Typische Szenarien für die Berechtigungsverwaltung
Es gibt mehrere Möglichkeiten, wie Sie die Berechtigungsverwaltung für Ihre Organisation konfigurieren können. Für den Einstieg ist es jedoch hilfreich, die typischen Szenarien für Administratoren, Katalogbesitzer, Zugriffspaketmanager, genehmigende Personen und Anforderer zu verstehen.
Delegieren
Administrator: Delegieren der Verwaltung von Ressourcen
- Video ansehen: Delegierung von IT an Abteilungsleiter
- Delegieren von Benutzern an die Rolle „Katalogersteller“
Katalogersteller: Delegieren der Verwaltung von Ressourcen
Katalogbesitzer: Delegieren der Verwaltung von Ressourcen
Katalogbesitzer: Delegieren der Verwaltung von Zugriffspaketen
- Video ansehen: Delegierung von Katalogbesitzern an Zugriffspaketmanager
- Delegieren von Benutzern an die Rolle „Zugriffspaketmanager“
Steuern des Zugriffs für Benutzer in Ihrer Organisation
Administrator*in: Automatisches Zuweisen des Zugriffs von Mitarbeiter*innen
- Erstellen eines neuen Zugriffspakets
- Hinzufügen von Gruppen, Teams, Anwendungen oder SharePoint-Websites zum Zugriffspaket
- Hinzufügen einer automatischen Zuordnungsrichtlinie
Administrator*in: Zuweisen des Zugriffs von Mitarbeiter*innen über Lebenszyklus-Workflows
- Erstellen eines neuen Zugriffspakets
- Hinzufügen von Gruppen, Teams, Anwendungen oder SharePoint-Websites zum Zugriffspaket
- Hinzufügen einer Richtlinie für die direkte Zuweisung
- Hinzufügen einer Aufgabe zum Anfordern einer Benutzerzugriffspaketzuweisung zu einem Workflow, wenn ein*e Benutzer*in dem Unternehmen beitritt
- Hinzufügen einer Aufgabe zum Entfernen einer Benutzerzugriffspaketzuweisung zu einem Workflow, wenn ein*e Benutzer*in das Unternehmen verlässt
Zugriffspaketmanager: Gewähren von Ressourcenzugriffsanforderungen für Mitarbeiter in Ihrer Organisation
- Erstellen eines neuen Zugriffspakets
- Hinzufügen von Gruppen, Teams, Anwendungen oder SharePoint-Websites zum Zugriffspaket
- Hinzufügen einer Anforderungsrichtlinie, damit Benutzer in Ihrem Verzeichnis Zugriff anfordern können
- Angeben von Ablaufeinstellungen
Anforderer: Anfordern des Zugriffs auf Ressourcen
- Anmelden beim Portal „Mein Zugriff“
- Suchen des Zugriffspakets
- Zugriff anfordern
Genehmigende Person: Genehmigen von Ressourcenanforderungen
Anforderer: Anzeigen der Ressourcen, auf die Sie bereits Zugriff haben
- Anmelden beim Portal „Mein Zugriff“
- Anzeigen aktiver Zugriffspakete
Steuern des Zugriffs für Benutzer außerhalb Ihrer Organisation
Administrator: Zusammenarbeit mit einer externen Partnerorganisation
- Informationen zur Funktionsweise des Zugriffs für externe Benutzer
- Überprüfen der Einstellungen für externe Benutzer
- Hinzufügen einer Verbindung zur externen Organisation
Zugriffspaketmanager: Zusammenarbeit mit einer externen Partnerorganisation
- Erstellen eines neuen Zugriffspakets
- Hinzufügen von Gruppen, Teams, Anwendungen oder SharePoint-Websites zum Zugriffspaket
- Hinzufügen einer Anforderungsrichtlinie, damit Benutzer, die sich nicht in Ihrem Verzeichnis befinden, Zugriff anfordern können
- Angeben von Ablaufeinstellungen
- Kopieren des Links zum Anfordern des Zugriffspakets
- Senden Sie den Link an Ihren externen Partner (Partnerkontakt), damit dieser ihn für seine Benutzer freigibt
Anforderer: Anfordern von Zugriff auf Ressourcen als externer Benutzer
- Suchen Sie den Link für das Zugriffspaket, den Sie von Ihrem Kontakt erhalten haben
- Anmelden beim Portal „Mein Zugriff“
- Zugriff anfordern
Genehmigende Person: Genehmigen von Ressourcenanforderungen
Anforderer: Anzeigen der Ressourcen, auf die Sie bereits Zugriff haben
- Anmelden beim Portal „Mein Zugriff“
- Anzeigen aktiver Zugriffspakete
Tägliche Verwaltungsaufgaben
Administrator*in: Anzeigen der vorgeschlagenen und konfigurierten verbundenen Organisationen
Zugriffspaketmanager: Aktualisieren der Ressourcen für ein Projekt
- Video ansehen: Tägliche Verwaltungsaufgaben: Die Dinge haben sich geändert
- Öffnen des Zugriffspakets
- Hinzufügen oder Entfernen von Gruppen, Teams, Anwendungen oder SharePoint-Websites
Zugriffspaketmanager: Aktualisieren der Dauer eines Projekts
- Video ansehen: Tägliche Verwaltungsaufgaben: Die Dinge haben sich geändert
- Öffnen des Zugriffspakets
- Öffnen der Lebenszykluseinstellungen
- Aktualisieren der Ablaufeinstellungen
Zugriffspaketmanager: Aktualisieren der Genehmigungsweise für den Zugriff bei einem Projekt
- Video ansehen: Tägliche Verwaltungsaufgaben: Die Dinge haben sich geändert
- Öffnen einer vorhandenen Richtlinie mit Anforderungseinstellungen
- Aktualisieren der Genehmigungseinstellungen
Zugriffspaketmanager: Aktualisieren der Beteiligten an einem Projekt
- Video ansehen: Tägliche Verwaltungsaufgaben: Die Dinge haben sich geändert
- Entfernen von Benutzern, die keinen Zugriff mehr benötigen
- Öffnen einer vorhandenen Richtlinie mit Anforderungseinstellungen
- Hinzufügen von Benutzern, die Zugriff benötigen
Zugriffspaketmanager: Direktes Zuweisen bestimmter Benutzer zu einem Zugriffspaket
- Wenn Benutzer unterschiedliche Lebenszykluseinstellungen benötigen, fügen Sie dem Zugriffspaket eine neue Richtlinie hinzu
- Direktes Zuweisen bestimmter Benutzer zu dem Zugriffspaket
Zuweisungen und Berichte
Administrator: Anzeigen der Zugriffszuweisungen (Benutzer) für ein Zugriffspaket
- Öffnen eines Zugriffspakets
- Anzeigen von Zuweisungen
- Archivieren von Berichten und Protokollen
Administrator: Anzeigen der den Benutzern zugewiesenen Ressourcen
- Anzeigen von Zugriffspaketen für einen Benutzer
- Anzeigen der Ressourcenzuweisungen für einen Benutzer
Programmgesteuerte Verwaltung
Sie können Zugriffspakete, Kataloge, Richtlinien, Anforderungen und Zuweisungen auch mithilfe von Microsoft Graph verwalten. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.Read.All
oder EntitlementManagement.ReadWrite.All
verfügt, kann die Berechtigungsverwaltungs-API aufrufen. Weitere Informationen finden Sie im Lernprogramm: Verwalten des Zugriffs auf Ressourcen – Microsoft Graph. Eine Anwendung mit den Anwendungsberechtigungen EntitlementManagement.Read.All
und EntitlementManagement.ReadWrite.All
kann ebenfalls viele dieser API-Funktionen verwenden (mit Ausnahme der Verwaltung von Ressourcen in Katalogen und Zugriffspaketen). Eine Anwendung, die nur innerhalb bestimmter Kataloge ausgeführt werden muss, kann der Rolle Katalogbesitzer oder Katalogleser eines Katalogs hinzugefügt werden, um die Berechtigung zum Aktualisieren oder Lesen innerhalb dieses Katalogs zu erhalten.