Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Ve správě nároků můžete nakonfigurovat více zásad s různými nastaveními pro každou komunitu uživatelů, která bude potřebovat přístup prostřednictvím přístupového balíčku. Zaměstnanci můžou například potřebovat jenom schválení nadřízeným, aby získali přístup k určitým aplikacím, ale hosté přicházející z jiných organizací můžou vyžadovat schválení sponzorem i manažerem oddělení oddělení zdrojů. V zásadách pro uživatele, kteří už jsou v adresáři, můžete zadat konkrétní skupinu uživatelů, kteří mohou požádat o přístup. Můžete ale mít požadavek, abyste se vyhnuli uživateli, který získá nadměrný přístup. Chcete-li tento požadavek splnit, chcete dále omezit, kdo může požádat o přístup na základě přístupu, který již žadatel má.
S oddělením nastavení povinností v přístupovém balíčku můžete nakonfigurovat, aby uživatel, který je členem skupiny zabezpečení nebo který už má přiřazení k jednomu přístupovém balíčku, nemohl požádat o jiný přístupový balíček.
Scénáře pro kontroly oddělení povinností
Máte například přístupový balíček, marketingovou kampaň, ke které můžou lidé ve vaší organizaci a dalších organizacích požádat o přístup, aby mohli během této kampaně spolupracovat s marketingovým oddělením vaší organizace. Vzhledem k tomu, že zaměstnanci v marketingovém oddělení by už měli mít přístup k danému materiálu marketingové kampaně, nechcete, aby zaměstnanci v marketingovém oddělení požádali o přístup k danému přístupovém balíčku. Nebo už můžete mít dynamickou skupinu zabezpečení, „zaměstnanci marketingového oddělení“, se všemi marketingovými zaměstnanci. Můžete označit, že přístupový balíček není kompatibilní se skupinou dynamického členství. Potom, pokud zaměstnanec marketingového oddělení hledá přístupový balíček, o který chce požádat, nemohli by požádat o přístup k balíčku pro přístup k marketingové kampani.
Podobně můžete mít aplikaci se dvěma rolemi aplikace – Western Sales a Eastern Sales – představující prodejní teritoria a chcete zajistit, aby uživatel měl najednou jenom jednu prodejní oblast. Pokud máte dva přístupové balíčky, jeden přístupový balíček Západní teritorium poskytující roli Western Sales a druhý přístupový balíček Eastern Territory , který dává roli Eastern Sales , pak můžete nakonfigurovat:
- přístupový balíček Západního teritoria má balíček Východního teritoria jako nekompatibilní a
- Přístupový balíček východního teritoria má balíček západního teritoria jako nekompatibilní.
Pokud jste pro automatizaci přístupu k místním aplikacím používali Microsoft Identity Manager nebo jiné místní systémy pro správu identit, můžete tyto systémy integrovat i se správou nároků. Pokud řídíte přístup k integrovaným aplikacím Microsoft Entra prostřednictvím správy nároků a chcete uživatelům zabránit v nekompatibilním přístupu, můžete nakonfigurovat, že přístupový balíček není kompatibilní se skupinou zabezpečení. Může to být skupina zabezpečení AD, kterou váš místní systém pro správu identit odesílá do Microsoft Entra ID prostřednictvím služby Microsoft Entra Connect. Tato kontrola zajistí, že uživatel nemůže požádat o přístupový balíček, pokud by tento přístupový balíček udělil přístup, který není kompatibilní s přístupem, který má uživatel v místních aplikacích.
Požadavky
Pokud chcete používat správu nároků a přiřazovat uživatelům přístup k balíčkům, musíte mít jednu z následujících licencí:
- Microsoft Entra ID P2 nebo Microsoft Entra ID Governance
- Licence Enterprise Mobility + Security (EMS) E5
Konfigurujte jiný přístupový balíček nebo členství ve skupině jako nekompatibilní pro žádost o přístup k přístupovému balíčku.
Pokud chcete změnit seznam nekompatibilních skupin nebo jiných přístupových balíčků pro existující přístupový balíček, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce správy identit.
Návod
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.
Přejděte na Správa ID>Správa oprávnění>Balíček přístupu.
Na stránce Přístupové balíčky otevřete přístupový balíček, který uživatelé požadují.
V nabídce vlevo vyberte Oddělení povinností.
Seznam na kartě Nekompatibilní přístupové balíčky obsahuje jiné přístupové balíčky. Pokud už uživatel má v tomto seznamu přiřazený přístupový balíček, nebude moct požádat o tento přístupový balíček.
Pokud chcete uživatelům, kteří už mají přiřazení přístupového balíčku, zabránit v vyžádání tohoto přístupového balíčku, vyberte možnost Přidat přístupový balíček a vyberte přístupový balíček, který by už měl přiřazený. Tento přístupový balíček se pak přidá do seznamu přístupových balíčků na kartě Nekompatibilní přístupové balíčky .
Pokud chcete uživatelům, kteří mají existující členství ve skupině, zabránit v vyžádání tohoto přístupového balíčku, vyberte Přidat skupinu a vyberte skupinu s povoleným zabezpečením, ve které by už uživatel byl. Tato skupina se pak přidá do seznamu skupin na kartě Nekompatibilní skupiny .
Pokud chcete, aby uživatelé, kteří jsou přiřazeni k tomuto přístupovém balíčku, nemohli požádat o tento přístupový balíček, protože každá nekompatibilní relace přístupového balíčku je jednosměrná, pak změňte tento přístupový balíček a přidejte tento přístupový balíček jako nekompatibilní. Například chcete, aby uživatelé s přístupovým balíčkem západního teritoria nemohli požádat o přístupový balíček východního teritoria a uživatelé s přístupovým balíčkem východního teritoria nebudou moct požádat o přístupový balíček západního teritoria . Pokud jste nejprve na přístupový balíček západního teritoria přidali přístupový balíček východního teritoria jako nekompatibilní, pak přejděte na přístupový balíček východního teritoria a přidejte přístupový balíček západního teritoria jako nekompatibilní.
Konfigurace nekompatibilních přístupových balíčků prostřednictvím služby Graph programově
Skupiny a další přístupové balíčky, které nejsou kompatibilní s přístupovým balíčkem, můžete nakonfigurovat pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, nebo aplikaci s EntitlementManagement.ReadWrite.All oprávněním aplikace, může volat rozhraní API pro přidání, odebrání a výpis nekompatibilních skupin a přístupových balíčků přístupového balíčku.
Konfigurace nekompatibilních přístupových balíčků prostřednictvím Microsoft PowerShellu
Můžete také nakonfigurovat skupiny a další přístupové balíčky, které nejsou kompatibilní s přístupovým balíčkem pomocí rutiny PowerShell z modulu Microsoft Graph PowerShell pro řízení identit, verze 1.16.0 nebo novější.
Tento následující skript znázorňuje použití v1.0 profilu Graphu k vytvoření relace, která označuje jiný přístupový balíček jako nekompatibilní.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params
Zobrazit další přístupové balíčky, které jsou nakonfigurované jako nekompatibilní s tímto balíčkem
Následujícím postupem zobrazíte seznam dalších přístupových balíčků, které značí, že nejsou kompatibilní s existujícím přístupovým balíčkem:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce správy identit.
Návod
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.
Přejděte na Správa ID>Správa oprávnění>Balíček přístupu.
Na stránce Přístupové balíčky otevřete přístupový balíček.
V nabídce vlevo vyberte Oddělení povinností.
Vyberte možnost Nejsou kompatibilní s.
Identifikace uživatelů, kteří už mají nekompatibilní přístup k jinému přístupovému balíčku.
Pokud jste nakonfigurovali nekompatibilní nastavení přístupu u přístupového balíčku, který už má přiřazené uživatele, můžete si stáhnout seznam uživatelů, kteří mají tento dodatečný přístup. Uživatelé, kteří mají také přiřazení k nekompatibilnímu přístupovém balíčku, nebudou moct znovu požádat o přístup.
Tímto postupem zobrazíte seznam uživatelů, kteří mají přiřazení ke dvěma přístupovým balíčkům.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce správy identit.
Návod
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.
Přejděte na Správa ID>Správa oprávnění>Balíček přístupu.
Na stránce Přístupové balíčky otevřete přístupový balíček, na kterém jste nakonfigurovali jiný přístupový balíček jako nekompatibilní.
V nabídce vlevo vyberte Oddělení povinností.
Pokud v tabulce existuje nenulová hodnota ve sloupci Další přístup pro druhý přístupový balíček, znamená to, že existuje jeden nebo více uživatelů s přiřazením.
Výběrem tohoto počtu zobrazíte seznam nekompatibilních přiřazení.
Pokud chcete, můžete vybrat tlačítko Stáhnout a uložit tento seznam zadání jako soubor CSV.
Identifikace uživatelů, kteří budou mít nekompatibilní přístup k jinému přístupového balíčku
Pokud konfigurujete nekompatibilní nastavení přístupu u přístupového balíčku, který už má přiřazené uživatele, nebude moct některý z těchto uživatelů, kteří mají také přiřazení nekompatibilního přístupového balíčku nebo skupin, znovu požádat o přístup.
Tímto postupem zobrazíte seznam uživatelů, kteří mají přiřazení ke dvěma přístupovým balíčkům.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce správy identit.
Návod
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.
Přejděte na Správa ID>Správa oprávnění>Balíček přístupu.
Otevřete přístupový balíček, ve kterém konfigurujete nekompatibilní přiřazení.
V nabídce vlevo vyberte Zadání.
V poli Stav se ujistěte, že je vybraný stav Doručeno.
Vyberte tlačítko Stáhnout a uložte výsledný soubor CSV jako první soubor se seznamem přiřazení.
Na navigačním panelu vyberte Zásady správného řízení ID.
V nabídce vlevo vyberte Přístupové balíčky a otevřete přístupový balíček, který chcete označit jako nekompatibilní.
V nabídce vlevo vyberte Zadání.
V poli Stav se ujistěte, že je vybrán stav Doručeno.
Vyberte tlačítko Stáhnout a uložte výsledný soubor CSV jako druhý soubor se seznamem přiřazení.
K otevření těchto dvou souborů použijte tabulkový program, například Excel.
Uživatelé, kteří jsou uvedení v obou souborech, už mají existující nekompatibilní přiřazení.
Identifikace uživatelů, kteří už mají nekompatibilní přístup prostřednictvím kódu programu
Přiřazení k přístupovým balíčkům můžete načíst pomocí Microsoft Graphu, které jsou omezené jenom na uživatele, kteří mají také přiřazení k jinému přístupovým balíčku. Uživatel v roli správce s aplikací, která má delegované EntitlementManagement.Read.All nebo EntitlementManagement.ReadWrite.All oprávnění, může volat rozhraní API pro výpis dalšího přístupu.
Identifikace uživatelů, kteří už mají nekompatibilní přístup pomocí PowerShellu
Uživatele, kteří mají přiřazení k přístupovému balíčku, můžete také dotazovat pomocí Get-MgEntitlementManagementAssignment rutiny ze sady rutin modulu Microsoft Graph PowerShell pro správu identit verze 2.1.0 nebo novější.
Pokud máte například dva přístupové balíčky, jeden s ID 00aa00aa-bb11-cc22-dd33-44ee44ee44ee a druhý s ID 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, pak můžete načíst uživatele, kteří mají přiřazení k prvnímu přístupovém balíčku, a pak je porovnat s uživateli, kteří mají přiřazení k druhému přístupovém balíčku. Uživatele, kteří mají přiřazené úkoly, můžete také nahlásit pomocí PowerShellového skriptu podobného následujícímu:
$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }
Konfigurace několika přístupových balíčků pro scénáře přepnutí
Pokud je přístupový balíček nakonfigurovaný jako nekompatibilní, uživatel s přiřazením k ho nekompatibilnímu přístupovém balíčku nemůže požádat o přístupový balíček, ani nemůže správce vytvořit nové přiřazení, které by bylo nekompatibilní.
Pokud například přístupový balíček produkčního prostředí označil balíček vývojového prostředí jako nekompatibilní a uživatel má přiřazený přístupový balíček vývojového prostředí, pak správce přístupových balíčků pro produkční prostředí nemůže vytvořit přiřazení pro daného uživatele k produkčnímu prostředí. Aby bylo možné pokračovat v přiřazení, musí být nejprve odebráno stávající přiřazení uživatele k přístupovém balíčku vývojového prostředí .
Pokud dojde k mimořádné situaci, kdy může být nutné přepsat pravidla oddělení povinností, je vhodné nakonfigurovat další přístupový balíček pro zachycení uživatelů s překrývajícími se přístupovými právy, aby schvalovatelé, kontrolorové a auditoři měli jasnou představu o výjimečné povaze těchto přiřazení.
Pokud by například existoval scénář, který by někteří uživatelé potřebovali mít současně přístup k produkčnímu i nasazení prostředí, mohli byste vytvořit nový přístupový balíček Produkční a vývojová prostředí. Tento přístupový balíček může mít za své role prostředků některé z rolí prostředků přístupového balíčku produkčního prostředí a některé z rolí prostředků přístupového balíčku vývojového prostředí.
Pokud je motivací nekompatibilního přístupu to, že role jednoho prostředku jsou problematické, může být tento prostředek vynechán z kombinovaného přístupového balíčku a vyžadovat, aby správce explicitně přiřadil uživatele k roli prostředku. Pokud se jedná o aplikaci třetí strany nebo vlastní aplikaci, můžete zajistit dohled monitorováním těchto přiřazení rolí pomocí sešitu aktivity přiřazení role aplikace popsaného v další části.
V závislosti na vašich procesech řízení může mít tento kombinovaný přístupový balíček jako svou politiku jednu z následujících:
- politika přímého přiřazení, aby s přístupovým balíčkem pracoval pouze správce přístupového balíčku, nebo
- uživatelé mohou požádat o zásady přístupu, aby si uživatel mohl vyžádat s potenciálně další fází schválení.
Tato zásada může mít jako nastavení životního cyklu kratší počet dnů vypršení platnosti než zásada v jiných přístupových balíčcích nebo vyžadovat častější kontroly přístupu s pravidelným dohledem, aby si uživatelé nezachovali přístup déle, než je potřeba.
Monitorování a hlášení přiřazení přístupu
Pomocí sešitů Azure Monitoru můžete získat přehled o tom, jak uživatelé dostali přístup.
Nakonfigurujte ID Microsoft Entra tak, aby odesílala události auditu do služby Azure Monitor.
Sešit s názvem Aktivita přístupového balíčku zobrazuje každou událost související s konkrétním přístupovým balíčkem.
Pokud chcete zjistit, jestli došlo ke změnám přiřazení rolí aplikace pro aplikaci, které nebyly vytvořeny z důvodu přiřazení přístupového balíčku, můžete vybrat sešit s názvem Aktivita přiřazení role aplikace. Pokud se rozhodnete vynechat aktivitu nároků, zobrazí se jenom změny rolí aplikace, které nebyly provedeny správou nároků. Pokud by například globální správce přímo přiřadil uživatele k roli aplikace, zobrazí se řádek.
