandırılmış tüm bağlı kuruluşlara" izin veren ilkeleriniz varsa, sosyal kimlik sağlayıcıları için önerilen bağlı kuruluşları yapılandırılmaya dönüştürmediğinizden emin olun.

Dekont

Bu yeni özelliğin kullanıma sunulma bir parçası olarak, 09.09.20'ye kadar oluşturulan tüm bağlı kuruluşlar yapılandırılmış olarak kabul edildi. Herhangi bir kuruluştan kullanıcıların kaydolmasına izin veren bir erişim paketiniz varsa, yapılandırıldığı gibi bunların hiçbirinin yanlış kategorilere ayrılmadığından emin olmak için bu tarihten önce oluşturulmuş bağlı kuruluşlar listenizi gözden geçirmeniz gerekir. Özellikle, yapılandırılmış tüm bağlı kuruluşların kullanıcıları için onay gerektirmeyen atama ilkeleri varsa sosyal kimlik sağlayıcıları yapılandırılmış olarak belirtilmemelidir. Bir yönetici State özelliğini uygun şekilde güncelleştirebilir. Yönergeler için bkz . Bağlı kuruluşu güncelleştirme.

Dekont

Bazı durumlarda, bir kullanıcı bir sosyal kimlik sağlayıcısından kişisel hesabını kullanarak bir erişim paketi isteyebilir; burada hesabın e-posta adresi, Microsoft Entra kiracısına karşılık gelen mevcut bir bağlı kuruluşla aynı etki alanına sahiptir. Bu kullanıcı onaylanırsa, bu etki alanını temsil eden yeni bir önerilen bağlı kuruluşla sonuçlanır. Bu durumda, kullanıcının yeniden erişim istemek yerine kuruluş hesabını kullandığından emin olun. Portal, yapılandırılmış bağlı kuruluş Microsoft Entra kiracısından gelen bu kullanıcıyı tanımlar.

Sonraki adımlar