Delegera åtkomststyrning till katalogskapare i berättigandehantering
En katalog är en container med resurser och åtkomstpaket. Du skapar en katalog när du vill gruppera relaterade resurser och åtkomstpaket. Som standard kan en global administratör eller en identitetsstyrningsadministratör skapa en katalog och lägga till andra användare som katalogägare.
Kommentar
Efter minst behörighetsåtkomst rekommenderar vi att du använder rollen Identitetsstyrningsadministratör när det är möjligt i berättigandehantering.
Det finns tre sätt som en organisation kan delegera med kataloger:
- När du kommer igång med ett pilotprojekt kan identitetsstyrningsadministratörer skapa och hantera katalogen. Senare, när de flyttar från pilot till produktion, kan de delegera en katalog genom att tilldela icke-administratörer som ägare till katalogen, så att dessa användare kan underhålla principerna framöver.
- Om det finns resurser som inte har ägare kan administratörer skapa kataloger, lägga till dessa resurser i varje katalog och sedan tilldela icke-administratörer som ägare till en katalog. På så sätt kan användare som inte är administratörer och inte är resursägare hantera sina egna åtkomstprinciper för dessa resurser.
- Om resurser har ägare kan administratörer tilldela en samling användare, till exempel en
All Employees
dynamisk grupp, till rollen katalogskapare, så att en användare som finns i gruppen och egna resurser kan skapa en katalog för sina egna resurser.
Den här artikeln visar hur du delegerar till användare som inte är administratörer, så att de kan skapa egna kataloger. Du kan lägga till dessa användare i den Microsoft Entra-rättighetshanteringsdefinierade katalogskaparrollen. Du kan lägga till enskilda användare eller lägga till en grupp vars medlemmar sedan kan skapa kataloger. När du har skapat en katalog kan du lägga till resurser som de äger i katalogen. De kan skapa åtkomstpaket och principer, inklusive principer som refererar till befintliga anslutna organisationer.
Om du har befintliga kataloger att delegera fortsätter du i artikeln skapa och hantera en katalog med resurser .
Som IT-administratör delegerar du till en katalogskapare
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Följ de här stegen för att tilldela en användare till katalogskaparrollen.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Inställningar för rättighetshantering>för identitetsstyrning>.
Välj Redigera.
I avsnittet Delegera berättigandehantering väljer du Lägg till katalogskapare för att välja de användare eller grupper som du vill delegera den här rättighetshanteringsrollen till.
Välj Välj.
Välj Spara.
Tillåt delegerade roller att komma åt administrationscentret för Microsoft Entra
Om du vill tillåta delegerade roller, till exempel katalogskapare och åtkomstpakethanterare, att komma åt administrationscentret för Microsoft Entra för att hantera åtkomstpaket, bör du kontrollera inställningen för administrationsportalen.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Användarinställningar för identitetsanvändare>>.
Kontrollera att Begränsa åtkomsten till Microsoft Entra-administrationsportalen är inställd på Nej.
Hantera rolltilldelningar programmatiskt
Du kan också visa och uppdatera katalogskapare och rättighetshanteringskatalogspecifika rolltilldelningar med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All
behörighet kan anropa Graph-API:et för att visa rolldefinitionerna för berättigandehantering och lista rolltilldelningar till dessa rolldefinitioner.
Om du vill hämta en lista över de användare och grupper som tilldelats rollen katalogskapare använder rollen med definitions-ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8
: Graph-frågan:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal