Azure Active Directory'da konuk erişimi izinlerini kısıtlama
Azure Active Directory (Azure AD), dış konuk kullanıcıların kuruluşlarında görebileceklerini Azure AD kısıtlamanıza olanak tanır. Konuk kullanıcılar Azure AD varsayılan olarak sınırlı izin düzeyine ayarlanırken, üye kullanıcılar için varsayılan ayar tam kullanıcı izinleri kümesidir. Azure AD kuruluşunuzun dış işbirliği ayarlarında daha kısıtlı erişim için başka bir konuk kullanıcı izin düzeyi vardır; böylece konuk erişim düzeyleri şunlardır:
| İzin düzeyi | Erişim düzeyi | Değer |
|---|---|---|
| Üye kullanıcılarla aynı | Konuklar, Azure AD kaynaklarına üye kullanıcılarla aynı erişime sahiptir | a0b1b346-4d3e-4e8b-98f8-753987be4970 |
| Sınırlı erişim (varsayılan) | Konuklar gizli olmayan tüm grupların üyeliğini görebilir | 10dae51f-b6af-4016-8d66-8c2a99b929b3 |
| Kısıtlı erişim (yeni) | Konuklar hiçbir grubun üyeliğini göremez | 2af84b1e-32c8-42b7-82bc-daa82404023b |
Konuk erişimi kısıtlandığında, konuklar yalnızca kendi kullanıcı profillerini görüntüleyebilir. Konuk Kullanıcı Asıl Adı veya objectId değeriyle arama yapmasa bile diğer kullanıcıları görüntüleme iznine izin verilmez. Kısıtlı erişim, konuk kullanıcıların bulundukları grupların üyeliğini görmelerini de kısıtlar. Konuk kullanıcı izinleri de dahil olmak üzere genel varsayılan kullanıcı izinleri hakkında daha fazla bilgi için bkz. Azure Active Directory'da varsayılan kullanıcı izinleri nelerdir?.
İzinler ve lisanslar
Konuk kullanıcı erişimini yapılandırmak için Genel Yönetici rolünde olmanız gerekir. Konuk erişimini kısıtlamak için ek lisanslama gereksinimi yoktur.
Azure portal güncelleştirme
Konuk kullanıcı izinleri için mevcut Azure portal denetimlerinde değişiklikler yaptık.
Genel yönetici izinlerle Azure AD yönetim merkezinde oturum açın.
Kuruluşunuzun Azure Active Directory genel bakış sayfasında Kullanıcı ayarları'nı seçin.
Dış kullanıcılar'ın altında Dış işbirliği ayarlarını yönet'i seçin.
Dış işbirliği ayarları sayfasında Konuk kullanıcı erişimi kendi dizin nesnelerinin özellikleri ve üyelikleriyle sınırlıdır seçeneğini belirleyin.
Kaydet’i seçin. Değişikliklerin konuk kullanıcılar için geçerli olması 15 dakika kadar sürebilir.
Microsoft Graph API ile güncelleştirme
Azure AD kuruluşunuzda konuk izinlerini yapılandırmak için yeni bir Microsoft Graph API ekledik. Herhangi bir izin düzeyi atamak için aşağıdaki API çağrıları yapılabilir. Burada kullanılan guestUserRoleId değeri, en kısıtlı konuk kullanıcı ayarını göstermektir. Konuk izinlerini ayarlamak için Microsoft Graph kullanma hakkında daha fazla bilgi için bkz. authorizationPolicy kaynak türü.
İlk kez yapılandırma
POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
Yanıt Başarılı 204 olmalıdır.
Mevcut değeri güncelleştirme
PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
Yanıt Başarılı 204 olmalıdır.
Geçerli değeri görüntüleme
GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
Örnek yanıt:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
"id": "authorizationPolicy",
"displayName": "Authorization Policy",
"description": "Used to manage authorization related settings across the company.",
"enabledPreviewFeatures": [],
"guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"permissionGrantPolicyIdsAssignedToDefaultUserRole": [
"user-default-legacy"
]
}
PowerShell cmdlet'leri ile güncelleştirme
Bu özellik sayesinde Kısıtlı izinleri PowerShell v2 cmdlet'leri aracılığıyla yapılandırma özelliğini ekledik. Get ve Set PowerShell cmdlet'leri 2.0.2.85 sürümünde yayımlanmıştır.
Get komutu: Get-AzureADMSAuthorizationPolicy
Örnek:
PS C:\WINDOWS\system32> Get-AzureADMSAuthorizationPolicy
Id : authorizationPolicy
OdataType :
Description : Used to manage authorization related settings across the company.
