Külső hozzáférés kezelése a Microsoft Entra jogosultságkezelésével
A jogosultságkezelési funkcióval kezelheti az identitást és a hozzáférési életciklust. Automatizálhatja a hozzáférési kérelmek munkafolyamatait, a hozzáférési hozzárendeléseket, a felülvizsgálatokat és a lejáratot. A delegált nem rendszergazdák jogosultságkezeléssel hozhatnak létre hozzáférési csomagokat, amelyekhez külső felhasználók más szervezetektől kérhetnek hozzáférést. Egy és többlépcsős jóváhagyási munkafolyamatok konfigurálhatók a kérések kiértékelésére, valamint a felhasználók időkorlátos hozzáférésének kiépítésére ismétlődő felülvizsgálatokkal. Használja a jogosultságkezelést a külső fiókok szabályzatalapú kiépítéséhez és megszüntetéséhez.
További információ:
- Mi az a jogosultságkezelés?
- Mik azok a hozzáférési csomagok, és milyen erőforrásokat kezelhetek velük?
- Mi az a kiépítés?
Mielőtt elkezdené
Ez a cikk a 6. számú, 10 cikkből álló sorozatban. Javasoljuk, hogy tekintse át a cikkeket sorrendben. A teljes sorozat megtekintéséhez lépjen a Következő lépések szakaszra.
Jogosultságkezelés engedélyezése
A jogosultságkezelés szempontjából az alábbi fő fogalmak fontosak.
Hozzáférési csomagok
A hozzáférési csomag a jogosultságkezelés alapja: szabályzat által szabályozott erőforrások csoportosítása a felhasználók számára, hogy együttműködjenek egy projekten, vagy más feladatokat hajtsanak végre. Egy hozzáférési csomag például a következőket tartalmazhatja:
- Hozzáférés SharePoint-webhelyekhez
- Vállalati alkalmazások, beleértve az egyéni házon belüli és a szolgáltatásként nyújtott szoftveres (SaaS-) alkalmazásokat, például a Salesforce-ot
- Microsoft Teams
- Microsoft 365-csoportok
Katalógusok
Az Access-csomagok katalógusokban találhatók. Ha csoportosítani szeretné a kapcsolódó erőforrásokat és a csomagokat, és delegálni szeretné a felügyeletüket, létre kell hoznia egy katalógust. Először erőforrásokat adhat hozzá egy katalógushoz, majd hozzáadhat erőforrásokat a csomagok eléréséhez. Létrehozhat például egy pénzügyi katalógust, és delegálhatja annak felügyeletét a pénzügyi csapat egy tagjának. Ez a személy hozzáadhat erőforrásokat, hozzáférési csomagokat hozhat létre, és kezelheti a hozzáférés-jóváhagyást.
További információ:
- Erőforráskatalógus létrehozása és kezelése a jogosultságkezelésben
- Delegálás és szerepkörök a jogosultságkezelésben
- Erőforrások hozzáadása katalógushoz
Az alábbi ábra egy olyan külső felhasználó tipikus szabályozási életciklusát mutatja be, aki hozzáféréssel rendelkezik egy hozzáférési csomaghoz, lejárattal.
Önkiszolgáló külső hozzáférés
A hozzáférési csomagokat a Microsoft Entra My Access portálon keresztül elérhetővé teheti, hogy a külső felhasználók hozzáférést kérjenek. A szabályzatok határozzák meg, hogy ki kérhet hozzáférési csomagot. Lásd: Hozzáférés kérése hozzáférési csomaghoz a jogosultságkezelésben.
Megadhatja, hogy ki kérheti a hozzáférési csomagot:
- Csatlakozás szervezetek
- Konfigurált csatlakoztatott szervezetek
- Szervezetek felhasználói
- Tag- vagy vendégfelhasználók a bérlőben
Jóváhagyások
A hozzáférési csomagok tartalmazhatnak kötelező jóváhagyást a hozzáféréshez. Jóváhagyások lehetnek önállóak vagy többtényezősek, és szabályzatok határozzák meg. Ha a belső és külső felhasználóknak ugyanazt a csomagot kell elérnie, hozzáférési szabályzatokat állíthat be a csatlakoztatott szervezetek kategóriáihoz és a belső felhasználókhoz.
Fontos
Jóváhagyási folyamatok implementálása külső felhasználók számára.
Lejárat
A hozzáférési csomagok tartalmazhatnak lejárati dátumot vagy a hozzáféréshez beállított napok számát. Ha a hozzáférési csomag lejár, és a hozzáférés véget ér, a felhasználót képviselő B2B vendégfelhasználó objektum törölhető vagy letiltható a bejelentkezéstől. Javasoljuk, hogy kényszerítse ki a külső felhasználók hozzáférési csomagjainak lejáratát. Nem minden hozzáférési csomag rendelkezik lejárati idővel.
Fontos
Lejárat nélküli csomagok esetén rendszeres hozzáférési felülvizsgálatokat kell végeznie.
Hozzáférési felülvizsgálatok
A hozzáférési csomagok rendszeres hozzáférési felülvizsgálatokat igényelhetnek, amelyekhez a csomag tulajdonosának vagy a tervezőnek igazolnia kell, hogy továbbra is szükség van a felhasználók hozzáférésére. Lásd: Vendéghozzáférés kezelése hozzáférési felülvizsgálatokkal.
A felülvizsgálat beállítása előtt határozza meg a következő feltételeket:
- Ki
- A folyamatos hozzáférés feltételei
- Lektorok
- Milyen gyakran
- A beépített lehetőségek havi, negyedéves, bi-éves vagy éves
- Javasoljuk, hogy negyedévente vagy gyakrabban tekintse át a külső hozzáférést támogató csomagokat
Fontos
A hozzáférési csomag felülvizsgálja a jogosultságkezelésen keresztül biztosított hozzáférést. Egyéb folyamatok beállítása a külső felhasználók hozzáférésének áttekintéséhez, a jogosultságkezelésen kívül.
További információ: Microsoft Entra hozzáférési felülvizsgálatok üzembe helyezésének megtervezése.
Jogosultságkezelési automatizálás használata
- Munka a Microsoft Entra jogosultságkezelő API-val
accessPackage
erőforrás típusa- A Microsoft Entra hozzáférési véleményei
connectedOrganization
erőforrás típusaentitlementManagementSettings
erőforrás típusa
Külső hozzáférés-szabályozási javaslatok
Ajánlott eljárások
A külső hozzáférés jogosultságkezeléssel történő szabályozásához az alábbi eljárásokat javasoljuk.
- Egy vagy több üzleti partnerrel rendelkező projektek esetén hozzon létre és használjon hozzáférési csomagokat az erőforrások előkészítéséhez és eléréséhez.
- Ha B2B-felhasználók vannak a címtárban, hozzárendelheti őket a csomagok eléréséhez.
- Hozzáférést rendelhet az Azure Portalhoz vagy a Microsoft Graphhoz
Identitásszabályozás – Gépház
Identitásszabályozás használata – Gépház, hogy eltávolítsa a felhasználókat a címtárból, amikor lejárnak a hozzáférési csomagok. Az alábbi beállítások a jogosultságkezeléssel előkészített felhasználókra vonatkoznak.
Katalógus és csomagkezelés delegálása
A katalógus- és csomagkezelést delegálhatja az üzleti tulajdonosoknak, akik további információval rendelkeznek arról, hogy kik férhetnek hozzá. Lásd, Delegálás és szerepkörök a jogosultságkezelésben
Hozzáférési csomag lejáratának kényszerítése
A külső felhasználók hozzáférésének lejáratát kikényszerítheti. Lásd: Hozzáférési csomag életciklus-beállításainak módosítása a jogosultságkezelésben.
- A projektalapú hozzáférési csomag záródátumához használja a Dátum dátumot a dátum beállításához.
- Ellenkező esetben azt javasoljuk, hogy a lejárati idő ne legyen hosszabb 365 nap, kivéve, ha többéves projektről van szó
- A hozzáférés kiterjesztésének engedélyezése a felhasználók számára
- Jóváhagyás megkövetelése a bővítmény megadásához
Vendéghozzáférés-csomag véleményezésének kényszerítése
A vendéghozzáférés-csomagok felülvizsgálatát kikényszerítheti, hogy elkerülje a vendégek nem megfelelő hozzáférését. Lásd: Vendéghozzáférés kezelése hozzáférési felülvizsgálatokkal.
- Negyedéves felülvizsgálatok kikényszerítése
- A megfelelőséghez kapcsolódó projektek esetében állítsa a véleményezőket véleményezőknek a külső felhasználók önértékelése helyett.
- A hozzáférési csomagkezelőket véleményezőként használhatja
- Kevésbé érzékeny projektek esetén az önértékeléssel rendelkező felhasználók csökkentik a felhasználók hozzáférésének a szervezettel már nem rendelkező felhasználóktól való eltávolításának terheit.
További információ: Külső felhasználók hozzáférésének szabályozása a jogosultságkezelésben
Következő lépések
Az alábbi cikksorozatból megtudhatja, hogyan biztosíthatja az erőforrásokhoz való külső hozzáférést. Javasoljuk, hogy kövesse a felsorolt sorrendet.
Külső hozzáférés biztonsági helyzetének meghatározása a Microsoft Entra-azonosítóval
A külső együttműködés aktuális állapotának felfedezése a szervezetben
Váltás a Microsoft Entra B2B együttműködéssel való szabályozott együttműködésre
Külső hozzáférés kezelése a Microsoft Entra jogosultságkezelésével (Itt van)
Erőforrások külső hozzáférésének kezelése feltételes hozzáférési szabályzatokkal
Helyi vendégfiókok konvertálása Microsoft Entra B2B-vendégfiókokká