Azure Active Directory'da konuk erişimi izinlerini kısıtlama

Azure Active Directory (Azure AD), dış konuk kullanıcıların kuruluşlarında görebileceklerini Azure AD kısıtlamanıza olanak tanır. Konuk kullanıcılar Azure AD varsayılan olarak sınırlı izin düzeyine ayarlanırken, üye kullanıcılar için varsayılan ayar tam kullanıcı izinleri kümesidir. Azure AD kuruluşunuzun dış işbirliği ayarlarında daha kısıtlı erişim için başka bir konuk kullanıcı izin düzeyi vardır; böylece konuk erişim düzeyleri şunlardır:

İzin düzeyi Erişim düzeyi Değer
Üye kullanıcılarla aynı Konuklar, Azure AD kaynaklarına üye kullanıcılarla aynı erişime sahiptir a0b1b346-4d3e-4e8b-98f8-753987be4970
Sınırlı erişim (varsayılan) Konuklar gizli olmayan tüm grupların üyeliğini görebilir 10dae51f-b6af-4016-8d66-8c2a99b929b3
Kısıtlı erişim (yeni) Konuklar hiçbir grubun üyeliğini göremez 2af84b1e-32c8-42b7-82bc-daa82404023b

Konuk erişimi kısıtlandığında, konuklar yalnızca kendi kullanıcı profillerini görüntüleyebilir. Konuk Kullanıcı Asıl Adı veya objectId değeriyle arama yapmasa bile diğer kullanıcıları görüntüleme iznine izin verilmez. Kısıtlı erişim, konuk kullanıcıların bulundukları grupların üyeliğini görmelerini de kısıtlar. Konuk kullanıcı izinleri de dahil olmak üzere genel varsayılan kullanıcı izinleri hakkında daha fazla bilgi için bkz. Azure Active Directory'da varsayılan kullanıcı izinleri nelerdir?.

İzinler ve lisanslar

Konuk kullanıcı erişimini yapılandırmak için Genel Yönetici rolünde olmanız gerekir. Konuk erişimini kısıtlamak için ek lisanslama gereksinimi yoktur.

Azure portal güncelleştirme

Konuk kullanıcı izinleri için mevcut Azure portal denetimlerinde değişiklikler yaptık.

  1. Genel yönetici izinlerle Azure AD yönetim merkezinde oturum açın.

  2. Kuruluşunuzun Azure Active Directory genel bakış sayfasında Kullanıcı ayarları'nı seçin.

  3. Dış kullanıcılar'ın altında Dış işbirliği ayarlarını yönet'i seçin.

  4. Dış işbirliği ayarları sayfasında Konuk kullanıcı erişimi kendi dizin nesnelerinin özellikleri ve üyelikleriyle sınırlıdır seçeneğini belirleyin.

    Azure AD external collaboration settings page

  5. Kaydet’i seçin. Değişikliklerin konuk kullanıcılar için geçerli olması 15 dakika kadar sürebilir.

Microsoft Graph API ile güncelleştirme

Azure AD kuruluşunuzda konuk izinlerini yapılandırmak için yeni bir Microsoft Graph API ekledik. Herhangi bir izin düzeyi atamak için aşağıdaki API çağrıları yapılabilir. Burada kullanılan guestUserRoleId değeri, en kısıtlı konuk kullanıcı ayarını göstermektir. Konuk izinlerini ayarlamak için Microsoft Graph kullanma hakkında daha fazla bilgi için bkz. authorizationPolicy kaynak türü.

İlk kez yapılandırma

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Yanıt Başarılı 204 olmalıdır.

Mevcut değeri güncelleştirme

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Yanıt Başarılı 204 olmalıdır.

Geçerli değeri görüntüleme

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Örnek yanıt:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

PowerShell cmdlet'leri ile güncelleştirme

Bu özellik sayesinde Kısıtlı izinleri PowerShell v2 cmdlet'leri aracılığıyla yapılandırma özelliğini ekledik. Get ve Set PowerShell cmdlet'leri 2.0.2.85 sürümünde yayımlanmıştır.

Get komutu: Get-AzureADMSAuthorizationPolicy

Örnek:

PS C:\WINDOWS\system32> Get-AzureADMSAuthorizationPolicy

Id                                                : authorizationPolicy
OdataType                                         :
Description                                       : Used to manage authorization related settings across the company.
DisplayName                                       : Authorization Policy
EnabledPreviewFeatures                            : {}
GuestUserRoleId                                   : 10dae51f-b6af-4016-8d66-8c2a99b929b3
PermissionGrantPolicyIdsAssignedToDefaultUserRole : {user-default-legacy}

Komutu ayarla: Set-AzureADMSAuthorizationPolicy

Örnek:

PS C:\WINDOWS\system32> Set-AzureADMSAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Not

İstendiğinde kimlik olarak authorizationPolicy girmelisiniz.

Desteklenen Microsoft 365 hizmetleri

Desteklenen hizmetler

Desteklendiğinde, deneyimin beklendiği gibi olduğu anlamına gelir; özel olarak geçerli konuk deneyimiyle aynı olduğunu gösterir.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Teams'de Planner
  • Planner mobil uygulaması
  • Planner web uygulaması

Şu anda desteklenmeyen hizmetler

Geçerli desteği olmayan hizmette yeni konuk kısıtlama ayarıyla ilgili uyumluluk sorunları olabilir.

  • Formlar
  • Project
  • Yammer

Sık sorulan sorular (SSS)

Soru Yanıt
Bu izinler nereye uygulanır? Bu dizin düzeyindeki izinler Microsoft Graph, PowerShell v2, Azure portal ve Uygulamalarım portalı gibi Azure AD hizmetlerinde uygulanır. İşbirliği senaryoları için Microsoft 365 gruplarından yararlanan Microsoft 365 hizmetleri, özellikle Outlook, Microsoft Teams ve SharePoint etkilenir.
Kısıtlı izinler, konukların görebileceği grupları nasıl etkiler? Varsayılan veya kısıtlı konuk izinlerinden bağımsız olarak, konuklar grup veya kullanıcı listesini numaralandıramaz. İzinlere bağlı olarak, konuklar üyesi oldukları grupları hem Azure portal hem de Uygulamalarım portalında görebilir:
  • Varsayılan izinler: Azure portal üyesi oldukları grupları bulmak için konuğun Tüm kullanıcılar listesinde nesne kimliğini araması ve ardından Gruplar'ı seçmesi gerekir. Burada ad, e-posta vb. dahil olmak üzere tüm grup ayrıntıları dahil olmak üzere üye oldukları grupların listesini görebilirler. Uygulamalarım portalında sahip oldukları grupların ve bulundukları grupların listesini görebilirler.
  • Kısıtlı konuk izinleri: Azure portal, tüm kullanıcılar listesinde nesne kimliklerini arayarak ve ardından Gruplar'ı seçerek bulundukları grupların listesini bulabilir. Grupla ilgili yalnızca sınırlı ayrıntıları, özellikle de nesne kimliğini görebilirler. Tasarım gereği Ad ve E-posta sütunları boş olur ve Grup Türü Tanınmaz. Uygulamalarım portalında sahip oldukları grupların veya üyesi oldukları grupların listesine erişemezler.

Graph API gelen dizin izinlerinin daha ayrıntılı karşılaştırması için bkz. Varsayılan kullanıcı izinleri.
Bu özellik Uygulamalarım portalın hangi bölümlerini etkiler? Uygulamalarım portalındaki gruplar işlevselliği bu yeni izinleri kabul eder. Bu işlevsellik, Uygulamalarım grup listesini ve grup üyeliklerini görüntülemek için tüm yolları içerir. Grup kutucuğu kullanılabilirliği için hiçbir değişiklik yapılmadı. Grup kutucuğu kullanılabilirliği, Azure portal mevcut grup ayarı tarafından denetlendi.
Bu izinler SharePoint veya Microsoft Teams konuk ayarlarını geçersiz kılar mı? Hayır. Mevcut ayarlar yine de bu uygulamalarda deneyimi ve erişimi denetler. Örneğin, SharePoint'da sorunlar görürseniz dış paylaşım ayarlarınızı bir kez daha denetleyin. Ekip sahipleri tarafından ekip düzeyinde eklenen konuklar, özel ve paylaşılan kanallar hariç olmak üzere yalnızca standart kanallar için kanal toplantısı sohbetine erişebilir.
Yammer'daki bilinen uyumluluk sorunları nelerdir? İzinler 'kısıtlı' olarak ayarlandığında, Yammer oturum açan konuklar gruptan ayrılamaz.
Kiracımda var olan konuk izinlerim değiştirilecek mi? Geçerli ayarlarınızda hiçbir değişiklik yapılmadı. Mevcut ayarlarınız ile geriye dönük uyumluluğu koruruz. Ne zaman değişiklik yapmak istediğinize siz karar verirsiniz.
Bu izinler varsayılan olarak ayarlanacak mı? Hayır. Mevcut varsayılan izinler değişmeden kalır. İsteğe bağlı olarak izinleri daha kısıtlayıcı olacak şekilde ayarlayabilirsiniz.
Bu özellik için herhangi bir lisans gereksinimi var mı? Hayır, bu özellikle yeni lisanslama gereksinimleri yoktur.

Sonraki adımlar