Создание каталога ресурсов и управление ими в управлении правами

В этой статье показано, как создать и управлять каталогом ресурсов и пакетами доступа в управлении правами доступа.

Создание каталога

Каталог — это контейнер ресурсов и пакетов доступа. Каталог создается, когда требуется сгруппировать связанные ресурсы и пакеты доступа. Администратор может создать каталог. Кроме того, пользователь, делегированный роли создателя каталога, может создать каталог для ресурсов, принадлежащих им. Создатель каталога, не являющийся администратором, становится его первым владельцем. Владелец каталога может добавлять больше пользователей, групп пользователей или субъектов-служб приложений в качестве владельцев каталога.

Создание каталога:

1. Войдите в Центр администрирования Microsoft Entra с правами администратора управления идентификациями или выше.

   Совет

   Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают создателя каталога. Пользователи, которым назначена роль администратора пользователей, больше не смогут создавать каталоги или управлять пакетами доступа в каталоге, которым они не принадлежат. Если пользователям в вашей организации назначена роль администратора пользователей для настройки каталогов, пакетов доступа или политик в управлении правами, то вместо этого следует назначить этих пользователей роль администратора управления удостоверениями.

2. Перейдите к Управление удостоверениями>Управление правами>Каталоги.

   

3. Выберите Новый каталог.

4. Введите уникальное имя каталога и описание.

   Пользователи увидят эту информацию в сведениях о пакете Access.

5. Если требуется, чтобы пакеты для доступа в этом каталоге были доступны пользователям для запроса сразу после их создания, задайте для параметра Включено значение Да.

6. Если вы хотите, чтобы пользователи внешних каталогов из подключенных организаций могли запрашивать пакеты доступа в этом каталоге, установите параметр Включено для внешних пользователей в Да. Пакеты доступа также должны иметь политику, позволяющую пользователям из подключенных организаций делать запросы. Если пакеты доступа в этом каталоге предназначены только для пользователей, которые уже есть в каталоге, установите Параметр "Разрешено для внешних пользователей" в "Нет".

   

7. Выберите Создать, чтобы создать каталог.

Создание каталога программным способом

Есть два способа создать каталог программными средствами.

Создание каталога с помощью Microsoft Graph

Кроме того, вы можете создать каталог, используя Microsoft Graph. Пользователь в соответствующей роли с приложением с делегированным EntitlementManagement.ReadWrite.All разрешением или приложением с EntitlementManagement.ReadWrite.All разрешением приложения может вызвать API для создания каталога.

Создание каталога с помощью PowerShell

Вы также можете создать каталог в PowerShell с помощью командлета New-MgEntitlementManagementCatalog из модуля Microsoft Graph PowerShell cmdlets для управления удостоверениями версии 2.2.0 или более поздней.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Добавить ресурсы в каталог

Чтобы включить ресурсы в пакет Access, ресурсы должны находиться в каталоге. Типы ресурсов, которые можно добавить в каталог, — это группы, приложения и сайты SharePoint Online.

• Группы могут быть облачно создаваемыми группами Microsoft 365 или облачно создаваемыми группами безопасности Microsoft Entra.

  • Группы, которые изначально находятся в локальной службе Active Directory, не могут быть назначены как ресурсы, так как их атрибуты владельца или члена нельзя изменить в Microsoft Entra ID. Чтобы предоставить пользователю доступ к приложению, использующего членство в группах безопасности AD, создайте новую группу безопасности в идентификаторе Microsoft Entra ID, настройте обратную запись группы в AD и включите запись этой группы в AD, чтобы созданная в облаке группа может использоваться приложением на основе AD.

  • Группы, происходящие из Exchange Online в качестве групп рассылки, не могут быть изменены в Microsoft Entra ID, поэтому их нельзя добавить в каталоги.

• Приложения могут быть корпоративными приложениями Microsoft Entra, которые включают в себя приложения saaS, локальные приложения и собственные приложения, интегрированные с идентификатором Microsoft Entra.

  • Если приложение еще не интегрировано с идентификатором Microsoft Entra, ознакомьтесь с управлением доступом к приложениям в вашей среде и интегрируйте приложение с идентификатором Microsoft Entra и добавьте его в каталог перед добавлением в каталог.

  • Дополнительные сведения о выборе соответствующих ресурсов для приложений с несколькими ролями см. в статье о том, как определить, какие роли ресурсов следует включить в пакет доступа.

• Сайтами могут быть сайты SharePoint Online или семейства веб-сайтов SharePoint Online.

Примечание.

Выполните на сайте SharePoint поиск по имени сайта или по точному URL-адресу. Это поле поиска учитывает регистр.

Требуемые роли: см. раздел Роли, необходимые для добавления ресурсов в каталог.

Добавление ресурсов в каталог:

1. Войдите в административный центр Microsoft Entra в качестве как минимум администратора управления удостоверениями.

2. Перейдите к управлению идентификацией>управлению правами>каталогам.

3. На странице "Каталоги" откройте каталог, в который нужно добавить ресурсы.

4. В меню слева выберите элемент Ресурсы.

5. Щелкните Добавление ресурсов.

6. Выберите тип ресурса Группы и команды, Приложения или Сайты SharePoint.

   Если вы не видите ресурс, который вы хотите добавить или не удается добавить ресурс, убедитесь, что у вас есть необходимая роль каталога Microsoft Entra и роль управления правами. Возможно, потребуется попросить пользователя с необходимыми ролями добавить ресурс в каталог. Дополнительные сведения см. в разделе Роли, требуемые для добавления ресурсов в каталог.

7. Выберите один или несколько ресурсов данного типа, которые вы хотите добавить в каталог.

   

8. По завершении нажмите кнопку "Добавить".

   Теперь эти ресурсы можно включать в пакеты доступа в каталоге.

Добавление атрибутов ресурсов в каталог

Атрибуты — это обязательные поля, на которые должны ответить запрашивающие, прежде чем отправлять запрос доступа. Их ответы на эти атрибуты отображаются утверждающим, а также заносятся на объект пользователя в Microsoft Entra ID.

Примечание.

Все атрибуты, настроенные для ресурса, требуют ответа, прежде чем можно будет отправить запрос на получение пакета доступа, содержащего этот ресурс. Если запрашивающие стороны не предоставляют сведения, их запрос не обрабатывается.

Требовать указания атрибутов для запросов на доступ:

1. В меню слева выберите элемент Ресурсы. В каталоге отобразится список ресурсов.

2. Выберите многоточие рядом с ресурсом, для которого требуется задать атрибуты, а затем выберите Требовать атрибуты.

   

3. Выберите тип атрибута

   1. Встроенные атрибуты профиля пользователя Microsoft Entra.
   2. Расширение схемы каталогов позволяет хранить больше данных в пользователях Microsoft Entra. Вы можете расширить схему, создав атрибут расширения. Эти атрибуты расширения для пользовательских объектов можно использовать для отправки утверждений приложениям во время подготовки или единого входа.

4. Если вы выбрали параметр Встроенный, выберите атрибут из раскрывающегося списка. Если вы выбрали параметр Directory schema extension (Расширение схемы каталогов) введите имя атрибута в текстовом поле.

   Примечание.

   Атрибут User.mobilePhone — это конфиденциальное свойство, которое может обновляться только некоторыми администраторами. Дополнительные сведения см. в статье "Кто может обновить конфиденциальные атрибуты пользователя?".

5. Выберите формат, который запрашивающим сторонам следует использовать для указания сведений. Возможные форматы ответов: короткий текст, несколько вариантов и длинный текст.

6. Если вы выберете вариант с множественным выбором, нажмите Edit and localize (Изменить и локализовать), чтобы настроить варианты ответа.

   1. В открывшейся области просмотра и изменения вопроса введите варианты ответов, которые вы хотите предоставить запрашивающему пользователю при ответе на вопрос в полях значений ответов.
   2. Выберите язык для варианта ответа. Если выбрать дополнительные языки, то можно будет локализовать варианты ответа.
   3. Введите требуемое число ответов, а затем нажмите кнопку Сохранить.

7. Если нужно, чтобы значение атрибута было доступно для изменения во время прямых назначений и запросов на самостоятельное обслуживание, выберите вариант Да.

   Примечание.

   

   • Если в поле Attribute value is editable (Значение атрибута можно изменить) выбран вариант Нет и значение атрибута не указано, пользователи могут ввести значение этого атрибута. После сохранения значение изменить нельзя.
   • Если в поле Нет выбрано значение Attribute value is editable (Значение атрибута можно изменить), а значение атрибута не пустое, пользователи не смогут изменить существующее значение во время прямых назначений и запросов на самостоятельное обслуживание.

   

8. Если вы хотите добавить локализацию, выберите команду Add localization (Добавить локализацию).

   1. В области Add localizations for question (Добавление локализации для вопроса) выберите код для языка, на который вам нужно локализовать вопрос, который связан с выбранным атрибутом.

   2. Введите вопрос на выбранном языке в поле Localized Text (Локализованный текст).

   3. После добавления всех нужных локализаций нажмите кнопку Сохранить.

      

9. После указания всех сведений для атрибутов на странице Необходимые атрибуты нажмите кнопку Сохранить.

Добавление сайта SharePoint с несколькими географическими расположениями

1. Если для SharePoint включена поддержка нескольких географических расположений, выберите то расположение, из которого вы хотите выбрать сайты.

   

2. Выберите сайты, которые хотите добавить в каталог.

Добавление ресурса в каталог программными средствами

Также можно добавить ресурс в каталог, используя Microsoft Graph. Пользователь в подходящей роли или владелец каталога или ресурса, приложение которого имеет делегированное EntitlementManagement.ReadWrite.All разрешение, может вызвать API для создания запроса на ресурс. Приложение, имеющее разрешение приложения EntitlementManagement.ReadWrite.All и разрешения на изменение ресурсов, например Group.ReadWrite.All, может также добавлять ресурсы в каталог.

Добавление ресурса в каталог с помощью PowerShell

Вы также можете добавить ресурс в каталог в PowerShell, используя командлет New-MgEntitlementManagementResourceRequest из командлетов модуля Microsoft Graph PowerShell для управления удостоверениями версии 2.1.x или более поздней версии. В следующем примере показано, как добавить группу в каталог в качестве ресурса с помощью модуля командлетов Microsoft Graph PowerShell версии 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Удаление ресурсов из каталога

Ресурсы можно удалять из каталога. Ресурс можно удалить из каталога, только если он не используется ни в одном из пакетов для доступа к каталогу.

Требуемые роли: см. раздел Роли, необходимые для добавления ресурсов в каталог.

Удаление ресурсов из каталога:

1. Войдите в административный центр Microsoft Entra как минимум в качестве администратора по управлению удостоверениями.

2. Перейдите к Управлению удостоверениями>Управлению правами>Каталогам.

3. На странице "Каталоги" откройте каталог, из которого нужно удалить ресурсы.

4. В меню слева выберите элемент Ресурсы.

5. Выберите ресурсы, которые нужно удалить.

6. Выберите Удалить. При необходимости нажмите кнопку с многоточием (...), а затем выберите команду Удалить ресурс.

Добавьте больше владельцев каталога

Пользователь, создавший каталог, станет его первым владельцем. Для делегирования управления каталогом добавьте пользователей в роль владельца каталога. Добавление владельцев каталога позволяет разделить обязанности по управлению каталогом.

Чтобы назначить пользователя роли владельца каталога, сделайте следующее:

1. Авторизуйтесь в Центре администрирования Microsoft Entra как минимум в роли Администратора управления удостоверениями.

   Совет

   Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают владельца каталога.

2. Перейдите к Управление удостоверениями>Управление правами>Каталоги.

3. На странице "Каталоги" откройте каталог, в который нужно добавить администраторов.

4. В меню слева выберите элемент Роли и администраторы.

   

5. Выберите команду Добавить владельцев, чтобы выбрать членов для этих ролей.

6. Нажмите Выбрать, чтобы добавить этих участников.

Редактирование каталога

Вы можете изменять имя и описание каталога. Пользователи увидят эту информацию в сведениях о пакете Access.

Редактирование каталога:

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор управления удостоверениями.

   Совет

   Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают создателя каталога.

2. Перейдите к управлению удостоверениями>управлению правами доступа>каталогам.

3. На странице "Каталоги" откройте каталог, который требуется изменить.

4. На странице каталога Обзор выберите команду Изменить.

5. Измените имя каталога, описание или включенные настройки.

   

6. Выберите Сохранить.

Удаление каталога

Каталог можно удалить, но только в том случае, если у него нет пакетов доступа.

Удаление каталога:

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.

   Совет

   Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают создателя каталога.

2. Перейдите к Управление удостоверениями>Управление доступом>Каталоги.

3. На странице "Каталоги" откройте каталог, который нужно удалить.

4. На странице каталога Обзор выберите команду Удалить.

5. В появившемся окне сообщения выберите вариант Да.

Удаление каталога программными средствами

Кроме того, вы можете удалить каталог с использованием Microsoft Graph. Пользователь с соответствующей ролью в приложении, имеющем делегированное разрешение EntitlementManagement.ReadWrite.All, может вызвать API, чтобы удалить accessPackageCatalog.

Следующие шаги

Делегируйте управление доступом менеджерам пакетов доступа