Co to jest zarządzanie upoważnieniami?
Zarządzanie upoważnieniami to funkcja zapewniania ładu tożsamości, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygasanie.
Osoby w organizacjach potrzebują dostępu do różnych grup, aplikacji i witryn usługi SharePoint Online w celu wykonania swojej pracy. Zarządzanie tym dostępem jest trudne, ponieważ wymagania się zmieniają. Nowe aplikacje są dodawane lub użytkownicy potrzebują większej liczby praw dostępu. Ten scenariusz staje się bardziej skomplikowany podczas współpracy z organizacjami zewnętrznymi. Być może nie wiesz, kto w drugiej organizacji potrzebuje dostępu do zasobów organizacji i nie będzie wiedział, jakich aplikacji, grup lub witryn używa Twoja organizacja.
Zarządzanie upoważnieniami może pomóc w bardziej wydajnym zarządzaniu dostępem do grup, aplikacji i witryn usługi SharePoint Online dla użytkowników wewnętrznych, a także dla użytkowników spoza organizacji, którzy potrzebują dostępu do tych zasobów.
Dlaczego warto używać zarządzania upoważnieniami?
Organizacje przedsiębiorstwa często napotykają wyzwania związane z zarządzaniem dostępem pracowników do zasobów, takich jak:
- Użytkownicy mogą nie wiedzieć, jaki dostęp powinien mieć, a nawet jeśli to zrobią, może mieć trudności z lokalizowaniem odpowiednich osób w celu zatwierdzenia dostępu
- Gdy użytkownicy znajdą i otrzymają dostęp do zasobu, mogą trzymać się dostępu dłużej niż jest to wymagane w celach biznesowych
Te problemy są złożone dla użytkowników, którzy potrzebują dostępu z innej organizacji, takich jak użytkownicy zewnętrzni, którzy pochodzą z organizacji łańcucha dostaw lub innych partnerów biznesowych. Na przykład:
- Nikt nie może znać wszystkich konkretnych osób w katalogach innych organizacji, aby móc je zaprosić
- Nawet jeśli byli w stanie zaprosić tych użytkowników, nikt w tej organizacji nie może pamiętać o spójnym zarządzaniu dostępem wszystkich użytkowników
Zarządzanie upoważnieniami może pomóc w rozwiązywaniu tych problemów. Aby dowiedzieć się więcej o tym, jak klienci korzystali z zarządzania upoważnieniami, możesz przeczytać dział Missisipi Medicaid, Storebrand, Nippon Express Co., Ltd oraz zespół ds. zabezpieczeń cyfrowych i odporności na studiach przypadku firmy Microsoft . Ten film wideo zawiera omówienie zarządzania upoważnieniami i jego wartości:
Co mogę zrobić z zarządzaniem upoważnieniami?
Oto niektóre możliwości zarządzania upoważnieniami:
- Kontroluj, kto może uzyskiwać dostęp do aplikacji, grup, witryn usługi Teams i programu SharePoint z zatwierdzeniem wieloetapowym, i upewnij się, że użytkownicy nie zachowują dostępu przez czas nieokreślony przez przydziały ograniczone czasowo i cykliczne przeglądy dostępu.
- Zapewnij użytkownikom dostęp automatycznie do tych zasobów na podstawie właściwości użytkownika, takich jak dział lub centrum kosztów, i usuń dostęp użytkownika po zmianie tych właściwości.
- Deleguj do administratorów możliwość tworzenia pakietów dostępu. Te pakiety dostępu zawierają zasoby, których użytkownicy mogą żądać, a menedżerowie pakietów dostępu delegowanego mogą definiować zasady z regułami, których użytkownicy mogą żądać, którzy muszą zatwierdzić dostęp, a po wygaśnięciu dostępu.
- Wybierz połączone organizacje, których użytkownicy mogą żądać dostępu. Gdy użytkownik, który nie znajduje się jeszcze w twoim katalogu, żąda dostępu i zostanie zatwierdzony, zostanie automatycznie zaproszony do katalogu i przypisany dostęp. Po wygaśnięciu dostępu, jeśli nie mają żadnych innych przypisań pakietów dostępu, ich konto B2B w katalogu może zostać automatycznie usunięte.
Uwaga
Jeśli wszystko jest gotowe do wypróbowania zarządzania upoważnieniami, możesz rozpocząć pracę z naszym samouczkiem, aby utworzyć swój pierwszy pakiet dostępu.
Możesz również przeczytać typowe scenariusze lub obejrzeć filmy wideo, w tym
- Jak wdrożyć zarządzanie upoważnieniami w organizacji
- Jak monitorować i skalować użycie zarządzania upoważnieniami
- Jak delegować w zarządzaniu upoważnieniami
Jakie są pakiety dostępu i jakie zasoby można nimi zarządzać?
Zarządzanie upoważnieniami wprowadza koncepcję pakietu dostępu. Pakiet dostępu to pakiet wszystkich zasobów z dostępem, który użytkownik musi pracować nad projektem lub wykonać swoje zadanie. Pakiety dostępu mogą służyć do zarządzania dostępem dla pracowników, a także dla użytkowników pochodzących poza organizacją.
Poniżej przedstawiono typy zasobów, do których można zarządzać dostępem użytkownika za pomocą zarządzania upoważnieniami:
- Członkostwo w grupach zabezpieczeń firmy Microsoft Entra
- Członkostwo w usłudze Grupy Microsoft 365 i Teams
- Przypisanie do aplikacji firmy Microsoft Entra dla przedsiębiorstw, w tym aplikacji SaaS i niestandardowych aplikacji zintegrowanych, które obsługują federację/logowanie jednokrotne i/lub aprowizowanie
- Członkostwo w witrynach usługi SharePoint Online
Możesz również kontrolować dostęp do innych zasobów, które opierają się na grupach zabezpieczeń firmy Microsoft Entra lub Grupy Microsoft 365. Na przykład:
- Licencje platformy Microsoft 365 można nadawać użytkownikom przy użyciu grupy zabezpieczeń Firmy Microsoft Entra w pakiecie dostępu i konfigurowania licencjonowania opartego na grupach dla tej grupy.
- Możesz przyznać użytkownikom dostęp do zarządzania zasobami platformy Azure przy użyciu grupy zabezpieczeń Firmy Microsoft Entra w pakiecie dostępu i utworzeniu przypisania roli platformy Azure dla tej grupy.
- Możesz przyznać użytkownikom dostęp do zarządzania rolami firmy Microsoft Entra przy użyciu grup, które można przypisać do ról firmy Microsoft Entra w pakiecie dostępu i przypisywać do tej grupy rolę Firmy Microsoft Entra.
Jak mogę kontrolować, kto uzyskuje dostęp?
W przypadku pakietu dostępu administrator lub delegowany menedżer pakietów dostępu wyświetla listę zasobów (grup, aplikacji i witryn) oraz ról, których potrzebują użytkownicy.
Pakiety dostępu obejmują również jedną lub więcej zasad. Zasady definiują reguły lub bariery zabezpieczające dla przypisania do pakietu dostępu. Każda zasada może służyć do zapewnienia, że tylko odpowiedni użytkownicy mogą mieć przypisania dostępu, a dostęp jest ograniczony czasowo i wygasa, jeśli nie zostanie odnowiony.
Możesz mieć zasady dotyczące żądań dostępu przez użytkowników. W takich typach zasad administrator lub menedżer pakietów dostępu definiuje
- Istniejący użytkownicy (zazwyczaj pracownicy lub już zaproszeni goście) lub organizacje partnerskie użytkowników zewnętrznych, które kwalifikują się do żądania dostępu
- Proces zatwierdzania i użytkownicy, którzy mogą zatwierdzać lub odmawiać dostępu
- Czas trwania przypisania dostępu użytkownika, po zatwierdzeniu, przed wygaśnięciem przypisania
Możesz również mieć zasady dotyczące przypisywanego dostępu przez administratora, automatycznie na podstawie reguł lub za pośrednictwem przepływów pracy cyklu życia.
Na poniższym diagramie przedstawiono przykład różnych elementów zarządzania upoważnieniami. Przedstawia jeden wykaz z dwoma przykładowymi pakietami dostępu.
- Pakiet dostępu 1 zawiera pojedynczą grupę jako zasób. Dostęp jest definiowany przy użyciu zasad, które umożliwiają zestawowi użytkowników w katalogu żądanie dostępu.
- Pakiet dostępu 2 zawiera grupę, aplikację i witrynę usługi SharePoint Online jako zasoby. Dostęp jest definiowany przy użyciu dwóch różnych zasad. Pierwsze zasady umożliwiają zestawowi użytkowników w katalogu żądanie dostępu. Drugie zasady umożliwiają użytkownikom w katalogu zewnętrznym żądanie dostępu.
Kiedy należy używać pakietów dostępu?
Pakiety dostępu nie zastępują innych mechanizmów przypisywania dostępu. Są one najbardziej odpowiednie w sytuacjach takich jak:
- Migrowanie definicji zasad dostępu z zarządzania rolami przedsiębiorstwa innej firmy do identyfikatora Entra firmy Microsoft.
- Użytkownicy potrzebują ograniczonego czasowo dostępu do określonego zadania. Na przykład można użyć licencjonowania opartego na grupach i grupy dynamicznej, aby zapewnić, że wszyscy pracownicy mają skrzynkę pocztową usługi Exchange Online, a następnie używać pakietów dostępu w sytuacjach, w których pracownicy potrzebują większej liczby praw dostępu. Na przykład prawa do odczytu zasobów działu z innego działu.
- Dostęp, który wymaga zatwierdzenia przez menedżera lub innych wyznaczonych osób.
- Dostęp, który powinien być przypisywany automatycznie do osób w określonej części organizacji w czasie wykonywania tej roli pracy, ale także dla osób w innych miejscach w organizacji lub w organizacji partnera biznesowego, aby poprosić.
- Działy chcą zarządzać własnymi zasadami dostępu dla swoich zasobów bez udziału IT.
- Co najmniej dwie organizacje współpracują nad projektem, a w związku z tym wielu użytkowników z jednej organizacji musi zostać przeniesionych za pośrednictwem firmy Microsoft Entra B2B w celu uzyskania dostępu do zasobów innej organizacji.
Jak mogę delegować dostęp?
Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. Możesz mieć pojedynczy wykaz dla wszystkich pakietów dostępu lub wyznaczyć osoby do tworzenia i posiadania własnych wykazów. Administrator może dodawać zasoby do dowolnego katalogu, ale administrator może dodawać tylko zasoby, które są ich właścicielami. Właściciel wykazu może dodawać innych użytkowników jako współwłaścicieli wykazu lub jako menedżerów pakietów dostępu. Te scenariusze zostały szczegółowo opisane w artykule delegowanie i role w zarządzaniu upoważnieniami.
Podsumowanie terminologii
Aby lepiej zrozumieć zarządzanie upoważnieniami i jego dokumentację, możesz wrócić do poniższej listy terminów.
Okres | opis |
---|---|
pakiet dostępu | Pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiet dostępu jest zawsze zawarty w wykazie. Należy utworzyć nowy pakiet dostępu dla scenariusza, w którym użytkownicy muszą żądać dostępu. |
żądanie dostępu | Żądanie dostępu do zasobów w pakiecie dostępu. Żądanie zwykle przechodzi przez przepływ pracy zatwierdzania. Jeśli zostanie zatwierdzona, żądanie użytkownika otrzyma przypisanie pakietu dostępu. |
przypisanie | Przypisanie pakietu dostępu do użytkownika gwarantuje, że użytkownik ma wszystkie role zasobów tego pakietu dostępu. Przypisania pakietów programu Access zwykle mają limit czasu przed ich wygaśnięciem. |
wykaz | Kontener powiązanych zasobów i pakietów dostępu. Wykazy są używane do delegowania, dzięki czemu administratorzy nieadministratorzy mogą tworzyć własne pakiety dostępu. Właściciele wykazu mogą dodawać własne zasoby do katalogu. |
twórca katalogu | Kolekcja użytkowników, którzy mają uprawnienia do tworzenia nowych katalogów. Gdy użytkownik niebędący administratorem, który ma uprawnienia do tworzenia nowego wykazu, automatycznie staje się właścicielem tego wykazu. |
połączona organizacja | Zewnętrzny katalog firmy Microsoft Entra lub domena, z którą masz relację. Użytkownicy z połączonej organizacji mogą być określeni w zasadach, ponieważ mogą żądać dostępu. |
policy | Zestaw reguł definiujących cykl życia dostępu, na przykład sposób uzyskiwania dostępu przez użytkowników, którzy mogą zatwierdzać i jak długo użytkownicy mają dostęp za pośrednictwem przypisania. Zasady są połączone z pakietem dostępu. Na przykład pakiet dostępu może mieć dwie zasady — jeden dla pracowników, który zażąda dostępu, a drugi dla użytkowników zewnętrznych w celu żądania dostępu. |
zasób | Zasób, taki jak grupa pakietu Office, grupa zabezpieczeń, aplikacja lub witryna usługi SharePoint Online, z rolą, do której użytkownik może mieć uprawnienia. |
katalog zasobów | Katalog, który ma co najmniej jeden zasób do udostępnienia. |
rola zasobu | Kolekcja uprawnień skojarzonych z zasobem i zdefiniowanych przez ten zasób. Grupa ma dwie role — członka i właściciela. Witryny programu SharePoint zwykle mają trzy role, ale mogą mieć inne role niestandardowe. Aplikacje mogą mieć role niestandardowe. |
Wymagania dotyczące licencji
Ta funkcja wymaga subskrypcji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite dla użytkowników organizacji. Niektóre możliwości, w ramach tej funkcji, mogą działać z subskrypcją Microsoft Entra ID P2. Aby uzyskać więcej informacji, zobacz artykuły dotyczące każdej możliwości, aby uzyskać więcej informacji. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Następne kroki
- Jeśli interesuje Cię korzystanie z centrum administracyjnego firmy Microsoft Entra do zarządzania dostępem do zasobów, zobacz Samouczek: zarządzanie dostępem do zasobów — Microsoft Entra.
- Jeśli interesuje Cię zarządzanie dostępem do zasobów przy użyciu programu Microsoft Graph, zobacz Samouczek: zarządzanie dostępem do zasobów — Microsoft Graph
- Typowe scenariusze