Microsoft Entra Id'de self servis grup yönetimini ayarlama

Kullanıcıların Microsoft Entra Id'de kendi güvenlik gruplarını veya Microsoft 365 gruplarını oluşturmasını ve yönetmesini sağlayabilirsiniz. Grubun sahibi üyelik isteklerini onaylayabilir veya reddedebilir ve grup üyeliği denetimini temsilci olarak kullanabilir. Posta etkin güvenlik grupları veya dağıtım listeleri için self servis grup yönetimi özellikleri kullanılamaz.

Self servis grup üyeliği

Kullanıcıların paylaşılan kaynaklara erişimi yönetmek için kullanılan güvenlik grupları oluşturmasına izin vekleyebilirsiniz. Kullanıcılar Azure portalda Azure Active Directory (Azure AD) PowerShell kullanarak veya MyApps Grupları Erişim Paneli güvenlik grupları oluşturabilir.

Önemli

Azure AD PowerShell'in 30 Mart 2024'te kullanımdan kaldırılması planlanmaktadır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Microsoft Graph PowerShell, tüm Microsoft Graph API'lerine erişim sağlar ve PowerShell 7'de kullanılabilir. Yaygın geçiş sorgularının yanıtları için bkz . Geçiş SSS.

Yalnızca grubun sahipleri üyeliği güncelleştirebilir, ancak grup sahiplerine MyApps Grupları Erişim Paneli üyelik isteklerini onaylama veya reddetme olanağı sağlayabilirsiniz. Self servis tarafından MyApps Grupları Erişim Paneli aracılığıyla oluşturulan güvenlik grupları, sahip onaylı veya otomatik onaylanmış olsun tüm kullanıcılara katılabilir. MyApps Grupları Erişim Paneli, grubu oluştururken üyelik seçeneklerini değiştirebilirsiniz.

Microsoft 365 grupları, kullanıcılarınız için işbirliği fırsatları sunar. SharePoint, Microsoft Teams ve Planner gibi Microsoft 365 uygulamalarından herhangi birinde grup oluşturabilirsiniz. Microsoft Graph PowerShell'i kullanarak veya MyApps Grupları Erişim Paneli kullanarak Azure portallarında Microsoft 365 grupları da oluşturabilirsiniz. Güvenlik grupları ile Microsoft 365 grupları arasındaki fark hakkında daha fazla bilgi için bkz . Gruplar hakkında bilgi edinin.

'da oluşturulan gruplar Güvenlik grubu varsayılan davranışı Microsoft 365 grubu varsayılan davranışı
Microsoft Graph PowerShell Yalnızca sahipler üye ekleyebilir.
Görünür ancak MyApp Groups Erişim Paneli katılamaz.
Tüm kullanıcılar için katılmak üzere açın.
Azure portalı Yalnızca sahipler üye ekleyebilir.
Görünür ancak MyApps Grupları Erişim Paneli katılamaz.
Sahip, grup oluşturma sırasında otomatik olarak atanmıyor.
Tüm kullanıcılar için katılmak üzere açın.
MyApps Grupları Erişim Paneli Tüm kullanıcılar için katılmak üzere açın.
Grup oluşturulduğunda üyelik seçenekleri değiştirilebilir.
Tüm kullanıcılar için katılmak üzere açın.
Grup oluşturulduğunda üyelik seçenekleri değiştirilebilir.

Self servis grup yönetimi senaryoları

İki senaryo self servis grup yönetimini açıklamaya yardımcı olur.

Temsilcili grup yönetimi

Bu örnek senaryoda yönetici, şirketin kullandığı hizmet olarak yazılım (SaaS) uygulamasına erişimi yönetir. Erişim haklarını yönetmek zahmetli olduğundan yönetici, işletme sahibinden yeni bir grup oluşturmasını ister. Yönetici, uygulama için erişimi yeni gruba atar ve uygulamaya zaten erişen tüm kişileri gruba ekler. Ardından işletme sahibi daha fazla kullanıcı ekleyebilir ve bu kullanıcılar uygulamaya otomatik olarak sağlanır.

İşletme sahibinin, yöneticinin kullanıcılar için erişimi yönetmesini beklemesi gerekmez. Yönetici farklı bir iş grubundaki bir yöneticiye aynı izni verirse, bu kişi kendi grup üyeleri için de erişimi yönetebilir. İşletme sahibi ve yönetici birbirlerinin grup üyeliklerini görüntüleyemez veya yönetemez. Yönetici, uygulamaya erişimi olan ve gerekirse erişim haklarını engelleyen tüm kullanıcıları görmeye devam edebilir.

Self servis grup yönetimi

Bu örnek senaryoda, iki kullanıcının bağımsız olarak ayarladıkları SharePoint Online siteleri vardır. Birbirlerinin ekiplerine sitelerine erişim vermek istiyorlar. Bu görevi gerçekleştirmek için Microsoft Entra Id'de bir grup oluşturabilirler. SharePoint Online'da, her biri sitelerine erişim sağlamak için bu grubu seçer.

Birisi erişim istediğinde, MyApps Grupları Erişim Paneli bu erişimi ister. Onaydan sonra, her iki SharePoint Online sına da otomatik olarak erişim elde ederler. Daha sonra bu kişilerden biri, siteye erişen herkesin belirli bir SaaS uygulamasına da erişmesi gerektiğine karar verir. SaaS uygulamasının yöneticisi uygulamanın erişim haklarını SharePoint Online sitesine ekleyebilir. Bundan sonra, onaylanan tüm istekler iki SharePoint Online sına ve ayrıca SaaS uygulamasına erişim verir.

Bir grubu kullanıcı self servisi için kullanıma sunma

  1. Microsoft Entra yönetim merkezinde en azından Gruplar Yönetici istrator olarak oturum açın.

  2. Microsoft Entra Kimlik'i seçin.

  3. Tüm gruplar Grupları'nı> ve ardından Genel ayarlar'ı seçin.

    Not

    Bu ayar yalnızca Gruplarım'daki grup bilgilerine erişimi kısıtlar. Microsoft Graph API çağrıları veya Microsoft Entra yönetim merkezi gibi diğer yöntemler aracılığıyla grup bilgilerine erişimi kısıtlamaz.

    Screenshot that shows Microsoft Entra groups General settings.

    Not

    Haziran 2024'te Kullanıcıları Gruplarıma erişimini kısıtla ayarı, Kullanıcıları Gruplarım'da güvenlik gruplarını görme ve düzenleme yeteneğini kısıtla olarak değişir. Ayar şu anda Evet olarak ayarlandıysa, kullanıcılar Haziran 2024'te Gruplarım'a erişebilir ancak güvenlik gruplarını göremez.

  4. Sahipler, Erişim Paneli grup üyeliği isteklerini Evet olarak yönetebilir.

  5. Erişim Paneli grup özelliklerine kullanıcı erişimini kısıtla seçeneğini Hayır olarak ayarlayın.

  6. Kullanıcılar Azure portallarında, API'lerinde veya PowerShell'de güvenlik grupları oluşturabilir seçeneğini Evet veya Hayır olarak ayarlayın.

    Bu ayar hakkında daha fazla bilgi için bkz . Grup ayarları.

  7. Kullanıcılar Azure portallarında, API'de veya PowerShell'de Microsoft 365 grupları oluşturabilir seçeneğini Evet veya Hayır olarak ayarlayın.

    Bu ayar hakkında daha fazla bilgi için bkz . Grup ayarları.

Kullanıcılarınız için self servis grup yönetimi üzerinde daha ayrıntılı erişim denetimi elde etmek için Azure portalında üyeleri grup sahibi olarak atayabilen Sahipler'i de kullanabilirsiniz.

Kullanıcılar grup oluşturabildiğinde, kuruluşunuzdaki tüm kullanıcıların yeni gruplar oluşturmasına izin verilir. Varsayılan sahip olarak, bu gruplara üye ekleyebilirler. Kendi gruplarını oluşturabilecek kişileri belirtemezsiniz. Yalnızca başka bir grup üyesini grup sahibi yapmak için bireyleri belirtebilirsiniz.

Not

Kullanıcıların bir güvenlik grubuna veya Microsoft 365 grubuna katılma isteğinde bulunmaları ve sahiplerin üyelik isteklerini onaylamaları veya reddetmeleri için Microsoft Entra Id P1 veya P2 lisansı gereklidir. Microsoft Entra ID P1 veya P2 lisansı olmadan, kullanıcılar yine de MyApp Groups Erişim Paneli gruplarını yönetebilir. Ancak sahip onayı gerektiren bir grup oluşturamaz ve gruba katılma isteğinde bulunamaz.

Grup ayarları

Grup ayarları, kimlerin güvenlik ve Microsoft 365 grupları oluşturabileceğini denetlemenizi sağlar.

Screenshot that shows Microsoft Entra security groups setting change.

Aşağıdaki tablo, hangi değerleri seçeceğinize karar vermenize yardımcı olur.

Ayar Value Kiracınız üzerindeki etkisi
Kullanıcılar Azure portalında, API'de veya PowerShell'de güvenlik grupları oluşturabilir. Yes Microsoft Entra kuruluşunuzdaki tüm kullanıcıların Azure portalında, API'de veya PowerShell'de yeni güvenlik grupları oluşturmasına ve bu gruplara üye eklemesine izin verilir. Bu yeni gruplar, diğer tüm kullanıcılar için Erişim Paneli da gösterilir. Grup üzerindeki ilke ayarı izin veriyorsa diğer kullanıcılar bu gruplara katılmak için istekler oluşturabilir.
Hayır Kullanıcılar güvenlik grupları oluşturamaz. Yine de sahibi oldukları grupların üyeliğini yönetebilir ve diğer kullanıcıların gruplarına katılma isteklerini onaylayabilirler.
Kullanıcılar Azure portalında, API'de veya PowerShell'de Microsoft 365 grupları oluşturabilir. Yes Microsoft Entra kuruluşunuzdaki tüm kullanıcıların Azure portalında, API'de veya PowerShell'de yeni Microsoft 365 grupları oluşturmasına ve bu gruplara üye eklemesine izin verilir. Bu yeni gruplar, diğer tüm kullanıcılar için Erişim Paneli da gösterilir. Grup üzerindeki ilke ayarı izin veriyorsa diğer kullanıcılar bu gruplara katılmak için istekler oluşturabilir.
Hayır Kullanıcılar M365 Grupları oluşturamaz. Yine de sahibi oldukları grupların üyeliğini yönetebilir ve diğer kullanıcıların gruplarına katılma isteklerini onaylayabilirler.

Bu grup ayarlarıyla ilgili diğer ayrıntılar şunlardır:

  • Bu ayarların geçerlilik kazanması 15 dakika kadar sürebilir.
  • Grup oluşturmak için kullanıcılarınızın tümünü değil bazılarını etkinleştirmek istiyorsanız, bu kullanıcılara Gruplar Yönetici istrator gibi gruplar oluşturabilecek bir rol atayabilirsiniz.
  • Bu ayarlar kullanıcılar içindir ve hizmet sorumlularını etkilemez. Örneğin, grup oluşturma izinlerine sahip bir hizmet sorumlunuzun olması durumunda, bu ayarları Hayır olarak ayarlasanız bile hizmet sorumlusu yine de grup oluşturabilir.

Microsoft Graph kullanarak grup ayarlarını yapılandırma

Microsoft Graph kullanarak Kullanıcılar Azure portallarında, API'de veya PowerShell'de güvenlik grupları oluşturabilir ayarını yapılandırmak için nesnedeki EnableGroupCreationgroupSettings nesneyi yapılandırın. Daha fazla bilgi için bkz . Grup ayarlarına genel bakış.

Microsoft Graph kullanarak Kullanıcılar Azure portallarında, API'lerinde veya PowerShell'de güvenlik grupları oluşturabilir ayarını yapılandırmak için authorizationPolicy nesnesindeki özelliğini defaultUserRolePermissions güncelleştirinallowedToCreateSecurityGroups.

Sonraki adımlar

Microsoft Entra Id hakkında daha fazla bilgi için bkz: