Przypisywanie ról firmy Microsoft Entra (wersja zapoznawcza)
Zarządzanie upoważnieniami obsługuje cykl życia dostępu dla różnych typów zasobów, takich jak aplikacje, witryny programu SharePoint, grupy i zespoły. Czasami użytkownicy potrzebują dodatkowych uprawnień do korzystania z tych zasobów w określony sposób. Na przykład użytkownik może potrzebować dostępu do pulpitów nawigacyjnych usługi Power BI w organizacji, ale musi mieć rolę administratora usługi Power BI, aby wyświetlić metryki dla całej organizacji. Mimo że inne funkcje identyfikatora Entra firmy Microsoft, takie jak grupy z możliwością przypisywania ról, mogą obsługiwać te przypisania ról firmy Microsoft Entra, dostęp udzielany za pośrednictwem tych metod jest mniej jawny. Na przykład można zarządzać członkostwem grupy zamiast zarządzać przypisaniami ról użytkowników bezpośrednio.
Przypisując role firmy Microsoft Entra pracownikom i gościom, korzystając z funkcji Zarządzanie upoważnieniami, możesz sprawdzić uprawnienia użytkownika, aby szybko określić, które role są przypisane do tego użytkownika. Jeśli dołączysz rolę Microsoft Entra jako zasób w pakiecie dostępu, możesz również określić, czy przypisanie roli jest "uprawnione", czy "aktywne".
Przypisywanie ról firmy Microsoft Entra za pomocą pakietów dostępu ułatwia efektywne zarządzanie przypisaniami ról na dużą skalę i poprawia cykl życia przypisywania ról.
Scenariusze przypisywania roli Entra firmy Microsoft przy użyciu pakietów dostępu
Wyobraźmy sobie, że Twoja organizacja niedawno zatrudniła 50 nowych pracowników zespołu pomocy technicznej i że twoim zadaniem jest zapewnienie tym nowym pracownikom dostępu do potrzebnych zasobów. Ci pracownicy potrzebują dostępu do grupy pomocy technicznej i niektórych aplikacji związanych z pomocą techniczną. Do wykonywania swoich zadań potrzebują również trzech ról firmy Microsoft Entra, w tym roli administratora pomocy technicznej. Zamiast indywidualnie przypisywać każdego z 50 pracowników do wszystkich zasobów i ról, można skonfigurować pakiet dostępu zawierający witrynę programu SharePoint, grupę i określone role firmy Microsoft. Następnie możesz skonfigurować pakiet dostępu tak, aby menedżerowie mieli jako osoby zatwierdzające i udostępnić link zespołowi pomocy technicznej.
Teraz nowi członkowie zespołu pomocy technicznej mogą zażądać dostępu do tego pakietu dostępu w obszarze Mój dostęp i uzyskać dostęp do wszystkiego, czego potrzebują, gdy tylko menedżer zatwierdzi żądanie. Pozwala to zaoszczędzić czas i energię, ponieważ zespół pomocy technicznej planuje rozszerzenie na całym świecie, zatrudniając ok. 1000 nowych pracowników, ale nie musisz już ręcznie przypisywać każdej osobie do pakietu dostępu.
Uwaga dotycząca dostępu do usługi PIM:
Uwaga
Zalecamy użycie usługi Privileged Identity Management w celu zapewnienia użytkownikowi dostępu just in time do wykonania zadania wymagającego podwyższonych uprawnień. Te uprawnienia są udostępniane za pośrednictwem ról entra firmy Microsoft, które są oznaczone jako "uprzywilejowane", w naszej dokumentacji tutaj: Wbudowane role firmy Microsoft Entra. Zarządzanie upoważnieniami lepiej nadaje się do przypisywania użytkownikom pakietu zasobów, które mogą obejmować rolę Firmy Microsoft Entra, niezbędną do wykonania zadania. Użytkownicy przypisani do pakietów dostępu mają zwykle bardziej długotrwały dostęp do zasobów. Zalecamy zarządzanie rolami z wysokimi uprawnieniami za pomocą usługi Privileged Identity Management, ale można skonfigurować uprawnienia do tych ról za pośrednictwem pakietów dostępu w usłudze Zarządzanie upoważnieniami.
Wymagania wstępne
Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Dodawanie roli Entra firmy Microsoft jako zasobu w pakiecie dostępu
Wykonaj następujące kroki, aby zmienić listę niezgodnych grup lub innych pakietów dostępu dla istniejącego pakietu dostępu:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>
Na stronie Pakiety dostępu otwórz pakiet dostępu, do którego chcesz dodać role zasobów, i wybierz pozycję Role zasobów.
Na stronie Dodawanie ról zasobów w celu uzyskania dostępu do pakietu wybierz pozycję Role entra firmy Microsoft (wersja zapoznawcza), aby otworzyć okienko Wybieranie ról firmy Microsoft Entra.
Wybierz role firmy Microsoft Entra, które chcesz uwzględnić w pakiecie dostępu.
Na liście Rola wybierz pozycję Uprawniony członek lub Aktywny członek.
Wybierz Dodaj.
Uwaga
Jeśli wybierzesz opcję Kwalifikujące się, użytkownicy będą kwalifikować się do tej roli i mogą aktywować swoje przypisanie przy użyciu usługi Privileged Identity Management w centrum administracyjnym firmy Microsoft Entra. W przypadku wybrania opcji Aktywne użytkownicy będą mieć aktywne przypisanie roli, dopóki nie będą już mieli dostępu do pakietu dostępu. W przypadku ról Entra, które są oznaczone jako "uprzywilejowane", będzie można wybrać tylko opcję Kwalifikujące. Listę ról uprzywilejowanych można znaleźć tutaj: Wbudowane role firmy Microsoft Entra.
Programowe dodawanie roli Entra firmy Microsoft jako zasobu w pakiecie dostępu
Aby programowo dodać rolę Entra firmy Microsoft, należy użyć następującego kodu:
"role": {
"originId": "Eligible",
"displayName": "Eligible Member",
"originSystem": "DirectoryRole",
"resource": {
"id": "ea036095-57a6-4c90-a640-013edf151eb1"
}
},
"scope": {
"description": "Root Scope",
"displayName": "Root",
"isRootScope": true,
"originSystem": "DirectoryRole",
"originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
}
}
Dodawanie roli Microsoft Entra jako zasobu w pakiecie dostępu przy użyciu programu Graph
Role entra firmy Microsoft można dodać jako zasoby w pakiecie dostępu przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All permission
lub aplikację z EntitlementManagement.ReadWrite.All
uprawnieniem aplikacji, może wywołać interfejs API, aby utworzyć pakiet dostępu zawierający role firmy Microsoft Entra i przypisać użytkowników do tego pakietu dostępu.
Dodawanie roli Microsoft Entra jako zasobu w pakiecie dostępu przy użyciu programu PowerShell
Role entra firmy Microsoft można również dodać jako zasoby w pakietach dostępu w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 1.16.0 lub nowszej.
Poniższy skrypt ilustruje dodanie roli Microsoft Entra jako zasobu w pakiecie dostępu:
Najpierw pobierz identyfikator wykazu i zasobu w tym wykazie oraz jego zakresy i role, które mają zostać uwzględnione w pakiecie dostępu. Użyj skryptu podobnego do poniższego przykładu. Zakłada się, że w katalogu znajduje się zasób roli Entra firmy Microsoft.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Entra Admins'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'DirectoryRole'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Następnie przypisz rolę Microsoft Entra z tego zasobu do pakietu dostępu. Jeśli na przykład chcesz uwzględnić pierwszą rolę zasobu zwróconą wcześniej jako rolę zasobu dostępu, użyj skryptu podobnego do poniższego.
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams