Sdílet prostřednictvím

Kurz: Správa přístupu k prostředkům ve správě nároků

Správa přístupu ke všem prostředkům, které potřebují zaměstnanci, jako jsou skupiny, aplikace a weby, je důležitou funkcí pro organizace. Chcete zaměstnancům udělit správnou úroveň přístupu, kterou potřebují k produktivitě, a odebrat přístup, když už není potřeba.

V tomto kurzu pracujete pro Woodgrove Bank jako správce IT. Byli jste požádáni o vytvoření balíčku prostředků pro marketingovou kampaň, kterou můžou interní uživatelé použít k samoobslužné žádosti. Žádosti nevyžadují schválení a platnost přístupu uživatele vyprší po 30 dnech. V tomto kurzu jsou prostředky marketingové kampaně pouze členství v jedné skupině, ale může se jednat o kolekci skupin, aplikací nebo webů SharePointu Online.

Diagram znázorňující přehled scénáře

V tomto kurzu se naučíte:

  • Vytvořte přístupový balíček s použitím skupiny jako zdroje.
  • Umožněte uživateli ve vašem adresáři požádat o přístup
  • Předvedení, jak může interní uživatel požádat o přístupový balíček

Podrobný postup nasazení správy nároků Microsoft Entra, včetně vytvoření prvního přístupového balíčku, najdete v následujícím videu:

Tento zbytek tohoto článku používá Centrum pro správu Microsoft Entra ke konfiguraci a předvedení správy nároků.

Požadavky

Pokud chcete používat správu nároků, musíte mít jednu z následujících licencí:

  • Microsoft Entra ID P2 nebo Microsoft Entra ID Governance
  • Licence Enterprise Mobility + Security (EMS) E5

Další informace najdete v tématu Licenční požadavky.

Krok 1: Nastavení uživatelů a skupin

Adresář zdrojů má jeden nebo více prostředků pro sdílení. V tomto kroku vytvoříte skupinu s názvem Marketingové prostředky v adresáři Woodgrove Bank, která je cílovým prostředkem pro správu nároků. Také jste nastavili interního žadatele.

Diagram znázorňující uživatele a skupiny pro účely tohoto kurzu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správce řízení identit.

  2. Přejděte na Správa identit>Správa oprávnění>Balíčky přístupu.

  3. Vytvořte dva uživatele. Můžete použít následující názvy nebo jiné názvy.

    Název Role adresáře
    Správce1 Alespoň správce správy identit. Tento uživatel může být uživatelem, který jste aktuálně přihlášeni.
    Žadatel1 Uživatel

  4. Vytvořte skupinu zabezpečení Microsoft Entra s názvem Marketingové prostředky s typem členství 'přiřazeno'. Tato skupina je cílovým zdrojem pro správu nároků. Na začátku by měla být skupina prázdná, bez členů.

Krok 2: Vytvoření přístupového balíčku

Přístupový balíček je sada prostředků, které tým nebo projekt potřebuje a řídí se zásadami. Přístupové balíčky jsou definovány v kontejnerech označovaných jako katalogy. V tomto kroku vytvoříte přístupový balíček marketingové kampaně v katalogu Obecné.

Diagram, který popisuje vztah mezi elementy přístupového balíčku

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správce řízení identit.

    Návod

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

  2. Přejděte na Správa ID>Správa oprávnění>Balíček přístupu.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. Pokud se při otevření přístupového balíčku zobrazí odepřen přístup, ujistěte se, že je ve vašem adresáři k dispozici licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.

  5. Vyberte Nový přístupový balíček.

    Snímky obrazovky, které ukazují, jak vytvořit přístupový balíček

  6. Na kartě Základy zadejte název přístupového balíčku marketingové kampaně a popis Přístup k prostředkům kampaně.

  7. Rozevírací seznam Katalog nechte nastavený na Obecné.

    Snímek obrazovky znázorňující, jak nastavit základní zásady přístupu

  8. Výběrem Další otevřete kartu Role prostředků. Na této kartě vyberte prostředky a roli prostředku, které chcete zahrnout do přístupového balíčku. Můžete se rozhodnout spravovat přístup ke skupinám a týmům, aplikacím a webům SharePointu Online. V tomto scénáři vyberte Skupiny a Teams.

    Snímek obrazovky znázorňující, jak vybrat skupiny a týmy

  9. V podokně Vybrat skupiny vyhledejte a vyberte skupinu marketingových prostředků, kterou jste vytvořili dříve.

    Ve výchozím nastavení se zobrazí skupiny v katalogu Obecné. Když vyberete skupinu mimo katalog Obecné, která se zobrazí, pokud zaškrtnete políčko Zobrazit vše , přidá se do katalogu Obecné.

    Snímek obrazovky znázorňující, jak vybrat skupiny

  10. Zvolením možnosti Vybrat přidáte skupinu do seznamu.

  11. V rozevíracím seznamu Role vyberte Člen. Pokud vyberete roli Vlastník, umožní uživatelům přidávat nebo odebírat další členy nebo vlastníky. Další informace o výběru vhodných rolí pro prostředek najdete v tématu Přidání rolí prostředků.

    Snímek obrazovky znázorňující, jak vybrat roli člena

    Důležité

    Skupiny, kterým lze přiřadit role, přidané do přístupového balíčku, budou označeny pomocí podtypu Přiřaditelné k rolím. Další informace najdete v článku Vytvoření skupiny s možností přiřazení role. Mějte na paměti, že jakmile je v katalogu přístupových balíčků k dispozici přiřaditelná skupina, správci, kteří můžou spravovat správu nároků, včetně uživatelů v roli globálního správce, uživatelů v roli Správce zásad správného řízení identit a vlastníků katalogu, budou moci řídit přístupové balíčky v katalogu, umožňuje jim vybrat, kdo může být do těchto skupin přidán. Pokud nevidíte skupinu, kterou chcete přidat nebo ji nemůžete přidat, ujistěte se, že máte požadovanou roli Microsoft Entra a roli správy nároků k provedení této operace. Možná budete muset požádat někoho, kdo má požadované role, přidat prostředek do katalogu. Další informace naleznete v tématu Požadované role pro přidání prostředků do katalogu.

    Poznámka:

    Při použití dynamických skupin členství neuvidíte žádné další role, které jsou k dispozici kromě vlastníka. Toto chování je úmyslné. Snímky obrazovky znázorňující role, které jsou k dispozici pro dynamickou skupinu

  12. Výběrem možnosti Další otevřete kartu Žádosti . Na kartě Žádosti vytvoříte zásadu žádosti. Zásada definuje pravidla nebo mantinely pro přístup k balíčku oprávnění. Vytvoříte zásadu, která konkrétnímu uživateli v adresáři prostředků umožní požádat o tento přístupový balíček.

  13. V části Uživatelé, kteří můžou požádat o přístup, vyberte Možnost Pro uživatele ve vašem adresáři a pak vyberte Konkrétní uživatelé a skupiny.

    Snímek obrazovky karty s žádostmi o přístupový balíček

  14. Vyberte Přidat uživatele a skupiny.

  15. V podokně Vybrat uživatele a skupiny vyberte uživatele Requestor1 , který jste vytvořili dříve.

    Snímek obrazovky s výběrem uživatelů a skupin

  16. Zvolením možnosti Vybrat přidáte uživatele do seznamu.

  17. Posuňte se dolů k částem Schválení a Povolení žádostí.

  18. Ponechte možnost Vyžadovat schválení nastavenou na Ne.

  19. Pokud chcete povolit žádosti, vyberte Ano , pokud chcete povolit, aby byl tento přístupový balíček požadován ihned po jeho vytvoření.

  20. Pokud je vaše organizace nastavená tak, aby přijímala ověřená ID, existuje možnost nakonfigurovat přístupový balíček tak, aby vyžadoval žadatele, aby zadali ověřené ID. Další informace najdete v tématu: Konfigurace ověřených nastavení ID pro přístupový balíček ve správě nároků (Preview)

    Snímek obrazovky s výběrem ověřeného ID

  21. Výběrem možnosti Další otevřete kartu Informace o žadateli.

    Snímky obrazovky se schválením karty Žádosti a povolením nastavení žádostí

  22. Na kartě Informace o žadateli můžete klást otázky, abyste od žadatele shromáždili další informace. Otázky se zobrazují ve formuláři žádosti a můžou být povinné nebo volitelné. Můžete také určit, jestli může manažer zaměstnance požádat o jeho jménem a jestli se vyžaduje schválení, pokud to udělá. Pokud zásady umožňují manažerům žádat jménem zaměstnance, manažer by odpovídal na otázky jménem zaměstnance, a ne sám. Další informace o této možnosti najdete v tématu: Vyžádání přístupového balíčku jménem jiných uživatelů (Preview) V tomto scénáři jste nebyli požádáni o zahrnutí informací žadatele o přístupovém balíčku, takže tato pole můžete nechat prázdná. Výběrem možnosti Další otevřete kartu Životní cyklus .

  23. Na kartě Životní cyklus určíte, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Můžete také určit, jestli uživatelé můžou svá přiřazení rozšířit. V části Vypršení platnosti:

    1. Nastavte, aby přiřazení přístupového balíčku vypršela po počtu dnů.
    2. Nastavte Platnost přiřazení na30 dní.
    3. Zachovejte výchozí hodnotu pro možnost Uživatelé mohou požádat o konkrétní časovou osu , takže Ano.
    4. Nastavte možnost Vyžadovat kontroly přístupu na Ne.

