Vytvoření a správa katalogu prostředků ve správě nároků

V tomto článku se dozvíte, jak vytvořit a spravovat katalog prostředků a přístupových balíčků ve správě nároků.

Vytvoření katalogu

Katalog je kontejner prostředků a přístupových balíčků. Katalog vytvoříte, když chcete seskupit související prostředky a přistupovat k balíčkům. Správce může vytvořit katalog. Kromě toho může uživatel delegovaný na roli tvůrce katalogu vytvořit katalog pro prostředky, které vlastní. Nesprávce, který vytvoří katalog, se stává prvním vlastníkem katalogu. Vlastník katalogu může přidat další uživatele, skupiny uživatelů nebo instanční objekty aplikací jako vlastníky katalogu.

Vytvoření katalogu:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správce správy identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří tvůrce katalogu. Uživatelé, kteří byli přiřazeni roli Správce uživatelů, už nebudou moct vytvářet katalogy ani spravovat přístupové balíčky v katalogu, které nevlastní. Pokud byli uživatelům ve vaší organizaci přiřazena role Správce uživatelů ke konfiguraci katalogů, přístupových balíčků nebo zásad při správě nároků, měli byste místo toho přiřadit tyto uživatele roli Správce zásad správného řízení identit.

2. Přejděte do Řízení identit>Správa nároků>Katalogy.

   

3. Vyberte Nový katalog.

4. Zadejte jedinečný název katalogu a zadejte popis.

   Uživatelé tyto informace uvidí v podrobnostech přístupového balíčku.

5. Pokud chcete, aby přístupové balíčky v tomto katalogu byly uživatelům k dispozici, jakmile budou vytvořeny, nastavte povolenou hodnotu Ano.

6. Pokud chcete uživatelům v externích adresářích z připojených organizací povolit, aby mohli požádat o přístupové balíčky v tomto katalogu, nastavte možnost Povoleno pro externí uživatele na ano. Přístupové balíčky musí mít také zásadu, která uživatelům z připojených organizací umožňuje požádat. Pokud jsou přístupové balíčky v tomto katalogu určeny pouze pro uživatele, kteří jsou již v adresáři, pak nastavte Povoleno pro externí uživatele na Ne.

   

7. Výběrem možnosti Vytvořit vytvořte katalog.

Programové vytvoření katalogu

Katalog můžete vytvořit dvěma způsoby prostřednictvím kódu programu.

Vytvoření katalogu pomocí Microsoft Graphu

Katalog můžete vytvořit pomocí Microsoft Graphu. Uživatel v příslušné roli může s aplikací, která má delegované EntitlementManagement.ReadWrite.All oprávnění, nebo s aplikací s EntitlementManagement.ReadWrite.All oprávněním aplikace, volat rozhraní API k vytvoření katalogu.

Vytvoření katalogu pomocí PowerShellu

Katalog můžete také vytvořit v PowerShellu pomocí rutiny z rutin Microsoft Graph PowerShell pro modul správy identit verze 2.2.0 nebo novější.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Přidejte prostředky do katalogu

Pokud chcete zahrnout prostředky do přístupového balíčku, musí prostředky existovat v katalogu. Typy prostředků, které můžete přidat do katalogu, jsou skupiny, aplikace a weby SharePointu Online.

• Skupiny můžou být vytvořené v cloudu Skupiny Microsoft 365 nebo skupiny zabezpečení Microsoft Entra vytvořené v cloudu.

  • Skupiny pocházející z místní Active Directory nelze přiřadit jako prostředky, protože jejich atributy vlastníka nebo člena nelze změnit v MICROSOFT Entra ID. Pokud chcete uživateli udělit přístup k aplikaci, která používá členství ve skupinách zabezpečení AD, vytvořte novou skupinu zabezpečení v Microsoft Entra ID, nakonfigurujte zpětný zápis skupiny do AD a povolte zápis této skupiny do AD, aby ji mohla používat aplikace založená na AD.

  • Skupiny, které pocházejí z Exchange Online jako distribuční skupiny, není možné upravovat ani v MICROSOFT Entra ID, takže je není možné přidat do katalogů.

• Aplikace můžou být podnikové aplikace Microsoft Entra, které zahrnují aplikace Typu software jako služba (SaaS), místní aplikace a vaše vlastní aplikace integrované s Microsoft Entra ID.

  • Pokud vaše aplikace ještě není integrovaná s Microsoft Entra ID, přečtěte si téma řízení přístupu k aplikacím ve vašem prostředí a integraci aplikace s Microsoft Entra ID a přidání aplikace do adresáře před přidáním do katalogu.

  • Další informace o tom, jak vybrat vhodné prostředky pro aplikace s více rolemi, najdete v tématu určení rolí prostředků, které se mají zahrnout do přístupového balíčku.

• Weby můžou být weby SharePointu Online nebo kolekce webů SharePointu Online.

Poznámka:

Hledejte na webu SharePoint podle názvu webu nebo přesné adresy URL, protože vyhledávací pole rozlišuje malá a velká písmena.

Požadované role: Zobrazení požadovaných rolí pro přidání prostředků do katalogu

Přidání prostředků do katalogu:

1. Přihlaste se do Centra pro správu Microsoft Entra v roli alespoň správce správy identit.

2. Přejděte do Řízení identity>Správa nároků>Katalogy.

3. Na stránce Katalogy otevřete katalog, do kterého chcete přidat prostředky.

4. V nabídce vlevo vyberte Prostředky.

5. Vyberte Přidat prostředky.

6. Vyberte typ prostředku Skupiny a týmy, aplikace nebo sharepointové weby.

   Pokud nevidíte prostředek, který chcete přidat nebo nemůžete přidat prostředek, ujistěte se, že máte požadovanou roli adresáře Microsoft Entra a roli správy nároků. Možná budete potřebovat, aby někdo s požadovanými rolemi přidal prostředek do vašeho katalogu. Další informace naleznete v tématu Požadované role pro přidání prostředků do katalogu.

7. Vyberte jeden nebo více prostředků typu, který chcete přidat do katalogu.

   

8. Po dokončení vyberte Přidat.

   Tyto prostředky je teď možné zahrnout do přístupových balíčků v katalogu.

Přidejte atributy prostředků do katalogu

Atributy jsou povinná pole, na která se žadateli před odesláním žádosti o přístup zobrazí výzva k odpovědi. Jejich odpovědi na tyto atributy jsou zobrazeny schvalovatelům a také označeny na objekt uživatele v Microsoft Entra ID.

Poznámka:

Před odesláním žádosti o přístupový balíček, který obsahuje daný prostředek, je nutné odpovědět na všechny atributy nastavené pro tento prostředek. Pokud žadateli nezadají odpověď, jejich žádost se nezpracuje.

Vyžadování atributů pro žádosti o přístup:

1. V nabídce vlevo vyberte Prostředky a zobrazí se seznam prostředků v katalogu.

2. Vyberte tři tečky (výpustka) vedle zdroje, do kterého chcete přidat atributy, a pak vyberte Vyžadovat atributy.

   

3. Vyberte typ atributu:

   1. Předdefinované zahrnuje atributy profilu uživatele Microsoft Entra.
   2. Rozšíření schématu adresáře poskytuje způsob, jak ukládat více dat v uživatelích Microsoft Entra. Schéma můžete rozšířit vytvořením atributu rozšíření. Tyto atributy rozšíření u uživatelských objektů lze použít k odesílání deklarací identity aplikacím během zřizování nebo jednotného přihlašování.

4. Pokud jste zvolili předdefinovaný, vyberte v rozevíracím seznamu atribut. Pokud jste zvolili rozšíření schématu adresáře, zadejte název atributu do textového pole.

   Poznámka:

   Atribut User.mobilePhone je citlivá vlastnost, kterou můžou aktualizovat jenom někteří správci. Přečtěte si další informace o tom, kdo může aktualizovat citlivé atributy uživatelů?

5. Vyberte formát odpovědi, který má žadatel použít pro odpověď. Formáty odpovědí zahrnují krátký text, více voleb a dlouhý text.

6. Pokud vyberete více možností, vyberte Upravit a lokalizovat a nakonfigurujte možnosti odpovědí.

   1. V zobrazeném podokně pro zobrazení nebo úpravu otázek zadejte možnosti odpovědi, které chcete žadateli dát, když odpoví na otázku v polích Hodnoty odpovědí.
   2. Vyberte jazyk pro možnost odpovědi. Možnosti odpovědi můžete lokalizovat, pokud zvolíte více jazyků.
   3. Zadejte tolik odpovědí, kolik potřebujete, a pak vyberte Uložit.

7. Pokud chcete, aby byla hodnota atributu upravitelná během přímých přiřazení a samoobslužných požadavků, vyberte Ano.

   Poznámka:

   

   • Pokud v poli Hodnota atributu vyberete Ne a hodnota atributu je prázdná, mohou uživatelé zadat hodnotu tohoto atributu. Po uložení nelze hodnotu upravit.
   • Pokud v poli Hodnota atributu vyberete Ne a hodnota atributu není prázdná, uživatelé nemůžou upravit existující hodnotu během přímých přiřazení a samoobslužných požadavků.

