Share via

A jogosultságkezelésben a hozzáférési csomaghoz tartozó vámellenőrzések elkülönítésének konfigurálása

  • Cikk

A jogosultságkezelésben több szabályzatot is konfigurálhat, amelyek különböző beállításokat biztosítanak minden olyan felhasználói közösséghez, amelynek hozzáférésre van szüksége egy hozzáférési csomagon keresztül. Előfordulhat például, hogy az alkalmazottaknak csak vezetői jóváhagyásra van szükségük bizonyos alkalmazásokhoz való hozzáféréshez, de a más szervezetekből érkező vendégeknek egy szponzort és egy erőforráscsoport-részlegvezetőt is jóvá kell hagyniuk. A címtárban már szereplő felhasználókra vonatkozó szabályzatban megadhatja, hogy kik kérhetnek hozzáférést. Előfordulhat azonban, hogy a felhasználó túl sok hozzáférést kap. Ennek a követelménynek a teljesítéséhez tovább szeretné korlátozni, hogy kik kérhetnek hozzáférést a kérelmező által már meglévő hozzáférés alapján.

A hozzáférési csomaghoz tartozó feladatok beállításainak elkülönítésével konfigurálhatja, hogy egy csoport tagja vagy egy hozzáférési csomaghoz már hozzárendelt felhasználó nem kérhet további hozzáférési csomagot.

myaccess-élmény a nem kompatibilis hozzáférés kéréséhez

A vámellenőrzések elkülönítésének forgatókönyvei

Van például egy hozzáférési csomagja, a Marketingkampány, amelyhez a szervezet és más szervezetek munkatársai hozzáférést kérhetnek, hogy a kampány alatt együttműködjenek a szervezet marketingosztályával. Mivel a marketingosztály alkalmazottainak már hozzá kell férnie a marketingkampány anyagához, nem szeretné, hogy a marketingosztály alkalmazottai hozzáférést kérjenek ehhez a hozzáférési csomaghoz. Vagy már rendelkezhet egy dinamikus csoporttal, a Marketing részleg alkalmazottaival, amelyben az összes marketinges alkalmazott szerepel. Jelezheti, hogy a hozzáférési csomag nem kompatibilis a dinamikus csoport tagságával. Ezután, ha egy marketingosztály alkalmazottja hozzáférési csomagot keres a kéréshez, nem kérhet hozzáférést a marketingkampány hozzáférési csomaghoz.

Ehhez hasonlóan két alkalmazásszerepkörrel is rendelkezhet – nyugati értékesítés és keleti értékesítés – értékesítési területeket jelölve, és biztosítani szeretné, hogy egy felhasználó egyszerre csak egy értékesítési területtel rendelkezzen. Ha két hozzáférési csomaggal rendelkezik, az egyik a Western Sales szerepkört biztosító Western Territory hozzáférési csomaggal, a másik pedig a keleti értékesítési szerepkört biztosító Keleti terület hozzáférési csomaggal rendelkezik, akkor konfigurálhatja a következőt:

  • a nyugati terület hozzáférési csomagja nem kompatibilis a keleti terület csomagokkal, és
  • a keleti terület hozzáférési csomagja nem kompatibilis a Western Territory csomagval.

Ha a Helyszíni alkalmazásokhoz való hozzáférés automatizálásához Microsoft Identity Managert vagy más helyszíni identitáskezelő rendszert használ, akkor ezeket a rendszereket a jogosultságkezeléssel is integrálhatja. Ha jogosultságkezeléssel szabályozza a Microsoft Entra integrált alkalmazásokhoz való hozzáférést, és meg szeretné akadályozni, hogy a felhasználók nem kompatibilis hozzáféréssel rendelkezhessenek, konfigurálhatja, hogy a hozzáférési csomagok nem kompatibilisek egy csoporttal. Ez lehet egy csoport, amelyet a helyszíni identitáskezelő rendszer a Microsoft Entra-azonosítóba küld a Microsoft Entra Csatlakozás keresztül. Ez az ellenőrzés biztosítja, hogy a felhasználó nem tud hozzáférési csomagot kérni, ha a hozzáférési csomag olyan hozzáférést adna, amely nem kompatibilis a felhasználó helyszíni alkalmazásokban való hozzáférésével.

Előfeltételek

A jogosultságkezelés használatához és a felhasználók hozzáférési csomagokhoz való hozzárendeléséhez az alábbi licencek egyikével kell rendelkeznie:

  • Microsoft Entra ID P2 vagy Microsoft Entra ID-kezelés
  • Enterprise Mobility + Security (EMS) E5 licenc

Másik hozzáférési csomag vagy csoporttagság konfigurálása nem kompatibilisként a hozzáférési csomaghoz való hozzáférés kéréséhez

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A meglévő hozzáférési csomagok inkompatibilis csoportjainak vagy egyéb hozzáférési csomagjainak listájának módosításához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access-csomagkezelő.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

  3. Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelyet a felhasználók kérni fognak.

  4. A bal oldali menüben válassza a Feladatok elkülönítése lehetőséget.

  5. Ha meg szeretné akadályozni, hogy egy másik hozzáférési csomag-hozzárendeléssel rendelkező felhasználók már igényeljék ezt a hozzáférési csomagot, válassza a Hozzáférési csomag hozzáadása lehetőséget, és válassza ki azt a hozzáférési csomagot, amelyhez a felhasználó már hozzá lett rendelve.

    nem kompatibilis hozzáférési csomagok konfigurálása

  6. Ha meg szeretné akadályozni, hogy a meglévő csoporttagságú felhasználók igényeljék ezt a hozzáférési csomagot, válassza a Csoport hozzáadása lehetőséget, és válassza ki azt a csoportot, amelyben a felhasználó már szerepel.

Inkompatibilis hozzáférési csomagok konfigurálása programozott módon a Graphon keresztül

A Microsoft Graph használatával konfigurálhatja azokat a csoportokat és egyéb hozzáférési csomagokat, amelyek nem kompatibilisek a hozzáférési csomagokkal. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással vagy az alkalmazás engedélyével rendelkező alkalmazással rendelkező EntitlementManagement.ReadWrite.All felhasználók meghívhatják az API-t egy hozzáférési csomag nem kompatibilis csoportjainak és hozzáférési csomagjainak hozzáadására, eltávolítására és listázására.

Inkompatibilis hozzáférési csomagok konfigurálása a Microsoft PowerShell használatával

Konfigurálhatja azokat a csoportokat és egyéb hozzáférési csomagokat is, amelyek nem kompatibilisek a PowerShell hozzáférési csomagjával az Identitásszabályozási modul 1.16.0-s vagy újabb verziójának Microsoft Graph PowerShell-parancsmagjaiból származó parancsmagokkal.

Ez az alábbi szkript bemutatja, hogyan hozhat létre kapcsolatot a v1.0 Graph profiljával, hogy egy másik hozzáférési csomagot inkompatibilisnek jelöljön.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"

$params = @{
   "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params

Más, ezzel nem kompatibilisként konfigurált hozzáférési csomagok megtekintése

Az alábbi lépéseket követve megtekintheti azoknak a hozzáférési csomagoknak a listáját, amelyek azt jelezték, hogy nem kompatibilisek egy meglévő hozzáférési csomaggal:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access-csomagkezelő.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

  3. Az Access-csomagok lapon nyissa meg a hozzáférési csomagot.

  4. A bal oldali menüben válassza a Feladatok elkülönítése lehetőséget.

  5. Válassza az Inkompatibilis beállítást.

Olyan felhasználók azonosítása, akik már rendelkeznek inkompatibilis hozzáféréssel egy másik hozzáférési csomaghoz (előzetes verzió)

Ha olyan hozzáférési csomagon konfigurálta az inkompatibilis hozzáférési beállításokat, amelyhez már hozzá vannak rendelve felhasználók, letöltheti azoknak a felhasználóknak a listáját, akik rendelkeznek ezzel a további hozzáféréssel. Azok a felhasználók, akik szintén rendelkeznek az inkompatibilis hozzáférési csomaghoz való hozzárendeléssel, nem fogják tudni újrakérni a hozzáférést.

Az alábbi lépéseket követve megtekintheti a két hozzáférési csomaghoz hozzárendelt felhasználók listáját.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access-csomagkezelő.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

  3. Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelyben egy másik hozzáférési csomagot konfigurált nem kompatibilisként.

  4. A bal oldali menüben válassza a Feladatok elkülönítése lehetőséget.

  5. Ha a táblában a második hozzáférési csomag További hozzáférési oszlopában nincs nulla érték, akkor az azt jelzi, hogy egy vagy több felhasználó rendelkezik hozzárendeléssel.

    Képernyőkép egy olyan hozzáférési csomagról, amely nem kompatibilis a meglévő hozzáférési hozzárendelésekkel.

  6. Válassza ki ezt a számot a nem kompatibilis hozzárendelések listájának megtekintéséhez.

  7. Ha szeretné, a Letöltés gombra kattintva CSV-fájlként mentheti a hozzárendelések listáját.

Olyan felhasználók azonosítása, akik nem kompatibilisek egy másik hozzáférési csomaghoz való hozzáféréssel

Ha olyan hozzáférési csomagon konfigurálja a nem kompatibilis hozzáférési beállításokat, amelyekhez már hozzárendeltek felhasználókat, akkor azok a felhasználók, akik szintén rendelkeznek az inkompatibilis hozzáférési csomaghoz vagy csoportokhoz való hozzárendeléssel, nem lesznek képesek újrakérni a hozzáférést.

Az alábbi lépéseket követve megtekintheti a két hozzáférési csomaghoz hozzárendelt felhasználók listáját.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

    Tipp.

    A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access-csomagkezelő.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

  3. Nyissa meg azt a hozzáférési csomagot, amelyben nem kompatibilis hozzárendeléseket fog konfigurálni.

  4. A bal oldali menüben válassza a Hozzárendelések lehetőséget.

  5. Az Állapot mezőben győződjön meg arról, hogy a Kézbesített állapot ki van jelölve.

  6. Válassza a Letöltés gombot, és mentse az eredményül kapott CSV-fájlt első fájlként a hozzárendelések listájával.

  7. A navigációs sávon válassza az Identity Governance (Identitásszabályozás) lehetőséget.

  8. A bal oldali menüben válassza az Access-csomagok lehetőséget, majd nyissa meg a nem kompatibilisként megjelölni kívánt hozzáférési csomagot.

  9. A bal oldali menüben válassza a Hozzárendelések lehetőséget.

  10. Az Állapot mezőben győződjön meg arról, hogy a Kézbesített állapot ki van jelölve.

  11. Válassza a Letöltés gombot, és mentse az eredményül kapott CSV-fájlt második fájlként a hozzárendelések listájával.

  12. A két fájl megnyitásához használjon táblázatkezelő programot, például az Excelt.

  13. A két fájlban felsorolt felhasználók már meglévő nem kompatibilis hozzárendelésekkel rendelkeznek.

A programozott módon már nem kompatibilis hozzáféréssel rendelkező felhasználók azonosítása

A Microsoft Graph használatával lekérheti a hozzáférési csomaghoz tartozó hozzárendeléseket, amelyek csak azokra a felhasználókra terjednek ki, akik egy másik hozzáférési csomaghoz is rendelkeznek hozzárendeléssel. A rendszergazdai szerepkörrel rendelkező, delegált EntitlementManagement.Read.All vagy EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező felhasználók meghívhatják az API-t a további hozzáférések listázására.

Olyan felhasználók azonosítása, akik már rendelkeznek inkompatibilis hozzáféréssel a PowerShell használatával

Az identitásszabályozási modul 2.1.0-s vagy újabb verziójában található Microsoft Graph PowerShell-parancsmagokkal Get-MgEntitlementManagementAssignment lekérdezheti a hozzáférési csomaghoz hozzárendelt felhasználókat is.

Ha például két hozzáférési csomaggal rendelkezik, az egyik azonosítóval 29be137f-b006-426c-b46a-0df3d4e25ccd , a másik pedig azonosítóval cce10272-68d8-4482-8ba3-a5965c86cfe5, akkor lekérheti az első hozzáférési csomaghoz hozzárendelt felhasználókat, majd összehasonlíthatja őket a második hozzáférési csomaghoz hozzárendeléssel rendelkező felhasználókkal. Az alábbiakhoz hasonló PowerShell-szkripttel jelentheti azokat a felhasználókat is, akiknek a hozzárendelései mindkettőhöz vannak kézbesítve:

$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"

$ap_w_id = "29be137f-b006-426c-b46a-0df3d4e25ccd"
$ap_e_id = "cce10272-68d8-4482-8ba3-a5965c86cfe5"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }

Több hozzáférési csomag konfigurálása felülbírálási forgatókönyvekhez

Ha egy hozzáférési csomag inkompatibilisként lett konfigurálva, akkor a nem kompatibilis hozzáférési csomaghoz hozzárendelt felhasználók nem kérhetik a hozzáférési csomagot, és a rendszergazda nem tud olyan új hozzárendelést létrehozni, amely nem kompatibilis.

Ha például az éles környezet hozzáférési csomagja nem kompatibilisként jelölte meg a fejlesztői környezet csomagját, és egy felhasználó hozzárendelte a fejlesztői környezet hozzáférési csomagját, akkor az éles környezet hozzáférési csomagkezelője nem tud hozzárendelést létrehozni az adott felhasználóhoz az éles környezethez. A hozzárendelés folytatásához először el kell távolítani a felhasználó meglévő hozzárendelését a Fejlesztői környezet hozzáférési csomaghoz.

Ha van egy kivételes helyzet, amikor a vámszabályok elkülönítését felül kell bírálni, akkor egy további hozzáférési csomag konfigurálása az átfedésben lévő hozzáférési jogosultságokkal rendelkező felhasználók rögzítéséhez egyértelművé teszi a jóváhagyók, a véleményezők és az ellenőrök számára a hozzárendelések kivételes jellegét.

Ha például van olyan forgatókönyv, hogy egyes felhasználóknak egyszerre kell hozzáféréssel rendelkezniük az éles és az üzembe helyezési környezetekhez, létrehozhat egy új hozzáférési csomag éles és fejlesztési környezeteket. Ennek a hozzáférési csomagnak erőforrásszerepkörei lehetnek az éles környezet hozzáférési csomagjának egyes erőforrásszerepkörei, valamint a fejlesztési környezet hozzáférési csomagjának egyes erőforrás-szerepkörei.

Ha az inkompatibilis hozzáférés motivációja az egyik erőforrás szerepköre, akkor az erőforrás kihagyható a kombinált hozzáférési csomagból, és explicit rendszergazdai hozzárendelést igényelhet egy felhasználótól az erőforrás szerepköréhez. Ha ez egy harmadik féltől származó alkalmazás vagy saját alkalmazás, akkor a következő szakaszban ismertetett Alkalmazásszerepkör-hozzárendelési tevékenység munkafüzet használatával figyelheti ezeket a szerepkör-hozzárendeléseket.

A szabályozási folyamatoktól függően a kombinált hozzáférési csomag szabályzatként is rendelkezhet:

  • közvetlen hozzárendelési szabályzatot, hogy csak egy hozzáférési csomagkezelő működhessen a hozzáférési csomaggal, vagy
  • a felhasználók hozzáférési szabályzatot kérhetnek, hogy a felhasználó további jóváhagyási szakaszokkal is rendelkezhessen.

Ennek a szabályzatnak életciklus-beállításai sokkal rövidebbek lehetnek, mint a többi hozzáférési csomagra vonatkozó szabályzatok lejárati száma, vagy gyakoribb hozzáférési felülvizsgálatokat igényelhet rendszeres felügyelet mellett, hogy a felhasználók ne őrizzék meg a szükségesnél hosszabb ideig a hozzáférést.

Hozzáférés-hozzárendelések figyelése és jelentése

Az Azure Monitor-munkafüzetekkel betekintést nyerhet abba, hogy a felhasználók hogyan kapták meg a hozzáférésüket.

  1. Konfigurálja a Microsoft Entra-azonosítót naplózási események Azure Monitorba való küldéséhez.

  2. Az Access-csomagtevékenység nevű munkafüzet megjeleníti az adott hozzáférési csomaghoz kapcsolódó összes eseményt.

    Hozzáférési csomag eseményeinek megtekintése

  3. Ha meg szeretné tudni, hogy módosultak-e az alkalmazásszerepkör-hozzárendelések a hozzáférési csomag-hozzárendelések miatt nem létrehozott alkalmazásokban, kiválaszthatja az Alkalmazásszerepkör-hozzárendelési tevékenység nevű munkafüzetet. Ha úgy választ, hogy kihagyja a jogosultsági tevékenységet, akkor csak a jogosultságkezelés által nem végrehajtott alkalmazásszerepkörök módosításai jelennek meg. Egy sor például akkor jelenik meg, ha egy globális rendszergazda közvetlenül hozzárendelt egy felhasználót egy alkalmazásszerepkörhöz.

    Alkalmazásszerepkör-hozzárendelések megtekintése

Következő lépések