Microsoft Entra Id ve Microsoft 365'te gruplarla dış erişimin güvenliğini sağlama
Gruplar, erişim denetimi stratejisinin bir parçasıdır. Kaynaklara erişimin güvenliğini sağlamak için temel olarak Microsoft Entra güvenlik gruplarını ve Microsoft 365 Grupları kullanabilirsiniz. Aşağıdaki erişim denetimi mekanizmaları için grupları kullanın:
- Koşullu Erişim ilkeleri
- Yetkilendirme yönetimi erişim paketleri
- Microsoft 365 kaynaklarına, Microsoft Teams'e ve SharePoint sitelerine erişim
Gruplar aşağıdaki rollere sahiptir:
- Grup sahipleri – grup ayarlarını ve üyeliğini yönetme
- Üyeler – gruba atanan izinleri ve erişimi devralın
- Konuklar – kuruluşunuzun dışındaki üyelerdir
Başlamadan önce
Bu makale, 10 makaleden oluşan bir serinin 4. Makaleleri sırayla incelemenizi öneririz. Serinin tamamını görmek için Sonraki adımlar bölümüne gidin.
Grup stratejisi
Kaynaklarınıza dış erişimin güvenliğini sağlamak üzere bir grup stratejisi geliştirmek için, istediğiniz güvenlik duruşunu göz önünde bulundurun.
Daha fazla bilgi edinin: Dış erişim için güvenlik duruşunuzu belirleme
Grup oluşturma
Grup oluşturma izinleri verilen kişileri belirleyin: Yönetici istrator'lar, çalışanlar ve/veya dış kullanıcılar. Aşağıdaki senaryoları göz önünde bulundurun:
- Kiracı üyeleri Microsoft Entra güvenlik grupları oluşturabilir
- İç ve dış kullanıcılar kiracınızdaki gruplara katılabilir
- Kullanıcılar Microsoft 365 Grupları oluşturabilir
- Kimlerin Microsoft 365 Grupları oluşturabileceğini yönetme
- Bu ayarı yapılandırmak için PowerShell'i kullanın
- Microsoft Entra uygulamanızı bir Microsoft Entra kiracısında bir kullanıcı kümesiyle kısıtlama
- Microsoft Entra Id'de self servis grup yönetimini ayarlama
- Grup sorunlarını giderme ve çözme
Gruplara davetler
Grup stratejisinin bir parçası olarak, kişileri kimlerin gruplara davet edip ekleyebileceğini göz önünde bulundurun. Grup üyeleri başka üyeler ekleyebilir veya grup sahipleri üye ekleyebilir. Kimlerin davet edilebileceğine karar verin. Varsayılan olarak, dış kullanıcılar gruplara eklenebilir.
Kullanıcıları gruplara atama
Kullanıcılar, kullanıcı nesnelerindeki kullanıcı özniteliklerine göre gruplara el ile atanır veya kullanıcılar diğer ölçütlere göre atanır. Kullanıcılar, özniteliklerine göre gruplara dinamik olarak atanır. Örneğin, aşağıdakileri temel alarak kullanıcıları gruplara atayabilirsiniz:
- İş unvanı veya bölüm
- Ait oldukları iş ortağı kuruluşu
- El ile veya bağlı kuruluşlar aracılığıyla
- Üye veya Konuk Kullanıcı türü
- Projeye katılım
- El ile
- Konum
Dinamik grupların kullanıcıları veya cihazları vardır, ancak her ikisi birden yoktur. Dinamik gruba kullanıcı atamak için kullanıcı özniteliklerine göre sorgular ekleyin. Aşağıdaki ekran görüntüsünde, finans departmanı üyesi olan kullanıcıları gruba ekleyen sorgular yer alır.
Daha fazla bilgi edinin: Microsoft Entra Id'de dinamik grup oluşturma veya güncelleştirme
Tek bir işlev için grupları kullanma
Grupları kullanırken tek bir işleve sahip olmaları önemlidir. Bir grup kaynaklara erişim vermek için kullanılıyorsa, bunu başka bir amaç için kullanmayın. Amacı açıkça belirten bir güvenlik grubu adlandırma kuralı öneririz:
- Secure_access_finance_apps
- Team_membership_finance_team
- Location_finance_building
Grup türleri
Azure portalında veya Microsoft 365 Yönetici portalında Microsoft Entra güvenlik grupları ve Microsoft 365 Grupları oluşturabilirsiniz. Dış erişimin güvenliğini sağlamak için iki grup türünden birini kullanın.
Dikkat edilmesi gereken noktalar | El ile ve dinamik Microsoft Entra güvenlik grupları | Microsoft 365 Groups |
---|---|---|
Grup şu içeriği içerir: | Kullanıcılar Gruplar Hizmet sorumluları Cihazlar |
Yalnızca kullanıcılar |
Grubun oluşturulduğu yer | Azure portal Posta etkinse Microsoft 365 portalı) PowerShell Microsoft Graph Son kullanıcı portalı |
Microsoft 365 portalı Azure portal PowerShell Microsoft Graph Microsoft 365 uygulamalarında |
Varsayılan olarak kim oluşturur? | Yönetici istrators Kullanıcılar |
Yöneticiler Kullanıcılar |
Varsayılan olarak kim eklenir? | İç kullanıcılar (kiracı üyeleri) ve konuk kullanıcılar | Bir kuruluştan kiracı üyeleri ve konukları |
Erişim izni verilen | Atandığı kaynaklar. | Grupla ilgili kaynaklar: (Grup posta kutusu, site, ekip, sohbetler ve diğer Microsoft 365 kaynakları) Gruba eklenen diğer kaynaklar |
Ile kullanılabilir | Koşullu Erişim yetkilendirme yönetimi grup lisanslama |
Koşullu Erişim yetkilendirme yönetimi duyarlılık etiketleri |
Not
Ekip ve ilişkili siteleri ve içeriği gibi bir dizi Microsoft 365 kaynağı oluşturmak ve yönetmek için Microsoft 365 Grupları kullanın.
