Udostępnij za pośrednictwem

Samouczek: zarządzanie dostępem do zasobów w zarządzaniu upoważnieniami

  • Artykuł

Zarządzanie dostępem do wszystkich potrzebnych zasobów, takich jak grupy, aplikacje i witryny, jest ważną funkcją dla organizacji. Chcesz przyznać pracownikom odpowiedni poziom dostępu, którego potrzebują, aby być produktywnymi, oraz usunąć ten dostęp, gdy nie jest już potrzebny.

W tym samouczku pracujesz dla banku Woodgrove Bank jako administrator IT. Poproszono Cię o utworzenie pakietu zasobów dla kampanii marketingowej, który użytkownicy wewnętrzni mogą wykorzystać do samodzielnego składania wniosków. Żądania nie wymagają zatwierdzenia, a dostęp użytkownika wygasa po upływie 30 dni. W tym samouczku zasoby kampanii marketingowej ograniczają się do członkostwa w jednej grupie, ale mogą również obejmować kolekcję grup, aplikacje lub witryny SharePoint Online.

Diagram przedstawiający przegląd scenariusza.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie pakietu dostępu z grupą jako zasobem
  • Zezwalanie użytkownikowi w katalogu na żądanie dostępu
  • Prezentacja sposobu, w jaki użytkownik wewnętrzny może zażądać pakietu dostępu

Aby zapoznać się z pokazem krok po kroku procesu wdrażania zarządzania upoważnieniami firmy Microsoft Entra, w tym tworzenia pierwszego pakietu dostępu, zobacz następujący film wideo:

W pozostałej części tego artykułu do konfigurowania i demonstrowania zarządzania dostępem używa się centrum administracyjnego Microsoft Entra.

Wymagania wstępne

Aby korzystać z zarządzania upoważnieniami, musisz mieć jedną z następujących licencji:

  • Microsoft Entra ID P2 lub Microsoft Entra ID Governance
  • Licencja Enterprise Mobility + Security (EMS) E5

Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.

Krok 1. Konfigurowanie użytkowników i grup

Katalog zasobów ma co najmniej jeden zasób do udostępnienia. W tym kroku utworzysz grupę o nazwie Zasoby marketingowe w katalogu Banku Woodgrove Bank, która jest zasobem docelowym do zarządzania upoważnieniami. Konfigurujesz również wewnętrznego wnioskodawcę.

Diagram przedstawiający użytkowników i grupy na potrzeby tego samouczka.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamościami.

  2. Przejdź do Zarządzanie tożsamością>Zarządzanie uprawnieniami>Pakiety dostępu.

  3. Utwórz dwóch użytkowników. Użyj następujących nazw lub innych.

    Nazwisko Rola katalogu
    Administrator1 Co najmniej administrator zarządzania tożsamością. Ten użytkownik może być aktualnie zalogowanym użytkownikiem.
    Żądający1 Użytkownik

  4. Utwórz grupę zabezpieczeń Microsoft Entra o nazwie Zasoby marketingowe z typem członkostwa Przypisane. Ta grupa jest zasobem docelowym do zarządzania upoważnieniami. Aby rozpocząć, grupa powinna być pusta od członków.

Krok 2. Tworzenie pakietu dostępu

Pakiet dostępu to pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. W tym kroku utworzysz pakiet dostępu do kampanii marketingowej w katalogu ogólnym.

Diagram opisujący relację między elementami pakietu dostępu.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako Administrator zarządzania tożsamościami, co najmniej.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do zarządzania tożsamościami>zarządzania upoważnieniami>pakietu dostępu.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu.

  4. Podczas otwierania pakietu dostępu, jeśli zostanie wyświetlony komunikat Odmowa dostępu, upewnij się, że w katalogu znajduje się licencja Microsoft Entra ID P2 lub Microsoft Entra ID Governance.

  5. Wybierz pozycję Nowy pakiet dostępu.

    Zrzuty ekranu przedstawiające sposób tworzenia pakietu dostępu.

