Mi az az Azure AD-jogosultságkezelés?

Az Azure Active Directory (Azure AD) jogosultságkezelés egy identitásszabályozási funkció, amellyel a szervezetek nagy léptékben kezelhetik az identitást és a hozzáférési életciklust a hozzáférési kérelmek munkafolyamatainak, hozzáférési hozzárendeléseinek, felülvizsgálatainak és lejáratának automatizálásával.

A szervezetek alkalmazottainak különböző csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez kell hozzáférniük a munkájuk elvégzéséhez. A hozzáférés kezelése kihívást jelent, mivel a követelmények változnak. Új alkalmazásokat adnak hozzá, vagy a felhasználóknak több hozzáférési jogosultságra van szükségük. Ez a forgatókönyv bonyolultabb lesz, ha külső szervezetekkel dolgozik együtt. Előfordulhat, hogy nem tudja, hogy a másik szervezetnek kinek kell hozzáférnie a szervezet erőforrásaihoz, és nem fogják tudni, hogy a szervezet milyen alkalmazásokat, csoportokat vagy webhelyeket használ.

Azure AD jogosultságkezeléssel hatékonyabban kezelheti a csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez való hozzáférést a belső felhasználók, valamint a szervezeten kívüli felhasználók számára, akiknek hozzáférésre van szükségük ezekhez az erőforrásokhoz.

Miért érdemes jogosultságkezelést használni?

A vállalati szervezetek gyakran szembesülnek kihívásokkal az alkalmazottak erőforrásokhoz való hozzáférésének kezelésekor, például:

  • Előfordulhat, hogy a felhasználók nem tudják, hogy milyen hozzáféréssel kell rendelkezniük, és még ha igen, akkor is nehézségekbe ütközhetnek a hozzáférésük jóváhagyásához szükséges megfelelő személyek keresésekor
  • Miután a felhasználók megtalálják és megkapják az erőforráshoz való hozzáférést, az üzleti célokra szükségesnél hosszabb ideig tarthatnak fogva

Ezek a problémák olyan felhasználók esetében jelentkeznek, akiknek hozzáférésre van szükségük egy másik szervezettől, például az ellátásilánc-szervezetektől vagy más üzleti partnerektől származó külső felhasználóknak. Például:

  • Senki sem ismerheti a más szervezet címtáraiban szereplő összes konkrét személyt, hogy meghívhassa őket
  • Még ha meg is tudnák hívni ezeket a felhasználókat, az adott szervezeten belül senki sem emlékezhet arra, hogy egységesen kezelje az összes felhasználó hozzáférését

Azure AD jogosultságkezelés segíthet ezeknek a kihívásoknak a megoldásában. Ha többet szeretne megtudni arról, hogy az ügyfelek hogyan használták Azure AD jogosultságkezelést, olvassa el az Avanade-esettanulmányt és a Centrica-esettanulmányt. Ez a videó áttekintést nyújt a jogosultságkezelésről és annak értékéről:

Mire használhatom a jogosultságkezelést?

A jogosultságkezelés néhány képessége:

  • Szabályozhatja, hogy kik férhetnek hozzá alkalmazásokhoz, csoportokhoz, Teams- és SharePoint-webhelyekhez többszakaszos jóváhagyással, és biztosíthatja, hogy a felhasználók ne őrizzék meg a hozzáférést határozatlan időre korlátozott hozzárendelésekkel és ismétlődő hozzáférési felülvizsgálatokkal.
  • A felhasználók automatikusan hozzáférhetnek ezekhez az erőforrásokhoz a felhasználó tulajdonságai, például a részleg vagy a költséghely alapján, és a tulajdonságok változásakor (előzetes verzió) eltávolítják a felhasználók hozzáférését.
  • Delegálhatja a nem rendszergazdáknak a hozzáférési csomagok létrehozásának lehetőségét. Ezek a hozzáférési csomagok olyan erőforrásokat tartalmaznak, amelyeket a felhasználók kérhetnek, a delegált hozzáférési csomag kezelői pedig olyan szabályzatokat határozhatnak meg, amelyekhez a felhasználók kérhetik a hozzáférést, kinek kell jóváhagyniuk a hozzáférésüket, és mikor jár le a hozzáférés.
  • Válassza ki azokat a csatlakoztatott szervezeteket, amelyek felhasználói hozzáférést kérhetnek. Ha egy felhasználó, aki még nem szerepel a címtárban, hozzáférést kér, és jóváhagyják, a rendszer automatikusan meghívja őket a címtárba, és hozzá lesz rendelve a hozzáféréshez. Ha a hozzáférésük lejár, és nincsenek más hozzáférési csomag-hozzárendeléseik, a címtárban lévő B2B-fiókjuk automatikusan eltávolítható.

Megjegyzés

Ha készen áll a jogosultságkezelés kipróbálására, első lépésként létrehozhatja első hozzáférési csomagját az oktatóanyagban.

Elolvashatja a gyakori forgatókönyveket is, vagy videókat tekinthet meg, beleértve a

Mik azok a hozzáférési csomagok, és milyen erőforrásokat kezelhetek velük?

A jogosultságkezelés bevezeti a hozzáférési csomag fogalmának Azure AD. A hozzáférési csomag az összes olyan erőforrás csomagja, amelynek hozzáférésével a felhasználónak dolgoznia kell egy projekten, vagy el kell végeznie a feladatát. A hozzáférési csomagok a belső alkalmazottak és a szervezeten kívüli felhasználók hozzáférésének szabályozására szolgálnak.

A jogosultságkezeléssel az alábbi típusú erőforrásokhoz férhet hozzá a felhasználó:

  • Azure AD biztonsági csoportok tagsága
  • A Microsoft 365-csoportok és a Teams tagsága
  • Hozzárendelés Azure AD vállalati alkalmazásokhoz, beleértve az összevonást/egyszeri bejelentkezést és/vagy üzembe helyezést támogató SaaS-alkalmazásokat és egyénileg integrált alkalmazásokat
  • SharePoint Online-webhelyek tagsága

A Azure AD biztonsági csoportokra vagy Microsoft 365-csoportok támaszkodó egyéb erőforrásokhoz való hozzáférést is szabályozhatja. Például:

  • A Microsoft 365-höz licenceket adhat a felhasználóknak egy Azure AD biztonsági csoporttal egy hozzáférési csomagban, és konfigurálhatja a csoportalapú licencelést az adott csoporthoz.
  • Hozzáférést adhat a felhasználóknak az Azure-erőforrások kezeléséhez egy Azure AD biztonsági csoport használatával egy hozzáférési csomagban, és létrehozhat egy Azure-szerepkör-hozzárendelést az adott csoporthoz.
  • Hozzáférést adhat a felhasználóknak a Azure AD szerepkörök kezeléséhez, ha egy hozzáférési csomagban Azure AD szerepkörökhöz hozzárendelhető csoportokat használnak, és hozzárendelnek egy Azure AD szerepkört az adott csoporthoz.

Hogyan szabályozni, hogy ki fér hozzá?

Hozzáférési csomag esetén a rendszergazda vagy a delegált hozzáférési csomag kezelője felsorolja az erőforrásokat (csoportokat, alkalmazásokat és webhelyeket), valamint a felhasználók által az erőforrásokhoz szükséges szerepköröket.

Az Access-csomagok egy vagy több szabályzatot is tartalmaznak. A szabályzat határozza meg a csomaghoz való hozzáféréshez szükséges hozzárendelés szabályait vagy védőkorlátjait. Minden szabályzat használható annak biztosítására, hogy csak a megfelelő felhasználók rendelkezzenek hozzáférési hozzárendelésekkel, és a hozzáférés korlátozott, és lejár, ha nem újítják meg.

