Delegálás és szerepkörök a jogosultságkezelésben
A Microsoft Entra ID-ban szerepkörmodellekkel kezelheti a hozzáférést nagy léptékben az identitásszabályozással.
- Hozzáférési csomagokkal képviselheti a szervezet szervezeti szerepköreit , például az "értékesítési képviselőt". Az adott szervezeti szerepkört képviselő hozzáférési csomag magában foglalná az összes hozzáférési jogosultságot, amelyekre egy értékesítési képviselőnek általában szüksége lehet, több erőforrásra kiterjedően.
- Az alkalmazások saját szerepköröket határozhatnak meg. Ha például volt egy értékesítési alkalmazása, és az alkalmazás belefoglalta a jegyzékbe az "értékesítő" alkalmazásszerepkört, akkor ezt a szerepkört egy hozzáférési csomagba is felveheti az alkalmazásjegyzékből. Az alkalmazások olyan helyzetekben is használhatnak biztonsági csoportokat, ahol egy felhasználó egyszerre több alkalmazásspecifikus szerepkörrel is rendelkezhet.
- A rendszergazdai hozzáférés delegálásához szerepköröket használhat. Ha rendelkezik katalógussal az értékesítéshez szükséges összes hozzáférési csomaghoz, hozzárendelhet valakit az adott katalógusért felelős személyhez egy katalógusspecifikus szerepkör hozzárendelésével.
Ez a cikk azt ismerteti, hogyan használhat szerepköröket a Microsoft Entra jogosultságkezelésének szempontjainak kezelésére a jogosultságkezelési erőforrásokhoz való hozzáférés szabályozásához.
Alapértelmezés szerint a Globális Rendszergazda istrator vagy az Identitásirányítási Rendszergazda istrator szerepkör felhasználói létrehozhatják és kezelhetik a jogosultságkezelés minden aspektusát. Előfordulhat azonban, hogy a szerepkörök felhasználói nem ismerik azokat a helyzeteket, amikor hozzáférési csomagokra van szükség. Általában a megfelelő részlegeken, csapatokon vagy projekteken belüli felhasználók tudják, kikkel dolgoznak együtt, milyen erőforrásokat és mennyi ideig használnak. Ahelyett, hogy korlátlan engedélyeket adnának a nem rendszergazdáknak, a felhasználók számára a legkevésbé szükséges engedélyeket adhatják meg a munkájuk elvégzéséhez, és elkerülheti az ütköző vagy nem megfelelő hozzáférési jogosultságok létrehozását.
Ez a videó áttekintést nyújt arról, hogyan delegálhatja a hozzáférés-szabályozást az informatikai rendszergazdától a nem rendszergazdáknak.
Példa delegálása
Ha szeretné megtudni, hogyan delegálhatja a hozzáférés-szabályozást a jogosultságkezelésben, érdemes megfontolni egy példát. Tegyük fel, hogy a szervezetének a következő rendszergazdája és felettesei vannak.
Az informatikai rendszergazdaként Hana minden részlegben rendelkezik partnerekkel – Mamta a marketingben, Mark in Finance és Joe a Legalban, akik a részleg erőforrásaiért és az üzleti szempontból kritikus tartalmakért felelősek.
A jogosultságkezeléssel a hozzáférés-szabályozást delegálhatja ezekhez a nem rendszergazdákhoz, mert ők tudják, hogy mely felhasználóknak van szükségük hozzáférésre, mennyi ideig és milyen erőforrásokhoz. A nem rendszergazdákra való delegálás biztosítja, hogy a megfelelő személyek felügyeljék a részlegeik hozzáférését.
Hana így delegálhatja a hozzáférés szabályozását a marketing, a pénzügy és a jogi részlegek számára.
Hana létrehoz egy új Microsoft Entra biztonsági csoportot, és hozzáadja Mamtát, Markot és Joe-t a csoport tagjaiként.
Hana hozzáadja ezt a csoportot a katalógus létrehozói szerepköréhez.
Mamta, Mark és Joe mostantól katalógusokat hozhatnak létre a részlegeik számára, hozzáadhatják a részlegeik számára szükséges erőforrásokat, és további delegálásokat végezhetnek a katalógusban. Nem látják egymás katalógusait.
A Mamta létrehoz egy marketingkatalógust , amely egy erőforrástároló.
A Mamta hozzáadja a katalógushoz a marketingosztály által birtokolt erőforrásokat.
A Mamta felvehet más személyeket az adott részlegből katalógustulajdonosként a katalógushoz, ami segít megosztani a katalóguskezelési feladatokat.
A Mamta tovább delegálhatja a marketingkatalógusban lévő hozzáférési csomagok létrehozását és kezelését a marketingosztály projektmenedzsereinek. Ezt úgy teheti meg, hogy hozzárendeli őket a katalógus hozzáférési csomagkezelői szerepköréhez. A hozzáférési csomagkezelők hozzáférési csomagokat, szabályzatokat, kéréseket és hozzárendeléseket hozhatnak létre és kezelhetnek a katalógusban. Ha a katalógus lehetővé teszi, a hozzáférési csomag kezelője szabályzatokat konfigurálhat a csatlakoztatott szervezetek felhasználóinak behozására.
Az alábbi ábra a marketing, pénzügyi és jogi részlegek erőforrásait tartalmazó katalógusokat mutatja be. A katalógusok használatával a projektmenedzserek hozzáférési csomagokat hozhatnak létre a csapatukhoz vagy projektjeikhez.
A delegálás után előfordulhat, hogy a marketingosztály szerepkörei az alábbi táblázathoz hasonlóak.
Felhasználó | Szervezeti szerepkör | Microsoft Entra szerepkör | Jogosultságkezelési szerepkör |
---|---|---|---|
Hana | Informatikai rendszergazda | Globális rendszergazda vagy identitásirányítási rendszergazda | |
Mamta | Marketingmenedzser | Felhasználó | Katalógus létrehozója és katalógustulajdonosa |
Róbert | Marketing érdeklődő | Felhasználó | Katalógus tulajdonosa |
Jessica | Marketing projektmenedzser | Felhasználó | Access-csomagkezelő |
Jogosultságkezelési szerepkörök
A jogosultságkezelés a következő szerepkörökkel rendelkezik, amelyek maguk a jogosultságkezelés felügyeletére vonatkozó engedélyek az összes katalógusra vonatkoznak.
Jogosultságkezelési szerepkör | Szerepkördefiníció azonosítója | Leírás |
---|---|---|
Katalógus létrehozója | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
Katalógusok létrehozása és kezelése. Általában olyan informatikai rendszergazda, aki nem globális rendszergazda, vagy erőforrás-tulajdonos egy erőforráscsoporthoz. A katalógust létrehozó személy automatikusan a katalógus első tulajdonosa lesz, és további katalógustulajdonosokat vehet fel. A katalógus létrehozója nem tudja kezelni vagy megtekinteni a nem saját katalógusokat, és nem tud erőforrásokat hozzáadni a katalógushoz. Ha a katalógus létrehozójának egy másik katalógust kell kezelnie, vagy olyan erőforrásokat kell hozzáadnia, amelyek nem a tulajdonában vannak, kérheti, hogy a katalógus vagy erőforrás társtulajdonosa legyen. |
A jogosultságkezelés az egyes katalógusokhoz az alábbi szerepkörökben van definiálva a hozzáférési csomagok és a katalóguson belüli egyéb konfigurációk felügyeletéhez. A rendszergazda vagy a katalógus tulajdonosa felhasználókat, felhasználói csoportokat vagy szolgáltatásneveket vehet fel ezekbe a szerepkörökbe.
Jogosultságkezelési szerepkör | Szerepkördefiníció azonosítója | Leírás |
---|---|---|
Katalógus tulajdonosa | ae79f266-94d4-4dab-b730-feca7e132178 |
A katalógusban lévő hozzáférési csomagok és egyéb erőforrások szerkesztése és kezelése. Általában egy informatikai rendszergazda vagy erőforrás-tulajdonos, vagy egy felhasználó, akit a katalógus tulajdonosa választott. |
Katalógusolvasó | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
Meglévő hozzáférési csomagok megtekintése katalóguson belül. |
Access-csomagkezelő | 7f480852-ebdc-47d4-87de-0d8498384a83 |
Szerkessze és kezelje a katalógus összes meglévő hozzáférési csomagjait. |
Hozzáférési csomag hozzárendelés-kezelője | e2182095-804a-4656-ae11-64734e9b7ae5 |
Szerkessze és kezelje a meglévő hozzáférési csomagok hozzárendeléseit. |
Emellett a kiválasztott jóváhagyó és a hozzáférési csomag kérelmezője rendelkezik jogosultságokkal, bár nem szerepkörök.
Right | Leírás |
---|---|
Jóváhagyó | A szabályzat engedélyezi a csomagok elérésére irányuló kérelmek jóváhagyását vagy elutasítását, de nem módosíthatják a hozzáférési csomag definícióit. |
Requestor | A hozzáférési csomag szabályzata engedélyezi a hozzáférési csomag kérését. |
Az alábbi táblázat felsorolja azokat a feladatokat, amelyeket a jogosultságkezelési szerepkörök el tudnak végezni a jogosultságkezelésben.
A tevékenységek legkevésbé kiemelt szerepkörének meghatározásához a Microsoft Entra ID-ban rendszergazdai feladatonként is hivatkozhat Rendszergazda istrator szerepkörökre.
Erőforrások katalógushoz való hozzáadásához szükséges szerepkörök
A globális rendszergazdák bármely csoportot (felhőben létrehozott biztonsági csoportokat vagy felhőalapú Microsoft 365-csoportok), alkalmazást vagy SharePoint Online-webhelyet hozzáadhatnak vagy eltávolíthatnak egy katalógusban.
Megjegyzés:
A felhasználói rendszergazdai szerepkörrel rendelkező felhasználók többé nem hozhatnak létre katalógusokat, és nem kezelhetik a hozzáférési csomagokat egy olyan katalógusban, amelyben nem rendelkeznek. A katalógustulajdonos felhasználói rendszergazda felveheti vagy eltávolíthatja a katalógusban lévő összes csoportot vagy alkalmazást, kivéve a címtárszerepkörhöz hozzárendelhetőként konfigurált csoportot. A szerepkör-hozzárendelhető csoportokkal kapcsolatos további információkért tekintse meg a Szerepkör-hozzárendelhető csoport létrehozása a Microsoft Entra-azonosítóban című témakört. Ha a szervezet felhasználói rendszergazdai szerepkörrel rendelkeznek a katalógusok, hozzáférési csomagok vagy szabályzatok jogosultságkezelésben való konfigurálásához, ezeket a felhasználókat inkább identitásszabályozási rendszergazdai szerepkörrel kell hozzárendelnie.
Ha egy felhasználó nem globális rendszergazda, és csoportokat, alkalmazásokat vagy SharePoint Online-webhelyeket szeretne hozzáadni egy katalógushoz, az adott felhasználónak képesnek kell lennie műveletek végrehajtására az adott erőforráson, és katalógustulajdonosi szerepkörrel kell rendelkeznie a katalógus jogosultságkezelésében. A felhasználók leggyakrabban úgy hajthatnak végre műveleteket egy erőforráson, ha Microsoft Entra címtárszerepkörrel rendelkeznek, amely lehetővé teszi számukra az erőforrás felügyeletét. Vagy a tulajdonosokkal rendelkező erőforrások esetében a felhasználó műveleteket hajthat végre úgy, hogy az erőforrás tulajdonosaként lett hozzárendelve.
Azok a műveletek, amelyeket a jogosultságkezelés ellenőriz, amikor egy felhasználó erőforrást ad hozzá egy katalógushoz, a következők:
- Biztonsági csoport vagy Microsoft 365-csoport hozzáadásához: a felhasználónak engedélyeznie kell a műveletek és
microsoft.directory/groups/owners/update
műveletekmicrosoft.directory/groups/members/update
végrehajtását - Alkalmazás hozzáadásához: a felhasználónak engedélyeznie kell a
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
művelet végrehajtását - SharePoint Online-webhely hozzáadásához: a felhasználónak SharePoint-Rendszergazda istratornak kell lennie, vagy SharePoint Online-webhelyszerepkörrel kell rendelkeznie, amely lehetővé teszi számukra a webhely engedélyeinek kezelését
Az alábbi táblázat felsorol néhány olyan szerepkör-kombinációt, amelyek tartalmazzák azokat a műveleteket, amelyek lehetővé teszik a szerepkör-kombinációk felhasználói számára, hogy erőforrásokat vegyenek fel egy katalógusba. Az erőforrások katalógusból való eltávolításához ugyanazokkal a műveletekkel is rendelkeznie kell szerepkörrel vagy tulajdonjoggal.
Microsoft Entra címtárszerepkör | Jogosultságkezelési szerepkör | Biztonsági csoport hozzáadása | Felveheti a Microsoft 365-csoportot | Alkalmazás hozzáadása | SharePoint Online-webhely hozzáadása |
---|---|---|---|---|---|
Globális rendszergazda | n.a. | ✔️ | ✔️ | ✔️ | ✔️ |
Identitásszabályozási Rendszergazda istrator | n.a. | ✔️ | |||
Csoportok Rendszergazda istrator | Katalógus tulajdonosa | ✔️ | ✔️ | ||
Intune Rendszergazda istrator | Katalógus tulajdonosa | ✔️ | ✔️ | ||
Exchange Rendszergazda istrator | Katalógus tulajdonosa | ✔️ | |||
SharePoint Rendszergazda istrator | Katalógus tulajdonosa | ✔️ | ✔️ | ||
Application Administrator | Katalógus tulajdonosa | ✔️ | |||
Felhőalkalmazás-rendszergazda | Katalógus tulajdonosa | ✔️ | |||
Felhasználó | Katalógus tulajdonosa | Csak akkor, ha a csoport tulajdonosa | Csak akkor, ha a csoport tulajdonosa | Csak akkor, ha az alkalmazás tulajdonosa |
Vendégfelhasználói életciklus delegált kezelése
A vendégmeghívói jogosultságokkal rendelkező szerepkörben lévő felhasználók általában meghívhatnak egyéni külső felhasználókat egy szervezetbe, és ez a beállítás a külső együttműködési beállítások használatával módosítható.
A külső együttműködés kezeléséhez, ha az együttműködési projekt egyes külső felhasználói nem feltétlenül ismertek előre, a külső szervezetekkel dolgozó felhasználók jogosultságkezelési szerepkörökhöz való hozzárendelése lehetővé teszi számukra, hogy katalógusokat, csomagokat és szabályzatokat konfiguráljanak a külső együttműködéshez. Ezek a konfigurációk lehetővé teszik a külső felhasználók számára, hogy kérhessék és hozzáadják őket a szervezet címtárához és hozzáférési csomagjaihoz.
- Ahhoz, hogy a csatlakoztatott szervezetek külső címtáraiban lévő felhasználók hozzáférési csomagokat igényelhessenek egy katalógusban, a külső felhasználók számára engedélyezett katalógusbeállítást Igen értékre kell állítani. Ezt a beállítást a katalógus rendszergazdája vagy katalógustulajdonosa módosíthatja.
- A hozzáférési csomagnak szabályzatkészlettel kell rendelkeznie a címtárban nem szereplő felhasználók számára is. Ezt a szabályzatot a katalógus rendszergazdája, katalógustulajdonosa vagy hozzáférési csomagkezelője hozhatja létre.
- A szabályzattal rendelkező hozzáférési csomagok lehetővé teszik a hatókörben lévő felhasználók számára, hogy hozzáférést kérjenek, beleértve a címtárban még nem szereplő felhasználókat is. Ha a kérést jóváhagyták, vagy nem igényel jóváhagyást, a rendszer automatikusan hozzáadja a felhasználót a címtárhoz.