Microsoft Entra güvenlik grupları
Microsoft Entra güvenlik gruplarının kullanıcıları veya cihazları olabilir. Şu gruplara erişimi yönetmek için kullanın:
- Azure kaynakları
- Microsoft 365 Uygulamaları
- Özel uygulamalar
- Dropbox ServiceNow gibi Hizmet Olarak Yazılım (SaaS) uygulamaları
- Azure verileri ve abonelikleri
- Azure hizmetleri
Atamak için Microsoft Entra güvenlik gruplarını kullanın:
- Hizmetler için lisanslar
- Microsoft 365
- Dynamics 365
- Enterprise Mobility + Security
- Bkz. Microsoft Entra Id'de grup tabanlı lisanslama nedir?
- Yükseltilmiş izinler
Daha fazla bilgi edinin:
- Microsoft Entra gruplarını ve grup üyeliğini yönetme
- Grup yönetimi için Microsoft Entra sürüm 2 cmdlet'leri.
Not
En fazla 1.500 uygulama atamak için güvenlik gruplarını kullanın.
Posta etkin güvenlik grubu
Posta özellikli bir güvenlik grubu oluşturmak için Microsoft 365 yönetim merkezi gidin. Oluşturma sırasında posta için bir güvenlik grubunu etkinleştirin. Daha sonra etkinleştiremezsiniz. Grubu Azure portalında oluşturamazsınız.
Karma kuruluşlar ve Microsoft Entra güvenlik grupları
Karma kuruluşların şirket içi için altyapısı ve Bir Microsoft Entra Kimliği vardır. Active Directory kullanan karma kuruluşlar, şirket içinde güvenlik grupları oluşturabilir ve bunları bulutla eşitleyebilir. Bu nedenle, güvenlik gruplarına yalnızca şirket içi ortamdaki kullanıcılar eklenebilir.
Önemli
Şirket içi altyapınızı tehlikeye karşı koruyun. Bkz. Microsoft 365'i şirket içi saldırılara karşı koruma.
Microsoft 365 Groups
Microsoft 365 Grupları, Microsoft 365 genelinde erişim için üyelik hizmetidir. Bunlar Azure portalından veya Microsoft 365 yönetim merkezi oluşturulabilir. Bir Microsoft 365 Grubu oluşturduğunuzda, işbirliği için bir kaynak grubuna erişim verirsiniz.
Daha fazla bilgi edinin:
- Yöneticiler için Microsoft 365 Grupları genel bakış
- Microsoft 365 yönetim merkezi bir grup oluşturma
- Microsoft Entra yönetim merkezi
- Microsoft 365 yönetim merkezi
Microsoft 365 Grupları rolleri
- Grup sahipleri
- Üye ekleme veya kaldırma
- Paylaşılan gelen kutusundan konuşmaları silme
- Grup ayarlarını değiştirme
- Grubu yeniden adlandırma
- Açıklamayı veya resmi güncelleştirme
- Üyeler
- Gruptaki her şeye erişme
- Grup ayarları değiştiremiyorum
- Konukları gruba katılmaya davet edebilir
- Microsoft 365 gruplarında konuk erişimini yönetme
- Konuklar
- Kuruluşunuzun dışından üye misiniz?
- Teams'de işlevsellikle ilgili bazı sınırlamalar vardır
Microsoft 365 Grup ayarları
E-posta diğer adı, gizlilik ve grubun ekipler için etkinleştirilip etkinleştirilmeymeyeceğini seçin.
Kurulumdan sonra üyeleri ekleyin ve e-posta kullanımı ayarlarını yapılandırın.
Sonraki adımlar
Kaynaklara dış erişimin güvenliğini sağlama hakkında bilgi edinmek için aşağıdaki makale serisini kullanın. Listelenen siparişe uymanızı öneririz.
Microsoft Entra ID ile dış erişim için güvenlik duruşunuzu belirleme
Microsoft Entra Id ve Microsoft 365'teki gruplarla dış erişimin güvenliğini sağlama (Buradasınız)
Microsoft Entra B2B işbirliği ile yönetilen işbirliğine geçiş
Microsoft Entra yetkilendirme yönetimi ile dış erişimi yönetme
Duyarlılık etiketleriyle Microsoft Entra Id'de kaynaklara dış erişimi denetleme
Microsoft Entra Id ile Microsoft Teams, SharePoint ve OneDrive İş dış erişimin güvenliğini sağlama
Yerel konuk hesaplarını Microsoft Entra B2B konuk hesaplarına dönüştürme