Yetkilendirme yönetimi sorunlarını giderme

  • Makale

Bu makalede yetkilendirme yönetimi sorunlarını gidermenize yardımcı olması için denetlemeniz gereken bazı öğeler açıklanmaktadır.

Yönetim

  • Yetkilendirme yönetimini yapılandırırken erişim reddedildi iletisi alırsanız ve Genel yöneticiyseniz dizininizin Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi (veya EMS E5) lisansına sahip olduğundan emin olun. Son zamanlarda süresi dolmuş bir Microsoft Entra ID P2 veya Microsoft Entra Kimlik Yönetimi aboneliğini yenilediyseniz, bu lisans yenilemenin görünür olması 8 saat sürebilir.

  • Kiracınızın Microsoft Entra Id P2 veya Microsoft Entra Kimlik Yönetimi lisansının süresi dolduysa, yeni erişim isteklerini işleyemez veya erişim gözden geçirmeleri gerçekleştiremezsiniz.

  • Erişim paketlerini oluştururken veya görüntülerken erişim reddedildi iletisi alırsanız ve Bir Katalog oluşturucu grubunun üyesiyseniz, ilk erişim paketinizi oluşturmadan önce bir katalog oluşturmanız gerekir.

Kaynaklar

  • Uygulamalar için roller uygulamanın kendisi tarafından tanımlanır ve Microsoft Entra Kimliği'nde yönetilir. Bir uygulamanın kaynak rolü yoksa, yetkilendirme yönetimi kullanıcıları Varsayılan Erişim rolüne atar.

    Microsoft Entra yönetim merkezi, uygulama olarak seçilmeyecek hizmetler için hizmet sorumlularını da gösterebilir. Özellikle, Exchange Online ve SharePoint Online , dizinde kaynak rolleri olan uygulamalar değil hizmetlerdir, bu nedenle erişim paketine eklenemezler. Bunun yerine, söz konusu hizmetlere erişmesi gereken kullanıcıya uygun lisansı ayarlamak için grup tabanlı lisanslamayı kullanın.

  • Kimlik doğrulaması için yalnızca Kişisel Microsoft Hesabı kullanıcılarını destekleyen ve dizininizdeki kuruluş hesaplarını desteklemeyen uygulamaların uygulama rolleri yoktur ve paket kataloglarına erişilmesine eklenemez.

  • Bir grubun erişim paketindeki bir kaynak olması için, Grubun Microsoft Entra Id'de değiştirilebilir olması gerekir. Bir şirket içi Active Directory kaynağı olan gruplar, sahip veya üye öznitelikleri Microsoft Entra Kimliği'nde değiştirilemediğinden kaynak olarak atanamaz. Exchange Online'dan Dağıtım grupları olarak gelen gruplar da Microsoft Entra Kimliği'nde değiştirilemez.

  • SharePoint Online belge kitaplıkları ve tek tek belgeler kaynak olarak eklenemez. Bunun yerine bir Microsoft Entra güvenlik grubu oluşturun, bu grubu ve site rolünü erişim paketine ekleyin ve SharePoint Online'da belge kitaplığına veya belgeye erişimi denetlemek için bu grubu kullanın.

  • Bir erişim paketiyle yönetmek istediğiniz kaynağa önceden atanmış kullanıcılar varsa, kullanıcıların erişim paketine uygun ilkeyle atandığından emin olun. Örneğin zaten grupta kullanıcıları olan bir erişim paketine grup eklemek isteyebilirsiniz. Gruptaki söz konusu kullanıcılara sürekli erişim gerekiyorsa, gruba erişimi kaybetmemeleri için erişim paketlerine yönelik uygun bir ilkeye sahip olmaları gerekir. Erişim paketini atamak için kullanıcıların bu kaynağı içeren erişim paketini istemelerini sağlayabilir veya onları doğrudan erişim paketine atayabilirsiniz. Daha fazla bilgi için bkz . Erişim paketi için istek ve onay ayarlarını değiştirme.

  • Ekibin bir üyesini kaldırdığınızda, bu kişiler De Microsoft 365 Grubundan kaldırılır. Ekibin sohbet işlevinden kaldırma işlemi geciktirilebilir. Daha fazla bilgi için bkz . Grup üyeliği.

Erişim paketleri

  • Erişim paketini veya ilkeyi silmeye çalışıyorsanız ve ataması olan hiç kullanıcı görmemenize rağmen etkin atamalar olduğunu belirten bir hata iletisi alıyorsanız yakın zamanda silinen kullanıcıların hala ataması olup olmadığına bakın. Kullanıcı silindikten sonraki 30 günlük süre içinde kullanıcı hesabı geri yüklenebilir.

Dış kullanıcılar

  • Dış kullanıcı erişim paketine erişim isteğinde bulunmak istediğinde, erişim paketi için Erişimim portalı bağlantısını kullandığından emin olun. Daha fazla bilgi için bkz . Erişim paketi istemek için bağlantıyı paylaşma. Dış kullanıcı yalnızca myaccess.microsoft.com ziyaret ederse ve Tam Erişim portalım bağlantısını kullanmıyorsa, kuruluşunuzda değil kendi kuruluşunda kendilerine sağlanan erişim paketlerini görür.

  • Dış kullanıcı bir erişim paketine erişim isteğinde bulunamıyorsa veya kaynaklara erişemiyorsa, dış kullanıcılar için ayarlarınızı kontrol edin.

  • Dizininizde daha önce oturum açmamış yeni bir dış kullanıcı SharePoint Online sitesi de dahil olmak üzere bir erişim paketi alırsa, hesabı SharePoint Online'da sağlanana kadar erişim paketi tam olarak teslim edilmemiş olarak gösterilir. Paylaşım ayarları hakkında daha fazla bilgi için bkz . SharePoint Online dış paylaşım ayarlarınızı gözden geçirme.

İstekler

  • Bir kullanıcı erişim paketine erişim isteğinde bulunmak istediğinde, erişim paketi için Erişim portalım bağlantısını kullandığından emin olun. Daha fazla bilgi için bkz . Erişim paketi istemek için bağlantıyı paylaşma.

  • InPrivate veya gizli moda ayarlanmış tarayıcınızla Erişimim portalını açtığınızda oturum açma davranışıyla çakışma yaşanabilir. Erişimim portalını ziyaret ettiğinizde tarayıcınız için özel veya gizli modu kullanmamanızı öneririz.

  • Henüz dizininizde olmayan bir kullanıcı erişim paketi istemek için Erişimim portalında oturum açtığında, kuruluş hesabını kullanarak kimlik doğrulamasından geçtiğinden emin olun. Kurumsal hesap kaynak dizinindeki bir hesap olabileceği gibi, erişim paketinin ilkelerinden birine eklenmiş olan dizindeki bir hesap da olabilir. Kullanıcının hesabı bir kuruluş hesabı değilse veya kimlik doğrulaması yaptığı dizin ilkeye dahil değilse, kullanıcı erişim paketini görmez. Daha fazla bilgi için bkz . Erişim paketine erişim isteme.

  • Bir kullanıcının kaynak dizininde oturum açması engellenirse, Erişimim portalında erişim isteğinde bulunamaz. Kullanıcının erişim isteyebilmesi için önce kullanıcının profilinden oturum açma engelini kaldırmanız gerekir. Oturum açma bloğunu kaldırmak için Microsoft Entra yönetim merkezinde Kimlik'i, Kullanıcılar'ı, kullanıcıyı ve ardından Profil'i seçin. Ayarlar bölümünü düzenleyin ve Oturum açmayı engelle'yi Hayır olarak değiştirin. Daha fazla bilgi için bkz . Microsoft Entra Id kullanarak kullanıcının profil bilgilerini ekleme veya güncelleştirme. Kullanıcının bir Kimlik Koruması ilkesi nedeniyle engellenip engellenmediğini de de de kontrol edebilirsiniz.

  • Erişimim portalında, bir kullanıcı hem istek sahibi hem de onaylayansa, erişim paketi isteğini Onaylar sayfasında görmez. Bu davranış kasıtlı olarak yapılır. Kullanıcı kendi isteğini onaylayamaz. İstekte bulundukları erişim paketinin ilkede yapılandırılmış ek onaylayanları olduğundan emin olun. Daha fazla bilgi için bkz . Erişim paketi için istek ve onay ayarlarını değiştirme.

İsteğin teslim hatalarını görüntüleme

Önkoşul rolü: Genel yönetici, Kimlik İdaresi yöneticisi, Katalog sahibi, Access paket yöneticisi veya Access paket atama yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  3. İstekler'i seçin.

  4. Görüntülemek istediğiniz isteği seçin.

    İstekte herhangi bir teslim hatası varsa, istek durumu Teslim Edilmedi veya Kısmen teslim edilir.

    Herhangi bir teslim hatası varsa, isteğin ayrıntı bölmesinde teslim hataları sayısı görüntülenir.

