Delegování zásad správného řízení přístupu tvůrcům katalogu ve správě nároků
Katalog je kontejner prostředků a přístupových balíčků. Katalog vytvoříte, když chcete seskupit související prostředky a přistupovat k balíčkům. Ve výchozím nastavení může globální správce nebo správce zásad správného řízení identit vytvořit katalog a přidat další uživatele jako vlastníky katalogu.
Poznámka:
Po přístupu s nejnižšími oprávněními se doporučuje použít roli Správce zásad správného řízení identit, pokud je to možné ve správě nároků.
Organizace může delegovat katalogy třemi způsoby:
- Při zahájení pilotního projektu můžou správci zásad správného řízení identit vytvořit a spravovat katalog. Později při přechodu z pilotního nasazení do produkčního prostředí mohou katalog delegovat přiřazením nesprávců jako vlastníků do katalogu, aby tito uživatelé mohli zásady dál udržovat.
- Pokud existují prostředky, které nemají vlastníky, můžou správci vytvářet katalogy, přidávat tyto prostředky do každého katalogu a pak přiřazovat správce jako vlastníky katalogu. To umožňuje uživatelům, kteří nejsou správci a nejsou vlastníky prostředků, spravovat vlastní zásady přístupu pro tyto prostředky.
- Pokud mají vlastníci prostředky, můžou správci přiřadit kolekci uživatelů, jako
All Employeesje například dynamická skupina, k roli tvůrce katalogu, aby uživatel, který je v této skupině, a vlastní prostředky mohl vytvořit katalog pro své vlastní prostředky.
Tento článek ukazuje, jak delegovat uživatele, kteří nejsou správci, aby mohli vytvářet vlastní katalogy. Tyto uživatele můžete přidat do role tvůrce katalogu definované správou nároků Microsoft Entra. Můžete přidat jednotlivé uživatele nebo můžete přidat skupinu, jejíž členové pak můžou vytvářet katalogy. Po vytvoření katalogu můžete do katalogu přidat prostředky, které vlastní. Můžou vytvářet přístupové balíčky a zásady, včetně zásad odkazujících na existující propojené organizace.
Pokud máte existující katalogy k delegování, pokračujte ve vytváření a správě katalogu zdrojů článku.
Jako správce IT delegujte tvůrce katalogu.
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Podle těchto kroků přiřaďte uživatele k roli tvůrce katalogu.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.
Přejděte do nastavení správy>nároků zásad správného řízení>identit.
Vyberte položku Upravit.
V části Delegovat správu nároků vyberte Přidat tvůrce katalogu a vyberte uživatele nebo skupiny, na které chcete tuto roli správy nároků delegovat.
Zvolte Zvolit.
Zvolte Uložit.
Povolit delegovaným rolím přístup k Centru pro správu Microsoft Entra
Pokud chcete povolit delegovaným rolím, jako jsou tvůrci katalogu a správci přístupových balíčků, přístup k Centru pro správu Microsoft Entra ke správě přístupových balíčků, měli byste zkontrolovat nastavení portálu pro správu.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.
Přejděte do nastavení Uživatele identity>>.
Ujistěte se, že je možnost Omezit přístup k portálu pro správu Microsoft Entra nastavená na Ne.
Správa přiřazení rolí prostřednictvím kódu programu
Pomocí Microsoft Graphu můžete také zobrazit a aktualizovat tvůrce katalogu a přiřazení rolí specifických pro správu nároků. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, může volat rozhraní Graph API k výpisu definic rolí správy nároků a výpisu přiřazení rolí k těmto definicm rolí.
Pokud chcete načíst seznam uživatelů a skupin přiřazených k roli tvůrce katalogu, použijte dotaz Graphu s ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8definice:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal