Sdílet prostřednictvím


Vytvoření a správa katalogu prostředků ve správě nároků

V tomto článku se dozvíte, jak vytvořit a spravovat katalog prostředků a přístupových balíčků ve správě nároků.

Vytvoření katalogu

Katalog je kontejner prostředků a přístupových balíčků. Katalog vytvoříte, když chcete seskupit související prostředky a přistupovat k balíčkům. Správce může vytvořit katalog. Kromě toho může uživatel delegovaný na roli tvůrce katalogu vytvořit katalog pro prostředky, které vlastní. Nesprávcem, který vytvoří katalog, se stane prvním vlastníkem katalogu. Vlastník katalogu může přidat další uživatele, skupiny uživatelů nebo instanční objekty aplikací jako vlastníky katalogu.

Vytvoření katalogu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří tvůrce katalogu. Uživatelé, kteří byli přiřazeni roli Správce uživatelů, už nebudou moct vytvářet katalogy ani spravovat přístupové balíčky v katalogu, které nevlastní. Pokud byli uživatelům ve vaší organizaci přiřazena role Správce uživatelů ke konfiguraci katalogů, přístupových balíčků nebo zásad při správě nároků, měli byste místo toho přiřadit tyto uživatele roli Správce zásad správného řízení identit.

  2. Přejděte do katalogu správy nároků zásad>správného řízení>identit.

    Snímek obrazovky znázorňující katalogy správy nároků v Centru pro správu Microsoft Entra

  3. Vyberte Nový katalog.

  4. Zadejte jedinečný název katalogu a zadejte popis.

    Uživatelé tyto informace uvidí v podrobnostech přístupového balíčku.

  5. Pokud chcete, aby přístupové balíčky v tomto katalogu byly uživatelům k dispozici, jakmile budou vytvořeny, nastavte povolenou hodnotu Ano.

  6. Pokud chcete uživatelům v externích adresářích z připojených organizací povolit, aby mohli požádat o přístupové balíčky v tomto katalogu, nastavte možnost Povoleno pro externí uživatele na ano. Přístupové balíčky musí mít také zásadu, která uživatelům z připojených organizací umožňuje požádat. Pokud jsou přístupové balíčky v tomto katalogu určeny pouze pro uživatele, kteří jsou již v adresáři, pak nastavte Povoleno pro externí uživatele na Ne.

    Snímek obrazovky znázorňující podokno Nový katalog

  7. Výběrem možnosti Vytvořit vytvořte katalog.

Programové vytvoření katalogu

Katalog můžete vytvořit dvěma způsoby prostřednictvím kódu programu.

Vytvoření katalogu pomocí Microsoft Graphu

Katalog můžete vytvořit pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, nebo aplikaci s EntitlementManagement.ReadWrite.All oprávněním aplikace, může volat rozhraní API k vytvoření katalogu.

Vytvoření katalogu pomocí PowerShellu

Katalog můžete také vytvořit v PowerShellu New-MgEntitlementManagementCatalog pomocí rutiny z rutin Prostředí Microsoft Graph PowerShell pro modul zásad správného řízení identit verze 2.2.0 nebo novější.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Přidání prostředků do katalogu

Pokud chcete zahrnout prostředky do přístupového balíčku, musí prostředky existovat v katalogu. Typy prostředků, které můžete přidat do katalogu, jsou skupiny, aplikace a weby SharePointu Online.

  • Skupiny můžou být vytvořené v cloudu Skupiny Microsoft 365 nebo skupiny zabezpečení Microsoft Entra vytvořené v cloudu.

    • Skupiny pocházející z místní Active Directory nelze přiřadit jako prostředky, protože jejich atributy vlastníka nebo člena nelze změnit v MICROSOFT Entra ID. Pokud chcete uživateli udělit přístup k aplikaci, která používá členství ve skupinách zabezpečení AD, vytvořte novou skupinu zabezpečení v Microsoft Entra ID, nakonfigurujte zpětný zápis skupiny do AD a povolte zápis této skupiny do AD, aby ji mohla používat aplikace založená na AD.

    • Skupiny, které pocházejí z Exchange Online jako distribuční skupiny, není možné upravovat ani v MICROSOFT Entra ID, takže je není možné přidat do katalogů.

  • Aplikace můžou být podnikové aplikace Microsoft Entra, které zahrnují aplikace Typu software jako služba (SaaS), místní aplikace a vaše vlastní aplikace integrované s Microsoft Entra ID.

  • Weby můžou být weby SharePointu Online nebo kolekce webů SharePointu Online.

Poznámka:

Hledat na sharepointovém webu podle názvu webu nebo přesné adresy URL, protože vyhledávací pole se rozlišují malá a velká písmena.

Požadované role: Zobrazení požadovaných rolí pro přidání prostředků do katalogu

Přidání prostředků do katalogu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do katalogu správy nároků zásad>správného řízení>identit.

  3. Na stránce Katalogy otevřete katalog, do kterého chcete přidat prostředky.

  4. V nabídce vlevo vyberte Prostředky.

  5. Vyberte Přidat prostředky.

  6. Vyberte typ prostředku Skupiny a týmy, aplikace nebo sharepointové weby.

    Pokud nevidíte prostředek, který chcete přidat nebo nemůžete přidat prostředek, ujistěte se, že máte požadovanou roli adresáře Microsoft Entra a roli správy nároků. Možná budete potřebovat, aby někdo s požadovanými rolemi přidal prostředek do vašeho katalogu. Další informace naleznete v tématu Požadované role pro přidání prostředků do katalogu.

  7. Vyberte jeden nebo více prostředků typu, který chcete přidat do katalogu.

    Snímek obrazovky znázorňující podokno Přidat prostředky do podokna katalogu

  8. Po dokončení vyberte Přidat.

    Tyto prostředky je teď možné zahrnout do přístupových balíčků v katalogu.

Přidání atributů prostředků v katalogu

Atributy jsou povinná pole, na která se žadateli před odesláním žádosti o přístup zobrazí výzva k odpovědi. Jejich odpovědi na tyto atributy jsou zobrazeny schvalovatelům a také označeny na objekt uživatele v Microsoft Entra ID.

Poznámka:

Všechny atributy nastavené pro prostředek vyžadují odpověď před žádostí o přístupový balíček obsahující tento prostředek lze odeslat. Pokud žadateli nezadají odpověď, jejich žádost se nezpracuje.

Vyžadování atributů pro žádosti o přístup:

  1. V nabídce vlevo vyberte Prostředky a zobrazí se seznam prostředků v katalogu.

  2. Vyberte tři tečky vedle prostředku, do kterého chcete přidat atributy, a pak vyberte Vyžadovat atributy.

    Snímek obrazovky znázorňující výběr možnosti Vyžadovat atributy

  3. Vyberte typ atributu:

    1. Předdefinované zahrnuje atributy profilu uživatele Microsoft Entra.
    2. Rozšíření schématu adresáře poskytuje způsob, jak ukládat více dat v uživatelích Microsoft Entra. Schéma můžete rozšířit vytvořením atributu rozšíření. Tyto atributy rozšíření u uživatelských objektů lze použít k odesílání deklarací identity aplikacím během zřizování nebo jednotného přihlašování.
  4. Pokud jste zvolili předdefinovaný, vyberte v rozevíracím seznamu atribut. Pokud jste zvolili rozšíření schématu adresáře, zadejte název atributu do textového pole.

    Poznámka:

    Atribut User.mobilePhone je citlivá vlastnost, kterou můžou aktualizovat jenom někteří správci. Přečtěte si další informace o tom, kdo může aktualizovat citlivé atributy uživatelů?

  5. Vyberte formát odpovědi, který má žadatel použít pro odpověď. Formáty odpovědí zahrnují krátký text, více voleb a dlouhý text.

  6. Pokud vyberete více možností, vyberte Upravit a lokalizovat a nakonfigurujte možnosti odpovědí.

    1. V zobrazeném podokně pro zobrazení nebo úpravu otázek zadejte možnosti odpovědi, které chcete žadateli dát, když odpoví na otázku v polích Hodnoty odpovědí.
    2. Vyberte jazyk pro možnost odpovědi. Možnosti odpovědi můžete lokalizovat, pokud zvolíte více jazyků.
    3. Zadejte tolik odpovědí, kolik potřebujete, a pak vyberte Uložit.
  7. Pokud chcete, aby byla hodnota atributu upravitelná během přímých přiřazení a samoobslužných požadavků, vyberte Ano.

    Poznámka:

    Snímek obrazovky znázorňující úpravu atributů

    • Pokud v poli Hodnota atributu vyberete Ne a hodnota atributu je prázdná, mohou uživatelé zadat hodnotu tohoto atributu. Po uložení nelze hodnotu upravit.
    • Pokud v poli Hodnota atributu vyberete Ne a hodnota atributu není prázdná, uživatelé nemůžou upravit existující hodnotu během přímých přiřazení a samoobslužných požadavků.

    Snímek obrazovky znázorňující přidání lokalizací

  8. Pokud chcete přidat lokalizaci, vyberte Přidat lokalizaci.

    1. V podokně Přidat lokalizace pro otázky vyberte kód jazyka pro jazyk, ve kterém chcete lokalizovat otázku související s vybraným atributem.

    2. V jazyce, který jste nakonfigurovali, zadejte otázku do pole Lokalizovaný text .

    3. Po přidání všech potřebných lokalizací vyberte Uložit.

      Snímek obrazovky znázorňující uložení lokalizací

  9. Po dokončení všech informací o atributech na stránce Vyžadovat atributy vyberte Uložit.

Přidání webu služby Multi-Geo SharePoint

  1. Pokud máte pro SharePoint povolenou funkci Multi-Geo , vyberte prostředí, ze kterého chcete vybrat weby.

    Snímek obrazovky s podoknem Vybrat weby SharePointu Online

  2. Pak vyberte weby, které chcete přidat do katalogu.

Programové přidání prostředku do katalogu

Prostředek můžete také přidat do katalogu pomocí Microsoft Graphu. Uživatel v příslušné roli nebo v katalogu a vlastníku prostředku s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, může volat rozhraní API k vytvoření resourceRequest. Aplikace s oprávněním EntitlementManagement.ReadWrite.All aplikace a oprávněními ke změně prostředků, například Group.ReadWrite.All, může také přidat prostředky do katalogu.

Přidání prostředku do katalogu pomocí PowerShellu

Pomocí rutiny Microsoft Graph PowerShellu pro modul zásad správného řízení identit verze 2.1.x nebo novější můžete také přidat prostředek do katalogu v PowerShelluNew-MgEntitlementManagementResourceRequest. Následující příklad ukazuje, jak přidat skupinu do katalogu jako prostředek pomocí modulu rutin Prostředí Microsoft Graph PowerShell verze 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Odebrání prostředků z katalogu

Prostředky můžete z katalogu odebrat. Prostředek lze z katalogu odebrat jenom v případě, že se nepoužívá v přístupových balíčcích katalogu.

Požadované role: Zobrazení požadovaných rolí pro přidání prostředků do katalogu

Odebrání prostředků z katalogu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do katalogu správy nároků zásad>správného řízení>identit.

  3. Na stránce Katalogy otevřete katalog, ze kterého chcete odebrat prostředky.

  4. V nabídce vlevo vyberte Prostředky.

  5. Vyberte prostředky, které chcete odebrat.

  6. Vyberte Odstranit. Volitelně vyberte tři tečky (...) a pak vyberte Odebrat prostředek.

Přidání dalších vlastníků katalogu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Uživatel, který vytvořil katalog, se stane prvním vlastníkem katalogu. Pokud chcete delegovat správu katalogu, přidejte uživatele do role vlastníka katalogu. Přidání dalších vlastníků katalogu pomáhá sdílet povinnosti správy katalogu.

Přiřazení uživatele k roli vlastníka katalogu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu.

  2. Přejděte do katalogu správy nároků zásad>správného řízení>identit.

  3. Na stránce Katalogy otevřete katalog, do kterého chcete přidat správce.

  4. V nabídce vlevo vyberte Role a správci.

    Snímek obrazovky znázorňující role katalogu a správce

  5. Vyberte Přidat vlastníky a vyberte členy pro tyto role.

  6. Výběrem možnosti Vybrat přidáte tyto členy.

Úprava katalogu

Název a popis katalogu můžete upravit. Uživatelé tyto informace uvidí v podrobnostech přístupového balíčku.

Úprava katalogu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří tvůrce katalogu.

  2. Přejděte do katalogu správy nároků zásad>správného řízení>identit.

  3. Na stránce Katalogy otevřete katalog, který chcete upravit.

  4. Na stránce Přehled katalogu vyberte Upravit.

  5. Upravte název, popis nebo nastavení povoleného katalogu.

    Snímek obrazovky znázorňující úpravy nastavení katalogu

  6. Zvolte Uložit.

Odstranění katalogu

Katalog můžete odstranit, ale jenom v případě, že nemá žádné přístupové balíčky.

Odstranění katalogu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří tvůrce katalogu.

  2. Přejděte do katalogu správy nároků zásad>správného řízení>identit.

  3. Na stránce Katalogy otevřete katalog, který chcete odstranit.

  4. Na stránce Přehled katalogu vyberte Odstranit.

  5. V zobrazeném okně zprávy vyberte Ano.

Programové odstranění katalogu

Katalog můžete také odstranit pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, může volat rozhraní API k odstranění accessPackageCatalog.

Další kroky

Delegování zásad správného řízení přístupu pro správce balíčků