Erőforráskatalógus létrehozása és kezelése a jogosultságkezelésben

Ez a cikk bemutatja, hogyan hozhat létre és kezelhet erőforrásokat és hozzáférési csomagokat tartalmazó katalógust a jogosultságkezelésben.

Katalógus létrehozása

A katalógus erőforrások és hozzáférési csomagok tárolója. Katalógust akkor hoz létre, ha csoportosítani szeretné a kapcsolódó erőforrásokat és a csomagokat. A rendszergazdák létrehozhatnak katalógust. Emellett a katalógus létrehozói szerepkörére delegált felhasználók létrehozhatnak egy katalógust a saját erőforrásaikhoz. A katalógust létrehozó nemminisztrátor lesz az első katalógustulajdonos. A katalógustulajdonosok további felhasználókat, felhasználói csoportokat vagy alkalmazásszolgáltatás-tagokat adhatnak hozzá katalógustulajdonosokként.

Katalógus létrehozása:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

   Tipp.

   A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus létrehozója. A felhasználói rendszergazdai szerepkörrel rendelkező felhasználók már nem hozhatnak létre katalógusokat, és nem kezelhetik a hozzáférési csomagokat a nem saját katalógusban. Ha a szervezet felhasználói rendszergazdai szerepkörrel rendelkeztek a katalógusok, hozzáférési csomagok vagy szabályzatok jogosultságkezelésben való konfigurálásához, akkor ezeket a felhasználókat inkább identitásirányítási rendszergazdai szerepkörrel kell hozzárendelnie.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.

   

3. Válassza az Új katalógus lehetőséget.

4. Adja meg a katalógus egyedi nevét, és adjon meg egy leírást.

   A felhasználók ezt az információt egy hozzáférési csomag részleteiben látják.

5. Ha azt szeretné, hogy a katalógusban szereplő hozzáférési csomagok a létrehozásuk után azonnal lekérhessék a felhasználókat, állítsa az Engedélyezve beállítást Igen értékre.

6. Ha engedélyezni szeretné, hogy a csatlakoztatott szervezetek külső címtáraiban lévő felhasználók hozzáférési csomagokat igényelhessenek ebben a katalógusban, állítsa a külső felhasználók számára engedélyezve beállítást Igen értékre. A hozzáférési csomagoknak olyan szabályzattal is rendelkezniük kell, amely lehetővé teszi a csatlakoztatott szervezetek felhasználói számára a kérést. Ha a katalógusban szereplő hozzáférési csomagok csak a címtárban már szereplő felhasználók számára vannak megadva, akkor állítsa a Külső felhasználók számára engedélyezve beállítást Nem értékre.

   

7. A katalógus létrehozásához válassza a Létrehozás lehetőséget .

Katalógus létrehozása programozott módon

A katalógusok programozott módon kétféleképpen hozhatók létre.

Katalógus létrehozása a Microsoft Graph használatával

Katalógust a Microsoft Graph használatával hozhat létre. Egy megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással vagy alkalmazásengedélyes alkalmazással rendelkező EntitlementManagement.ReadWrite.All felhasználó meghívhatja az API-t katalógus létrehozásához.

Katalógus létrehozása a PowerShell-lel

A PowerShellben a Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 2.2.0-s vagy újabb verziójából származó parancsmaggal New-MgEntitlementManagementCatalog is létrehozhat katalógust.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Erőforrások hozzáadása katalógushoz

Ha erőforrásokat szeretne belefoglalni egy hozzáférési csomagba, az erőforrásoknak katalógusban kell lenniük. A katalógushoz felvehető erőforrások típusai csoportok, alkalmazások és SharePoint Online-webhelyek.

• A csoportok lehetnek felhőalapú Microsoft 365-csoportok vagy felhőben létrehozott Microsoft Entra biztonsági csoportok.

  • A helyi Active Directory származó csoportok nem rendelhetők erőforrásokhoz, mert a tulajdonosi vagy tagattribútumok nem módosíthatók a Microsoft Entra-azonosítóban. Ha hozzáférést szeretne adni a felhasználónak egy AD biztonsági csoporttagságokat használó alkalmazáshoz, hozzon létre egy új biztonsági csoportot a Microsoft Entra ID-ban, konfigurálja a csoportvisszaírást az AD-be, és engedélyezze a csoport írását az AD-be, hogy a felhőben létrehozott csoportot egy AD-alapú alkalmazás használhassa.

  • Az Exchange Online-ból terjesztési csoportokként származó csoportok sem módosíthatók a Microsoft Entra-azonosítóban, így nem vehetők fel katalógusokhoz.

• Az alkalmazások lehetnek nagyvállalati Microsoft Entra-alkalmazások, amelyek magukban foglalják a szolgáltatásként nyújtott szoftveralkalmazásokat (SaaS), a helyszíni alkalmazásokat és a Microsoft Entra ID azonosítóval integrált saját alkalmazásokat.

  • Ha az alkalmazás még nem lett integrálva a Microsoft Entra-azonosítóval, tekintse meg az alkalmazások hozzáférésének szabályozását a környezetben , és integrálhat egy alkalmazást a Microsoft Entra-azonosítóval , és adja hozzá az alkalmazást a címtárához, mielőtt hozzáadja azt a katalógushoz.

  • A több szerepkörrel rendelkező alkalmazások megfelelő erőforrásainak kiválasztásával kapcsolatos további információkért tekintse meg , hogyan határozhatja meg, hogy mely erőforrás-szerepkörök szerepeljenek a hozzáférési csomagban.

• A webhelyek lehetnek SharePoint Online-webhelyek vagy SharePoint Online-webhelycsoportok.

Feljegyzés

A SharePoint-webhelyen webhelynév vagy pontos URL-cím alapján kereshet, mivel a keresőmező megkülönbözteti a kis- és nagybetűk megkülönböztetett helyét.

Előfeltétel-szerepkörök: Lásd: Erőforrások katalógushoz való hozzáadásához szükséges szerepkörök.

Erőforrások hozzáadása katalógushoz:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.

3. A Katalógusok lapon nyissa meg azt a katalógust, amelyhez erőforrásokat szeretne hozzáadni.

4. A bal oldali menüben válassza az Erőforrások lehetőséget.

5. Válassza az Erőforrások hozzáadása lehetőséget.

6. Válassza ki a Csoportok és Teams, Alkalmazások vagy SharePoint-webhelyek erőforrástípust.

   Ha nem látja a hozzáadni kívánt erőforrást, vagy nem tud erőforrást hozzáadni, győződjön meg arról, hogy rendelkezik a szükséges Microsoft Entra címtár- és jogosultságkezelési szerepkörrel. Előfordulhat, hogy a szükséges szerepkörökkel rendelkező személynek hozzá kell adnia az erőforrást a katalógushoz. További információ: Erőforrások katalógushoz való hozzáadásához szükséges szerepkörök.

7. Válasszon ki egy vagy több olyan erőforrást, amelyet hozzá szeretne adni a katalógushoz.

   

8. Amikor végzett, válassza a Hozzáadás lehetőséget.

   Ezek az erőforrások mostantól belefoglalhatók a katalógus hozzáférési csomagjaiba.

Erőforrásattribútumok hozzáadása a katalógusban

Az attribútumok olyan kötelező mezők, amelyekre a kérelmezőknek válaszolniuk kell a hozzáférési kérés elküldése előtt. Ezekre az attribútumokra adott válaszaik megjelennek a jóváhagyók számára, és a Microsoft Entra ID-ban a felhasználói objektumra is rá vannak bélyegzve.

Feljegyzés

Az erőforráson beállított összes attribútumnak választ kell adnia az erőforrást tartalmazó hozzáférési csomagra vonatkozó kérés elküldése előtt. Ha a kérelmezők nem adnak választ, a kérés nem lesz feldolgozva.

A hozzáférési kérelmek attribútumainak megkövetelése:

1. Válassza az Erőforrások lehetőséget a bal oldali menüben, és megjelenik a katalógusban lévő erőforrások listája.

2. Jelölje ki az erőforrás melletti három pontot, ahol attribútumokat szeretne hozzáadni, majd válassza az Attribútumok megkövetelése lehetőséget.

   

3. Válassza ki az attribútum típusát:

   1. A beépített microsoft entra felhasználóiprofil-attribútumok.
   2. A címtárséma-bővítmény lehetővé teszi további adatok tárolását a Microsoft Entra-felhasználókban. A sémát bővítheti egy bővítményattribútum létrehozásával. Ezek a felhasználói objektumok bővítményattribútumai jogcímek küldésére használhatók az alkalmazásoknak a kiépítés vagy az egyszeri bejelentkezés során.

4. Ha a Beépített lehetőséget választotta, válasszon ki egy attribútumot a legördülő listából. Ha a Címtár sémabővítményt választotta, írja be az attribútum nevét a szövegmezőbe.

   Feljegyzés

   A User.mobilePhone attribútum egy bizalmas tulajdonság, amelyet csak bizonyos rendszergazdák frissíthetnek. További információ: Ki frissítheti a bizalmas felhasználói attribútumokat?

5. Válassza ki azt a válaszformátumot, amelyet a kérelmezők a válaszukhoz használnak. A válaszformátumok közé tartozik a rövid szöveg, a több választási lehetőség és a hosszú szöveg.

6. Ha több lehetőséget választ, válassza a Szerkesztés és a honosítás lehetőséget a válaszbeállítások konfigurálásához.

   1. A megjelenő Kérdés megtekintése/szerkesztése panelen adja meg azokat a válaszbeállításokat, amelyeket meg szeretne adni a kérelmezőnek, amikor megválaszolják a kérdést a Válaszértékek mezőben.
   2. Válassza ki a válaszlehetőség nyelvét. Ha több nyelvet választ, honosíthatja a válaszbeállításokat.
   3. Adjon meg annyi választ, amennyit csak szeretne, majd válassza a Mentés lehetőséget.

7. Ha azt szeretné, hogy az attribútum értéke szerkeszthető legyen a közvetlen hozzárendelések és az önkiszolgáló kérések során, válassza az Igen lehetőséget.

   Feljegyzés

   

   • Ha a Nem lehetőséget választja az Attribútum értéke szerkeszthető mezőben, és az attribútum értéke üres, a felhasználók megadhatják az attribútum értékét. A mentés után az érték nem szerkeszthető.
   • Ha a Nem lehetőséget választja az Attribútum értéke szerkeszthető mezőben, és az attribútum értéke nem üres, a felhasználók nem szerkeszthetik az előző értéket a közvetlen hozzárendelések és az önkiszolgáló kérések során.

   

8. Ha honosítást szeretne hozzáadni, válassza a Honosítás hozzáadása lehetőséget.

   1. Az Add localizations for question panelen válassza ki annak a nyelvnek a nyelvi kódját, amelyben honosítani szeretné a kiválasztott attribútumhoz kapcsolódó kérdést.

   2. A beállított nyelven írja be a kérdést a Honosított szöveg mezőbe.

   3. Miután hozzáadta az összes szükséges honosítást, válassza a Mentés lehetőséget.

      

9. Miután az attribútumadatok befejeződtek az Attribútumok megkövetelése lapon, válassza a Mentés lehetőséget.

Multi-Geo SharePoint-webhely hozzáadása

1. Ha engedélyezve van a Multi-Geo a SharePointhoz, válassza ki azt a környezetet, amelyből webhelyeket szeretne kijelölni.

   

2. Ezután válassza ki a katalógushoz hozzáadni kívánt webhelyeket.

Erőforrás hozzáadása katalógushoz programozott módon

A Microsoft Graph használatával erőforrást is hozzáadhat a katalógushoz. Egy megfelelő szerepkörrel rendelkező felhasználó, vagy egy katalógus és erőforrás-tulajdonos egy delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással meghívhatja az API-t a resourceRequest létrehozásához. Az alkalmazás engedélyével EntitlementManagement.ReadWrite.All és az erőforrások módosítására vonatkozó engedélyekkel (például Group.ReadWrite.All) rendelkező alkalmazások erőforrásokat is felvehetnek a katalógusba.

Erőforrás hozzáadása katalógushoz a PowerShell-lel

Erőforrást is hozzáadhat egy katalógushoz a PowerShellben az New-MgEntitlementManagementResourceRequest Identity Governance modul 2.1.x vagy újabb modulverziójának Microsoft Graph PowerShell-parancsmagjaiból származó parancsmaggal. Az alábbi példa bemutatja, hogyan adhat hozzá csoportot erőforrásként egy katalógushoz a Microsoft Graph PowerShell-parancsmagok 2.4.0-s verziójával.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Erőforrások eltávolítása katalógusból

Az erőforrásokat eltávolíthatja a katalógusból. Az erőforrások csak akkor távolíthatók el a katalógusból, ha nem használják a katalógus hozzáférési csomagjaiban.

Előfeltétel-szerepkörök: Lásd: Erőforrások katalógushoz való hozzáadásához szükséges szerepkörök.

Erőforrások eltávolítása katalógusból:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.

3. A Katalógusok lapon nyissa meg azt a katalógust, amelyből erőforrásokat szeretne eltávolítani.

4. A bal oldali menüben válassza az Erőforrások lehetőséget.

5. Jelölje ki az eltávolítani kívánt erőforrásokat.

6. Válassza az Eltávolítás lehetőséget. Ha szükséges, válassza a három pontot (...), majd az Erőforrás eltávolítása lehetőséget.

További katalógustulajdonosok hozzáadása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A katalógust létrehozó felhasználó lesz az első katalógustulajdonos. A katalógus felügyeletének delegálásához vegye fel a felhasználókat a katalógus tulajdonosi szerepkörére. További katalógustulajdonosok hozzáadása segít megosztani a katalóguskezelési feladatokat.

Felhasználó hozzárendelése a katalógus tulajdonosi szerepköréhez:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

   Tipp.

   A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.

3. A Katalógusok lapon nyissa meg azt a katalógust, amelyhez rendszergazdákat szeretne hozzáadni.

4. A bal oldali menüben válassza a Szerepkörök és rendszergazdák lehetőséget.

   

5. Válassza a Tulajdonosok hozzáadása lehetőséget a szerepkörök tagjainak kiválasztásához.

6. Válassza a Kiválasztás lehetőséget a tagok hozzáadásához.

Katalógus szerkesztése

A katalógus nevét és leírását szerkesztheti. A felhasználók ezt az információt egy hozzáférési csomag részleteiben látják.

Katalógus szerkesztése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

   Tipp.

   A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus létrehozója.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.

3. A Katalógusok lapon nyissa meg a szerkeszteni kívánt katalógust.

4. A katalógus Áttekintés lapján válassza a Szerkesztés lehetőséget.

5. Szerkessze a katalógus nevét, leírását vagy engedélyezett beállításait.

   

6. Válassza a Mentés lehetőséget.

Katalógus törlése

A katalógusokat törölheti, de csak akkor, ha nem rendelkezik hozzáférési csomagokkal.

Katalógus törlése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

   Tipp.

   A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus létrehozója.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.

3. A Katalógusok lapon nyissa meg a törölni kívánt katalógust.

4. A katalógus Áttekintés lapján válassza a Törlés lehetőséget.

5. A megjelenő üzenetmezőben válassza az Igen lehetőséget.

Katalógus programozott törlése

Katalógust a Microsoft Graph használatával is törölhet. A delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező felhasználók meghívhatják az API-t az accessPackageCatalog törlésére.

Következő lépések

Hozzáférés-vezérlés delegálása a csomagkezelők elérésére