DisplayName : Authorization Policy
EnabledPreviewFeatures : {}
GuestUserRoleId : 10dae51f-b6af-4016-8d66-8c2a99b929b3
PermissionGrantPolicyIdsAssignedToDefaultUserRole : {user-default-legacy}
Komutu ayarla: Set-AzureADMSAuthorizationPolicy
Örnek:
PS C:\WINDOWS\system32> Set-AzureADMSAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'
Not
İstendiğinde kimlik olarak authorizationPolicy girmelisiniz.
Desteklenen Microsoft 365 hizmetleri
Desteklenen hizmetler
Desteklendiğinde, deneyimin beklendiği gibi olduğu anlamına gelir; özel olarak geçerli konuk deneyimiyle aynı olduğunu gösterir.
- Teams
- Outlook (OWA)
- SharePoint
- Teams'de Planner
- Planner mobil uygulaması
- Planner web uygulaması
Şu anda desteklenmeyen hizmetler
Geçerli desteği olmayan hizmette yeni konuk kısıtlama ayarıyla ilgili uyumluluk sorunları olabilir.
- Formlar
- Project
- Yammer
Sık sorulan sorular (SSS)
| Soru | Yanıt |
|---|---|
| Bu izinler nereye uygulanır? | Bu dizin düzeyindeki izinler Microsoft Graph, PowerShell v2, Azure portal ve Uygulamalarım portalı gibi Azure AD hizmetlerinde uygulanır. İşbirliği senaryoları için Microsoft 365 gruplarından yararlanan Microsoft 365 hizmetleri, özellikle Outlook, Microsoft Teams ve SharePoint etkilenir. |
| Kısıtlı izinler, konukların görebileceği grupları nasıl etkiler? | Varsayılan veya kısıtlı konuk izinlerinden bağımsız olarak, konuklar grup veya kullanıcı listesini numaralandıramaz. İzinlere bağlı olarak, konuklar üyesi oldukları grupları hem Azure portal hem de Uygulamalarım portalında görebilir:
Graph API gelen dizin izinlerinin daha ayrıntılı karşılaştırması için bkz. Varsayılan kullanıcı izinleri. |
| Bu özellik Uygulamalarım portalın hangi bölümlerini etkiler? | Uygulamalarım portalındaki gruplar işlevselliği bu yeni izinleri kabul eder. Bu işlevsellik, Uygulamalarım grup listesini ve grup üyeliklerini görüntülemek için tüm yolları içerir. Grup kutucuğu kullanılabilirliği için hiçbir değişiklik yapılmadı. Grup kutucuğu kullanılabilirliği, Azure portal mevcut grup ayarı tarafından denetlendi. |
| Bu izinler SharePoint veya Microsoft Teams konuk ayarlarını geçersiz kılar mı? | Hayır. Mevcut ayarlar yine de bu uygulamalarda deneyimi ve erişimi denetler. Örneğin, SharePoint'da sorunlar görürseniz dış paylaşım ayarlarınızı bir kez daha denetleyin. Ekip sahipleri tarafından ekip düzeyinde eklenen konuklar, özel ve paylaşılan kanallar hariç olmak üzere yalnızca standart kanallar için kanal toplantısı sohbetine erişebilir. |
| Yammer'daki bilinen uyumluluk sorunları nelerdir? | İzinler 'kısıtlı' olarak ayarlandığında, Yammer oturum açan konuklar gruptan ayrılamaz. |
| Kiracımda var olan konuk izinlerim değiştirilecek mi? | Geçerli ayarlarınızda hiçbir değişiklik yapılmadı. Mevcut ayarlarınız ile geriye dönük uyumluluğu koruruz. Ne zaman değişiklik yapmak istediğinize siz karar verirsiniz. |
| Bu izinler varsayılan olarak ayarlanacak mı? | Hayır. Mevcut varsayılan izinler değişmeden kalır. İsteğe bağlı olarak izinleri daha kısıtlayıcı olacak şekilde ayarlayabilirsiniz. |
| Bu özellik için herhangi bir lisans gereksinimi var mı? | Hayır, bu özellikle yeni lisanslama gereksinimleri yoktur. |
Sonraki adımlar
- Azure AD'daki mevcut konuk izinleri hakkında daha fazla bilgi edinmek için bkz. Azure Active Directory'da varsayılan kullanıcı izinleri nelerdir?
- Konuk erişimini kısıtlamaya yönelik Microsoft Graph API yöntemlerini görmek için bkz. authorizationPolicy kaynak türü
- Kullanıcının tüm erişimini iptal etmek için bkz. Azure AD'de kullanıcı erişimini iptal etme