Toegangsbeheer delegeren aan catalogusbeheerders in toegangsrechtenbeheer

Een catalogus is een container met resources en toegangspakketten. U maakt een catalogus wanneer u gerelateerde resources en toegangspakketten wilt groeperen. De rol Identity Governance Administrator is standaard de minst bevoorrechte rol die kan een catalogusmaken en andere gebruikers als cataloguseigenaars kan toevoegen als nog meer optie voor minimale bevoegdheden.

Notitie

Bij het volgen van het principe van minimale bevoegdheden wordt aangeraden om indien mogelijk de rol van Identity Governance-beheerder te gebruiken binnen het rechtenbeheer.

Er zijn drie manieren waarop een organisatie kan delegeren met catalogi:

• Wanneer u aan de slag gaat in een pilotproject, kunnen Identity Governance-beheerders de catalogus maken en beheren. Later, wanneer ze overstappen van pilot naar productie, kunnen ze een catalogus delegeren door niet-beheerders toe te wijzen als eigenaren aan de catalogus, zodat deze gebruikers het beleid in de toekomst kunnen onderhouden.
• Als er resources zijn die geen eigenaars hebben, kunnen beheerders catalogi maken, deze resources aan elke catalogus toevoegen en vervolgens niet-beheerders toewijzen aan een catalogus. Hierdoor kunnen gebruikers die geen beheerders zijn en geen resource-eigenaren zijn, hun eigen toegangsbeleid voor deze resources beheren.
• Als resources eigenaars hebben, kunnen beheerders een verzameling gebruikers, zoals een All Employees dynamische groep, toewijzen aan de rol catalogusmakers, zodat een gebruiker die zich in die groep bevindt en eigen resources een catalogus voor hun eigen resources kan maken.

In dit artikel wordt uitgelegd hoe u gebruikers die geen beheerders zijn, kunt delegeren, zodat ze hun eigen catalogi kunnen maken. U kunt deze gebruikers toevoegen aan de door Microsoft Entra gedefinieerde catalogusmakerrol voor rechtenbeheer. U kunt afzonderlijke gebruikers toevoegen of u kunt een groep toevoegen waarvan de leden vervolgens catalogi kunnen maken. Nadat u een catalogus hebt gemaakt, kunt u resources toevoegen die ze bezitten aan hun catalogus. Ze kunnen toegangspakketten en -beleidsregels maken, inclusief beleidsregels die verwijzen naar bestaande verbonden organisaties.

Als u bestaande catalogi hebt om te delegeren, kunt u verdergaan met het maken en beheren van een catalogus met resources.

Als IT-beheerder kun je taken delegeren aan een catalogusmaker.

Volg deze stappen om een gebruiker toe te wijzen aan de rol catalogusmaker.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

2. Blader naar identiteitsbeheer en governance>rechtenbeheer>instellingen.

3. Selecteer Bewerken.

   

4. Selecteer in de sectie Rechtenbeheer delegeren de optie Catalogusmakers toevoegen om de gebruikers of groepen te selecteren waaraan u deze rechtenbeheerrol wilt delegeren.

5. Selecteer Selecteren.

6. Selecteer Opslaan.

Gedelegeerde rollen toegang geven tot het Microsoft Entra-beheercentrum

Als u gedelegeerde rollen, zoals catalogusmakers en pakketbeheerders, toegang wilt geven tot het Microsoft Entra-beheercentrum voor het beheren van toegangspakketten, moet u de instelling van de beheerportal controleren.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

2. Navigeer naar Identiteit>Gebruikers>Gebruikersinstellingen.

3. Zorg ervoor dat de toegang tot de Microsoft Entra-beheerportal beperkt is ingesteld op Nee.

   

Roltoewijzingen programmatisch beheren

U kunt ook catalogusmakers en catalogusspecifieke roltoewijzingen voor rechtenbeheer weergeven en bijwerken met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde machtiging EntitlementManagement.ReadWrite.All kan de Graph API aanroepen voor het weergeven van de roldefinities van rechtenbeheer en het weergeven van roltoewijzingen voor deze roldefinities.

Gebruik de Graph-query om een lijst op te halen van de gebruikers en groepen die zijn toegewezen aan de rol van catalogusmakers, de rol met definitie-id ba92d953-d8e0-4e39-a797-0cbedb0a89e8:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Volgende stappen

• Een catalogus van resources maken en beheren
• Toegangsbeheer delegeren aan toegangspakketbeheerders
• Toegangsbeheer delegeren aan resource-eigenaren