   

8. Pokud chcete přidat lokalizaci, vyberte Přidat lokalizaci.

   1. V podokně Přidat lokalizace pro otázky vyberte kód jazyka pro jazyk, ve kterém chcete lokalizovat otázku související s vybraným atributem.

   2. V jazyce, který jste nakonfigurovali, zadejte otázku do pole Lokalizovaný text .

   3. Po přidání všech potřebných lokalizací vyberte Uložit.

      

9. Po dokončení všech informací o atributech na stránce Vyžadovat atributy vyberte Uložit.

Přidat web služby Multi-Geo SharePoint

1. Pokud máte pro SharePoint povolenou funkci Multi-Geo , vyberte prostředí, ze kterého chcete vybrat weby.

   

2. Pak vyberte weby, které chcete přidat do katalogu.

Automatizované přidání prostředku do katalogu

Prostředek můžete také přidat do katalogu pomocí Microsoft Graphu. Uživatel v příslušné roli nebo vlastník katalogu a prostředku, který má aplikaci s delegovanými EntitlementManagement.ReadWrite.All oprávněními, může použít API k vytvoření resourceRequest. Aplikace s oprávněním EntitlementManagement.ReadWrite.All aplikace a oprávněními ke změně prostředků, například Group.ReadWrite.All, může také přidat prostředky do katalogu.

Přidání prostředku do katalogu pomocí PowerShellu

Do katalogu v PowerShellu můžete také přidat prostředek pomocí rutiny New-MgEntitlementManagementResourceRequest z modulu Microsoft Graph PowerShell cmdlets for Identity Governance verze 2.1.x nebo novější. Následující příklad ukazuje, jak přidat skupinu do katalogu jako zdroj pomocí modulu Microsoft Graph PowerShell verze 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Odebrání prostředků z katalogu

Prostředky můžete z katalogu odebrat. Prostředek lze z katalogu odebrat jenom v případě, že se nepoužívá v přístupových balíčcích katalogu.

Požadované role: Zobrazení požadovaných rolí pro přidání prostředků do katalogu

Odebrání prostředků z katalogu:

1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako Správce správy identit.

2. Přejděte do správy identit>správy oprávnění>katalogů.

3. Na stránce Katalogy otevřete katalog, ze kterého chcete odebrat prostředky.

4. V nabídce vlevo vyberte Prostředky.

5. Vyberte prostředky, které chcete odebrat.

6. Vyberte Odstranit. Volitelně vyberte výpustku (...) a poté vyberte Odebrat prostředek.

Přidání dalších vlastníků katalogu

Uživatel, který vytvořil katalog, se stane prvním vlastníkem katalogu. Pokud chcete delegovat správu katalogu, přidejte uživatele do role vlastníka katalogu. Přidání dalších vlastníků katalogu pomáhá sdílet povinnosti správy katalogu.

Přiřazení uživatele k roli vlastníka katalogu:

1. Přihlaste se do Centra pro správu Microsoft Entra minimálně jako Správce pro správu identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu.

2. Přejděte do Správa identit>Správa nároků>Katalogy.

3. Na stránce Katalogy otevřete katalog, do kterého chcete přidat správce.

4. V nabídce vlevo vyberte Role a správci.

   

5. Vyberte Přidat vlastníky a vyberte členy pro tyto role.

6. Výběrem možnosti Vybrat přidáte tyto členy.

Úprava katalogu

Název a popis katalogu můžete upravit. Uživatelé tyto informace uvidí v podrobnostech přístupového balíčku.

Úprava katalogu:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce pro správu identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří tvůrce katalogu.

2. Přejděte do správy identit>správy nároků>katalogy.

3. Na stránce Katalogy otevřete katalog, který chcete upravit.

4. Na stránce Přehled katalogu vyberte Upravit.

5. Upravte název, popis nebo nastavení povoleného katalogu.

   

6. Zvolte Uložit.

Odstranění katalogu

Katalog můžete odstranit, ale jenom v případě, že nemá žádné přístupové balíčky.

Odstranění katalogu:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

   Tip

   Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří tvůrce katalogu.

2. Přejděte do Správa identit>Správa nároků>Katalogy.

3. Na stránce Katalogy otevřete katalog, který chcete odstranit.

4. Na stránce Přehled katalogu vyberte Odstranit.

5. V zobrazeném okně zprávy vyberte Ano.

Programové odstranění katalogu

Katalog můžete také odstranit pomocí Microsoft Graphu. Uživatel, který má aplikaci s delegovaným EntitlementManagement.ReadWrite.All oprávněním a patří do příslušné role, může volat rozhraní API k odstranění accessPackageCatalog.

Další kroky

Delegování správy přístupu na manažery balíčků přístupu