- Ha a házirend-beállítás a Minden felhasználóra érvényes volt, és a felhasználó nem tagja egy meglévő csatlakoztatott szervezetnek, akkor a rendszer automatikusan létrehoz egy új javasolt csatlakoztatott szervezetet. Megtekintheti a csatlakoztatott szervezetek listáját, és eltávolíthatja a már nem szükséges szervezeteket.
Azt is beállíthatja, hogy mi történik, ha egy jogosultságkezelés által behozott külső felhasználó elveszíti az utolsó hozzárendelését bármely hozzáférési csomaghoz. A külső felhasználók életciklusának kezeléséhez letilthatja, hogy bejelentkezhessenek ebbe a könyvtárba, vagy eltávolíttathatja a vendégfiókjukat.
A delegált rendszergazdák korlátozása a nem címtárban lévő felhasználók házirendjeinek konfigurálására
Megakadályozhatja, hogy a rendszergazdai szerepkörökben nem szereplő felhasználók meghívják az egyes vendégeket a külső együttműködési beállításokban, ha a Vendégmeghívó beállításai beállítást adott rendszergazdai szerepkörökre módosítja, és a vendég önkiszolgáló regisztrációjánakengedélyezése beállítás értéke Nem.
Annak érdekében, hogy a delegált felhasználók ne konfigurálhassák a jogosultságkezelést, hogy a külső felhasználók külső együttműködést kérjenek, mindenképpen közölje ezt a korlátozást az összes globális rendszergazdával, identitásszabályozási rendszergazdával, katalóguskészítővel és katalógustulajdonossal, mivel képesek a katalógusok módosítására, hogy véletlenül ne engedélyezzenek új együttműködést az új vagy frissített katalógusokban. Biztosítaniuk kell, hogy a katalógusok engedélyezve legyenek a külső felhasználókszámára nem értékre, és ne rendelkezzenek olyan hozzáférési csomagokkal, amelyek házirendekkel teszik lehetővé, hogy a címtárban nem szereplő felhasználók kérhessenek.
A Külső felhasználók számára jelenleg engedélyezett katalógusok listáját a Microsoft Entra Felügyeleti központban tekintheti meg.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelési>katalógusokat.
Módosítsa a külső felhasználók számára engedélyezett szűrőbeállítást Igen értékre.
Ha bármelyik katalógus nem nulla számú hozzáférési csomaggal rendelkezik, előfordulhat, hogy ezek a hozzáférési csomagok szabályzattal rendelkeznek a címtárban nem szereplő felhasználók számára.
Szerepkör-hozzárendelések kezelése jogosultságkezelési szerepkörökhöz programozott módon
A Microsoft Graph használatával megtekintheti és frissítheti a katalóguskészítőket és a jogosultságkezelési katalógusspecifikus szerepkör-hozzárendeléseket. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All
engedéllyel rendelkező alkalmazással rendelkező felhasználók meghívhatják a Graph API-t a jogosultságkezelés szerepkör-definícióinak listázására, valamint a szerepkör-hozzárendelések listázására az adott szerepkör-definíciókhoz.
Ha például meg szeretné tekinteni az adott felhasználóhoz vagy csoporthoz hozzárendelt jogosultságkezelés-specifikus szerepköröket, a Graph-lekérdezéssel listázhatja a szerepkör-hozzárendeléseket, és a lekérdezési szűrő értékeként megadhatja a principalId
felhasználó vagy csoport azonosítóját.
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq '10850a21-5283-41a6-9df3-3d90051dd111'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
Egy katalógusra jellemző szerepkör esetén a appScopeId
válaszban az a katalógus látható, amelyben a felhasználóhoz szerepkör van rendelve. Ez a válasz csak az adott tag explicit hozzárendeléseit kéri le a jogosultságkezelésben betöltött szerepkörhöz, nem ad vissza eredményeket egy címtárszerepkörön vagy egy szerepkörhöz hozzárendelt csoport tagságán keresztül hozzáférési jogosultsággal rendelkező felhasználó számára.