Zelfstudie: Toegang tot resources beheren in rechtenbeheer

  • Artikel

Het beheren van toegang tot alle resources die werknemers nodig hebben, zoals groepen, toepassingen en sites, is een belangrijke functie voor organisaties. U wilt werknemers het juiste toegangsniveau verlenen dat ze productief moeten zijn en hun toegang verwijderen wanneer deze niet meer nodig is.

In deze zelfstudie werkt u als IT-beheerder voor de Woodgrove Bank. U bent gevraagd om een pakket met resources te maken voor een marketingcampagne die interne gebruikers kunnen gebruiken om een selfserviceaanvraag in te dienen. Voor aanvragen is geen goedkeuring vereist en verloopt de toegang van de gebruiker na 30 dagen. Voor deze zelfstudie zijn de resources van de marketingcampagne lid van slechts één groep, maar dit kan een verzameling van groepen, toepassingen of SharePoint Online-sites zijn.

Diagram that shows the scenario overview.

In deze zelfstudie leert u het volgende:

  • Een toegangspakket maken met een groep als een resource
  • Een gebruiker in uw directory toestaan om toegang aan te vragen
  • Hoe een interne gebruiker het toegangspakket kan aanvragen

Bekijk de volgende video voor een stapsgewijze demonstratie van het implementeren van Microsoft Entra-rechtenbeheer, inclusief het maken van uw eerste toegangspakket:

In deze rest van dit artikel wordt het Microsoft Entra-beheercentrum gebruikt om rechtenbeheer te configureren en te demonstreren.

Vereisten

Als u rechtenbeheer wilt gebruiken, moet u een van de volgende licenties hebben:

  • Microsoft Entra ID P2 of Microsoft Entra ID-governance
  • Licentie voor Enterprise Mobility + Security (EMS) E5

Zie Licentievereisten voor meer informatie.

Stap 1: Gebruikers en groep instellen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Een resourcedirectory bevat een of meer resources om te delen. In deze stap maakt u een groep met de naam Marketingresources in de directory Woodgrove Bank die de doelresource voor rechtenbeheer is. U stelt ook een interne aanvrager in.

Vereiste rol: globale beheerder of identiteitsbeheer-Beheer istrator

Diagram that shows the users and groups for this tutorial.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar toegangspakketten voor identiteitsbeheerrechten>>.

  3. Maak twee gebruikers. Gebruik de volgende namen of andere namen.

    Naam Directory-rol
    Admin1 Globale beheerder of Identity Governance-Beheer istrator. Deze gebruiker kan de gebruiker zijn die u momenteel hebt aangemeld.
    Requestor1 User

  4. Maak een Microsoft Entra-beveiligingsgroep met de naam Marketing-resources met een lidmaatschapstype Toegewezen. Deze groep is de doelresource voor rechtenbeheer. De groep moet leeg zijn.

Stap 2: Een toegangspakket maken

Een toegangspakket is een bundel resources die een team of project nodig heeft en die wordt beheerd met beleid. Toegangspakketten worden gedefinieerd in containers die catalogussen worden genoemd. In deze stap maakt u een toegangspakket voor een marketingcampagne in de catalogus Algemeen.

Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar of Access-pakketbeheer

Diagram that describes the relationship between the access package elements.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Access-pakketten een toegangspakket .

  4. Wanneer u het toegangspakket opent als u Toegang geweigerd ziet, controleert u of er een Microsoft Entra ID P2- of Microsoft Entra ID-governance-licentie aanwezig is in uw directory.

  5. Selecteer Nieuw toegangspakket.

    Screenshots that shows how to create an access package.

  6. Typ op het tabblad Basinformatie de naam Marketingcampagne-toegangspakket en de beschrijving Toegang tot resources voor de campagne.

  7. Laat de vervolgkeuzelijst Catalogus ingesteld op Algemeen.

    Screenshot showing how to set the basic of the access policy.

  8. Selecteer Volgende om het tabblad Resourcerollen te openen. Selecteer op dit tabblad de resources en de resourcerol die u wilt opnemen in het toegangspakket. U kunt ervoor kiezen om de toegang tot groepen en teams, toepassingen en SharePoint Online-sites te beheren. In dit scenario selecteert u Groepen en Teams.

    Screenshot showing how to select groups and teams.

  9. Zoek en selecteer in het deelvenster Groepen selecteren de marketingbronnengroep die u eerder hebt gemaakt.

    Standaard ziet u groepen binnen de catalogus Algemeen. Wanneer u een groep buiten de catalogus Algemeen selecteert, die u kunt zien als u het selectievakje Alles weergeven inschakelt, wordt deze toegevoegd aan de algemene catalogus.