  5. İsteğin teslim hatalarının tümünü görmek için sayıyı seçin.

İsteği yeniden işleme

Erişim paketi yeniden işleme isteğini tetikledikten sonra bir hata oluşursa, sistem isteği yeniden işlemeye devam ederken beklemeniz gerekir. Sistem birkaç saat boyunca yeniden işlemeyi birden çok kez dener, bu nedenle bu süre boyunca yeniden işlemeye zorlayamazsınız.

Yalnızca Teslim başarısız veya Kısmen teslim edildi durumuna ve bir haftadan kısa bir tamamlanma tarihine sahip bir isteği yeniden işleyebilirsiniz. Aksi takdirde yeniden işleme düğmesi gri görünür.

Reprocess button grayed out

  • Denemeler penceresi sırasında hata düzeltilirse istek durumu Teslim Etme olarak değişir. İstek, kullanıcının ek eylemleri olmadan yeniden işleme alır.

  • Denemeler penceresi sırasında hata düzeltilmediyse istek durumu Teslim başarısız oldu veya kısmen teslim edildi olabilir. Daha sonra yeniden işleme düğmesini kullanabilirsiniz. İsteği yeniden işlemek için yedi gününüz olacak.

Önkoşul rolü: Genel yönetici, Kimlik İdaresi yöneticisi, Katalog sahibi, Access paket yöneticisi veya Access paket atama yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Erişim paketini açmak için Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  3. İstekler'i seçin.

  4. Yeniden işlemek istediğiniz isteği seçin.

  5. İstek ayrıntıları bölmesinde İsteği yeniden işle'yi seçin.

    Reprocess a failed request

Bekleyen isteği iptal etme

Yalnızca henüz teslim edilmemiş veya teslimi başarısız olan bekleyen bir isteği iptal edebilirsiniz. İptal düğmesi aksi takdirde gri görünür.

Önkoşul rolü: Genel yönetici, Kimlik İdaresi yöneticisi, Katalog sahibi, Access paket yöneticisi veya Access paket atama yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Erişim paketini açmak için Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketleri'ne göz atın.

  3. İstekler'i seçin.

  4. İptal etmek istediğiniz isteği seçin.

  5. İstek ayrıntıları bölmesinde İsteği iptal et'i seçin.

Otomatik atama ilkeleri

  • Her otomatik atama ilkesi, kuralı kapsamında en fazla 5000 kullanıcı içerebilir. Kural kapsamındaki ek kullanıcılara erişim atanamayabilir.

Birden çok ilke

  • Yetkilendirme yönetimi en az ayrıcalık en iyi yöntemlerini izler. Kullanıcı, geçerli birden çok ilkesi olan bir erişim paketine erişim istediğinde, yetkilendirme yönetimi genel ilkelere göre daha katı veya daha belirli ilkelerin önceliklendirildiğinden emin olmak için mantık içerir. İlke genelse, yetkilendirme yönetimi ilkeyi istek sahibine görüntülemeyebilir veya otomatik olarak daha katı bir ilke seçebilir.

  • Örneğin, dizindeki kullanıcılar için iki ilke içeren ve her iki ilkenin de istek sahibi için geçerli olduğu bir erişim paketi düşünün. İlk ilke, istek sahibini içeren belirli kullanıcılar içindir. İkinci ilke, dizindeki tüm kullanıcılar içindir. Bu senaryoda, daha katı olduğundan istek sahibi için ilk ilke otomatik olarak seçilir. İstek sahibine ikinci ilkeyi seçme seçeneği verilmez.

  • Birden çok ilke uygulandığında, otomatik olarak seçilen ilke veya istek sahibine görüntülenen ilkeler aşağıdaki öncelik mantığını temel alır:

    İlke önceliği Kapsam
    P1 Dizininizdeki belirli kullanıcılar ve gruplar VEYA Belirli bağlı kuruluşlar
    P2 Dizininizdeki tüm üyeler (konuklar hariç)
    P3 Dizininizdeki tüm kullanıcılar (konuklar dahil) VEYA Belirli bağlı kuruluşlar
    P4 Yapılandırılmış tüm bağlı kuruluşlar VEYA Tüm kullanıcılar (tüm bağlı kuruluşlar + yeni dış kullanıcılar)

    Herhangi bir ilke daha yüksek öncelikli bir kategorideyse, düşük öncelikli kategoriler yoksayılır. İstek sahibine aynı önceliğe sahip birden çok ilkenin nasıl görüntülendiğine ilişkin bir örnek için bkz . İlke seçme.

Sonraki adımlar