Поделиться через

Изменение ролей ресурсов для пакета доступа в управлении правами

  • Статья

Как менеджер пакетов доступа, вы можете изменить ресурсы в пакете доступа в любое время, не беспокоясь о предоставлении пользователю доступа к новым ресурсам или удалении его доступа из предыдущих ресурсов. В данной статье описывается, как изменить роли ресурсов для существующего пакета доступа.

В данном видео представлен обзор того, как изменить пакет доступа.

Проверка каталога на наличие ресурсов

Если вам нужно добавить ресурсы в пакет для доступа, вы должны проверить, доступны ли в каталоге пакета для доступа необходимые вам ресурсы. Если вы являетесь менеджером пакетов для доступа, вы не можете добавлять ресурсы в каталог, даже если они вам принадлежат. Вы можете лишь использовать ресурсы, доступные в каталоге.

  1. Войдите в административный центр Microsoft Entra как минимум в качестве администратора управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

  2. Перейдите к управлению удостоверениями>управлению предоставлением прав>пакету доступа.

  3. На странице Пакеты доступа откройте пакет доступа, который необходимо проверить, чтобы убедиться, что в каталоге есть необходимые ресурсы.

  4. В меню слева выберите "Каталог " и откройте каталог.

  5. В меню слева выберите "Ресурсы" , чтобы просмотреть список ресурсов в этом каталоге.

    Список ресурсов в каталоге

  6. Если ресурсов еще нет в каталоге, а вы являетесь администратором или владельцем каталога, вы можете добавить ресурсы в каталог. Типы ресурсов, которые можно добавить, являются группами, приложениями, интегрированными с каталогом и сайтами SharePoint Online. Например:

    • Группы могут быть созданными в облаке группами Microsoft 365 или облачными группами безопасности Microsoft Entra. Группы, которые возникают в локальной службе Active Directory, не могут быть назначены ресурсами, так как их владелец или члены не могут быть изменены в Microsoft Entra ID. Чтобы предоставить пользователям доступ к приложению, использующего членство в группах безопасности AD, создайте новую группу в идентификаторе Microsoft Entra, настройте обратную запись группы в AD и включите запись этой группы в AD. Группы, которые создаются в Exchange Online как группы рассылки, не могут быть изменены в Microsoft Entra ID.
    • Приложения могут быть корпоративными приложениями Microsoft Entra, которые включают в себя приложения SaaS, локальные приложения, использующие другой каталог или базу данных, а также собственные приложения, интегрированные с идентификатором Microsoft Entra. Если приложение еще не интегрировано с каталогом Microsoft Entra, ознакомьтесь с управлением доступом к приложениям в вашей среде и интегрируйте приложение с идентификатором Microsoft Entra.
    • Сайтами могут быть сайты SharePoint Online или семейства веб-сайтов SharePoint Online.

  7. Если вы являетесь диспетчером пакетов доступа и необходимо добавить ресурсы в каталог, вы можете попросить владельца каталога добавить их.

Определение ролей ресурсов для включения в пакет доступа

Роль ресурса — это коллекция разрешений, связанных с ресурсом и определяемых ими. Можно назначать ресурсы пользователям, если вы добавите роли ресурсов из каждого ресурса каталога в пакет доступа. Вы можете добавлять роли ресурсов, предоставляемые группами, командами, приложениями и сайтами SharePoint. Когда пользователь получает назначение пакету доступа, он добавляется ко всем ролям ресурсов в пакете доступа.

Когда они теряют назначение пакета доступа, их удаляют из всех ролей ресурсов, связанных с этим пакетом доступа.

Примечание.

Если пользователи были добавлены в ресурсы в обход управления правами и им необходимо сохранить доступ, даже если они позже получат назначения пакетов доступа, срок действия которых истечёт, то не добавляйте роли ресурсов в пакет доступа.

Если вы хотите, чтобы некоторые пользователи получали разные роли ресурсов, чем другие, необходимо создать несколько пакетов доступа в каталоге с отдельными пакетами доступа для каждой из ролей ресурсов. Вы также можете пометить пакеты для доступа как несовместимые друг с другом, чтобы пользователи не могли запрашивать доступ к пакетам для доступа, которые давали бы им чрезмерный доступ.

В частности, приложения могут иметь несколько ролей приложений. При добавлении роли приложения в качестве роли ресурса в пакет доступа, если у этого приложения несколько ролей приложения, необходимо указать соответствующую роль для этих пользователей в пакете доступа.

Примечание.

Если приложение имеет несколько ролей приложения, а несколько ролей этого приложения находятся в пакете доступа, пользователь получит все включенные роли этого приложения. Если вместо этого пользователи должны иметь только некоторые роли приложения, вам потребуется создать несколько пакетов доступа в каталоге с отдельными пакетами доступа для каждой из ролей приложения.

Кроме того, приложения также могут полагаться на группы безопасности для выражения разрешений. Например, приложение может иметь одну роль приложения User и также проверять членство в двух группах — в группе Ordinary Users и в группе Administrative Access. Пользователь приложения должен быть членом именно одной из этих двух групп. Если вы хотите настроить так, чтобы пользователи могли запрашивать одно из разрешений, то вы должны добавить в каталог три ресурса: приложение, группу Ordinary Users и группу Administrative Access. Затем вы создадите в этом каталоге два пакета доступа и укажите, что каждый пакет доступа несовместим с другим:

  • первая версия пакета доступа, содержащая две роли: роль приложения User и членство в группе Ordinary Users
  • второй пакет доступа с двумя ролями, связанными с ресурсами: роль User в приложении и членство в группе Administrative Access

Проверьте, назначены ли пользователи на роль ресурса

Если роль ресурса добавляется в пакет доступа администратором, пользователи, которые уже находятся в этой роли ресурса, но не имеют назначений пакету доступа, останутся в роли ресурса, но не будут назначены пакету доступа. Например, если пользователь является членом группы, а затем создается пакет для доступа, и роль участника этой группы добавляется в пакет для доступа, пользователь не получит назначение пакета для доступа автоматически.

Если вы хотите, чтобы обладатели роли в ресурсе также были назначены на пакет доступа, вы можете непосредственно назначить пользователей на пакет доступа, используя Центр администрирования Microsoft Entra или массово через Graph или PowerShell. Пользователи, назначенные пакету доступа, также получат доступ к другим ролям ресурсов в пакете доступа. Однако, так как те пользователи, которые были в роли ресурса, уже имеют доступ до добавления в пакет доступа, когда их назначение пакета доступа удаляется, они удаляются из этой роли ресурса.

Добавление ролей ресурсов

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора управления идентификацией.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

  2. Перейдите к управлению удостоверениями>управлению правами>пакету доступа.

  3. На странице Пакеты доступа откройте пакет, к которому вы хотите добавить роли ресурсов.

  4. В меню слева выберите роли ресурсов.

  5. Выберите Добавить роли ресурсов, чтобы открыть страницу добавления ролей ресурсов для пакета доступа.

    Пакет доступа - добавление ролей ресурсов

  6. В зависимости от того, хотите ли вы добавить членство в группе или группе, доступ к приложению, сайту SharePoint или роли Microsoft Entra (предварительная версия) выполните действия, описанные в одном из следующих разделов роли ресурсов.

Добавить роль ресурса группы или команды

Вы можете настроить управление полномочиями для автоматического добавления пользователей в группу или команду в Microsoft Teams, когда им назначают пакет доступа.

  • Если членство в группе или команде является ролью ресурса, которая является частью пакета доступа, и пользователь назначается этому пакету доступа, пользователь добавляется в качестве члена этой группы или команды, если он еще не присутствует.
  • Когда срок действия назначения пакета доступа пользователя истекает, они удаляются из группы или команды, если в настоящее время они не имеют назначения другому пакету доступа, который включает в себя ту же группу или команду.

Вы можете выбрать любую группу безопасности Microsoft Entra или группу Microsoft 365. Пользователи в роли администратора, которые могут управлять группами, могут добавлять любую группу в каталог; Владельцы каталогов могут добавить любую группу в каталог, если они являются владельцем группы. При выборе группы следует учитывать следующие ограничения Microsoft Entra:

  • Когда пользователь, включая гостя, добавляется в качестве члена в группу или команду, они могут видеть всех остальных членов этой группы или команды.
  • Идентификатор Microsoft Entra не может изменить членство в группе, которая была синхронизирована из Windows Server Active Directory с помощью Microsoft Entra Connect или создана в Exchange Online в качестве группы рассылки. Если вы планируете управлять доступом к приложениям, использующим группы безопасности AD, ознакомьтесь с тем, как настроить обратную запись групп с помощью управления правами доступа.
  • Динамические группы членства не могут быть обновлены путем добавления или удаления члена, поэтому они не подходят для использования с управлением правами.
  • Группы Microsoft 365 имеют дополнительные ограничения, описанные в обзоре Группы Microsoft 365 для администраторов, включая ограничение в 100 владельцев на группу, ограничивает количество участников одновременного доступа к групповым беседам и 7000 групп на члена.

Дополнительные сведения см. в разделах Сравнение групп и Группы Microsoft 365 и Microsoft Teams.

  1. На странице "Добавление ролей ресурсов для доступа к пакету" выберите "Группы" и "Команды", чтобы открыть панель "Выбор групп".

  2. Выберите группы и команды, которые вы хотите включить в пакет доступа.

    Пакет доступа - Добавить роли ресурсов - Выбрать группы

  3. Выберите Выберите.

    После выбора группы или команды столбец подтипа выводит один из следующих подтипов:

    Подтип Описание
    Безопасность Используется для предоставления доступа к ресурсам.
    Распределение Используется для отправки уведомлений группе людей.
    Microsoft 365 Группа Microsoft 365, которая не включена в Teams. Используется для совместной работы пользователей как внутри, так и за пределами вашей компании.
    Группа Группа Microsoft 365 с поддержкой Teams. Используется для совместной работы пользователей как внутри, так и за пределами вашей компании.

  4. В списке Роль выберите Владелец или Участник.

    Вы обычно выбираете роль Участника. Если выбрать роль владельца, пользователи становятся владельцем группы, что позволяет пользователям добавлять или удалять других участников или владельцев.

    Пакет доступа - добавление роли ресурса для группы или команды

  5. Выберите Добавить.

    Все пользователи с существующими назначениями в пакет доступа автоматически становятся членами (или владельцами) этой группы или команды после его добавления. Дополнительные сведения см. в разделе о применении изменений.

Добавление роли ресурса приложения

Вы можете автоматически назначать пользователям доступ к корпоративному приложению Microsoft Entra, включая приложения SaaS, локальные приложения и приложения вашей организации, интегрированные с идентификатором Microsoft Entra, когда пользователю назначен пакет доступа. Для приложений, которые интегрируются с Microsoft Entra ID с помощью федеративного единого входа, Microsoft Entra ID выдает токены федерации для пользователей, назначенных для приложения.

Если приложение еще не интегрировано с каталогом Microsoft Entra, ознакомьтесь с управлением доступом к приложениям в вашей среде и интегрируйте приложение с идентификатором Microsoft Entra.

Приложения могут иметь несколько ролей приложений, определенных в манифесте и управляемых с помощью пользовательского интерфейса ролей приложения. При добавлении роли приложения в качестве роли ресурса в пакет доступа, если это приложение имеет несколько ролей приложения, необходимо указать соответствующую роль для тех пользователей в этом пакете доступа. Если вы разрабатываете приложения, вы можете узнать больше о том, как эти роли добавляются в ваши приложения, в разделе Как настроить утверждение роли, выданное в маркере SAML для корпоративных приложений. Если вы используете библиотеки проверки подлинности Майкрософт, есть также пример кода для использования ролей приложений для управления доступом.

Примечание.

Если приложение имеет несколько ролей приложения, а несколько ролей этого приложения находятся в пакете доступа, пользователь получит все включенные роли этого приложения. Если вместо этого пользователи должны иметь только некоторые роли приложения, вам потребуется создать несколько пакетов доступа в каталоге с отдельными пакетами доступа для каждой из ролей приложения.

После того как роль приложения становится ресурсом пакета доступа:

  • Когда пользователю назначен пакет доступа, пользователь добавляется в роль приложения, если он еще не присутствует. Если приложению требуются атрибуты, значения атрибутов, собранных из запроса, будут присвоены пользователю.
  • Когда срок действия назначения пакета доступа пользователя истекает, его доступ удаляется из приложения, если у него нет назначения другому пакету доступа, который включает в себя роль приложения. Если приложение требует обязательные атрибуты, эти атрибуты удаляются из учётной записи пользователя.

Ниже представлены некоторые соображения при выборе приложения:

  • Приложения также могут иметь группы, назначенные их ролям приложений. Вы можете добавить группу вместо приложения и ее роли в пакете доступа, однако приложение не будет видно пользователю в рамках пакета доступа на портале "Мой доступ".
  • Центр администрирования Microsoft Entra также может отображать субъекты-службы для служб, которые не могут быть выбраны в качестве приложений. В частности, Exchange Online и SharePoint Online — это службы, а не приложения с ролями ресурсов в каталоге, поэтому они не могут быть включены в пакет доступа. Вместо этого используйте групповое лицензирование и установите подходящую лицензию для пользователей, которым нужен доступ к этим службам.
  • Приложения, поддерживающие только личные пользователи учетной записи Майкрософт для проверки подлинности и не поддерживающие учетные записи организации в каталоге, не имеют ролей приложений и не могут быть добавлены для доступа к каталогам пакетов.

  1. На странице "Добавление ролей ресурсов для доступа к пакету" выберите "Приложения", чтобы открыть область "Выбор приложений".

  2. Выберите приложения, которые хотите включить в пакет доступа.

    Пакет Access - Добавить роли ресурсов - Выбрать приложения

  3. Выберите Выберите.

  4. В списке ролей выберите роль приложения.

    Пакет доступа - добавление роли ресурса для приложения

  5. Выберите Добавить.

    Все пользователи с существующими назначениями в пакет доступа автоматически получат доступ к этому приложению при его добавлении. Для получения дополнительной информации см. раздел когда изменения применяются.

Добавьте роль ресурса сайта SharePoint

Идентификатор Microsoft Entra может автоматически назначать пользователям доступ к сайту SharePoint Online или семейству веб-сайтов SharePoint Online при назначении пакета доступа.

  1. На странице "Добавление ролей ресурсов для доступа к пакету" выберите сайты SharePoint, чтобы открыть панель "Выбор сайтов SharePoint Online".

    Пакет доступа - Добавление ролей ресурсов - Выбор сайтов SharePoint - Просмотр портала

  2. Выберите сайты SharePoint Online, которые вы хотите включить в пакет доступа.

    Пакет Access - Добавление ролей ресурсов - Выбор сайтов SharePoint Online

  3. Выберите Выберите.

  4. В списке Роль выберите роль сайта SharePoint Online.

    Пакет Access - добавление роли ресурса для сайта SharePoint Online

  5. Выберите Добавить.

    Все пользователи с существующими назначениями пакета доступа автоматически получат доступ к этому сайту SharePoint Online при добавлении. Для получения дополнительной информации см. когда изменения применяются.

Добавление назначения ролей Microsoft Entra

Если пользователям требуются дополнительные разрешения для доступа к ресурсам вашей организации, вы можете управлять этими разрешениями, назначив им роли Microsoft Entra через пакеты доступа. Назначив роли Microsoft Entra сотрудникам и гостям с помощью управления правами, вы можете быстро определить, какие роли назначены пользователю. При включении роли Microsoft Entra в пакет доступа можно также указать, является ли назначение роли подходящим или активной.

Назначение ролей Microsoft Entra через пакеты доступа помогает эффективно управлять назначениями ролей в масштабе и улучшает жизненный цикл назначения ролей.

Примечание.

Рекомендуем использовать управление привилегированными идентификациями для предоставления доступа по принципу just-in-time пользователю, чтобы выполнить задачу, требующую повышенных разрешений. Эти разрешения предоставляются с помощью ролей Microsoft Entra, помеченных как привилегированные, в нашей документации: Встроенные роли Microsoft Entra. Управление правами лучше подходит для назначения пользователям пакета ресурсов, которые могут включать роль Microsoft Entra, необходимую для выполнения одной задачи. Пользователи, назначенные пакетам доступа, как правило, имеют более длительный доступ к ресурсам. Хотя мы рекомендуем управлять высоко привилегированными ролями с помощью Управления привилегиями, вы можете настроить право на эти роли с помощью пакетов доступа в Управлении правами.

Выполните следующие действия, чтобы включить роль Microsoft Entra в качестве ресурса в пакет доступа:

  1. Войдите в центр администрирования Microsoft Entra как Администратор управления удостоверениями или выше.

  2. Перейдите в управление удостоверениями>управление правами>пакеты доступа.

  3. На странице пакетов Access откройте пакет доступа, к которому нужно добавить роли ресурсов, и выберите роли ресурсов.

  4. На странице "Добавление ролей ресурсов к пакету доступа" выберите роли Microsoft Entra (предварительная версия), чтобы открыть панель "Выбор ролей Microsoft Entra".

  5. Выберите роли Microsoft Entra, которые необходимо включить в пакет доступа. Снимок экрана: выбор роли для пакета доступа.

  6. В списке ролей выберите подходящий член или активный участник. Скриншот выбора роли ресурса в пакете доступа.

  7. Выберите Добавить.

Примечание.

Если выбрано Право на участие, пользователи получат право на эту роль и могут активировать назначение с помощью Управление привилегированными учетными записями в Центре администрирования Microsoft Entra. Если выбрать "Активный", пользователи будут иметь активное назначение ролей, пока они больше не имеют доступа к пакету доступа. Для ролей Entra, помеченных как привилегированные, вы сможете выбрать только доступные. Список привилегированных ролей можно найти здесь: встроенные роли Microsoft Entra.

Чтобы добавить роль Microsoft Entra программным способом, см. статью о добавлении роли Microsoft Entra в качестве ресурса в пакете доступа программным способом.

Добавление ролей ресурсов с помощью программных средств

Существует два способа программно добавить роль ресурса в пакет доступа: через Microsoft Graph и с помощью командлетов PowerShell для Microsoft Graph.

Добавление ролей ресурсов в пакет доступа с помощью Microsoft Graph

Вы можете добавить роль ресурса в пакет управления доступом, используя Microsoft Graph. Пользователь в соответствующей роли с приложением, которому делегировано разрешение EntitlementManagement.ReadWrite.All, может вызывать API, чтобы:

  1. Перечислите ресурсы в каталоге и создайте accessPackageResourceRequest для всех ресурсов, которые еще не указаны в каталоге.
  2. Получение ролей и областей каждого ресурса в каталоге. Затем этот список ролей будет использоваться для выбора роли при последующем создании resourceRoleScope.
  3. Создайте resourceRoleScope для каждой роли ресурса, необходимой в пакете доступа.

Добавление ролей ресурсов в пакет доступа с помощью Microsoft PowerShell

Вы также можете добавить роли ресурсов в пакет доступа в PowerShell с помощью командлетов из модуля Microsoft Graph PowerShell для управления удостоверениями версии 2.1.x или более поздней версии.

Сначала получите идентификатор каталога, а также ресурс в этом каталоге и его области и роли, которые необходимо включить в пакет доступа. Используйте сценарий, аналогичный следующему примеру. Предполагается, что в каталоге есть один ресурс приложения.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Затем назначьте роль этого ресурса пакету доступа. Например, если вы хотите включить первую роль возвращенного ресурса в качестве роли ресурса пакета доступа, можно использовать сценарий, аналогичный приведенному ниже.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Если у роли нет идентификатора, не включайте параметр id структуры role в нагрузку запроса.

Дополнительные сведения см. в статье "Создание пакета доступа в управлении правами для приложения с одной ролью с помощью PowerShell".

Удалите роли ресурса

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли Администратора управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

  2. Перейдите к управлению удостоверениями>управлению правами>пакету доступа.

  3. На странице пакетов доступа откройте пакет доступа, для которого нужно удалить роли, связанные с ресурсами.

  4. В меню слева выберите роли ресурсов.

  5. В списке ролей ресурсов найдите роль ресурса, которую вы хотите удалить.

  6. Выберите многоточие (...), а затем выберите "Удалить роль ресурса".

    Все пользователи с существующими назначениями пакета доступа автоматически потеряют доступ к этой роли ресурса при ее удалении.

Когда применяются изменения

При управлении доступом Microsoft Entra ID обрабатывает изменения в массовом порядке для управлений назначениями и ресурсами в ваших пакетах доступа несколько раз в день. Таким образом, если вы вносите назначение или изменяете роли ресурсов пакета доступа, это может занять до 24 часов, чтобы это изменение было сделано в идентификаторе Microsoft Entra, а также время, необходимое для распространения этих изменений в других веб-службах Майкрософт или подключенных приложениях SaaS. Если изменение влияет только на несколько объектов, изменение, скорее всего, займет несколько минут, чтобы применить его в идентификаторе Microsoft Entra, после чего другие компоненты Microsoft Entra будут обнаруживать это изменение и обновлять приложения SaaS. Если изменение влияет на тысячи объектов, изменение занимает больше времени. Например, если у вас есть пакет доступа с 2 приложениями и 100 назначениями пользователей, и вы решили добавить роль сайта SharePoint в пакет доступа, может быть задержка до тех пор, пока все пользователи не будут частью этой роли сайта SharePoint. Ход выполнения можно отслеживать с помощью журнала аудита Microsoft Entra, журнала подготовки Microsoft Entra и журналов аудита сайта SharePoint.

При удалении члена команды они также удаляются из группы Microsoft 365. Удаление функциональности чата команды может быть задержано. Для получения дополнительной информации см. раздел Членство в группах.

Следующие шаги