  6. Na karcie Podstawowe wpisz nazwę Pakiet dostępu do kampanii marketingowej i opis Dostęp do zasobów dla kampanii.

  7. Pozostaw listę rozwijaną Wykaz ustawioną na Ogólne.

    Zrzut ekranu przedstawiający sposób ustawiania podstawowych zasad dostępu.

  8. Wybierz przycisk Dalej , aby otworzyć kartę Role zasobów. Na tej karcie wybierz zasoby i rolę zasobu do uwzględnienia w pakiecie dostępu. Możesz zarządzać dostępem do grup i zespołów, aplikacji i witryn usługi SharePoint Online. W tym scenariuszu wybierz pozycję Grupy i zespoły.

    Zrzut ekranu przedstawiający sposób wybierania grup i zespołów.

  9. W okienku Wybieranie grup znajdź i wybierz utworzoną wcześniej grupę Zasobów marketingowych.

    Domyślnie grupy są widoczne w wykazie ogólnym. Po wybraniu grupy spoza wykazu ogólnego, które można sprawdzić, jeśli zaznaczysz pole wyboru Zobacz wszystko , zostanie ono dodane do wykazu ogólnego.

    Zrzut ekranu przedstawiający sposób wybierania grup

  10. Wybierz pozycję Wybierz , aby dodać grupę do listy.

  11. Z listy rozwijanej Rola wybierz pozycję Członek. Jeśli wybierzesz rolę Właściciel, umożliwia użytkownikom dodawanie lub usuwanie innych członków lub właścicieli. Aby uzyskać więcej informacji na temat wybierania odpowiednich ról dla zasobu, przeczytaj dodawanie ról dla zasobów.

    Zrzut ekranu przedstawiający sposób wybierania roli członka.

    Ważne

    Grupy z możliwością przypisywania ról dodane do pakietu dostępu będą wskazywane przy użyciu podtypu Przypisywanie do ról. Aby uzyskać więcej informacji, zapoznaj się z artykułem Tworzenie grupy z możliwością przypisywania ról. Należy pamiętać, że gdy grupa z możliwością przypisania roli znajduje się w wykazie pakietów dostępu, użytkownicy administracyjni, którzy są w stanie zarządzać w zarządzaniu uprawnieniami, w tym użytkownicy w roli administratora globalnego, użytkownicy w roli Administratora ładu tożsamości oraz właściciele katalogu, będą mogli kontrolować pakiety dostępu w katalogu, co umożliwia im wybór, kto może zostać dodany do tych grup. Jeśli nie widzisz grupy z możliwością przypisania ról, którą chcesz dodać lub nie możesz jej dodać, upewnij się, że masz wymaganą rolę Microsoft Entra i rolę zarządzania upoważnieniami do wykonania tej operacji. Może być konieczne zwrócenie się do osoby z wymaganymi rolami o dodanie zasobu do katalogu. Aby uzyskać więcej informacji, zobacz Wymagane role, aby dodać zasoby do wykazu.

    Uwaga

    Podczas korzystania z dynamicznych grup członkostwa nie zobaczysz żadnych innych ról dostępnych poza właścicielem. Jest to celowe. Zrzuty ekranu przedstawiające role dostępne dla grupy dynamicznej.

  12. Wybierz przycisk Dalej , aby otworzyć kartę Żądania . Na karcie Żądania utworzysz zasady żądania. Zasady definiują reguły lub bariery zabezpieczające w celu uzyskania dostępu do pakietu dostępu. Utworzysz zasady, które umożliwiają określonemu użytkownikowi w katalogu zasobów żądanie tego pakietu dostępu.

  13. W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Dla użytkowników w katalogu, a następnie wybierz pozycję Konkretni użytkownicy i grupy.

    Zrzut ekranu przedstawiający kartę Żądania pakietu dostępu.

  14. Wybierz pozycję Dodaj użytkowników i grupy.

  15. W okienku Wybieranie użytkowników i grup wybierz utworzonego wcześniej użytkownika Requestor1 .

    Zrzut ekranu przedstawiający wybieranie użytkowników i grup.

  16. Wybierz pozycję Wybierz , aby dodać użytkownika do listy.

  17. Przewiń w dół do sekcji Zatwierdzenie i Włącz żądania .

  18. Pozostaw opcję Wymagaj zatwierdzenia ustawioną na Nie.

  19. W obszarze Włącz żądania wybierz pozycję Tak , aby umożliwić zażądanie tego pakietu dostępu natychmiast po jego utworzeniu.

  20. Jeśli Twoja organizacja jest skonfigurowana do odbierania zweryfikowanych identyfikatorów, istnieje możliwość skonfigurowania pakietu dostępu w celu wymagania od żądających podania zweryfikowanego identyfikatora. Aby dowiedzieć się więcej, zobacz Konfigurowanie ustawień zweryfikowanego identyfikatora dla pakietu dostępu w zarządzaniu upoważnieniami (wersja zapoznawcza)

    Zrzut ekranu przedstawiający wybór opcji zweryfikowanego ID.

  21. Wybierz Dalej, aby otworzyć kartę Informacje o wnioskodawcy.

    Zrzuty ekranu przedstawiające zatwierdzenie zakładki żądań i włączenie ustawień żądań.

  22. Na karcie Informacje o żądaniu możesz zadawać pytania, aby zebrać więcej informacji od osoby żądającej. Pytania są wyświetlane w formularzu żądania i mogą być wymagane lub opcjonalne. Możesz również określić, czy menedżer pracownika może złożyć wniosek w ich imieniu oraz czy wymagana jest zgoda na takie działanie. Jeśli zasady umożliwiają menedżerom żądanie w imieniu pracownika, menedżer odpowiada na pytania w imieniu pracownika, a nie siebie. Aby uzyskać więcej informacji na temat tej opcji, zobacz: Żądanie pakietu dostępu w imieniu innych użytkowników (wersja zapoznawcza). W tym scenariuszu nie poproszono Cię o dołączenie informacji osoby żądającej do pakietu dostępu, dzięki czemu można pozostawić te pola puste. Wybierz przycisk Dalej , aby otworzyć kartę Cykl życia .

  23. Na karcie Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Możesz również określić, czy użytkownicy mogą rozszerzać swoje przypisania. W sekcji Wygaśnięcie:

    1. Ustaw, kiedy wygasają przydziały pakietu dostępu na liczbę dni.
    2. Ustaw opcję Przypisania wygasają po30 dniach.
    3. Pozostaw domyślną opcję "Użytkownicy mogą żądać określonej osi czasu", Tak.
    4. Dla opcji Wymagaj przeglądów dostępu ustaw wartość Nie.

    Zrzut ekranu przedstawiający kartę cyklu życia pakietu dostępu

  24. Pomiń krok Rozszerzenia niestandardowe.

  25. Wybierz przycisk Dalej , aby otworzyć kartę Przeglądanie i tworzenie .

  26. Na karcie Przeglądanie + tworzenie wybierz pozycję Utwórz. Po kilku chwilach powinno zostać wyświetlone powiadomienie o pomyślnym utworzeniu pakietu dostępu.

  27. W menu po lewej stronie pakietu dostępu do kampanii marketingowej wybierz pozycję Przegląd.

  28. Skopiuj link Mój portal dostępu.

    Użyjesz tego linku do następnego kroku.

    Zrzut ekranu przedstawiający sposób kopiowania linku do zasad dostępu.

Krok 3. Żądanie dostępu

W tym kroku wykonasz kroki jako wewnętrzny wnioskodawca i poprosisz o dostęp do pakietu dostępu. Wnioskodawcy przesyłają swoje żądania w portalu Mój Dostęp. Portal Mój dostęp umożliwia osobom wnioskującym przesyłanie żądań dotyczących pakietów dostępu, pozwala im zobaczyć pakiety dostępu, do których już mają dostęp, oraz wyświetlić historię ich żądań. Gdy nowy gość wnioskuje o pakiet dostępu w usłudze MyAccess, preferowany język jest określany na podstawie języka przeglądarki MyAccess w momencie składania wniosku. Dzięki temu nowi goście mogą odbierać komunikację e-mail w zrozumiałym języku.

Rola wymagana wstępnie: Wewnętrzny wnioskodawca

  1. Wyloguj się z centrum administracyjnego firmy Microsoft Entra.

  2. W nowym oknie przeglądarki przejdź do linku Mój portal dostępu skopiowanego w poprzednim kroku.

  3. Zaloguj się do portalu Mój dostęp jako requestor1.

    Powinien być wyświetlony pakiet dostępu Marketing Campaign.

  4. W polu Uzasadnienie biznesowe wpisz uzasadnienie, dla których pracuję nad nową kampanią marketingową.

    Zrzut ekranu przedstawiający portal Mój dostęp z listą pakietów dostępu.

  5. Wybierz Prześlij.

  6. W menu po lewej stronie wybierz pozycję Historia żądań, aby sprawdzić, czy żądanie zostało dostarczone. Aby uzyskać więcej informacji, wybierz pozycję Widok.

    Zrzut ekranu przedstawiający historię żądań portalu Mój dostęp.

Krok 4. Sprawdzanie, czy przypisano dostęp

W tym kroku potwierdzisz, że wewnętrzny żądający został przypisany pakiet dostępu i że jest teraz członkiem grupy zasobów marketingowych.

  1. Wyloguj się z portalu Mój dostęp.

  2. Zaloguj się do centrum administracyjnego Microsoft Entra jako Admin1, który jest co najmniej Administratorem zarządzania tożsamością.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela katalogu i menedżera pakietów programu Access.

  3. Przejdź do zarządzania tożsamością>zarządzania uprawnieniami>pakietów dostępu.

  4. Znajdź i wybierz Pakiet dostępu do kampanii marketingowej.

  5. W menu po lewej stronie wybierz pozycję Żądania.

    Powinnaś zobaczyć Requestor1 i początkową politykę ze stanem Dostarczono.

  6. Wybierz żądanie, aby wyświetlić szczegóły żądania.

    Zrzut ekranu przedstawiający szczegóły żądania pakietu dostępu.

  7. W obszarze nawigacji po lewej stronie wybierz pozycję Tożsamość.

  8. Wybierz pozycję Grupy i otwórz grupę Zasobów marketingowych.

  9. Wybierz pozycję Członkowie.

    Powinieneś zobaczyć Requestor1 na liście jako członka.

    Zrzut ekranu pokazuje, że requestor1 został dodany do grupy zasobów marketingowych.

Krok 5. Czyszczenie zasobów

W tym kroku usuniesz wprowadzone zmiany i usuniesz pakiet dostępu do kampanii marketingowej.

  1. W centrum administracyjnym firmy Microsoft Entra jako co najmniej Administrator Zarządzania Tożsamością, wybierz Zarządzanie tożsamościami.

  2. Otwórz pakiet dostępu do kampanii marketingowej.

  3. Wybierz pozycję Przypisania.

  4. W polu Requestor1 wybierz wielokropek (...), a następnie wybierz pozycję Usuń dostęp. W wyświetlonym komunikacie wybierz pozycję Tak.

    Po kilku chwilach stan zmieni się z Dostarczone na Wygasłe.

  5. Wybierz pozycję Role zasobów.

  6. W obszarze Zasoby marketingowe wybierz wielokropek (...), a następnie wybierz Usuń rolę zasobu. W wyświetlonym komunikacie wybierz pozycję Tak.

  7. Otwórz listę pakietów dostępu.

  8. Dla kampanii marketingowej wybierz wielokropek (...), a następnie wybierz Usuń. W wyświetlonym komunikacie wybierz pozycję Tak.

  9. W obszarze Tożsamość usuń wszystkich utworzonych użytkowników, takich jak Requestor1 i Admin1.

  10. Usuń grupę Zasobów marketingowych.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się więcej o typowych krokach scenariuszy zarządzania upoważnieniami.

Typowe scenariusze