Sdílet prostřednictvím

Kurz: Správa přístupu k prostředkům ve správě nároků

  • Článek

Správa přístupu ke všem prostředkům, které potřebují zaměstnanci, jako jsou skupiny, aplikace a weby, je důležitou funkcí pro organizace. Chcete zaměstnancům udělit správnou úroveň přístupu, kterou potřebují k produktivitě, a odebrat přístup, když už není potřeba.

V tomto kurzu pracujete pro Woodgrove Bank jako správce IT. Byli jste požádáni o vytvoření balíčku prostředků pro marketingovou kampaň, kterou můžou interní uživatelé použít k samoobslužné žádosti. Žádosti nevyžadují schválení a platnost přístupu uživatele vyprší po 30 dnech. V tomto kurzu jsou prostředky marketingové kampaně pouze členství v jedné skupině, ale může se jednat o kolekci skupin, aplikací nebo webů SharePointu Online.

Diagram znázorňující přehled scénáře

V tomto kurzu se naučíte:

  • Vytvoření přístupového balíčku se skupinou jako prostředkem
  • Povolení přístupu uživateli ve vašem adresáři
  • Předvedení, jak může interní uživatel požádat o přístupový balíček

Podrobný postup nasazení správy nároků Microsoft Entra, včetně vytvoření prvního přístupového balíčku, najdete v následujícím videu:

Tento zbytek tohoto článku používá Centrum pro správu Microsoft Entra ke konfiguraci a předvedení správy nároků.

Požadavky

Pokud chcete používat správu nároků, musíte mít jednu z následujících licencí:

  • Zásady správného řízení ID Microsoft Entra ID P2 nebo Microsoft Entra ID
  • Licence Enterprise Mobility + Security (EMS) E5

Další informace najdete v tématu Licenční požadavky.

Krok 1: Nastavení uživatelů a skupin

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Adresář prostředků má jeden nebo více prostředků, které se mají sdílet. V tomto kroku vytvoříte skupinu s názvem Marketingové prostředky v adresáři Woodgrove Bank, která je cílovým prostředkem pro správu nároků. Také jste nastavili interní žadatele.

Diagram znázorňující uživatele a skupiny pro účely tohoto kurzu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.

  3. Vytvořte dva uživatele. Použijte následující názvy nebo jiné názvy.

    Název Role adresáře
    Admin1 Alespoň správce zásad správného řízení identit. Tento uživatel může být uživatelem, který jste aktuálně přihlášeni.
    Žadatel1 Uživatelská

  4. Vytvořte skupinu zabezpečení Microsoft Entra s názvem Marketingové prostředky s typem členství Přiřazeno. Tato skupina je cílovým prostředkem pro správu nároků. Skupina by měla být prázdná pro začátek členů.

Krok 2: Vytvoření přístupového balíčku

Přístupový balíček je sada prostředků, které tým nebo projekt potřebuje a řídí se zásadami. Přístupové balíčky jsou definovány v kontejnerech označovaných jako katalogy. V tomto kroku vytvoříte v katalogu Obecné přístupový balíček marketingové kampaně.

Diagram, který popisuje vztah mezi elementy přístupového balíčku

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. Pokud se při otevření přístupového balíčku zobrazí odepřen přístup, ujistěte se, že je ve vašem adresáři k dispozici licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.

  5. Vyberte Nový přístupový balíček.

    Snímky obrazovky, které ukazují, jak vytvořit přístupový balíček

  6. Na kartě Základy zadejte název přístupového balíčku marketingové kampaně a popis Přístup k prostředkům kampaně.

  7. Rozevírací seznam Katalog nechte nastavený na Obecné.

    Snímek obrazovky znázorňující, jak nastavit základní zásady přístupu

  8. Výběrem možnosti Další otevřete kartu Role prostředku. Na této kartě vyberte prostředky a roli prostředku, které chcete zahrnout do přístupového balíčku. Můžete se rozhodnout spravovat přístup ke skupinám a týmům, aplikacím a webům SharePointu Online. V tomto scénáři vyberte Skupiny a Teams.

    Snímek obrazovky znázorňující, jak vybrat skupiny a týmy

  9. V podokně Vybrat skupiny vyhledejte a vyberte skupinu marketingových prostředků, kterou jste vytvořili dříve.

    Ve výchozím nastavení se zobrazí skupiny v katalogu Obecné. Když vyberete skupinu mimo katalog Obecné, která se zobrazí, pokud zaškrtnete políčko Zobrazit vše , přidá se do katalogu Obecné.

