Delegálás és szerepkörök a jogosultságkezelésben

  • Cikk

A Microsoft Entra ID-ban szerepkörmodellekkel kezelheti a hozzáférést nagy léptékben az identitásszabályozással.

  • Hozzáférési csomagokkal képviselheti a szervezet szervezeti szerepköreit , például az "értékesítési képviselőt". Az adott szervezeti szerepkört képviselő hozzáférési csomag magában foglalná az összes hozzáférési jogosultságot, amelyekre egy értékesítési képviselőnek általában szüksége lehet, több erőforrásra kiterjedően.
  • Az alkalmazások saját szerepköröket határozhatnak meg. Ha például volt egy értékesítési alkalmazása, és az alkalmazás belefoglalta a jegyzékbe az "értékesítő" alkalmazásszerepkört, akkor ezt a szerepkört egy hozzáférési csomagba is felveheti az alkalmazásjegyzékből. Az alkalmazások olyan helyzetekben is használhatnak biztonsági csoportokat, ahol egy felhasználó egyszerre több alkalmazásspecifikus szerepkörrel is rendelkezhet.
  • A rendszergazdai hozzáférés delegálásához szerepköröket használhat. Ha rendelkezik katalógussal az értékesítéshez szükséges összes hozzáférési csomaghoz, hozzárendelhet valakit az adott katalógusért felelős személyhez egy katalógusspecifikus szerepkör hozzárendelésével.

Ez a cikk azt ismerteti, hogyan használhat szerepköröket a Microsoft Entra jogosultságkezelésének szempontjainak kezelésére a jogosultságkezelési erőforrásokhoz való hozzáférés szabályozásához.

Alapértelmezés szerint a Globális Rendszergazda istrator vagy az Identitásirányítási Rendszergazda istrator szerepkör felhasználói létrehozhatják és kezelhetik a jogosultságkezelés minden aspektusát. Előfordulhat azonban, hogy a szerepkörök felhasználói nem ismerik azokat a helyzeteket, amikor hozzáférési csomagokra van szükség. Általában a megfelelő részlegeken, csapatokon vagy projekteken belüli felhasználók tudják, kikkel dolgoznak együtt, milyen erőforrásokat és mennyi ideig használnak. Ahelyett, hogy korlátlan engedélyeket adnának a nem rendszergazdáknak, a felhasználók számára a legkevésbé szükséges engedélyeket adhatják meg a munkájuk elvégzéséhez, és elkerülheti az ütköző vagy nem megfelelő hozzáférési jogosultságok létrehozását.

Ez a videó áttekintést nyújt arról, hogyan delegálhatja a hozzáférés-szabályozást az informatikai rendszergazdától a nem rendszergazdáknak.

Példa delegálása

Ha szeretné megtudni, hogyan delegálhatja a hozzáférés-szabályozást a jogosultságkezelésben, érdemes megfontolni egy példát. Tegyük fel, hogy a szervezetének a következő rendszergazdája és felettesei vannak.

Delegate from IT administrator to managers

Az informatikai rendszergazdaként Hana minden részlegben rendelkezik partnerekkel – Mamta a marketingben, Mark in Finance és Joe a Legalban, akik a részleg erőforrásaiért és az üzleti szempontból kritikus tartalmakért felelősek.

A jogosultságkezeléssel a hozzáférés-szabályozást delegálhatja ezekhez a nem rendszergazdákhoz, mert ők tudják, hogy mely felhasználóknak van szükségük hozzáférésre, mennyi ideig és milyen erőforrásokhoz. A nem rendszergazdákra való delegálás biztosítja, hogy a megfelelő személyek felügyeljék a részlegeik hozzáférését.

Hana így delegálhatja a hozzáférés szabályozását a marketing, a pénzügy és a jogi részlegek számára.

  1. Hana létrehoz egy új Microsoft Entra biztonsági csoportot, és hozzáadja Mamtát, Markot és Joe-t a csoport tagjaiként.

  2. Hana hozzáadja ezt a csoportot a katalógus létrehozói szerepköréhez.

    Mamta, Mark és Joe mostantól katalógusokat hozhatnak létre a részlegeik számára, hozzáadhatják a részlegeik számára szükséges erőforrásokat, és további delegálásokat végezhetnek a katalógusban. Nem látják egymás katalógusait.

  3. A Mamta létrehoz egy marketingkatalógust , amely egy erőforrástároló.

  4. A Mamta hozzáadja a katalógushoz a marketingosztály által birtokolt erőforrásokat.

  5. A Mamta felvehet más személyeket az adott részlegből katalógustulajdonosként a katalógushoz, ami segít megosztani a katalóguskezelési feladatokat.

  6. A Mamta tovább delegálhatja a marketingkatalógusban lévő hozzáférési csomagok létrehozását és kezelését a marketingosztály projektmenedzsereinek. Ezt úgy teheti meg, hogy hozzárendeli őket a katalógus hozzáférési csomagkezelői szerepköréhez. A hozzáférési csomagkezelők hozzáférési csomagokat, szabályzatokat, kéréseket és hozzárendeléseket hozhatnak létre és kezelhetnek a katalógusban. Ha a katalógus lehetővé teszi, a hozzáférési csomag kezelője szabályzatokat konfigurálhat a csatlakoztatott szervezetek felhasználóinak behozására.

Az alábbi ábra a marketing, pénzügyi és jogi részlegek erőforrásait tartalmazó katalógusokat mutatja be. A katalógusok használatával a projektmenedzserek hozzáférési csomagokat hozhatnak létre a csapatukhoz vagy projektjeikhez.

Entitlement management delegate example

A delegálás után előfordulhat, hogy a marketingosztály szerepkörei az alábbi táblázathoz hasonlóak.

Felhasználó Szervezeti szerepkör Microsoft Entra szerepkör Jogosultságkezelési szerepkör
Hana Informatikai rendszergazda Globális rendszergazda vagy identitásirányítási rendszergazda
Mamta Marketingmenedzser Felhasználó Katalógus létrehozója és katalógustulajdonosa
Róbert Marketing érdeklődő Felhasználó Katalógus tulajdonosa
Jessica Marketing projektmenedzser Felhasználó Access-csomagkezelő

Jogosultságkezelési szerepkörök

A jogosultságkezelés a következő szerepkörökkel rendelkezik, amelyek maguk a jogosultságkezelés felügyeletére vonatkozó engedélyek az összes katalógusra vonatkoznak.

Jogosultságkezelési szerepkör Szerepkördefiníció azonosítója Leírás
Katalógus létrehozója ba92d953-d8e0-4e39-a797-0cbedb0a89e8 Katalógusok létrehozása és kezelése. Általában olyan informatikai rendszergazda, aki nem globális rendszergazda, vagy erőforrás-tulajdonos egy erőforráscsoporthoz. A katalógust létrehozó személy automatikusan a katalógus első tulajdonosa lesz, és további katalógustulajdonosokat vehet fel. A katalógus létrehozója nem tudja kezelni vagy megtekinteni a nem saját katalógusokat, és nem tud erőforrásokat hozzáadni a katalógushoz. Ha a katalógus létrehozójának egy másik katalógust kell kezelnie, vagy olyan erőforrásokat kell hozzáadnia, amelyek nem a tulajdonában vannak, kérheti, hogy a katalógus vagy erőforrás társtulajdonosa legyen.

A jogosultságkezelés az egyes katalógusokhoz az alábbi szerepkörökben van definiálva a hozzáférési csomagok és a katalóguson belüli egyéb konfigurációk felügyeletéhez. A rendszergazda vagy a katalógus tulajdonosa felhasználókat, felhasználói csoportokat vagy szolgáltatásneveket vehet fel ezekbe a szerepkörökbe.

Jogosultságkezelési szerepkör Szerepkördefiníció azonosítója Leírás
Katalógus tulajdonosa ae79f266-94d4-4dab-b730-feca7e132178 A katalógusban lévő hozzáférési csomagok és egyéb erőforrások szerkesztése és kezelése. Általában egy informatikai rendszergazda vagy erőforrás-tulajdonos, vagy egy felhasználó, akit a katalógus tulajdonosa választott.
Katalógusolvasó 44272f93-9762-48e8-af59-1b5351b1d6b3 Meglévő hozzáférési csomagok megtekintése katalóguson belül.
Access-csomagkezelő 7f480852-ebdc-47d4-87de-0d8498384a83 Szerkessze és kezelje a katalógus összes meglévő hozzáférési csomagjait.
Hozzáférési csomag hozzárendelés-kezelője e2182095-804a-4656-ae11-64734e9b7ae5 Szerkessze és kezelje a meglévő hozzáférési csomagok hozzárendeléseit.