A hozzáférési csomag és a szabályzatok ábrája.

Szabályzatokkal rendelkezhet a felhasználók számára a hozzáférés kéréséhez. Az ilyen típusú szabályzatokban a rendszergazda vagy a hozzáférési csomag kezelője határozza meg, hogy

  • A már meglévő felhasználók (jellemzően az alkalmazottak vagy a már meghívott vendégek) vagy a hozzáférés igénylésére jogosult külső felhasználók partnerszervezetei
  • A jóváhagyási folyamat és azok a felhasználók, amelyek jóváhagyhatják vagy megtagadhatják a hozzáférést
  • A felhasználó hozzáférési hozzárendelésének időtartama a jóváhagyás után, a hozzárendelés lejárta előtt

A felhasználókhoz rendszergazdai vagy automatikus hozzáférés-hozzárendelési szabályzatok is tartozhatnak.

Az alábbi ábrán egy példa látható a jogosultságkezelés különböző elemeire. Egy katalógust jelenít meg két példa hozzáférési csomaggal.

  • Az 1. hozzáférési csomag egyetlen csoportot tartalmaz erőforrásként. A hozzáférés olyan szabályzattal van definiálva, amely lehetővé teszi, hogy a címtárban lévő felhasználók egy csoportja hozzáférést kérjen.
  • A 2. Access-csomag egy csoportot, egy alkalmazást és egy SharePoint Online-webhelyet tartalmaz erőforrásként. Az Access két különböző szabályzattal van definiálva. Az első szabályzat lehetővé teszi, hogy a címtárban lévő felhasználók egy csoportja hozzáférést kérjen. A második szabályzat lehetővé teszi, hogy a külső címtárban lévő felhasználók hozzáférést kérjenek.

Jogosultságkezelés – áttekintési diagram

Mikor érdemes hozzáférési csomagokat használni?

A hozzáférési csomagok nem helyettesítik a hozzáférés-hozzárendelés más mechanizmusait. Ezek a legmegfelelőbbek az olyan helyzetekben, mint például:

  • Az alkalmazottaknak korlátozott időre van szükségük egy adott feladathoz. Használhat például csoportalapú licencelést és dinamikus csoportot annak biztosítására, hogy minden alkalmazott rendelkezik Exchange Online postaládával, majd hozzáférési csomagokat használjon olyan helyzetekhez, amikor az alkalmazottaknak több hozzáférési jogosultságra van szükségük. Például a részleg erőforrásainak olvasására vonatkozó jogosultságok egy másik részlegtől.
  • Olyan hozzáférés, amelyhez egy alkalmazott felettese vagy más kijelölt személy jóváhagyása szükséges.
  • A részlegek informatikai beavatkozás nélkül szeretnék kezelni saját hozzáférési szabályzataikat az erőforrásaikhoz.
  • Két vagy több szervezet közösen dolgozik egy projekten, ezért egy szervezet több felhasználóját is be kell vonni Azure AD B2B-n keresztül egy másik szervezet erőforrásainak eléréséhez.

Hogyan delegált hozzáférést?

A hozzáférési csomagok katalógusoknak nevezett tárolókban vannak definiálva. Egyetlen katalógussal rendelkezhet az összes hozzáférési csomagjához, vagy kijelölhet személyeket saját katalógusok létrehozására és birtoklására. A rendszergazdák bármilyen katalógushoz hozzáadhatnak erőforrásokat, de a nem rendszergazda csak a saját erőforrásaikat adhatják hozzá a katalógushoz. A katalógus tulajdonosa felvehet más felhasználókat a katalógus társtulajdonosaként vagy hozzáférési csomagkezelőként. Ezekről a forgatókönyvekről a cikk delegálásával és a jogosultságkezelés Azure AD szerepköreivel foglalkozó cikkben olvashat bővebben.

A terminológia összefoglalása

A jogosultságkezelés és annak dokumentációjának jobb megismeréséhez tekintse meg a következő kifejezések listáját.

Időszak Leírás
hozzáférési csomag Egy csapatnak vagy projektnek szüksége van egy erőforráscsomagra, amely szabályzatokkal van szabályozva. A hozzáférési csomagok mindig egy katalógusban találhatók. Új hozzáférési csomagot hozna létre egy olyan forgatókönyvhöz, amelyben a felhasználóknak hozzáférést kell kérnie.
hozzáférési kérelem Egy hozzáférési csomag erőforrásainak elérésére vonatkozó kérés. A kérések általában egy jóváhagyási munkafolyamaton haladnak keresztül. Ha jóváhagyják, a kérelmező felhasználó hozzáférési csomag-hozzárendelést kap.
Hozzárendelés A hozzáférési csomag felhasználóhoz való hozzárendelése biztosítja, hogy a felhasználó rendelkezik a hozzáférési csomag összes erőforrás-szerepkörével. Az Access-csomag-hozzárendeléseknek általában van időkorlátja a lejáratuk előtt.
Katalógus Kapcsolódó erőforrások és hozzáférési csomagok tárolója. A katalógusok delegálásra szolgálnak, így a nem rendszergazdák saját hozzáférési csomagokat hozhatnak létre. A katalógustulajdonosok hozzáadhatnak erőforrásokat a katalógushoz.
katalógus létrehozója Új katalógusok létrehozására jogosult felhasználók gyűjteménye. Amikor egy nem rendszergazdai felhasználó, aki jogosult a katalógus létrehozójának lenni, létrehoz egy új katalógust, automatikusan a katalógus tulajdonosa lesz.
csatlakoztatott szervezet Olyan külső Azure AD könyvtár vagy tartomány, amellyel kapcsolatban áll. A csatlakoztatott szervezet felhasználói megadhatóak egy szabályzatban, hogy jogosultak legyenek a hozzáférés igénylésére.
szabályzat A hozzáférési életciklust meghatározó szabályok halmaza, például hogy a felhasználók hogyan kapják meg a hozzáférést, ki hagyhatja jóvá, és mennyi ideig férhetnek hozzá a felhasználók egy hozzárendelésen keresztül. A szabályzatok hozzáférési csomaghoz kapcsolódnak. Egy hozzáférési csomagnak például két szabályzata lehet: az egyik az alkalmazottak számára a hozzáférés kérése, a másik pedig a külső felhasználók számára a hozzáférés kérése.
erőforrás Egy objektum, például egy Office-csoport, egy biztonsági csoport, egy alkalmazás vagy egy SharePoint Online-webhely olyan szerepkörrel, amelyhez a felhasználó engedélyt kaphat.
erőforráskönyvtár Egy vagy több megosztani kívánt erőforrással rendelkező könyvtár.
erőforrás-szerepkör Erőforráshoz társított és definiált engedélyek gyűjteménye. Egy csoportnak két szerepköre van: tag és tulajdonos. A SharePoint-webhelyek általában három szerepkört töltenek be, de más egyéni szerepkörök is lehetnek. Az alkalmazások egyéni szerepkörökhöz is tartozhatnak.

Licenckövetelmények

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

A speciális felhők, például az Azure Germany és az Azure China 21Vianet jelenleg nem használhatók.

Hány licenccel kell rendelkeznie?

Győződjön meg arról, hogy a címtár legalább annyi Prémium P2 szintű Azure AD licenccel rendelkezik, mint amennyi van:

  • Hozzáférési csomagot kérő tagfelhasználók.
  • Hozzáférési csomagot kérő tagfelhasználók.
  • A hozzáférési csomagra vonatkozó kérelmeket jóváhagyó tagfelhasználók .
  • A hozzáférési csomag hozzárendeléseit felülvizsgáló tagfelhasználók .
  • Olyan tagfelhasználók, akik közvetlen vagyautomatikus hozzárendeléssel rendelkeznek egy hozzáférési csomaghoz.

Vendégfelhasználók esetén a licencelési igények a használt licencelési modelltől függenek. Az alábbi vendégfelhasználói tevékenységek azonban Prémium P2 szintű Azure AD használatnak minősülnek:

  • Hozzáférési csomagot kérő vendégfelhasználók.
  • A hozzáférési csomagra vonatkozó kéréseket jóváhagyó vendégfelhasználók .
  • A hozzáférési csomag hozzárendeléseit felülvizsgáló vendégfelhasználók .
  • Olyan vendégfelhasználók, akik közvetlen hozzárendeléssel rendelkeznek egy hozzáférési csomaghoz.

Prémium P2 szintű Azure AD licencek nem szükségesek a következő feladatokhoz:

  • A globális rendszergazdai szerepkörrel rendelkező felhasználók számára nem szükséges licenc, akik beállítják a kezdeti katalógusokat, a hozzáférési csomagokat és a házirendeket, és rendszergazdai feladatokat delegálnak más felhasználóknak.
  • Nem szükséges licenc azokhoz a felhasználókhoz, akik delegált rendszergazdai feladatokkal rendelkeznek, például a katalógus létrehozója, a katalógus tulajdonosa és a hozzáférési csomagkezelő.
  • Azoknak a vendégeknek, akiknek jogosultságuk van hozzáférési csomagok igénylésére , nem igényelnek licenceket.

További információ a licencekről: Licencek hozzárendelése vagy eltávolítása az Azure Active Directory portál használatával.

Példa licencelési forgatókönyvekre

Íme néhány példa licencelési forgatókönyvekre, amelyek segítenek meghatározni a szükséges licencek számát.

Eset Számítás Licencek száma
A Woodgrove Bank globális rendszergazdája kezdeti katalógusokat hoz létre, és felügyeleti feladatokat delegál hat másik felhasználónak. Az egyik szabályzat azt határozza meg, hogy minden alkalmazott (2000 alkalmazott) igényelhet adott hozzáférési csomagokat. 150 alkalmazott kéri a hozzáférési csomagokat. 2000 alkalmazott, akik kérhetik a hozzáférési csomagokat 2000
A Woodgrove Bank globális rendszergazdája kezdeti katalógusokat hoz létre, és felügyeleti feladatokat delegál hat másik felhasználónak. Az egyik szabályzat azt határozza meg, hogy minden alkalmazott (2000 alkalmazott) igényelhet adott hozzáférési csomagokat. Egy másik szabályzat azt határozza meg, hogy a Contoso partner (vendégek) felhasználói ugyanazokat a hozzáférési csomagokat igényelhetik jóváhagyásra. A Contoso 30 000 felhasználóval rendelkezik. 150 alkalmazott kéri a hozzáférési csomagokat, és 10 500 felhasználó kér hozzáférést a Contoso-tól. 2000 alkalmazottnak licencre van szüksége, a vendégfelhasználók számlázása havi aktív felhasználói alapon történik, és nincs szükség további licencekre. * 2000

* Azure AD külső identitások (vendégfelhasználók) díjszabása a havi aktív felhasználókon (MAU) alapul, amely a naptári hónapon belüli hitelesítési tevékenységgel rendelkező egyedi felhasználók száma. Ez a modell váltja fel az 1:5 arányú számlázási modellt, amely legfeljebb öt vendégfelhasználót engedélyezett minden Azure AD Prémium szintű licenchez a bérlőben. Ha a bérlő egy előfizetéshez van társítva, és külső identitások funkcióit használja a vendégfelhasználókkal való együttműködéshez, automatikusan kiszámlázzuk a MAU-alapú számlázási modellel. További információ: Azure AD Külső identitások számlázási modellje.

Következő lépések