    Screenshot that shows how to select the groups

  10. Kies Selecteren om de groep toe te voegen aan de lijst.

  11. Selecteer in de vervolgkeuzelijst Rol de optie Lid. Als u de rol Eigenaar selecteert, kunnen gebruikers hiermee andere leden of eigenaren toevoegen of verwijderen. Lees Resourcerollen toevoegen voor meer informatie over het selecteren van de juiste rollen voor een resource.

    Screenshot the shows how to select the member role.

    Belangrijk

    De rollentoewijzingsgroepen die aan een toegangspakket zijn toegevoegd, worden aangegeven met behulp van het subtype dat kan worden toegewezen aan rollen. Raadpleeg het artikel Een groep maken waaraan rollen kunnen worden toegewezen voor meer informatie. Houd er rekening mee dat zodra een roltoewijzingsbare groep aanwezig is in een toegangspakketcatalogus, gebruikers met beheerdersrechten die in rechtenbeheer kunnen beheren, waaronder gebruikers in de rol Global Beheer istrator, gebruikers in de rol Identity Governance Beheer istrator en cataloguseigenaren van de catalogus, de toegangspakketten in de catalogus kunnen beheren, zodat ze kunnen kiezen wie aan deze groepen kan worden toegevoegd. Als u geen roltoewijsbare groep ziet die u wilt toevoegen of als u deze niet kunt toevoegen, controleert u of u over de vereiste Microsoft Entra-rol en rechtenbeheerrol beschikt om deze bewerking uit te voeren. Mogelijk moet u iemand met de vereiste rollen vragen om de bron aan uw catalogus toe te voegen. Bekijk Vereiste rollen om bronnen aan een catalogus toe te voegen voor meer informatie.

    Notitie

    Wanneer u dynamische groepen gebruikt, ziet u behalve de eigenaar geen andere beschikbare rollen. Dit is standaard. Screenshots that shows a dynamic group available roles.

  12. Selecteer Volgende om het tabblad Aanvragen te openen. Op het tabblad Aanvragen maakt u een aanvraagbeleid. Een beleid definieert de regels of richtlijnen voor toegang tot een toegangspakket. U maakt een beleid waarmee een specifieke gebruiker in de resourcedirectory dit toegangspakket kan aanvragen.

  13. Selecteer in de sectie Gebruikers die toegang kunnen aanvragen voor gebruikers in uw directory en selecteer vervolgens Specifieke gebruikers en groepen.

    Screenshot of the access package requests tab.

  14. Selecteer Gebruikers en groepen toevoegen.

  15. Selecteer in het deelvenster Gebruikers en groepen selecteren de gebruiker Requestor1 die u eerder hebt gemaakt.

    Screenshot of select users and groups.

  16. Kies Selecteren om de gebruiker toe te voegen aan de lijst.

  17. Schuif omlaag naar de secties Goedkeuring en Aanvragen inschakelen.

  18. Laat Goedkeuring vereisen ingesteld op Nee.

  19. Voor Aanvragen inschakelen selecteert u Ja om dit toegangspakket in te schakelen zodra het is gemaakt.

  20. Als uw organisatie is ingesteld voor het ontvangen van geverifieerde id's, is er een optie om een toegangspakket te configureren zodat aanvragers een geverifieerde id moeten opgeven. Zie voor meer informatie: Geverifieerde id-instellingen configureren voor een toegangspakket in rechtenbeheer (preview)

    Screenshot of the Verified ID picker selection.

  21. Selecteer Volgende om het tabblad Informatie van aanvrager te openen.

    Screenshots of the requests tab approval and enable requests settings.

  22. Op het tabblad Requestor-informatie kunt u vragen stellen om meer informatie van de aanvrager te verzamelen. De vragen worden weergegeven op het aanvraagformulier en kunnen verplicht of optioneel zijn. In dit scenario bent u niet gevraagd om aanvragergegevens voor het toegangspakket op te nemen, zodat u deze vakken leeg kunt laten. Selecteer Volgende om het tabblad Levenscyclus te openen.

  23. Op het tabblad Levenscyclus geeft u op wanneer de toewijzing van een gebruiker aan het toegangspakket verloopt. U kunt ook opgeven of gebruikers hun toewijzingen kunnen verlengen. In de sectie Vervaldatum :

    1. Stel de toewijzingen van access-pakketten in opAantal dagen.
    2. Stel in dat de toewijzingen na 30 dagen verlopen.
    3. Laat de gebruikers de standaardwaarde voor de specifieke tijdlijn aanvragen, Ja.
    4. Stel toegangsbeoordelingen vereisen in op Nee.

    Screenshot of the access package lifecycle tab

  24. Sla de stap aangepaste extensies over.

  25. Selecteer Volgende om het tabblad Beoordelen en maken te openen.

  26. Selecteer Maken op het tabblad Beoordelen en maken. Na enkele ogenblikken ziet u een melding dat het toegangspakket is gemaakt.

  27. Selecteer Overzicht in het linkermenu van het toegangspakket marketingcampagne.

  28. Kopieer de Koppeling voor de portal Mijn toegang.

    U gebruikt deze koppeling voor de volgende stap.

    Screenshot that demonstrates how to copy the link to the access policy.

Stap 3: Toegang aanvragen

In deze stap voert u de stappen uit als de interne aanvrager en vraagt u toegang tot het toegangspakket aan. Aanvragers verzenden hun aanvragen via de portal Mijn toegang. Via de portal Mijn toegang kunnen aanvragers aanvragen voor toegangspakketten verzenden, de toegangspakketten waartoe ze al toegang hebben bekijken en hun aanvraaggeschiedenis weergeven. Wanneer een nieuwe gast een toegangspakket in MyAccess aanvraagt, wordt de voorkeurstaal op aanvraag gestempeld op basis van de myAccess-browsertaal. Hierdoor kunnen nieuwe gasten e-mailcommunicatie ontvangen in een taal die ze begrijpen.

Vereiste rol: Interne aanvrager

  1. Meld u af bij het Microsoft Entra-beheercentrum.

  2. Navigeer in een nieuw browservenster naar de koppeling voor de portal Mijn toegang die u in de vorige stap hebt gekopieerd.

  3. Meld u als Requestor1 bij de portal Mijn toegang aan.

    U ziet het toegangspakket Marketingcampagne.

  4. Typ in het vak Zakelijke reden de reden die ik aan de nieuwe marketingcampagne werk.

    Screenshot of the My Access portal listing the access packages.

  5. Selecteer Indienen.

  6. Selecteer in het menu links de optie Aanvraaggeschiedenis om te controleren of uw aanvraag is bezorgd. Selecteer Weergave voor meer informatie.

    Screenshot of the My Access portal request history.

Stap 4: Valideren dat toegang is toegewezen

In deze stap bevestigt u dat de interne aanvrager het toegangspakket heeft toegewezen en dat deze nu lid is van de groep Marketingresources .

Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar of Access-pakketbeheer

  1. Meld u af bij de portal Mijn toegang.

  2. Meld u als Beheer 1 aan bij het Microsoft Entra-beheercentrum.

  3. Blader naar toegangspakketten voor identiteitsbeheerrechten>>.

  4. Zoek en selecteer het toegangspakket marketingcampagne .

  5. Selecteer Aanvragen in het linkermenu.

    U ziet Requestor1 en het initiële beleid met de status Geleverd.

  6. Selecteer de aanvraag om de details van de aanvraag te bekijken.

    Screenshot of the access package request details.

  7. Selecteer Identiteit in het linkernavigatievenster.

  8. Selecteer Groepen en open de groep Marketingbronnen .

  9. Selecteer Leden.

    U ziet Requestor1 vermeld als een lid.

    Screenshot shows the requestor one has been added to the marketing resources group.

Stap 5: Resources opschonen

In deze stap verwijdert u de wijzigingen die u hebt aangebracht en verwijdert u het toegangspakket Marketingcampagne.

Vereiste rol: Globale Beheer istrator of Identity Governance-Beheer istrator

  1. In het Microsoft Entra-beheercentrum Identity Governance.

  2. Open het toegangspakket Marketingcampagne.

  3. Selecteer Opdrachten.

  4. Selecteer voor Requestor1 het beletselteken (...) en selecteer vervolgens Toegang verwijderen. Selecteer Ja in de melding die wordt weergegeven.

    Na enkele ogenblikken wordt de status gewijzigd van Geleverd in Verlopen.

  5. Selecteer Resourcerollen.

  6. Selecteer voor marketingresources het beletselteken (...) en selecteer vervolgens Resourcerol verwijderen. Selecteer Ja in de melding die wordt weergegeven.

  7. Open de lijst met toegangspakketten.

  8. Selecteer voor Marketingcampagne het beletselteken (...) en selecteer vervolgens Verwijderen. Selecteer Ja in de melding die wordt weergegeven.

  9. Verwijder in identiteit alle gebruikers die u hebt gemaakt, zoals Requestor1 en Beheer 1.

  10. Verwijder de groep Marketingresources.

Volgende stappen

Ga naar het volgende artikel voor meer informatie over veelvoorkomende scenariostappen in rechtenbeheer.

Algemene scenario's