Hozzáférés-szabályozás delegálása katalóguskészítőknek a jogosultságkezelésben
A katalógus erőforrások és hozzáférési csomagok tárolója. Katalógust akkor hoz létre, ha csoportosítani szeretné a kapcsolódó erőforrásokat és a csomagokat. Alapértelmezés szerint egy globális rendszergazda vagy identitásszabályozási rendszergazda létrehozhat egy katalógust, és további felhasználókat adhat hozzá katalógustulajdonosokként.
A szervezetek három módon delegálhatnak katalógusokat:
- A próbaprojektek első lépéseikor az identitásszabályozási rendszergazdák létrehozhatják és kezelhetik a katalógust. Később, amikor a próbaüzemről az éles környezetbe lépnek, delegálhatnak egy katalógust úgy, hogy nem rendszergazdákat rendelnek hozzá a katalógushoz, hogy a felhasználók fenntarthassák a szabályzatokat.
- Ha vannak olyan erőforrások, amelyek nem rendelkeznek tulajdonosokkal, akkor a rendszergazdák katalógusokat hozhatnak létre, hozzáadhatják ezeket az erőforrásokat az egyes katalógusokhoz, majd tulajdonosként nem rendszergazdákat rendelhetnek egy katalógushoz. Ez lehetővé teszi, hogy azok a felhasználók, akik nem rendszergazdák, és nem erőforrás-tulajdonosok, saját hozzáférési szabályzatokat kezelhessenek ezekhez az erőforrásokhoz.
- Ha az erőforrások rendelkeznek tulajdonosokkal, akkor a rendszergazdák felhasználók gyűjteményét , például dinamikus
All Employees
csoportot rendelhetnek a katalógus létrehozói szerepköréhez, így az adott csoporthoz tartozó és saját erőforrásokat használó felhasználók létrehozhatnak katalógust a saját erőforrásaikhoz.
Ez a cikk bemutatja, hogyan delegálhat olyan felhasználókat, akik nem rendszergazdák, így saját katalógusokat hozhatnak létre. Ezeket a felhasználókat hozzáadhatja a Microsoft Entra jogosultságkezelés által definiált katalógus létrehozói szerepköréhez. Hozzáadhat egyéni felhasználókat, vagy hozzáadhat egy csoportot, amelynek tagjai ezután katalógusokat hozhatnak létre. A katalógus létrehozása után hozzáadhatja a saját erőforrásaikat a katalógushoz. Hozzáférési csomagokat és szabályzatokat hozhatnak létre, beleértve a meglévő kapcsolt szervezetekre hivatkozó szabályzatokat is.
Ha már rendelkezik delegálandó katalógusokkal, folytassa az erőforráskatalógus létrehozásával és kezelésével foglalkozó cikkben.
Rendszergazdaként delegáljon egy katalógus létrehozójának
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Az alábbi lépéseket követve rendelhet hozzá egy felhasználót a katalógus létrehozói szerepköréhez.
Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozás>jogosultságkezelési>beállításait.
Válassza a Szerkesztés lehetőséget.
A Jogosultságkezelési szerepkör delegálása szakaszban válassza a Katalóguskészítők hozzáadása lehetőséget, és válassza ki azokat a felhasználókat vagy csoportokat, akikhez a jogosultságkezelési szerepkört delegálni szeretné.
Válassza a lehetőséget.
Válassza a Mentés lehetőséget.
Delegált szerepkörök hozzáférésének engedélyezése a Microsoft Entra felügyeleti központhoz
Ha engedélyezni szeretné, hogy a delegált szerepkörök, például a katalógus létrehozói és a hozzáférési csomagkezelők hozzáférjenek a Microsoft Entra felügyeleti központhoz a hozzáférési csomagok kezeléséhez, ellenőrizze a felügyeleti portál beállítását.
Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az Identitásfelhasználók>>felhasználói beállításait.
Győződjön meg arról, hogy a Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása nem értékre van állítva.
Szerepkör-hozzárendelések programozott kezelése
A Microsoft Graph használatával megtekintheti és frissítheti a katalóguskészítőket és a jogosultságkezelési katalógusspecifikus szerepkör-hozzárendeléseket. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All
engedéllyel rendelkező alkalmazással rendelkező felhasználók meghívhatják a Graph API-t a jogosultságkezelés szerepkör-definícióinak listázására, valamint a szerepkör-hozzárendelések listázására az adott szerepkör-definíciókhoz.
A katalógus létrehozói szerepkörhöz rendelt felhasználók és csoportok listájának lekéréséhez a definícióazonosítóval ba92d953-d8e0-4e39-a797-0cbedb0a89e8
rendelkező szerepkör a Graph-lekérdezést használja:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal