Dela via

Självstudie: Hantera åtkomst till resurser i berättigandehantering

  • Artikel

Att hantera åtkomst till alla resurser som anställda behöver, till exempel grupper, program och webbplatser, är en viktig funktion för organisationer. Du vill ge anställda rätt åtkomstnivå för att vara produktiva och ta bort deras åtkomst när den inte längre behövs.

I den här självstudien arbetar du för Woodgrove Bank som IT-administratör. Du har blivit ombedd att skapa ett resurspaket för en marknadsföringskampanj som interna användare kan använda för självbetjäningsbegäran. Begäranden kräver inte godkännande och användarens åtkomst upphör att gälla efter 30 dagar. I den här självstudien är marknadsföringskampanjresurserna bara medlemskap i en enda grupp, men det kan vara en samling grupper, program eller SharePoint Online-webbplatser.

Diagram som visar scenarioöversikten.

I den här självstudien lär du dig att:

  • Skapa ett åtkomstpaket med en grupp som en resurs
  • Tillåt att en användare i din katalog begär åtkomst
  • Visa hur en intern användare kan begära åtkomstpaketet

En stegvis demonstration av processen för att distribuera Microsoft Entra-berättigandehantering, inklusive att skapa ditt första åtkomstpaket, finns i följande video:

I resten av den här artikeln används administrationscentret för Microsoft Entra för att konfigurera och demonstrera berättigandehantering.

Förutsättningar

Om du vill använda berättigandehantering måste du ha någon av följande licenser:

  • Microsoft Entra ID P2 eller Microsoft Entra ID-styrning
  • Enterprise Mobility + Security (EMS) E5-licens

Mer information finns i Licenskrav.

Steg 1: Konfigurera användare och grupp

En resurskatalog har en eller flera resurser att dela. I det här steget skapar du en grupp med namnet Marknadsföringsresurser i katalogen Woodgrove Bank som är målresursen för berättigandehantering. Du har också konfigurerat en intern begärande.

Diagram som visar användare och grupper för den här självstudien.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstpaket för rättighetshantering>

  3. Skapa två användare. Använd följande namn eller olika namn.

    Name Katalogroll
    Admin1 Minst en identitetsstyrningsadministratör. Den här användaren kan vara den användare som du för närvarande är inloggad på.
    Requestor1 User

  4. Skapa en Microsoft Entra-säkerhetsgrupp med namnet Marknadsföringsresurser med en medlemskapstyp tilldelad. Den här gruppen är målresursen för berättigandehantering. Gruppen bör vara tom på medlemmar som ska startas.

Steg 2: Skapa ett åtkomstpaket

Ett åtkomstpaket är ett paket med resurser som ett team eller projekt behöver och styrs med principer. Åtkomstpaket definieras i containrar som kallas kataloger. I det här steget skapar du ett marknadsföringskampanjåtkomstpaket i katalogen Allmänt .

Diagram som beskriver relationen mellan åtkomstpaketelementen.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.

  2. Bläddra till Åtkomstpaket för rättighetshantering>

  3. Öppna ett åtkomstpaket på sidan Access-paket.

  4. När du öppnar åtkomstpaketet om åtkomst nekas kontrollerar du att en Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicens finns i din katalog.

  5. Välj Nytt åtkomstpaket.

    Skärmbilder som visar hur du skapar ett åtkomstpaket.

  6. På fliken Grundläggande skriver du namnet Marknadsföringskampanjs åtkomstpaket och beskrivning Åtkomst till resurser för kampanjen.

  7. Låt listrutan Katalog vara inställd på Allmänt.

    Skärmbild som visar hur du anger grunderna för åtkomstprincipen.

  8. Välj Nästa för att öppna fliken Resursroller . På den här fliken väljer du de resurser och den resursroll som ska ingå i åtkomstpaketet. Du kan välja att hantera åtkomst till grupper och team, program och SharePoint Online-webbplatser. I det här scenariot väljer du Grupper och Teams.

    Skärmbild som visar hur du väljer grupper och team.

  9. I fönstret Välj grupper letar du upp och väljer gruppen Marknadsföringsresurser som du skapade tidigare.

    Som standard visas grupper i katalogen Allmänt. När du väljer en grupp utanför katalogen Allmänt, som du kan se om du markerar kryssrutan Visa alla , läggs den till i katalogen Allmänt.

    Skärmbild som visar hur du väljer grupper

  10. Välj Välj för att lägga till gruppen i listan.

  11. I listrutan Roll väljer du Medlem. Om du väljer rollen Ägare kan användarna lägga till eller ta bort andra medlemmar eller ägare. Mer information om hur du väljer lämpliga roller för en resurs finns i Lägg till resursroller.

    Skärmbild som visar hur du väljer medlemsrollen.

    Viktigt!

    De rolltilldelningsbara grupper som läggs till i ett åtkomstpaket visas med hjälp av den undertyp som kan tilldelas roller. Mer information finns i artikeln Skapa en rolltilldelningsbar grupp . Tänk på att när en rolltilldelningsbar grupp finns i en katalog för åtkomstpaket kommer administrativa användare som kan hantera berättigandehantering, inklusive användare i rollen Global administratör, användare i rollen Identitetsstyrningsadministratör och katalogägare i katalogen, att kunna styra åtkomstpaketen i katalogen. så att de kan välja vem som kan läggas till i dessa grupper. Om du inte ser en rolltilldelningsbar grupp som du vill lägga till eller om du inte kan lägga till den kontrollerar du att du har den microsoft entra-roll och rättighetshanteringsroll som krävs för att utföra den här åtgärden. Du kan behöva fråga någon med de roller som krävs för att lägga till resursen i katalogen. Mer information finns i Nödvändiga roller för att lägga till resurser i en katalog.

    Kommentar

    När du använder dynamiska medlemskapsgrupper ser du inga andra roller som är tillgängliga förutom ägaren. Det här är avsiktligt. Skärmbilder som visar en dynamisk grupp med tillgängliga roller.

  12. Välj Nästa för att öppna fliken Begäranden . På fliken Begäranden skapar du en begärandeprincip. En princip definierar regler eller skyddsmekanismer för åtkomst till ett åtkomstpaket. Du skapar en princip som gör att en specifik användare i resurskatalogen kan begära det här åtkomstpaketet.

  13. I avsnittet Användare som kan begära åtkomst väljer du För användare i din katalog och väljer sedan Specifika användare och grupper.

    Skärmbild av fliken begäranden för åtkomstpaket.

  14. Välj Lägg till användare och grupper.

  15. I fönstret Välj användare och grupper väljer du den Requestor1-användare som du skapade tidigare.

    Skärmbild av utvalda användare och grupper.

  16. Välj Välj för att lägga till användaren i listan.

  17. Rulla ned till avsnitten Godkännande och Aktivera begäranden .

  18. Lämna Kräv godkännande inställt på Nej.

  19. För Aktivera begäranden väljer du Ja för att aktivera det här åtkomstpaketet så snart det har skapats.

  20. Om din organisation har konfigurerats för att ta emot verifierade ID:t finns det ett alternativ för att konfigurera ett åtkomstpaket för att kräva att beställare anger ett verifierat ID. Mer information finns i: Konfigurera verifierade ID-inställningar för ett åtkomstpaket i berättigandehantering (förhandsversion)

    Skärmbild av val av verifierad ID-väljare.

  21. Välj Nästa för att öppna fliken Förfrågningsinformation .

    Skärmbilder av begärandeflikens godkännande och aktivera inställningar för begäranden.

  22. På fliken Requestor information (Begärandeinformation) kan du ställa frågor för att samla in mer information från beställaren. Frågorna visas i formuläret för begäran och kan vara obligatoriska eller valfria. Du kan också ange om en anställds chef kan begära det för deras räkning och om godkännande krävs om de gör det. Om principen tillåter chefer att begära för en anställds räkning svarar chefen på frågor för den anställdes räkning och inte på sig själva. Mer information om det här alternativet finns i: Begär åtkomstpaket för andra användare (förhandsversion). I det här scenariot har du inte blivit ombedd att inkludera information om begärande eller åtkomstpaketet, så du kan lämna dessa rutor tomma. Välj Nästa för att öppna fliken Livscykel .

  23. På fliken Livscykel anger du när en användares tilldelning till åtkomstpaketet upphör att gälla. Du kan också ange om användare kan utöka sina tilldelningar. I avsnittet Förfallodatum :

    1. Ange att tilldelningarna för Access-paket upphör att gälla till Antal dagar.
    2. Ange att tilldelningarna ska upphöra att gälla efter 30 dagar.
    3. Låt användarna begära ett specifikt standardvärde för tidslinjen, Ja.
    4. Ställ in Kräv åtkomstgranskningarNej.

    Skärmbild av livscykelfliken för åtkomstpaketet

  24. Hoppa över steget Anpassade tillägg.

  25. Välj Nästa för att öppna fliken Granska + skapa .

  26. På fliken Granska + skapa väljer du Skapa. Efter en liten stund bör du se ett meddelande om att åtkomstpaketet har skapats.

  27. I den vänstra menyn i marknadsföringskampanjens åtkomstpaket väljer du Översikt.

  28. Kopiera länken till Min åtkomstportal.

    Du använder den här länken för nästa steg.

    Skärmbild som visar hur du kopierar länken till åtkomstprincipen.

Steg 3: Begär åtkomst

I det här steget utför du stegen som intern beställare och begär åtkomst till åtkomstpaketet. Beställare skickar sina begäranden med hjälp av en webbplats som kallas My Access-portalen. Portalen Min åtkomst gör det möjligt för beställare att skicka begäranden om åtkomstpaket, se de åtkomstpaket som de redan har åtkomst till och visa sin begärandehistorik. När en ny gäst begär ett åtkomstpaket i MyAccess stämplas deras önskade språk baserat på webbläsarspråket MyAccess vid begäran. På så sätt kan nya gäster få e-postkommunikation på ett språk som de förstår.

Förutsättningsroll: Intern begärande

  1. Logga ut från administrationscentret för Microsoft Entra.

  2. I ett nytt webbläsarfönster navigerar du till länken i Min åtkomstportal som du kopierade i föregående steg.

  3. Logga in på My Access-portalen som Requestor1.

    Du bör se marknadsföringskampanjens åtkomstpaket.

  4. I rutan Affärsmotivering skriver du motiveringen jag arbetar med den nya marknadsföringskampanjen.

    Skärmbild av My Access-portalen som visar åtkomstpaketen.

  5. Välj Skicka.

  6. I den vänstra menyn väljer du Begäranshistorik för att verifiera att din begäran har levererats. Om du vill ha mer information väljer du Visa.

    Skärmbild av begärandehistoriken för My Access-portalen.

Steg 4: Verifiera att åtkomst har tilldelats

I det här steget bekräftar du att den interna beställaren tilldelades åtkomstpaketet och att de nu är medlemmar i gruppen Marknadsföringsresurser .

  1. Logga ut från Portalen För min åtkomst.

  2. Logga in på administrationscentret för Microsoft Entra som Admin1, som är minst en administratör för identitetsstyrning.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.

  3. Bläddra till Åtkomstpaket för rättighetshantering>

  4. Leta upp och välj Åtkomstpaket för marknadsföringskampanj .

  5. I den vänstra menyn väljer du Begäranden.

    Du bör se Requestor1 och den inledande principen med statusen Levererad.

  6. Välj begäran för att se information om begäran.

    Skärmbild av information om begäran om åtkomstpaket.

  7. I det vänstra navigeringsfältet väljer du Identitet.

  8. Välj Grupper och öppna gruppen Marknadsföringsresurser .

  9. Välj Medlemmar.

    Du bör se Requestor1 som medlem.

    Skärmbild som visar att beställaren har lagts till i gruppen marknadsföringsresurser.

Steg 5: Rensa resurser

I det här steget tar du bort de ändringar som du har gjort och tar bort marknadsföringskampanjens åtkomstpaket.

  1. I administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratörväljer du Identitetsstyrning.

  2. Öppna marknadsföringskampanjens åtkomstpaket.

  3. Välj Tilldelningar.

  4. För Requestor1 väljer du ellipsen (...) och väljer sedan Ta bort åtkomst. I meddelandet som visas väljer du Ja.

    Efter en liten stund ändras statusen från Levererad till Förfallen.

  5. Välj Resursroller.

  6. För Marknadsföringsresurser väljer du ellipsen (...) och väljer sedan Ta bort resursroll. I meddelandet som visas väljer du Ja.

  7. Öppna listan över åtkomstpaket.

  8. För Marknadsföringskampanj väljer du ellipsen (...) och väljer sedan Ta bort. I meddelandet som visas väljer du Ja.

  9. I Identitet tar du bort alla användare som du har skapat, till exempel Requestor1 och Admin1.

  10. Ta bort gruppen Marknadsföringsresurser .

Nästa steg

Gå vidare till nästa artikel för att lära dig mer om vanliga scenariosteg i berättigandehantering.

Vanliga scenarier