Emellett a kiválasztott jóváhagyó és a hozzáférési csomag kérelmezője rendelkezik jogosultságokkal, bár nem szerepkörök.

Right Leírás
Jóváhagyó A szabályzat engedélyezi a csomagok elérésére irányuló kérelmek jóváhagyását vagy elutasítását, de nem módosíthatják a hozzáférési csomag definícióit.
Requestor A hozzáférési csomag szabályzata engedélyezi a hozzáférési csomag kérését.

Az alábbi táblázat felsorolja azokat a feladatokat, amelyeket a jogosultságkezelési szerepkörök el tudnak végezni a jogosultságkezelésben.

Task Admin Katalógus létrehozója Katalógus tulajdonosa Access-csomagkezelő Hozzáférési csomag hozzárendelés-kezelője
Delegálás katalóguskészítőnek ✔️
Csatlakoztatott szervezet hozzáadása ✔️
Új katalógus létrehozása ✔️ ✔️
Erőforrás hozzáadása katalógushoz ✔️ ✔️
Katalógustulajdonos hozzáadása ✔️ ✔️
Katalógus szerkesztése ✔️ ✔️
Katalógus törlése ✔️ ✔️
Hozzáférés-csomagkezelő delegálása ✔️ ✔️
Hozzáférési csomagkezelő eltávolítása ✔️ ✔️
Új hozzáférési csomag létrehozása katalógusban ✔️ ✔️ ✔️
Erőforrás-szerepkörök módosítása hozzáférési csomagban ✔️ ✔️ ✔️
Szabályzatok létrehozása és szerkesztése, beleértve a külső együttműködésre vonatkozó szabályzatokat is ✔️ ✔️ ✔️
Felhasználó közvetlen hozzárendelése hozzáférési csomaghoz ✔️ ✔️ ✔️ ✔️
Felhasználó közvetlen eltávolítása hozzáférési csomagból ✔️ ✔️ ✔️ ✔️
Annak megtekintése, hogy kinek van hozzárendelése egy hozzáférési csomaghoz ✔️ ✔️ ✔️ ✔️
Hozzáférési csomag kéréseinek megtekintése ✔️ ✔️ ✔️ ✔️
Kérés kézbesítési hibáinak megtekintése ✔️ ✔️ ✔️ ✔️
Kérés újrafeldolgozása ✔️ ✔️ ✔️ ✔️
Függőben lévő kérés lemondása ✔️ ✔️ ✔️ ✔️
Hozzáférési csomag elrejtése ✔️ ✔️ ✔️
Hozzáférési csomag törlése ✔️ ✔️ ✔️

A tevékenységek legkevésbé kiemelt szerepkörének meghatározásához a Microsoft Entra ID-ban rendszergazdai feladatonként is hivatkozhat Rendszergazda istrator szerepkörökre.

Erőforrások katalógushoz való hozzáadásához szükséges szerepkörök

A globális rendszergazdák bármely csoportot (felhőben létrehozott biztonsági csoportokat vagy felhőalapú Microsoft 365-csoportok), alkalmazást vagy SharePoint Online-webhelyet hozzáadhatnak vagy eltávolíthatnak egy katalógusban.

Megjegyzés:

A felhasználói rendszergazdai szerepkörrel rendelkező felhasználók többé nem hozhatnak létre katalógusokat, és nem kezelhetik a hozzáférési csomagokat egy olyan katalógusban, amelyben nem rendelkeznek. A katalógustulajdonos felhasználói rendszergazda felveheti vagy eltávolíthatja a katalógusban lévő összes csoportot vagy alkalmazást, kivéve a címtárszerepkörhöz hozzárendelhetőként konfigurált csoportot. A szerepkör-hozzárendelhető csoportokkal kapcsolatos további információkért tekintse meg a Szerepkör-hozzárendelhető csoport létrehozása a Microsoft Entra-azonosítóban című témakört. Ha a szervezet felhasználói rendszergazdai szerepkörrel rendelkeznek a katalógusok, hozzáférési csomagok vagy szabályzatok jogosultságkezelésben való konfigurálásához, ezeket a felhasználókat inkább identitásszabályozási rendszergazdai szerepkörrel kell hozzárendelnie.

Ha egy felhasználó nem globális rendszergazda, és csoportokat, alkalmazásokat vagy SharePoint Online-webhelyeket szeretne hozzáadni egy katalógushoz, az adott felhasználónak képesnek kell lennie műveletek végrehajtására az adott erőforráson, és katalógustulajdonosi szerepkörrel kell rendelkeznie a katalógus jogosultságkezelésében. A felhasználók leggyakrabban úgy hajthatnak végre műveleteket egy erőforráson, ha Microsoft Entra címtárszerepkörrel rendelkeznek, amely lehetővé teszi számukra az erőforrás felügyeletét. Vagy a tulajdonosokkal rendelkező erőforrások esetében a felhasználó műveleteket hajthat végre úgy, hogy az erőforrás tulajdonosaként lett hozzárendelve.

Azok a műveletek, amelyeket a jogosultságkezelés ellenőriz, amikor egy felhasználó erőforrást ad hozzá egy katalógushoz, a következők:

  • Biztonsági csoport vagy Microsoft 365-csoport hozzáadásához: a felhasználónak engedélyeznie kell a műveletek és microsoft.directory/groups/owners/update műveletek microsoft.directory/groups/members/update végrehajtását
  • Alkalmazás hozzáadásához: a felhasználónak engedélyeznie kell a microsoft.directory/servicePrincipals/appRoleAssignedTo/update művelet végrehajtását
  • SharePoint Online-webhely hozzáadásához: a felhasználónak SharePoint-Rendszergazda istratornak kell lennie, vagy SharePoint Online-webhelyszerepkörrel kell rendelkeznie, amely lehetővé teszi számukra a webhely engedélyeinek kezelését

Az alábbi táblázat felsorol néhány olyan szerepkör-kombinációt, amelyek tartalmazzák azokat a műveleteket, amelyek lehetővé teszik a szerepkör-kombinációk felhasználói számára, hogy erőforrásokat vegyenek fel egy katalógusba. Az erőforrások katalógusból való eltávolításához ugyanazokkal a műveletekkel is rendelkeznie kell szerepkörrel vagy tulajdonjoggal.

Microsoft Entra címtárszerepkör Jogosultságkezelési szerepkör Biztonsági csoport hozzáadása Felveheti a Microsoft 365-csoportot Alkalmazás hozzáadása SharePoint Online-webhely hozzáadása
Globális rendszergazda n.a. ✔️ ✔️ ✔️ ✔️
Identitásszabályozási Rendszergazda istrator n.a. ✔️
Csoportok Rendszergazda istrator Katalógus tulajdonosa ✔️ ✔️
Intune Rendszergazda istrator Katalógus tulajdonosa ✔️ ✔️
Exchange Rendszergazda istrator Katalógus tulajdonosa ✔️
SharePoint Rendszergazda istrator Katalógus tulajdonosa ✔️ ✔️
Application Administrator Katalógus tulajdonosa ✔️
Felhőalkalmazás-rendszergazda Katalógus tulajdonosa ✔️
Felhasználó Katalógus tulajdonosa Csak akkor, ha a csoport tulajdonosa Csak akkor, ha a csoport tulajdonosa Csak akkor, ha az alkalmazás tulajdonosa

Vendégfelhasználói életciklus delegált kezelése

A vendégmeghívói jogosultságokkal rendelkező szerepkörben lévő felhasználók általában meghívhatnak egyéni külső felhasználókat egy szervezetbe, és ez a beállítás a külső együttműködési beállítások használatával módosítható.

A külső együttműködés kezeléséhez, ha az együttműködési projekt egyes külső felhasználói nem feltétlenül ismertek előre, a külső szervezetekkel dolgozó felhasználók jogosultságkezelési szerepkörökhöz való hozzárendelése lehetővé teszi számukra, hogy katalógusokat, csomagokat és szabályzatokat konfiguráljanak a külső együttműködéshez. Ezek a konfigurációk lehetővé teszik a külső felhasználók számára, hogy kérhessék és hozzáadják őket a szervezet címtárához és hozzáférési csomagjaihoz.

  • Ahhoz, hogy a csatlakoztatott szervezetek külső címtáraiban lévő felhasználók hozzáférési csomagokat igényelhessenek egy katalógusban, a külső felhasználók számára engedélyezett katalógusbeállítást Igen értékre kell állítani. Ezt a beállítást a katalógus rendszergazdája vagy katalógustulajdonosa módosíthatja.
  • A hozzáférési csomagnak szabályzatkészlettel kell rendelkeznie a címtárban nem szereplő felhasználók számára is. Ezt a szabályzatot a katalógus rendszergazdája, katalógustulajdonosa vagy hozzáférési csomagkezelője hozhatja létre.
  • A szabályzattal rendelkező hozzáférési csomagok lehetővé teszik a hatókörben lévő felhasználók számára, hogy hozzáférést kérjenek, beleértve a címtárban még nem szereplő felhasználókat is. Ha a kérést jóváhagyták, vagy nem igényel jóváhagyást, a rendszer automatikusan hozzáadja a felhasználót a címtárhoz.
  • Ha a házirend-beállítás a Minden felhasználóra érvényes volt, és a felhasználó nem tagja egy meglévő csatlakoztatott szervezetnek, akkor a rendszer automatikusan létrehoz egy új javasolt csatlakoztatott szervezetet. Megtekintheti a csatlakoztatott szervezetek listáját, és eltávolíthatja a már nem szükséges szervezeteket.

Azt is beállíthatja, hogy mi történik, ha egy jogosultságkezelés által behozott külső felhasználó elveszíti az utolsó hozzárendelését bármely hozzáférési csomaghoz. A külső felhasználók életciklusának kezeléséhez letilthatja, hogy bejelentkezhessenek ebbe a könyvtárba, vagy eltávolíttathatja a vendégfiókjukat.

A delegált rendszergazdák korlátozása a nem címtárban lévő felhasználók házirendjeinek konfigurálására

Megakadályozhatja, hogy a rendszergazdai szerepkörökben nem szereplő felhasználók meghívják az egyes vendégeket a külső együttműködési beállításokban, ha a Vendégmeghívó beállításai beállítást adott rendszergazdai szerepkörökre módosítja, és a vendég önkiszolgáló regisztrációjánakengedélyezése beállítás értéke Nem.

Annak érdekében, hogy a delegált felhasználók ne konfigurálhassák a jogosultságkezelést, hogy a külső felhasználók külső együttműködést kérjenek, mindenképpen közölje ezt a korlátozást az összes globális rendszergazdával, identitásszabályozási rendszergazdával, katalóguskészítővel és katalógustulajdonossal, mivel képesek a katalógusok módosítására, hogy véletlenül ne engedélyezzenek új együttműködést az új vagy frissített katalógusokban. Biztosítaniuk kell, hogy a katalógusok engedélyezve legyenek a külső felhasználókszámára nem értékre, és ne rendelkezzenek olyan hozzáférési csomagokkal, amelyek házirendekkel teszik lehetővé, hogy a címtárban nem szereplő felhasználók kérhessenek.

A Külső felhasználók számára jelenleg engedélyezett katalógusok listáját a Microsoft Entra Felügyeleti központban tekintheti meg.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.

  3. Módosítsa a külső felhasználók számára engedélyezett szűrőbeállítást Igen értékre.

  4. Ha bármelyik katalógus nem nulla számú hozzáférési csomaggal rendelkezik, előfordulhat, hogy ezek a hozzáférési csomagok szabályzattal rendelkeznek a címtárban nem szereplő felhasználók számára.

Szerepkör-hozzárendelések kezelése jogosultságkezelési szerepkörökhöz programozott módon

A Microsoft Graph használatával megtekintheti és frissítheti a katalóguskészítőket és a jogosultságkezelési katalógusspecifikus szerepkör-hozzárendeléseket. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező felhasználók meghívhatják a Graph API-t a jogosultságkezelés szerepkör-definícióinak listázására, valamint a szerepkör-hozzárendelések listázására az adott szerepkör-definíciókhoz.

Ha például meg szeretné tekinteni az adott felhasználóhoz vagy csoporthoz hozzárendelt jogosultságkezelés-specifikus szerepköröket, a Graph-lekérdezéssel listázhatja a szerepkör-hozzárendeléseket, és a lekérdezési szűrő értékeként megadhatja a principalId felhasználó vagy csoport azonosítóját.

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq '10850a21-5283-41a6-9df3-3d90051dd111'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition

Egy katalógusra jellemző szerepkör esetén a appScopeId válaszban az a katalógus látható, amelyben a felhasználóhoz szerepkör van rendelve. Ez a válasz csak az adott tag explicit hozzárendeléseit kéri le a jogosultságkezelésben betöltött szerepkörhöz, nem ad vissza eredményeket egy címtárszerepkörön vagy egy szerepkörhöz hozzárendelt csoport tagságán keresztül hozzáférési jogosultsággal rendelkező felhasználó számára.

További lépések