Kurz: Správa přístupu k prostředkům ve správě nároků

  • Článek

Správa přístupu ke všem prostředkům, které potřebují zaměstnanci, jako jsou skupiny, aplikace a weby, je důležitou funkcí pro organizace. Chcete zaměstnancům udělit správnou úroveň přístupu, kterou potřebují k produktivitě, a odebrat přístup, když už není potřeba.

V tomto kurzu pracujete pro Woodgrove Bank jako správce IT. Byli jste požádáni o vytvoření balíčku prostředků pro marketingovou kampaň, kterou můžou interní uživatelé použít k samoobslužné žádosti. Žádosti nevyžadují schválení a platnost přístupu uživatele vyprší po 30 dnech. V tomto kurzu jsou prostředky marketingové kampaně pouze členství v jedné skupině, ale může se jednat o kolekci skupin, aplikací nebo webů SharePointu Online.

Diagram that shows the scenario overview.

V tomto kurzu se naučíte:

  • Vytvoření přístupového balíčku se skupinou jako prostředkem
  • Povolení přístupu uživateli ve vašem adresáři
  • Předvedení, jak může interní uživatel požádat o přístupový balíček

Podrobný postup nasazení správy nároků Microsoft Entra, včetně vytvoření prvního přístupového balíčku, najdete v následujícím videu:

Tento zbytek tohoto článku používá Centrum pro správu Microsoft Entra ke konfiguraci a předvedení správy nároků.

Požadavky

Pokud chcete používat správu nároků, musíte mít jednu z následujících licencí:

  • Zásady správného řízení ID Microsoft Entra ID P2 nebo Microsoft Entra ID
  • Licence Enterprise Mobility + Security (EMS) E5

Další informace najdete v tématu Licenční požadavky.

Krok 1: Nastavení uživatelů a skupin

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Adresář prostředků má jeden nebo více prostředků, které se mají sdílet. V tomto kroku vytvoříte skupinu s názvem Marketingové prostředky v adresáři Woodgrove Bank, která je cílovým prostředkem pro správu nároků. Také jste nastavili interní žadatele.

Požadovaná role: Globální správce nebo zásady správného řízení identit Správa istrator

Diagram that shows the users and groups for this tutorial.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.

  3. Vytvořte dva uživatele. Použijte následující názvy nebo jiné názvy.

    Název Role adresáře
    Správa 1 Globální správce nebo zásady správného řízení identit Správa istrator Tento uživatel může být uživatelem, který jste aktuálně přihlášeni.
    Žadatel1 Uživatelská

  4. Vytvořte skupinu zabezpečení Microsoft Entra s názvem Marketingové prostředky s typem členství Přiřazeno. Tato skupina je cílovým prostředkem pro správu nároků. Skupina by měla být prázdná pro začátek členů.

Krok 2: Vytvoření přístupového balíčku

Přístupový balíček je sada prostředků, které tým nebo projekt potřebuje a řídí se zásadami. Přístupové balíčky jsou definovány v kontejnerech označovaných jako katalogy. V tomto kroku vytvoříte v katalogu Obecné přístupový balíček marketingové kampaně.

Požadovaná role: Globální Správa istrator, zásady správného řízení identit Správa istrator, vlastník katalogu nebo Správce balíčků accessu

Diagram that describes the relationship between the access package elements.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. Pokud se při otevření přístupového balíčku zobrazí odepřen přístup, ujistěte se, že je ve vašem adresáři k dispozici licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.

  5. Vyberte Nový přístupový balíček.

    Screenshots that shows how to create an access package.

  6. Na kartě Základy zadejte název přístupového balíčku marketingové kampaně a popis Přístup k prostředkům kampaně.

  7. Rozevírací seznam Katalog nechte nastavený na Obecné.

    Screenshot showing how to set the basic of the access policy.

  8. Výběrem možnosti Další otevřete kartu Role prostředku. Na této kartě vyberte prostředky a roli prostředku, které chcete zahrnout do přístupového balíčku. Můžete se rozhodnout spravovat přístup ke skupinám a týmům, aplikacím a webům SharePointu Online. V tomto scénáři vyberte Skupiny a Teams.

    Screenshot showing how to select groups and teams.

  9. V podokně Vybrat skupiny vyhledejte a vyberte skupinu marketingových prostředků, kterou jste vytvořili dříve.

    Ve výchozím nastavení se zobrazí skupiny v katalogu Obecné. Když vyberete skupinu mimo katalog Obecné, která se zobrazí, pokud zaškrtnete políčko Zobrazit vše , přidá se do katalogu Obecné.

    Screenshot that shows how to select the groups

  10. Zvolením možnosti Vybrat přidáte skupinu do seznamu.

  11. V rozevíracím seznamu Role vyberte Člen. Pokud vyberete roli Vlastník, umožní uživatelům přidávat nebo odebírat další členy nebo vlastníky. Další informace o výběru vhodných rolí pro prostředek najdete v tématu Přidání rolí prostředků.

    Screenshot the shows how to select the member role.

    Důležité

    Přiřazené skupiny role přidané do přístupového balíčku se označí pomocí přiřazení podtypu k rolím. Další informace najdete v článku Vytvoření skupiny s možností přiřazení role. Mějte na paměti, že jakmile je v katalogu přístupových balíčků k dispozici přiřaditelná skupina, správci, kteří můžou spravovat správu nároků, včetně uživatelů v roli Globální Správa istrator, uživatelé v roli Zásady správného řízení identit Správa istrator a vlastníci katalogu katalogu, budou moct řídit přístupové balíčky v katalogu. umožňuje jim vybrat, kdo může být do těchto skupin přidán. Pokud nevidíte skupinu, kterou chcete přidat, nebo ji nemůžete přidat, ujistěte se, že máte k provedení této operace požadovanou roli Microsoft Entra a roli správy nároků. Možná budete muset požádat někoho, kdo má požadované role, přidat prostředek do katalogu. Další informace naleznete v tématu Požadované role pro přidání prostředků do katalogu.

    Poznámka:

    Při použití dynamických skupin neuvidíte žádné další role, které jsou k dispozici kromě vlastníka. Toto chování je úmyslné. Screenshots that shows a dynamic group available roles.

  12. Výběrem možnosti Další otevřete kartu Žádosti . Na kartě Žádosti vytvoříte zásadu žádosti. Zásada definuje pravidla nebo mantinely pro přístup k přístupovém balíčku. Vytvoříte zásadu, která konkrétnímu uživateli v adresáři prostředků umožní požádat o tento přístupový balíček.

  13. V části Uživatelé, kteří můžou požádat o přístup, vyberte Možnost Pro uživatele ve vašem adresáři a pak vyberte Konkrétní uživatelé a skupiny.

    Screenshot of the access package requests tab.

  14. Vyberte Přidat uživatele a skupiny.

  15. V podokně Vybrat uživatele a skupiny vyberte uživatele Requestor1 , který jste vytvořili dříve.

    Screenshot of select users and groups.

  16. Zvolením možnosti Vybrat přidáte uživatele do seznamu.

  17. Posuňte se dolů k částem Schválení a Povolit žádosti .

  18. Ponechte možnost Vyžadovat schválení nastavenou na Ne.

  19. Pokud chcete povolit žádosti, vyberte Ano , pokud chcete povolit, aby byl tento přístupový balíček požadován ihned po jeho vytvoření.

  20. Pokud je vaše organizace nastavená tak, aby přijímala ověřená ID, existuje možnost nakonfigurovat přístupový balíček tak, aby vyžadoval žadatele, aby zadali ověřené ID. Další informace najdete v tématu: Konfigurace ověřených nastavení ID pro přístupový balíček ve správě nároků (Preview)

    Screenshot of the Verified ID picker selection.

  21. Výběrem možnosti Další otevřete kartu Informace o žadateli.

    Screenshots of the requests tab approval and enable requests settings.

  22. Na kartě Informace o žadateli můžete klást otázky, abyste od žadatele shromáždili další informace. Otázky se zobrazují ve formuláři žádosti a můžou být povinné nebo volitelné. V tomto scénáři jste nebyli požádáni o zahrnutí informací žadatele o přístupovém balíčku, takže tato pole můžete nechat prázdná. Výběrem možnosti Další otevřete kartu Životní cyklus .

  23. Na kartě Životní cyklus určíte, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Můžete také určit, jestli uživatelé můžou svá přiřazení rozšířit. V části Vypršení platnosti:

    1. Nastavení přiřazení přístupového balíčku vyprší na počet dnů.
    2. Platnost přiřazení vyprší po30 dnech.
    3. Ponechte možnost Uživatelé požádat o konkrétní výchozí hodnotu časové osy , Ano.
    4. Nastavte možnost Vyžadovat kontroly přístupu na Ne.

    Screenshot of the access package lifecycle tab

  24. Přeskočte krok Vlastní rozšíření.

  25. Výběrem možnosti Další otevřete kartu Revize a vytvořit .

  26. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit. Po chvíli by se mělo zobrazit oznámení, že se přístupový balíček úspěšně vytvořil.

  27. V nabídce vlevo v přístupovém balíčku marketingové kampaně vyberte Přehled.

  28. Zkopírujte odkaz portálu Můj přístup.

    Tento odkaz použijete pro další krok.

    Screenshot that demonstrates how to copy the link to the access policy.

Krok 3: Žádost o přístup

V tomto kroku provedete kroky jako interní žadatel a požádáte o přístup k přístupovém balíčku. Žadateli odesílají své žádosti pomocí webu nazvaného Portál Můj přístup. Portál Můj přístup umožňuje žadatelům odesílat žádosti o přístupové balíčky, zobrazit přístupové balíčky, ke kterým už mají přístup, a zobrazit historii žádostí. Když nový host požádá o přístupový balíček v MyAccess, označí se upřednostňovaný jazyk na základě jazyka prohlížeče MyAccess v době žádosti. To umožňuje novým hostům přijímat e-mailovou komunikaci v jazyce, kterému rozumí.

Požadovaná role: Interní žadatel

  1. Odhlaste se z Centra pro správu Microsoft Entra.

  2. V novém okně prohlížeče přejděte na odkaz Portál Můj přístup, který jste zkopírovali v předchozím kroku.

  3. Přihlaste se k portálu Můj přístup jako žadatel1.

    Měl by se zobrazit přístupový balíček marketingové kampaně .

  4. Do pole Obchodní odůvodnění zadejte odůvodnění, na které pracujem na nové marketingové kampani.

    Screenshot of the My Access portal listing the access packages.

  5. Vyberte položku Odeslat.

  6. V nabídce vlevo vyberte Historii žádostí a ověřte, že se vaše žádost doručila. Další podrobnosti získáte výběrem možnosti Zobrazit.

    Screenshot of the My Access portal request history.

Krok 4: Ověření přiřazení přístupu

V tomto kroku potvrdíte, že interní žadatel má přiřazený přístupový balíček a že je teď členem skupiny marketingových prostředků .

Požadovaná role: Globální Správa istrator, zásady správného řízení identit Správa istrator, vlastník katalogu nebo Správce balíčků accessu

  1. Odhlaste se z portálu Můj přístup.

  2. Přihlaste se k Centru pro správu Microsoft Entra jako Správa 1.

  3. Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.

  4. Vyhledejte a vyberte balíček pro přístup k marketingové kampani .

  5. V nabídce vlevo vyberte Požadavky.

    Měli byste vidět žadatele1 a počáteční zásadu se stavem Doručeno.

  6. Výběrem požadavku zobrazíte podrobnosti žádosti.

    Screenshot of the access package request details.

  7. V levém navigačním panelu vyberte Možnost Identita.

  8. Vyberte Skupiny a otevřete skupinu marketingových prostředků .

  9. Vyberte členy.

    Měl by se zobrazit požadavek1 uvedený jako člen.

    Screenshot shows the requestor one has been added to the marketing resources group.

Krok 5: Vyčištění prostředků

V tomto kroku odeberete provedené změny a odstraníte přístupový balíček marketingové kampaně .

Požadovaná role: Globální Správa istrator nebo zásady správného řízení identit Správa istrator

  1. V Centru pro správu Microsoft Entra – Zásady správného řízení identit.

  2. Otevřete přístupový balíček marketingové kampaně.

  3. Vyberte zadání.

  4. V případě žadatele1 vyberte tři tečky (...) a pak vyberte Odebrat přístup. Ve zprávě, která se zobrazí, vyberte Ano.

    Po chvíli se stav Změní z Doručeno na Konec platnosti.

  5. Vyberte role prostředků.

  6. V části Marketingové prostředky vyberte tři tečky (...) a pak vyberte Odebrat roli prostředku. Ve zprávě, která se zobrazí, vyberte Ano.

  7. Otevřete seznam přístupových balíčků.

  8. V případě marketingové kampaně vyberte tři tečky (...) a pak vyberte Odstranit. Ve zprávě, která se zobrazí, vyberte Ano.

  9. Ve službě Identity odstraňte všechny uživatele, které jste vytvořili, například Žadatele1 a Správa 1.

  10. Odstraňte skupinu marketingových prostředků.

Další kroky

V dalším článku se dozvíte o běžných krocích scénáře správy nároků.

Obvyklé scénáře