Dela via


Delegering och roller i berättigandehantering

I Microsoft Entra-ID kan du använda förebilder för att hantera åtkomst i stor skala via identitetsstyrning.

  • Du kan använda åtkomstpaket för att representera organisationsroller i din organisation, till exempel "säljare". Ett åtkomstpaket som representerar den organisationsrollen skulle innehålla alla åtkomsträttigheter som en säljare vanligtvis behöver, över flera resurser.
  • Program kan definiera sina egna roller. Om du till exempel hade ett försäljningsprogram och programmet inkluderade approllen "säljare" i manifestet kan du sedan inkludera rollen från appmanifestet i ett åtkomstpaket. Program kan också använda säkerhetsgrupper i scenarier där en användare kan ha flera programspecifika roller samtidigt.
  • Du kan använda roller för att delegera administrativ åtkomst. Om du har en katalog för alla åtkomstpaket som krävs av försäljningen kan du tilldela någon som ansvarar för katalogen genom att tilldela dem en katalogspecifik roll.

Den här artikeln beskriver hur du använder roller för att hantera aspekter inom Microsoft Entra-berättigandehantering för att kontrollera åtkomsten till resurser för berättigandehantering.

Som standard kan användare i rollen Global administratör eller administratörsrollen identitetsstyrning skapa och hantera alla aspekter av berättigandehantering. Men användarna i dessa roller kanske inte känner till alla situationer där åtkomstpaket krävs. Vanligtvis är det användare inom respektive avdelningar, team eller projekt som vet vem de samarbetar med, med vilka resurser och hur länge. I stället för att bevilja obegränsade behörigheter till icke-administratörer kan du ge användarna minst behörighet att utföra sitt jobb och undvika att skapa motstridiga eller olämpliga åtkomsträttigheter.

Den här videon innehåller en översikt över hur du delegerar åtkomststyrning från IT-administratören till användare som inte är administratörer.

Exempel på ombud

För att förstå hur du kan delegera åtkomststyrning i berättigandehantering hjälper det att överväga ett exempel. Anta att din organisation har följande administratör och chefer.

Delegera från IT-administratör till chefer

Som IT-administratör har Hana kontakter på varje avdelning – Mamta inom marknadsföring, Mark i Ekonomi och Joe i Juridiska frågor som ansvarar för avdelningens resurser och affärskritiska innehåll.

Med berättigandehantering kan du delegera åtkomststyrning till dessa icke-administratörer eftersom det är de som vet vilka användare som behöver åtkomst, hur länge och till vilka resurser. Om du delegerar till icke-administratörer ser du till att rätt personer hanterar åtkomsten för sina avdelningar.

Här är ett sätt som Hana kan delegera åtkomststyrning till marknadsförings-, ekonomi- och juridiska avdelningar.

  1. Hana skapar en ny Microsoft Entra-säkerhetsgrupp och lägger till Mamta, Mark och Joe som medlemmar i gruppen.

  2. Hana lägger till den gruppen i rollen katalogskapare.

    Mamta, Mark och Joe kan nu skapa kataloger för sina avdelningar, lägga till resurser som deras avdelningar behöver och göra ytterligare delegering i katalogen. De kan inte se varandras kataloger.

  3. Mamta skapar en marknadsföringskatalog , som är en container med resurser.

  4. Mamta lägger till de resurser som marknadsföringsavdelningen äger i den här katalogen.

  5. Mamta kan lägga till andra personer från den avdelningen som katalogägare för den här katalogen, vilket hjälper dig att dela ansvarsområden för kataloghantering.

  6. Mamta kan vidare delegera skapandet och hanteringen av åtkomstpaket i marknadsföringskatalogen till projektledare på marknadsföringsavdelningen. De kan göra detta genom att tilldela dem till rollen som pakethanterare för åtkomstpaket i en katalog. En åtkomstpakethanterare kan skapa och hantera åtkomstpaket, tillsammans med principer, begäranden och tilldelningar i katalogen. Om katalogen tillåter det kan åtkomstpakethanteraren konfigurera principer för att ta in användare från anslutna organisationer.

Följande diagram visar kataloger med resurser för marknadsförings-, ekonomi- och juridiska avdelningar. När du använder dessa kataloger kan projektledare skapa åtkomstpaket för sina team eller projekt.

Exempel på ombud för berättigandehantering

Efter delegeringen kan marknadsföringsavdelningen ha roller som liknar följande tabell.

User Organisationsroll Microsoft Entra-roll Rättighetshanteringsroll
Hana IT-administratör Global administratör eller identitetsstyrningsadministratör
Mamta Marknadschef User Katalogskapare och katalogägare
Johan Marknadsföringsledare User Katalogägare
Jessica Marknadsprojektledare User Åtkomstpakethanterare

Roller för berättigandehantering

Rättighetshantering har följande roller, med behörigheter för att administrera själva rättighetshanteringen, som gäller för alla kataloger.

Rättighetshanteringsroll Rolldefinitions-ID beskrivning
Katalogskapare ba92d953-d8e0-4e39-a797-0cbedb0a89e8 Skapa och hantera kataloger. Vanligtvis en IT-administratör som inte är global administratör eller resursägare för en samling resurser. Den person som skapar en katalog blir automatiskt katalogens första katalogägare och kan lägga till fler katalogägare. En katalogskapare kan inte hantera eller se kataloger som de inte äger och inte kan lägga till resurser som de inte äger i en katalog. Om katalogskaparen behöver hantera en annan katalog eller lägga till resurser som de inte äger kan de begära att bli delägare i katalogen eller resursen.

Berättigandehantering har följande roller som definieras för varje viss katalog, för att administrera åtkomstpaket och annan konfiguration i en katalog. En administratör eller en katalogägare kan lägga till användare, grupper av användare eller tjänstens huvudnamn i dessa roller.

Rättighetshanteringsroll Rolldefinitions-ID beskrivning
Katalogägare ae79f266-94d4-4dab-b730-feca7e132178 Redigera och hantera åtkomstpaket och andra resurser i en katalog. Vanligtvis en IT-administratör eller resursägare, eller en användare som katalogägaren väljer.
Katalogläsare 44272f93-9762-48e8-af59-1b5351b1d6b3 Visa befintliga åtkomstpaket i en katalog.
Åtkomstpakethanterare 7f480852-ebdc-47d4-87de-0d8498384a83 Redigera och hantera alla befintliga åtkomstpaket i en katalog.
Åtkomstpakettilldelningshanteraren e2182095-804a-4656-ae11-64734e9b7ae5 Redigera och hantera alla befintliga åtkomstpakets tilldelningar.

Dessutom har den valda godkännaren och en begärande av ett åtkomstpaket rättigheter, även om de inte är roller.

Right beskrivning
Godkännare Auktoriserat av en princip att godkänna eller neka begäranden om åtkomst till paket, men de kan inte ändra definitionerna för åtkomstpaket.
Beställare Auktoriseras av en princip för ett åtkomstpaket för att begära åtkomstpaketet.

I följande tabell visas de uppgifter som behörighetshanteringsrollerna kan utföra inom berättigandehantering.

Uppgift Administratör för identitetsstyrning Katalogskapare Katalogägare Åtkomstpakethanterare Åtkomstpakettilldelningshanteraren
Delegera till en katalogskapare ✔️
Lägga till en ansluten organisation ✔️
Skapa en ny katalog ✔️ ✔️
Lägga till en resurs i en katalog ✔️ ✔️
Lägga till en katalogägare ✔️ ✔️
Redigera en katalog ✔️ ✔️
Ta bort en katalog ✔️ ✔️
Delegera till en åtkomstpakethanterare ✔️ ✔️
Ta bort en åtkomstpakethanterare ✔️ ✔️
Skapa ett nytt åtkomstpaket i en katalog ✔️ ✔️ ✔️
Ändra resursroller i ett åtkomstpaket ✔️ ✔️ ✔️
Skapa och redigera principer, inklusive principer för externt samarbete ✔️ ✔️ ✔️
Tilldela en användare direkt till ett åtkomstpaket ✔️ ✔️ ✔️ ✔️
Ta bort en användare direkt från ett åtkomstpaket ✔️ ✔️ ✔️ ✔️
Visa vem som har en tilldelning till ett åtkomstpaket ✔️ ✔️ ✔️ ✔️
Visa begäranden för ett åtkomstpaket ✔️ ✔️ ✔️ ✔️
Visa leveransfel för en begäran ✔️ ✔️ ✔️ ✔️
Bearbeta en begäran igen ✔️ ✔️ ✔️ ✔️
Avbryt en väntande begäran ✔️ ✔️ ✔️ ✔️
Dölj ett åtkomstpaket ✔️ ✔️ ✔️
Ta bort ett åtkomstpaket ✔️ ✔️ ✔️

Om du vill fastställa den minst privilegierade rollen för en uppgift kan du även referera till administratörsroller efter administratörsaktivitet i Microsoft Entra-ID.

Kommentar

Användare som har tilldelats rollen Åtkomstpakettilldelningshanterare kan inte längre kringgå godkännandeinställningarna när de direkt tilldelar en användare om principen för åtkomstpaket kräver godkännande. Om du har ett scenario där du behöver kringgå godkännandet rekommenderar vi att du skapar en andra princip för åtkomstpaketet som inte kräver godkännande och endast är begränsad till användare som behöver åtkomst.

Nödvändiga roller för att lägga till resurser i en katalog

En global administratör kan lägga till eller ta bort valfri grupp (molnskapade säkerhetsgrupper eller molnskapade Microsoft 365-grupper), program eller SharePoint Online-webbplatser i en katalog.

Kommentar

Användare som har tilldelats rollen Användaradministratör kan inte längre skapa kataloger eller hantera åtkomstpaket i en katalog som de inte äger. En användaradministratör som är katalogägare kan lägga till eller ta bort alla grupper eller program i katalogen som de äger, förutom en grupp som har konfigurerats som tilldelningsbar till en katalogroll. Mer information om rolltilldelningsbara grupper finns i Skapa en rolltilldelningsbar grupp i Microsoft Entra-ID. Om användare i din organisation har tilldelats rollen Användaradministratör för att konfigurera kataloger, åtkomstpaket eller principer i berättigandehantering bör du i stället tilldela dessa användare rollen Identitetsstyrningsadministratör .

För en användare som inte är global administratör, för att kunna lägga till grupper, program eller SharePoint Online-webbplatser i en katalog, måste användaren ha både möjlighet att utföra åtgärder på den resursen och vara en katalogägarroll i berättigandehantering för katalogen. Det vanligaste sättet för en användare att utföra åtgärder för en resurs är genom att vara i en Microsoft Entra-katalogroll som gör att de kan administrera resursen. Eller för resurser som har ägare kan användaren ha möjlighet att utföra åtgärder genom att ha tilldelats som ägare till resursen.

De åtgärder som rättighetshantering kontrollerar när en användare lägger till en resurs i en katalog är:

  • Om du vill lägga till en säkerhetsgrupp eller Microsoft 365-grupp: användaren måste ha behörighet att utföra microsoft.directory/groups/members/update åtgärderna och microsoft.directory/groups/owners/update
  • Om du vill lägga till ett program: användaren måste ha behörighet att utföra microsoft.directory/servicePrincipals/appRoleAssignedTo/update åtgärden
  • Om du vill lägga till en SharePoint Online-webbplats: användaren måste vara SharePoint-administratör eller vara i en SharePoint Online-webbplatsroll så att de kan hantera behörigheter på webbplatsen

I följande tabell visas några av de rollkombinationer som innehåller de åtgärder som gör det möjligt för användare i dessa rollkombinationer att lägga till resurser i en katalog. Om du vill ta bort resurser från en katalog måste du också ha en roll eller ägarskap med samma åtgärder.

Microsoft Entra-katalogroll Rättighetshanteringsroll Kan lägga till säkerhetsgrupp Kan lägga till Microsoft 365-grupp Kan lägga till app Kan lägga till SharePoint Online-webbplats
Global administratör för saknas ✔️ ✔️ ✔️ ✔️
Administratör för identitetsstyrning saknas ✔️
Gruppadministratör Katalogägare ✔️ ✔️
Intune-administratör Katalogägare ✔️ ✔️
Exchange-administratör Katalogägare ✔️
SharePoint-administratör Katalogägare ✔️ ✔️
Programadministratör Katalogägare ✔️
Molnprogramadministratör Katalogägare ✔️
User Katalogägare Endast om gruppägare Endast om gruppägare Endast om appens ägare

Delegerad hantering av gästanvändarens livscykel

Vanligtvis kan en användare i en roll med gästinbjudningsbehörighet bjuda in enskilda externa användare till en organisation, och den här inställningen kan ändras med hjälp av inställningarna för externt samarbete.

För att hantera externt samarbete, där enskilda externa användare för ett samarbetsprojekt kanske inte är kända i förväg, kan tilldelning av användare som arbetar med externa organisationer till rättighetshanteringsroller göra det möjligt för dem att konfigurera kataloger, åtkomstpaket och principer för sitt externa samarbete. Med de här konfigurationerna kan externa användare som de samarbetar med begära och läggas till i organisationens katalog- och åtkomstpaket.

  • För att användare i externa kataloger från anslutna organisationer ska kunna begära åtkomstpaket i en katalog måste kataloginställningen Aktiverad för externa användare anges till Ja. Om du ändrar den här inställningen kan du göra det av en administratör eller katalogägare i katalogen.
  • Åtkomstpaketet måste också ha en principuppsättning för användare som inte finns i din katalog. Den här principen kan skapas av en administratör, katalogägare eller åtkomstpakethanterare för katalogen.
  • Ett åtkomstpaket med den principen gör att användare i omfånget kan begära åtkomst, inklusive användare som inte redan finns i din katalog. Om deras begäran godkänns eller inte kräver godkännande läggs användaren automatiskt till i katalogen.
  • Om principinställningen var för Alla användare och användaren inte ingick i en befintlig ansluten organisation skapas automatiskt en ny föreslagen ansluten organisation. Du kan visa listan över anslutna organisationer och ta bort organisationer som inte längre behövs.

Du kan också konfigurera vad som händer när en extern användare som tas in av rättighetshantering förlorar sin senaste tilldelning till alla åtkomstpaket. Du kan blockera dem från att logga in i den här katalogen eller låta deras gästkonto tas bort i inställningarna för att hantera livscykeln för externa användare.

Begränsa delegerade administratörer från att konfigurera principer för användare som inte finns i katalogen

Du kan förhindra att användare som inte har administrativa roller bjuder in enskilda gäster, i inställningarna för externt samarbete, genom att ändra inställningen Inställningar för gästinbjudan till specifika administratörsroller och låta Aktivera självbetjäningsregistrering för gäster vara inställt på Nej.

För att förhindra att delegerade användare konfigurerar berättigandehantering så att externa användare kan begära externt samarbete, måste du kommunicera den här begränsningen till alla globala administratörer, identitetsstyrningsadministratörer, katalogskapare och katalogägare, eftersom de kan ändra kataloger, så att de inte oavsiktligt tillåter nytt samarbete i nya eller uppdaterade kataloger. De bör se till att kataloger anges med Aktiverad för externa användare till Nej och inte har några åtkomstpaket med principer för att tillåta en användare som inte finns i katalogen att begära.

Du kan visa listan över kataloger som för närvarande är aktiverade för externa användare i administrationscentret för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

  3. Ändra filterinställningen för Aktiverad för externa användare till Ja.

  4. Om någon av dessa kataloger har ett icke-noll antal åtkomstpaket kan dessa åtkomstpaket ha en princip för användare som inte finns i katalogen.

Hantera rolltilldelningar till rättighetshanteringsroller programmatiskt

Du kan också visa och uppdatera katalogskapare och rättighetshanteringskatalogspecifika rolltilldelningar med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet kan anropa Graph-API:et för att visa rolldefinitionerna för berättigandehantering och lista rolltilldelningar till dessa rolldefinitioner.

Om du till exempel vill visa de rättighetshanteringsspecifika roller som en viss användare eller grupp har tilldelats använder du Graph-frågan för att lista rolltilldelningar och ange användarens eller gruppens ID som värdet för principalId frågefiltret, som i

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition

För en roll som är specifik för en katalog appScopeId anger svaret i katalogen där användaren har tilldelats en roll. Det här svaret hämtar endast explicita tilldelningar av det huvudkontot till rollen i berättigandehantering, det returnerar inte resultat för en användare som har åtkomsträttigheter via en katalogroll eller genom medlemskap i en grupp som tilldelats en roll.

Nästa steg