Share via

Kurz – Onboarding externích uživatelů k ID Microsoft Entra prostřednictvím procesu schvalování

  • Článek

Správu nároků můžete použít jako způsob onboardingu externích uživatelů. Tato funkce umožňuje externím uživatelům požádat o přístup k sadě prostředků a tam, kde můžete nastavit schválení předtím, než získají přístup k vašemu adresáři. Pro externí uživatele, kteří jsou onboardovaní prostřednictvím oprávnění, můžete jejich životní cyklus spravovat prostřednictvím přístupových balíčků. Po vypršení platnosti posledního přístupového balíčku se odeberou z vašeho adresáře.

V tomto kurzu pracujete pro WoodGrove Bank jako správce IT. Byli jste požádáni, abyste vytvořili přístupový balíček pro připojení partnerů z externí organizace, se kterou vaše obchodní skupina pracuje. Budou potřebovat přístup ke skupině Teams s názvem Externí spolupráce. Schválení potřebuje interní sponzor pro spolupráci organizací. Také jste byli informováni, že přístup partnera musí vypršet po 60 dnech. Pokud chcete používat správu nároků, musíte mít jednu z následujících licencí:

  • Zásady správného řízení ID Microsoft Entra ID P2 nebo Microsoft Entra ID
  • Licence Enterprise Mobility + Security (EMS) E5

Další informace najdete v tématu Licenční požadavky.

Krok 1: Konfigurace základů

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které mohou tuto úlohu dokončit, patří vlastník katalogu, uživatel Správa istrator a Správce balíčků accessu.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Když vyberete stránku přístupového balíčku, pokud se zobrazí přístup odepřen, ujistěte se, že je ve vašem adresáři k dispozici licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.

  4. Vyberte Nový přístupový balíček.

  5. Na kartě Základy zadejte název Balíček externího uživatele a popis Accessu pro externí uživatele čekající na schválení.

  6. Rozevírací seznam Katalog můžete nechat nastavený na Obecné.

Krok 2: Konfigurace prostředků

  1. Výběrem možnosti Další otevřete kartu Role prostředku.

    Na této kartě vyberete prostředky a roli prostředku, které chcete zahrnout do přístupového balíčku.

  2. Vyberte skupiny a Teams a vyhledejte externí spolupráci ve skupině.

Krok 3: Konfigurace požadavků

  1. Výběrem možnosti Další otevřete kartu Žádosti .

    Na této kartě vytvoříte zásadu žádosti. Zásada definuje pravidla nebo mantinely pro přístup k přístupovém balíčku. Vytvoříte zásadu, která konkrétnímu uživateli v adresáři prostředků umožní požádat o tento přístupový balíček.

  2. V části Uživatelé, kteří můžou požádat o přístup, vyberte Možnost Pro uživatele, kteří nejsou ve vašem adresáři, a pak vyberte Všichni uživatelé (Všechny připojené organizace + všichni noví externí uživatelé).

  3. Vzhledem k tomu, že každý uživatel, který ještě není ve vašem adresáři, může zobrazit a odeslat žádost o tento přístupový balíček, je pro nastavení Vyžadovat schválení povinné ano.

  4. Následující nastavení vám umožní nakonfigurovat, jak vaše schválení fungují pro vaše externí uživatele:

  5. V případě odůvodnění Vyžadovat žadatele ponechte tuto možnost jako Ano.

  6. Kolik fází to ponechá jako 1.

  7. Pro scénář schvalovatele vyberte Interní sponzor. Tato možnost pochází z nakonfigurované organizace Připojení, kde můžete sponzory pro konkrétní organizace, se kterými pracujete. To vám umožní nastavit, aby byl schvalovatelem někdo zadaný v Připojení organizaci z vaší organizace.

  8. Rozhodnutí musí být provedeno v kolika dnech? Nechte to 14.

  9. V případě vyžadovat odůvodnění schvalovatele nechte toto ano.

  10. Nastavte možnost Povolit nové žádosti a přiřazení na Ano , pokud chcete povolit, aby byl tento přístupový balíček požadován, jakmile bude vytvořen.

Krok 4: Konfigurace informací o žadateli

  1. Výběrem možnosti Další otevřete kartu Informace o žadateli.

  2. Na této obrazovce můžete položit další otázky, které vám pomůžou shromáždit další informace od žadatele. Tyto otázky se zobrazují ve formuláři žádosti a dají se nastavit na povinné nebo volitelné. Prozatím je můžete nechat prázdné.

Krok 5: Konfigurace životního cyklu

  1. Výběrem možnosti Další otevřete kartu Životní cyklus .

  2. V části Vypršení platnosti nastavte platnost přiřazení přístupového balíčku na počet dnů.

  3. Platnost přiřazení vyprší po60 dnech. Toto pole určuje, kdy budou muset uživatelé typu host obnovit přístup.

  4. Můžete také nakonfigurovat kontroly přístupu, které umožňují pravidelné kontroly, jestli host stále potřebuje přístup k přístupovém balíčku. Kontrolou může být vlastní kontrola nebo můžete nastavit konkrétní kontroly pro tento úkol. Další informace naleznete v tématu Kontroly přístupu.

Krok 6: Kontrola a vytvoření přístupového balíčku

  1. Výběrem možnosti Další otevřete kartu Revize a vytvořit .

  2. Na této obrazovce můžete před vytvořením zkontrolovat konfiguraci přístupového balíčku. Pokud dojde k nějakým problémům, můžete pomocí karet přejít k určitému bodu v prostředí pro vytváření a provádět úpravy.

  3. Až budete s výběrem spokojeni, vyberte možnost Vytvořit. Po chvíli by se mělo zobrazit oznámení, že se přístupový balíček úspěšně vytvořil.

  4. Po vytvoření se dostanete na stránku Přehled vašeho přístupového balíčku. Odkaz portálu Můj přístup najdete a zkopírujte hodnotu tady. Nasdílejte tento odkaz s externími uživateli a můžou požádat o zahájení spolupráce tohoto balíčku.

Krok 7: Vyčištění prostředků

V tomto kroku můžete odstranit přístupový balíček balíčku externího uživatele.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří správce balíčků Accessu.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Otevřete přístupový balíček externího uživatele.

  4. Vyberte role prostředků.

  5. Vyberte skupinu externí spolupráce, kterou jste přidali do tohoto přístupového balíčku, a v podokně Podrobností vyberte Odebrat roli prostředku. Ve zprávě, která se zobrazí, vyberte Ano.

  6. Otevřete seznam přístupových balíčků.

  7. V případě balíčku externího uživatele vyberte tři tečky (...) a pak vyberte Odstranit. Ve zprávě, která se zobrazí, vyberte Ano.

Další kroky

Přečtěte si o vytváření přístupových balíčků pro správu přístupu k jiným typům prostředků, jako jsou aplikace a weby. Kurz: Správa přístupu k prostředkům ve správě nároků