Delegieren der Zugriffssteuerung an Katalogersteller in der Berechtigungsverwaltung
Ein Katalog ist ein Container für Ressourcen und Zugriffspakete. Sie erstellen einen Katalog, wenn Sie zugehörige Ressourcen und Zugriffspakete gruppieren möchten. Standardmäßig kann ein globaler Administrator oder ein Identity Governance-Administrator einen Katalog erstellen und weitere Benutzer als Katalogbesitzer hinzufügen.
Hinweis
Gemäß dem geringsten Berechtigungszugriff wird empfohlen, nach Möglichkeit in der Berechtigungsverwaltung die Identity Governance-Administratorrolle zu verwenden.
Eine Organisation hat drei Möglichkeiten, Kataloge zu delegieren:
- Zu Beginn eines Pilotprojekts können Identity Governance-Administratoren und -Administratorinnen den Katalog erstellen und verwalten. Bei einem späteren Übergang von der Pilot- zur Produktionsphase können sie einen Katalog delegieren, indem sie Nicht-Administratoren als Besitzer des Katalogs zuweisen, sodass diese Benutzer die Richtlinien in Zukunft pflegen können.
- Wenn es Ressourcen ohne Besitzer gibt, können Administratoren Kataloge erstellen, diese Ressourcen den einzelnen Katalogen hinzufügen und dann Nichtadministratoren einem Katalog als Besitzer zuweisen. Damit können Benutzer, die weder Administratoren noch Ressourcenbesitzer sind, ihre eigenen Zugriffsrichtlinien für diese Ressourcen verwalten.
- Wenn Ressourcen Besitzer haben, können Administratoren eine Gruppe von Benutzern, z. B. die dynamische Gruppe
All Employees
, der Rolle „Katalogersteller“ zuweisen, sodass ein Benutzer in dieser Gruppe, der Ressourcen besitzt, einen Katalog für seine eigenen Ressourcen erstellen kann.
In diesem Artikel wird veranschaulicht, wie Sie eine Delegierung an Benutzer vornehmen, die keine Administratoren sind, damit diese ihre eigenen Kataloge erstellen können. Sie können diese Benutzer*innen zur in der Microsoft Entra-Berechtigungsverwaltung definierten Rolle „Katalogersteller“ hinzufügen. Sie können einzelne Benutzer oder eine ganze Gruppe hinzufügen, deren Mitglieder dann Kataloge erstellen können. Nachdem Sie einen Katalog erstellt haben, können Sie dem Katalog eigene Ressourcen hinzufügen. Sie können Zugriffspakete und Richtlinien erstellen, einschließlich Richtlinien, die auf vorhandene verbundene Organisationen verweisen.
Wenn bereits Kataloge vorhanden sind, die Sie delegieren möchten, fahren Sie mit dem Artikel Erstellen und Verwalten eines Ressourcenkatalogs fort.
Delegieren an einen Katalogersteller als IT-Administrator
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Führen Sie diese Schritte aus, um einen Benutzer der Katalogerstellerrolle zuzuordnen.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identity Governance>Berechtigungsverwaltung>Einstellungen.
Wählen Sie Bearbeiten aus.
Wählen Sie im Abschnitt Berechtigungsverwaltung delegierenKatalogersteller hinzufügen aus, um die Benutzer oder Gruppen auszuwählen, an die Sie die Berechtigungsverwaltungsrolle delegieren möchten.
Wählen Sie Auswählen.
Wählen Sie Speichern aus.
Zulassen delegierter Rollen den Zugriff auf das Microsoft Entra Admin Center
Wenn Sie delegierten Rollen wie (z. B. Katalogerstellern und Zugriffspaket-Managern), den Zugriff auf das Microsoft Entra Admin Center zum Verwalten von Zugriffspaketen gestatten möchten, sollten Sie die Einstellung im Verwaltungsportal prüfen.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identität>Benutzer>Benutzereinstellungen.
Vergewissern Sie sich, dass Zugriff auf das Microsoft Entra-Verwaltungsportal einschränken auf Nein festgelegt ist.
Programmgesteuertes Verwalten von Rollenzuweisungen
Sie können Katalogersteller und katalogspezifische Rollenzuweisungen für die Berechtigungsverwaltung auch mithilfe von Microsoft Graph anzeigen und aktualisieren. Ein Benutzer in einer entsprechenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.ReadWrite.All
verfügt, kann die Graph-API aufrufen, um die Rollendefinitionen der Berechtigungsverwaltung sowie die Rollenzuweisungen für die betreffenden Rollendefinitionen aufzulisten.
Verwenden Sie zum Abrufen einer Liste der Benutzer und Gruppen, die der Rolle „Katalogersteller“ zugewiesen sind (der Rolle mit der Definitions-ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8
) die folgende Graph-Abfrage:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal