エンタイトルメント管理の一般的なシナリオ
組織のエンタイトルメント管理を構成するには、いくつかの方法があります。 ただし、開始したばかりであるなら、管理者、カタログ所有者、アクセス パッケージ マネージャー、承認者、要求元の一般的なシナリオを理解することをお勧めします。
委任
管理者: リソースの管理を委任する
カタログ作成者: リソースの管理を委任する
カタログ所有者: リソースの管理を委任する
カタログ所有者: アクセス パッケージの管理を委任する
組織内のユーザーのアクセスを統制する
管理者: 従業員にアクセス権を自動的に割り当てる
管理者: ライフサイクル ワークフローから従業員のアクセス権を割り当てる
- 新しいアクセス パッケージを作成する
- グループ、チーム、アプリケーション、SharePoint サイトをアクセス パッケージに追加する
- 直接割り当てポリシーを追加する
- ユーザーが参加したときにワークフローにユーザー アクセス パッケージの割り当てを要求するタスクを追加する
- ユーザーが離れたときにワークフローにユーザーのアクセス パッケージの割り当てを削除するタスクを追加する
アクセス パッケージ マネージャー: リソースへのアクセス要求を組織内の従業員に許可する
- 新しいアクセス パッケージを作成する
- グループ、チーム、アプリケーション、SharePoint サイトをアクセス パッケージに追加する
- ディレクトリ内のユーザーにアクセス要求を許可する要求ポリシーを追加する
- 有効期限の設定を指定する
申請者:リソースへのアクセスを要求する
- マイ アクセス ポータルへのサインイン
- アクセス パッケージの検索
- アクセスの要求
承認者:リソースへの要求を承認する
申請者:既にアクセス権のあるリソースを表示する
- マイ アクセス ポータルへのサインイン
- アクティブなアクセス パッケージの表示
組織外のユーザーのアクセスを統制する
管理者: 外部パートナー組織とコラボレーションする
アクセス パッケージ マネージャー: 外部パートナー組織とコラボレーションする
- 新しいアクセス パッケージを作成する
- グループ、チーム、アプリケーション、SharePoint サイトをアクセス パッケージに追加する
- ディレクトリ外のユーザーにアクセス要求を許可する要求ポリシーを追加する
- 有効期限の設定を指定する
- アクセス パッケージを要求するためのリンクをコピーする
- 外部パートナーの連絡先パートナーにそのユーザーと共有するためのリンクを送信する
申請者:外部ユーザーとしてリソースへのアクセスを要求する
- 連絡先から受信したアクセス パッケージ リンクを検索する
- マイ アクセス ポータルへのサインイン
- アクセスの要求
承認者:リソースへの要求を承認する
申請者:既にアクセス権のあるリソースを表示する
- マイ アクセス ポータルへのサインイン
- アクティブなアクセス パッケージの表示
日々の管理
管理者: 提案および構成されている接続されている組織を表示する
アクセス パッケージ マネージャー: プロジェクトのリソースを更新する
アクセス パッケージ マネージャー: プロジェクトの期間を更新する
- ビデオを視聴する: 日々の管理: 変化への対応
- アクセス パッケージを開く
- ライフサイクルの設定を開く
- 有効期限の設定を更新する
アクセス パッケージ マネージャー: プロジェクトのアクセスの承認方法を更新する
アクセス パッケージ マネージャー: プロジェクトの人員を更新する
アクセス パッケージ マネージャー: アクセス パッケージに特定のユーザーを直接割り当てる
割り当てとレポート
管理者: アクセス パッケージに割り当てられているユーザーを表示する
- アクセス パッケージを開く
- 割り当てを表示する
- レポートとログをアーカイブする
管理者: ユーザーに割り当てられているリソースを表示する
プログラムによる管理
Microsoft Graph を使用して、アクセス パッケージ、カタログ、ポリシー、要求、割り当てを管理することもできます。 EntitlementManagement.Read.All
または EntitlementManagement.ReadWrite.All
アクセス許可を委任されたアプリケーションの適切なロールのユーザーは、エンタイトルメント管理 API を呼び出すことができます。 詳細については、「チュートリアル: リソースへのアクセスの管理 - Microsoft Graph」を参照してください。 また、EntitlementManagement.Read.All
または EntitlementManagement.ReadWrite.All
アプリケーション アクセス許可があるアプリケーションでは、カタログやアクセス パッケージ内のリソースの管理を除き、これらの API 関数の多くを使用できます。 また、特定のカタログ内でしか動作する必要がないアプリケーションは、カタログのカタログ所有者またはカタログ閲覧者ロールに追加して、そのカタログ内での更新または読み取りが認可されるようにできます。