    Snímek obrazovky znázorňující, jak vybrat skupiny

  10. Zvolením možnosti Vybrat přidáte skupinu do seznamu.

  11. V rozevíracím seznamu Role vyberte Člen. Pokud vyberete roli Vlastník, umožní uživatelům přidávat nebo odebírat další členy nebo vlastníky. Další informace o výběru vhodných rolí pro prostředek najdete v tématu Přidání rolí prostředků.

    Snímek obrazovky znázorňující, jak vybrat roli člena

    Důležité

    Přiřazené skupiny role přidané do přístupového balíčku se označí pomocí přiřazení podtypu k rolím. Další informace najdete v článku Vytvoření skupiny s možností přiřazení role. Mějte na paměti, že jakmile je v katalogu přístupových balíčků k dispozici přiřaditelná skupina, správci, kteří můžou spravovat správu nároků, včetně uživatelů v roli globálního správce, uživatelů v roli Správce zásad správného řízení identit a vlastníků katalogu, budou moci řídit přístupové balíčky v katalogu, umožňuje jim vybrat, kdo může být do těchto skupin přidán. Pokud nevidíte skupinu, kterou chcete přidat, nebo ji nemůžete přidat, ujistěte se, že máte k provedení této operace požadovanou roli Microsoft Entra a roli správy nároků. Možná budete muset požádat někoho, kdo má požadované role, přidat prostředek do katalogu. Další informace naleznete v tématu Požadované role pro přidání prostředků do katalogu.

    Poznámka:

    Při použití dynamických skupin členství neuvidíte žádné další role, které jsou k dispozici kromě vlastníka. Toto chování je úmyslné. Snímky obrazovky znázorňující role, které jsou k dispozici pro dynamickou skupinu

  12. Výběrem možnosti Další otevřete kartu Žádosti . Na kartě Žádosti vytvoříte zásadu žádosti. Zásada definuje pravidla nebo mantinely pro přístup k přístupovém balíčku. Vytvoříte zásadu, která konkrétnímu uživateli v adresáři prostředků umožní požádat o tento přístupový balíček.

  13. V části Uživatelé, kteří můžou požádat o přístup, vyberte Možnost Pro uživatele ve vašem adresáři a pak vyberte Konkrétní uživatelé a skupiny.

    Snímek obrazovky s kartou Žádosti o přístupový balíček

  14. Vyberte Přidat uživatele a skupiny.

  15. V podokně Vybrat uživatele a skupiny vyberte uživatele Requestor1 , který jste vytvořili dříve.

    Snímek obrazovky s výběrem uživatelů a skupin

  16. Zvolením možnosti Vybrat přidáte uživatele do seznamu.

  17. Posuňte se dolů k částem Schválení a Povolit žádosti .

  18. Ponechte možnost Vyžadovat schválení nastavenou na Ne.

  19. Pokud chcete povolit žádosti, vyberte Ano , pokud chcete povolit, aby byl tento přístupový balíček požadován ihned po jeho vytvoření.

  20. Pokud je vaše organizace nastavená tak, aby přijímala ověřená ID, existuje možnost nakonfigurovat přístupový balíček tak, aby vyžadoval žadatele, aby zadali ověřené ID. Další informace najdete v tématu: Konfigurace ověřených nastavení ID pro přístupový balíček ve správě nároků (Preview)

    Snímek obrazovky s výběrem výběru ověřeného ID

  21. Výběrem možnosti Další otevřete kartu Informace o žadateli.

    Snímky obrazovky se schválením karty Žádosti a povolením nastavení žádostí

  22. Na kartě Informace o žadateli můžete klást otázky, abyste od žadatele shromáždili další informace. Otázky se zobrazují ve formuláři žádosti a můžou být povinné nebo volitelné. Můžete také určit, jestli může manažer zaměstnance požádat o jeho jménem a jestli se vyžaduje schválení, pokud to udělá. Pokud zásady umožňují manažerům žádat jménem zaměstnance, manažer by odpovídal na otázky jménem zaměstnance, a ne sám. Další informace o této možnosti najdete v tématu: Vyžádání přístupového balíčku jménem jiných uživatelů (Preview) V tomto scénáři jste nebyli požádáni o zahrnutí informací žadatele o přístupovém balíčku, takže tato pole můžete nechat prázdná. Výběrem možnosti Další otevřete kartu Životní cyklus .

  23. Na kartě Životní cyklus určíte, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Můžete také určit, jestli uživatelé můžou svá přiřazení rozšířit. V části Vypršení platnosti:

    1. Nastavení přiřazení přístupového balíčku vyprší na počet dnů.
    2. Platnost přiřazení vyprší po 30 dnech.
    3. Ponechte možnost Uživatelé požádat o konkrétní výchozí hodnotu časové osy , Ano.
    4. Nastavte možnost Vyžadovat kontroly přístupu na Ne.

    Snímek obrazovky s kartou životní cyklus přístupového balíčku

  24. Přeskočte krok Vlastní rozšíření.

  25. Výběrem možnosti Další otevřete kartu Revize a vytvořit .

  26. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit. Po chvíli by se mělo zobrazit oznámení, že se přístupový balíček úspěšně vytvořil.

  27. V nabídce vlevo v přístupovém balíčku marketingové kampaně vyberte Přehled.

  28. Zkopírujte odkaz portálu Můj přístup.

    Tento odkaz použijete pro další krok.

    Snímek obrazovky, který ukazuje, jak zkopírovat odkaz na zásady přístupu

Krok 3: Žádost o přístup

V tomto kroku provedete kroky jako interní žadatel a požádáte o přístup k přístupovém balíčku. Žadateli odesílají své žádosti pomocí webu nazvaného Portál Můj přístup. Portál Můj přístup umožňuje žadatelům odesílat žádosti o přístupové balíčky, zobrazit přístupové balíčky, ke kterým už mají přístup, a zobrazit historii žádostí. Když nový host požádá o přístupový balíček v MyAccess, označí se upřednostňovaný jazyk na základě jazyka prohlížeče MyAccess v době žádosti. To umožňuje novým hostům přijímat e-mailovou komunikaci v jazyce, kterému rozumí.

Požadovaná role: Interní žadatel

  1. Odhlaste se z Centra pro správu Microsoft Entra.

  2. V novém okně prohlížeče přejděte na odkaz Portál Můj přístup, který jste zkopírovali v předchozím kroku.

  3. Přihlaste se k portálu Můj přístup jako žadatel1.

    Měl by se zobrazit přístupový balíček marketingové kampaně .

  4. Do pole Obchodní odůvodnění zadejte odůvodnění, na které pracujem na nové marketingové kampani.

    Snímek obrazovky portálu Můj přístup se seznamem přístupových balíčků

  5. Vyberte položku Odeslat.

  6. V nabídce vlevo vyberte Historii žádostí a ověřte, že se vaše žádost doručila. Další podrobnosti získáte výběrem možnosti Zobrazit.

    Snímek obrazovky s historií žádostí portálu Můj přístup

Krok 4: Ověření přiřazení přístupu

V tomto kroku potvrdíte, že interní žadatel má přiřazený přístupový balíček a že je teď členem skupiny marketingových prostředků .

  1. Odhlaste se z portálu Můj přístup.

  2. Přihlaste se do Centra pro správu Microsoft Entra jako admin1, což je alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

  3. Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.

  4. Vyhledejte a vyberte balíček pro přístup k marketingové kampani .

  5. V nabídce vlevo vyberte Požadavky.

    Měli byste vidět žadatele1 a počáteční zásadu se stavem Doručeno.

  6. Výběrem požadavku zobrazíte podrobnosti žádosti.

    Snímek obrazovky s podrobnostmi žádosti o přístupový balíček

  7. V levém navigačním panelu vyberte Možnost Identita.

  8. Vyberte Skupiny a otevřete skupinu marketingových prostředků .

  9. Vyberte členy.

    Měl by se zobrazit požadavek1 uvedený jako člen.

    Snímek obrazovky ukazuje, že žadatel byl přidán do skupiny marketingových prostředků.

Krok 5: Vyčištění prostředků

V tomto kroku odeberete provedené změny a odstraníte přístupový balíček marketingové kampaně .

  1. V Centru pro správu Microsoft Entra jako správce zásad správného řízení identit vyberte Zásady správného řízení identit.

  2. Otevřete přístupový balíček marketingové kampaně.

  3. Vyberte zadání.

  4. V případě žadatele1 vyberte tři tečky (...) a pak vyberte Odebrat přístup. Ve zprávě, která se zobrazí, vyberte Ano.

    Po chvíli se stav Změní z Doručeno na Konec platnosti.

  5. Vyberte role prostředků.

  6. V části Marketingové prostředky vyberte tři tečky (...) a pak vyberte Odebrat roli prostředku. Ve zprávě, která se zobrazí, vyberte Ano.

  7. Otevřete seznam přístupových balíčků.

  8. V případě marketingové kampaně vyberte tři tečky (...) a pak vyberte Odstranit. Ve zprávě, která se zobrazí, vyberte Ano.

  9. Ve službě Identita odstraňte všechny uživatele, které jste vytvořili, například Žadatele1 a Admin1.

  10. Odstraňte skupinu marketingových prostředků.

Další kroky

V dalším článku se dozvíte o běžných krocích scénáře správy nároků.

Obvyklé scénáře