    Snímek obrazovky karty životního cyklu přístupového balíčku

  24. Přeskočte krok Vlastní rozšíření.

  25. Výběrem Další otevřete kartu Revize a vytvoření.

  26. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit. Po chvíli by se mělo zobrazit oznámení, že se přístupový balíček úspěšně vytvořil.

  27. V nabídce vlevo v přístupovém balíčku marketingové kampaně vyberte Přehled.

  28. Zkopírujte odkaz portálu Můj přístup.

    Tento odkaz použijete pro další krok.

    Snímek obrazovky, který ukazuje, jak zkopírovat odkaz na zásady přístupu

Krok 3: Žádost o přístup

V tomto kroku provedete kroky jako interní žadatel a požádáte o přístup k přístupovém balíčku. Žadateli odesílají své žádosti pomocí webu nazvaného Portál Můj přístup. Portál Můj přístup umožňuje žadatelům odesílat žádosti o přístupové balíčky, zobrazit přístupové balíčky, ke kterým už mají přístup, a zobrazit historii žádostí. Když nový host požádá o přístupový balíček v MyAccess, označí se upřednostňovaný jazyk na základě jazyka prohlížeče MyAccess v době žádosti. To umožňuje novým hostům přijímat e-mailovou komunikaci v jazyce, kterému rozumí.

Požadovaná role: Interní žadatel

  1. Odhlaste se z Centra pro správu Microsoft Entra.

  2. V novém okně prohlížeče přejděte na odkaz Portál Můj přístup, který jste zkopírovali v předchozím kroku.

  3. Přihlaste se k portálu Můj přístup jako žadatel1.

    Měli byste vidět balíček přístupu ke marketingové kampani.

  4. Do pole Obchodní odůvodnění zadejte odůvodnění, na které pracujem na nové marketingové kampani.

    Snímek obrazovky portálu Můj přístup se seznamem přístupových balíčků

  5. Vyberte položku Odeslat.

  6. V nabídce vlevo vyberte Historii žádostí a ověřte, že se vaše žádost doručila. Další podrobnosti získáte výběrem možnosti Zobrazit.

    Snímek obrazovky s historií žádostí portálu Můj přístup

Krok 4: Ověření přiřazení přístupu

V tomto kroku potvrdíte, že interní žadatel má přiřazený přístupový balíček a že je teď členem skupiny marketingových prostředků .

  1. Odhlaste se z portálu Můj přístup.

  2. Přihlaste se do administračního centra Microsoft Entra jako Admin1, což je ve funkci alespoň správce správy identity.

    Návod

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

  3. Přejděte na Správa identit>Správa oprávnění>Balíčky přístupu.

  4. Vyhledejte a vyberte balíček pro přístup k marketingové kampani .

  5. V nabídce vlevo vyberte Požadavky.

    Měli byste vidět žadatele1 a počáteční zásadu se stavem Doručeno.

  6. Výběrem požadavku zobrazíte podrobnosti žádosti.

    Snímek obrazovky s podrobnostmi žádosti o přístupový balíček

  7. V levém navigačním panelu vyberte Entra ID.

  8. Vyberte Skupiny a otevřete skupinu marketingových prostředků .

  9. Vyberte členy.

    Měl by se zobrazit Žadatel1 uvedený jako člen.

    Snímek obrazovky ukazuje, že konkrétní žadatel byl přidán do skupiny marketingových zdrojů.

Krok 5: Vyčištění prostředků

V tomto kroku odeberete provedené změny a odstraníte přístupový balíček marketingové kampaně .

  1. V centru pro správu Microsoft Entra vyberte alespoň jako správce zásad správného řízení identit možnost Zásady správného řízení ID.

  2. Otevřete přístupový balíček marketingové kampaně.

  3. Vyberte zadání.

  4. Pro žadatele1 vyberte možnosti (...) a pak vyberte Odebrat přístup. Ve zprávě, která se zobrazí, vyberte Ano.

    Po chvíli se stav Změní z Doručeno na Konec platnosti.

  5. Vyberte Role prostředků.

  6. V části Marketingové zdroje vyberte tři tečky (...) a pak vyberte Odebrat roli zdroje. Ve zprávě, která se zobrazí, vyberte Ano.

  7. Otevřete seznam přístupových balíčků.

  8. V případě marketingové kampaně vyberte tři tečky (...) a pak vyberte Odstranit. Ve zprávě, která se zobrazí, vyberte Ano.

  9. Ve službě Identita odstraňte všechny uživatele, které jste vytvořili, například Žadatele1 a Admin1.

  10. Odstraňte skupinu marketingových prostředků.

Další kroky

V dalším článku se dozvíte o běžných krocích scénáře správy nároků.

Obvyklé scénáře

  • Last updated on