Samouczek: zarządzanie dostępem do zasobów w zarządzaniu upoważnieniami
Zarządzanie dostępem do wszystkich potrzebnych zasobów, takich jak grupy, aplikacje i witryny, jest ważną funkcją dla organizacji. Chcesz przyznać pracownikom odpowiedni poziom dostępu, którego potrzebują, aby być produktywnymi, oraz usunąć ten dostęp, gdy nie jest już potrzebny.
W tym samouczku pracujesz dla banku Woodgrove Bank jako administrator IT. Poproszono Cię o utworzenie pakietu zasobów dla kampanii marketingowej, który użytkownicy wewnętrzni mogą wykorzystać do samodzielnego składania wniosków. Żądania nie wymagają zatwierdzenia, a dostęp użytkownika wygasa po upływie 30 dni. W tym samouczku zasoby kampanii marketingowej ograniczają się do członkostwa w jednej grupie, ale mogą również obejmować kolekcję grup, aplikacje lub witryny SharePoint Online.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Tworzenie pakietu dostępu z grupą jako zasobem
- Zezwalanie użytkownikowi w katalogu na żądanie dostępu
- Prezentacja sposobu, w jaki użytkownik wewnętrzny może zażądać pakietu dostępu
Aby zapoznać się z pokazem krok po kroku procesu wdrażania zarządzania upoważnieniami firmy Microsoft Entra, w tym tworzenia pierwszego pakietu dostępu, zobacz następujący film wideo:
W pozostałej części tego artykułu do konfigurowania i demonstrowania zarządzania dostępem używa się centrum administracyjnego Microsoft Entra.
Wymagania wstępne
Aby korzystać z zarządzania upoważnieniami, musisz mieć jedną z następujących licencji:
- Microsoft Entra ID P2 lub Microsoft Entra ID Governance
- Licencja Enterprise Mobility + Security (EMS) E5
Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.
Krok 1. Konfigurowanie użytkowników i grup
Katalog zasobów ma co najmniej jeden zasób do udostępnienia. W tym kroku utworzysz grupę o nazwie Zasoby marketingowe w katalogu Banku Woodgrove Bank, która jest zasobem docelowym do zarządzania upoważnieniami. Konfigurujesz również wewnętrznego wnioskodawcę.
Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamościami.
Przejdź do Zarządzanie tożsamością>Zarządzanie uprawnieniami>Pakiety dostępu.
Utwórz dwóch użytkowników. Użyj następujących nazw lub innych.
Nazwisko Rola katalogu Administrator1 Co najmniej administrator zarządzania tożsamością. Ten użytkownik może być aktualnie zalogowanym użytkownikiem. Żądający1 Użytkownik Utwórz grupę zabezpieczeń Microsoft Entra o nazwie Zasoby marketingowe z typem członkostwa Przypisane. Ta grupa jest zasobem docelowym do zarządzania upoważnieniami. Aby rozpocząć, grupa powinna być pusta od członków.
Krok 2. Tworzenie pakietu dostępu
Pakiet dostępu to pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. W tym kroku utworzysz pakiet dostępu do kampanii marketingowej w katalogu ogólnym.
Zaloguj się do centrum administracyjnego Microsoft Entra jako Administrator zarządzania tożsamościami, co najmniej.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.
Przejdź do zarządzania tożsamościami>zarządzania upoważnieniami>pakietu dostępu.
Na stronie Pakiety dostępu otwórz pakiet dostępu.
Podczas otwierania pakietu dostępu, jeśli zostanie wyświetlony komunikat Odmowa dostępu, upewnij się, że w katalogu znajduje się licencja Microsoft Entra ID P2 lub Microsoft Entra ID Governance.
Wybierz pozycję Nowy pakiet dostępu.
Na karcie Podstawowe wpisz nazwę Pakiet dostępu do kampanii marketingowej i opis Dostęp do zasobów dla kampanii.
Pozostaw listę rozwijaną Wykaz ustawioną na Ogólne.
Wybierz przycisk Dalej , aby otworzyć kartę Role zasobów. Na tej karcie wybierz zasoby i rolę zasobu do uwzględnienia w pakiecie dostępu. Możesz zarządzać dostępem do grup i zespołów, aplikacji i witryn usługi SharePoint Online. W tym scenariuszu wybierz pozycję Grupy i zespoły.
W okienku Wybieranie grup znajdź i wybierz utworzoną wcześniej grupę Zasobów marketingowych.
Domyślnie grupy są widoczne w wykazie ogólnym. Po wybraniu grupy spoza wykazu ogólnego, które można sprawdzić, jeśli zaznaczysz pole wyboru Zobacz wszystko , zostanie ono dodane do wykazu ogólnego.
Wybierz pozycję Wybierz , aby dodać grupę do listy.
Z listy rozwijanej Rola wybierz pozycję Członek. Jeśli wybierzesz rolę Właściciel, umożliwia użytkownikom dodawanie lub usuwanie innych członków lub właścicieli. Aby uzyskać więcej informacji na temat wybierania odpowiednich ról dla zasobu, przeczytaj dodawanie ról dla zasobów.
Ważne
Grupy z możliwością przypisywania ról dodane do pakietu dostępu będą wskazywane przy użyciu podtypu Przypisywanie do ról. Aby uzyskać więcej informacji, zapoznaj się z artykułem Tworzenie grupy z możliwością przypisywania ról. Należy pamiętać, że gdy grupa z możliwością przypisania roli znajduje się w wykazie pakietów dostępu, użytkownicy administracyjni, którzy są w stanie zarządzać w zarządzaniu uprawnieniami, w tym użytkownicy w roli administratora globalnego, użytkownicy w roli Administratora ładu tożsamości oraz właściciele katalogu, będą mogli kontrolować pakiety dostępu w katalogu, co umożliwia im wybór, kto może zostać dodany do tych grup. Jeśli nie widzisz grupy z możliwością przypisania ról, którą chcesz dodać lub nie możesz jej dodać, upewnij się, że masz wymaganą rolę Microsoft Entra i rolę zarządzania upoważnieniami do wykonania tej operacji. Może być konieczne zwrócenie się do osoby z wymaganymi rolami o dodanie zasobu do katalogu. Aby uzyskać więcej informacji, zobacz Wymagane role, aby dodać zasoby do wykazu.
Uwaga
Podczas korzystania z dynamicznych grup członkostwa nie zobaczysz żadnych innych ról dostępnych poza właścicielem. Jest to celowe.
Wybierz przycisk Dalej , aby otworzyć kartę Żądania . Na karcie Żądania utworzysz zasady żądania. Zasady definiują reguły lub bariery zabezpieczające w celu uzyskania dostępu do pakietu dostępu. Utworzysz zasady, które umożliwiają określonemu użytkownikowi w katalogu zasobów żądanie tego pakietu dostępu.
W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Dla użytkowników w katalogu, a następnie wybierz pozycję Konkretni użytkownicy i grupy.
Wybierz pozycję Dodaj użytkowników i grupy.
W okienku Wybieranie użytkowników i grup wybierz utworzonego wcześniej użytkownika Requestor1 .
Wybierz pozycję Wybierz , aby dodać użytkownika do listy.
Przewiń w dół do sekcji Zatwierdzenie i Włącz żądania .
Pozostaw opcję Wymagaj zatwierdzenia ustawioną na Nie.
W obszarze Włącz żądania wybierz pozycję Tak , aby umożliwić zażądanie tego pakietu dostępu natychmiast po jego utworzeniu.
Jeśli Twoja organizacja jest skonfigurowana do odbierania zweryfikowanych identyfikatorów, istnieje możliwość skonfigurowania pakietu dostępu w celu wymagania od żądających podania zweryfikowanego identyfikatora. Aby dowiedzieć się więcej, zobacz Konfigurowanie ustawień zweryfikowanego identyfikatora dla pakietu dostępu w zarządzaniu upoważnieniami (wersja zapoznawcza)
Wybierz Dalej, aby otworzyć kartę Informacje o wnioskodawcy.
Na karcie Informacje o żądaniu możesz zadawać pytania, aby zebrać więcej informacji od osoby żądającej. Pytania są wyświetlane w formularzu żądania i mogą być wymagane lub opcjonalne. Możesz również określić, czy menedżer pracownika może złożyć wniosek w ich imieniu oraz czy wymagana jest zgoda na takie działanie. Jeśli zasady umożliwiają menedżerom żądanie w imieniu pracownika, menedżer odpowiada na pytania w imieniu pracownika, a nie siebie. Aby uzyskać więcej informacji na temat tej opcji, zobacz: Żądanie pakietu dostępu w imieniu innych użytkowników (wersja zapoznawcza). W tym scenariuszu nie poproszono Cię o dołączenie informacji osoby żądającej do pakietu dostępu, dzięki czemu można pozostawić te pola puste. Wybierz przycisk Dalej , aby otworzyć kartę Cykl życia .
Na karcie Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Możesz również określić, czy użytkownicy mogą rozszerzać swoje przypisania. W sekcji Wygaśnięcie:
- Ustaw, kiedy wygasają przydziały pakietu dostępu na liczbę dni.
- Ustaw opcję Przypisania wygasają po30 dniach.
- Pozostaw domyślną opcję "Użytkownicy mogą żądać określonej osi czasu", Tak.
- Dla opcji Wymagaj przeglądów dostępu ustaw wartość Nie.
Pomiń krok Rozszerzenia niestandardowe.
Wybierz przycisk Dalej , aby otworzyć kartę Przeglądanie i tworzenie .
Na karcie Przeglądanie + tworzenie wybierz pozycję Utwórz. Po kilku chwilach powinno zostać wyświetlone powiadomienie o pomyślnym utworzeniu pakietu dostępu.
W menu po lewej stronie pakietu dostępu do kampanii marketingowej wybierz pozycję Przegląd.
Skopiuj link Mój portal dostępu.
Użyjesz tego linku do następnego kroku.
Krok 3. Żądanie dostępu
W tym kroku wykonasz kroki jako wewnętrzny wnioskodawca i poprosisz o dostęp do pakietu dostępu. Wnioskodawcy przesyłają swoje żądania w portalu Mój Dostęp. Portal Mój dostęp umożliwia osobom wnioskującym przesyłanie żądań dotyczących pakietów dostępu, pozwala im zobaczyć pakiety dostępu, do których już mają dostęp, oraz wyświetlić historię ich żądań. Gdy nowy gość wnioskuje o pakiet dostępu w usłudze MyAccess, preferowany język jest określany na podstawie języka przeglądarki MyAccess w momencie składania wniosku. Dzięki temu nowi goście mogą odbierać komunikację e-mail w zrozumiałym języku.
Rola wymagana wstępnie: Wewnętrzny wnioskodawca
Wyloguj się z centrum administracyjnego firmy Microsoft Entra.
W nowym oknie przeglądarki przejdź do linku Mój portal dostępu skopiowanego w poprzednim kroku.
Zaloguj się do portalu Mój dostęp jako requestor1.
Powinien być wyświetlony pakiet dostępu Marketing Campaign.
W polu Uzasadnienie biznesowe wpisz uzasadnienie, dla których pracuję nad nową kampanią marketingową.
Wybierz Prześlij.
W menu po lewej stronie wybierz pozycję Historia żądań, aby sprawdzić, czy żądanie zostało dostarczone. Aby uzyskać więcej informacji, wybierz pozycję Widok.
Krok 4. Sprawdzanie, czy przypisano dostęp
W tym kroku potwierdzisz, że wewnętrzny żądający został przypisany pakiet dostępu i że jest teraz członkiem grupy zasobów marketingowych.
Wyloguj się z portalu Mój dostęp.
Zaloguj się do centrum administracyjnego Microsoft Entra jako Admin1, który jest co najmniej Administratorem zarządzania tożsamością.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela katalogu i menedżera pakietów programu Access.
Przejdź do zarządzania tożsamością>zarządzania uprawnieniami>pakietów dostępu.
Znajdź i wybierz Pakiet dostępu do kampanii marketingowej.
W menu po lewej stronie wybierz pozycję Żądania.
Powinnaś zobaczyć Requestor1 i początkową politykę ze stanem Dostarczono.
Wybierz żądanie, aby wyświetlić szczegóły żądania.
W obszarze nawigacji po lewej stronie wybierz pozycję Tożsamość.
Wybierz pozycję Grupy i otwórz grupę Zasobów marketingowych.
Wybierz pozycję Członkowie.
Powinieneś zobaczyć Requestor1 na liście jako członka.
Krok 5. Czyszczenie zasobów
W tym kroku usuniesz wprowadzone zmiany i usuniesz pakiet dostępu do kampanii marketingowej.
W centrum administracyjnym firmy Microsoft Entra jako co najmniej Administrator Zarządzania Tożsamością, wybierz Zarządzanie tożsamościami.
Otwórz pakiet dostępu do kampanii marketingowej.
Wybierz pozycję Przypisania.
W polu Requestor1 wybierz wielokropek (...), a następnie wybierz pozycję Usuń dostęp. W wyświetlonym komunikacie wybierz pozycję Tak.
Po kilku chwilach stan zmieni się z Dostarczone na Wygasłe.
Wybierz pozycję Role zasobów.
W obszarze Zasoby marketingowe wybierz wielokropek (...), a następnie wybierz Usuń rolę zasobu. W wyświetlonym komunikacie wybierz pozycję Tak.
Otwórz listę pakietów dostępu.
Dla kampanii marketingowej wybierz wielokropek (...), a następnie wybierz Usuń. W wyświetlonym komunikacie wybierz pozycję Tak.
W obszarze Tożsamość usuń wszystkich utworzonych użytkowników, takich jak Requestor1 i Admin1.
Usuń grupę Zasobów marketingowych.
Następne kroki
Przejdź do następnego artykułu, aby dowiedzieć się więcej o typowych krokach scenariuszy zarządzania upoważnieniami.