Samouczek: zarządzanie dostępem do zasobów w zarządzaniu upoważnieniami

Zarządzanie dostępem do wszystkich potrzebnych zasobów, takich jak grupy, aplikacje i witryny, jest ważną funkcją dla organizacji. Chcesz przyznać pracownikom odpowiedni poziom dostępu, który muszą być produktywne i usunąć dostęp, gdy nie jest już potrzebny.

W tym samouczku pracujesz dla banku Woodgrove Bank jako administrator IT. Poproszono Cię o utworzenie pakietu zasobów dla kampanii marketingowej, której użytkownicy wewnętrzni mogą używać do samoobsługowego żądania. Żądania nie wymagają zatwierdzenia, a dostęp użytkownika wygasa po upływie 30 dni. W tym samouczku zasoby kampanii marketingowej są tylko członkostwem w jednej grupie, ale może to być kolekcja grup, aplikacji lub witryn usługi SharePoint Online.

Diagram przedstawiający omówienie scenariusza.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Tworzenie pakietu dostępu z grupą jako zasobem
  • Zezwalanie użytkownikowi w katalogu na żądanie dostępu
  • Pokazuj, jak użytkownik wewnętrzny może zażądać pakietu dostępu

Aby zapoznać się z instrukcją krok po kroku dotyczącą procesu wdrażania zarządzania upoważnieniami usługi Azure Active Directory, w tym tworzenia pierwszego pakietu dostępu, zobacz następujący film wideo:

W dalszej części tego artykułu użyto Azure Portal do skonfigurowania i zademonstrowania zarządzania upoważnieniami.

Wymagania wstępne

Aby móc korzystać z zarządzania upoważnieniami, musisz mieć jedną z następujących licencji:

  • Usługa Azure AD — wersja Premium P2
  • Licencja Enterprise Mobility + Security (EMS) E5

Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.

Krok 1. Konfigurowanie użytkowników i grup

Katalog zasobów ma co najmniej jeden zasób do udostępnienia. W tym kroku utworzysz grupę o nazwie Zasoby marketingowe w katalogu Banku Woodgrove Bank, która jest zasobem docelowym do zarządzania upoważnieniami. Skonfigurujesz również wewnętrznego żądającego.

Rola wymagań wstępnych: administrator globalny lub administrator użytkowników

Diagram przedstawiający użytkowników i grupy na potrzeby tego samouczka.

  1. Zaloguj się do Azure Portal jako administrator administrator globalny lub administrator użytkowników.

  2. W obszarze nawigacji po lewej stronie wybierz pozycję Azure Active Directory.

  3. Utwórz dwóch użytkowników. Użyj następujących nazw lub różnych nazw.

    Nazwa Rola katalogu
    Administrator1 administrator globalny lub administrator użytkowników. Ten użytkownik może być użytkownikiem, który jest obecnie zalogowany.
    Requestor1 Użytkownik
  4. Utwórz grupę zabezpieczeń Azure AD o nazwie Zasoby marketingowe z typem członkostwa Przypisane. Ta grupa będzie docelowym zasobem do zarządzania upoważnieniami. Aby rozpocząć, grupa powinna być pusta.

Krok 2. Tworzenie pakietu dostępu

Pakiet dostępu to pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. W tym kroku utworzysz pakiet dostępu do kampanii marketingowej w katalogu ogólnym .

Rola wymagań wstępnych: administrator globalny, Administrator ładu tożsamości, Administrator użytkowników, Właściciel wykazu lub Menedżer pakietów programu Access

Diagram opisujący relację między elementami pakietu dostępu.

  1. W Azure Portal w obszarze nawigacji po lewej stronie wybierz pozycję Azure Active Directory.

  2. W menu po lewej stronie wybierz pozycję Zarządzanie tożsamościami

  3. W menu po lewej stronie wybierz pozycję Pakiety dostępu. Jeśli widzisz komunikat Odmowa dostępu, upewnij się, że w katalogu znajduje się licencja Azure AD — wersja Premium P2.

  4. Wybierz pozycję Nowy pakiet dostępu.

    Zrzuty ekranu przedstawiające sposób tworzenia pakietu dostępu.

  5. Na karcie Podstawowe wpisz nazwę Pakiet dostępu kampanii marketingowej i opis Dostęp do zasobów dla kampanii.

  6. Pozostaw listę rozwijaną Wykaz ustawioną na Ogólne.

    Zrzut ekranu przedstawiający sposób ustawiania podstawowych zasad dostępu.

  7. Wybierz przycisk Dalej , aby otworzyć kartę Role zasobów . Na tej karcie wybierz zasoby i rolę zasobu do uwzględnienia w pakiecie dostępu. Możesz zarządzać dostępem do grup i zespołów, aplikacji i witryn usługi SharePoint Online. W tym scenariuszu wybierz pozycję Grupy i zespoły.

    Zrzut ekranu przedstawiający sposób wybierania grup i zespołów.

  8. W okienku Wybieranie grup znajdź i wybierz utworzoną wcześniej grupę Zasobów marketingowych .

    Domyślnie grupy są widoczne w katalogu ogólnym. Po wybraniu grupy spoza wykazu ogólnego, które można sprawdzić, czy zaznaczysz pole wyboru Zobacz wszystko , zostanie ono dodane do wykazu ogólnego.

    Zrzut ekranu przedstawiający sposób wybierania grup

  9. Wybierz pozycję Wybierz , aby dodać grupę do listy.

  10. Z listy rozwijanej Rola wybierz pozycję Członek. Jeśli wybierzesz rolę Właściciel, umożliwia użytkownikom dodawanie lub usuwanie innych członków lub właścicieli. Aby uzyskać więcej informacji na temat wybierania odpowiednich ról dla zasobu, przeczytaj dodawanie ról zasobów.

    Zrzut ekranu przedstawiający sposób wybierania roli członka.

    Ważne

    Grupy z możliwością przypisywania ról dodane do pakietu dostępu będą wskazywane przy użyciu podtypu Przypisywanie do ról. Aby uzyskać więcej informacji, zapoznaj się z artykułem Tworzenie grupy z możliwością przypisania roli . Należy pamiętać, że gdy grupa z możliwością przypisania ról znajduje się w wykazie pakietów dostępu, użytkownicy administracyjni, którzy mogą zarządzać w zarządzaniu upoważnieniami, w tym administratorami globalnymi, administratorami użytkowników i właścicielami wykazu wykazu, będą mogli kontrolować pakiety dostępu w katalogu, umożliwiając im wybór, kto może zostać dodany do tych grup. Jeśli nie widzisz grupy z możliwością przypisania ról, którą chcesz dodać lub nie możesz jej dodać, upewnij się, że masz wymaganą rolę Azure AD i rolę zarządzania uprawnieniami do wykonania tej operacji. Może być konieczne wyświetlenie prośby o dodanie zasobu do katalogu przez osobę z wymaganymi rolami. Aby uzyskać więcej informacji, zobacz Wymagane role, aby dodać zasoby do wykazu.

    Uwaga

    W przypadku korzystania z grup dynamicznych nie będą widoczne żadne inne role dostępne poza właścicielem. Jest to celowe. Zrzuty ekranu przedstawiające role dostępne w grupie dynamicznej.

  11. Wybierz przycisk Dalej , aby otworzyć kartę Żądania . Na karcie Żądania utworzysz zasady żądania. Zasady definiują reguły lub zabezpieczenia w celu uzyskania dostępu do pakietu dostępu. Utworzysz zasady, które umożliwiają określonemu użytkownikowi w katalogu zasobów żądanie tego pakietu dostępu.

  12. W sekcji Użytkownicy, którzy mogą żądać dostępu , wybierz pozycję Dla użytkowników w katalogu , a następnie wybierz pozycję Konkretni użytkownicy i grupy.

    Zrzut ekranu przedstawiający kartę Żądania pakietów dostępu.

  13. Wybierz pozycję Dodaj użytkowników i grupy.

  14. W okienku Wybieranie użytkowników i grup wybierz utworzonego wcześniej użytkownika Requestor1 .

    Zrzut ekranu przedstawiający wybieranie użytkowników i grup.

  15. Wybierz pozycję Wybierz , aby dodać użytkownika do listy.

  16. Przewiń w dół do sekcji Zatwierdzenia i Włącz żądania .

  17. Pozostaw opcję Wymagaj zatwierdzenia ustawioną na Nie.

  18. W obszarze Włącz żądania wybierz pozycję Tak , aby umożliwić zażądanie tego pakietu dostępu zaraz po jego utworzeniu.

  19. Wybierz przycisk Dalej , aby otworzyć kartę Informacje o żądaniu .

    Zrzuty ekranu przedstawiający zatwierdzanie kart żądań i włączanie ustawień żądań.

  20. Na karcie Informacje o żądaniu możesz zadać pytania, aby zebrać więcej informacji od osoby żądającej. Pytania są wyświetlane w formularzu żądania i mogą być wymagane lub opcjonalne. W tym scenariuszu nie poproszono Cię o dołączenie informacji o żądaniu do pakietu dostępu, dzięki czemu można pozostawić te pola puste. Wybierz przycisk Dalej , aby otworzyć kartę Cykl życia .

  21. Na karcie Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Można również określić, czy użytkownicy mogą rozszerzyć swoje przypisania. W sekcji Wygaśnięcie :

    1. Ustaw pozycję Przydziały pakietu programu Access wygasają na liczba dni.
    2. Ustaw pozycję Przypisania wygasają poupływie 30 dni.
    3. Pozostaw wartość domyślną Użytkownicy mogą żądać określonej osi czasu , Tak.
    4. Ustaw opcję Wymagaj przeglądów dostępu na nie.

    Zrzut ekranu przedstawiający kartę cyklu życia pakietu dostępu

  22. Pomiń krok Rozszerzenia niestandardowe (wersja zapoznawcza).

  23. Wybierz przycisk Dalej , aby otworzyć kartę Przeglądanie i tworzenie .

  24. Na karcie Przeglądanie + tworzenie wybierz pozycję Utwórz. Po kilku chwilach powinno zostać wyświetlone powiadomienie o pomyślnym utworzeniu pakietu dostępu.

  25. W menu po lewej stronie pakietu dostępu do kampanii marketingowej wybierz pozycję Przegląd.

  26. Skopiuj link Mój portal dostępu.

    Użyjesz tego linku do następnego kroku.

    Zrzut ekranu przedstawiający sposób kopiowania linku do zasad dostępu.

Krok 3. Żądanie dostępu

W tym kroku wykonasz kroki jako wewnętrzny żądającego i zażądasz dostępu do pakietu dostępu. Żądani przesyłają swoje żądania przy użyciu witryny o nazwie Mój portal dostępu. Portal Mój dostęp umożliwia żądaniom przesyłanie żądań dotyczących pakietów dostępu, wyświetlanie pakietów dostępu, do których już mają dostęp, i wyświetlanie historii żądań.

Rola wymagań wstępnych: Wewnętrzny żądającego

  1. Wyloguj się z Azure Portal.

  2. W nowym oknie przeglądarki przejdź do linku Mój portal dostępu skopiowanego w poprzednim kroku.

  3. Zaloguj się do portalu Mój dostęp jako requestor1.

    Powinien zostać wyświetlony pakiet dostępu do kampanii marketingowej .

  4. W polu Uzasadnienie biznesowe wpisz uzasadnienie , dla których pracuję nad nową kampanią marketingową.

    Zrzut ekranu portalu Mój dostęp z listą pakietów dostępu.

  5. Wybierz pozycję Prześlij.

  6. W menu po lewej stronie wybierz pozycję Historia żądań , aby sprawdzić, czy żądanie zostało dostarczone. Aby uzyskać więcej informacji, wybierz pozycję Wyświetl.

    Zrzut ekranu przedstawiający historię żądań portalu Mój dostęp.

Krok 4. Sprawdzanie, czy dostęp został przypisany

W tym kroku potwierdzisz, że wewnętrzny żądający został przypisany pakiet dostępu i że jest teraz członkiem grupy zasobów marketingowych .

Rola wymagań wstępnych: administrator globalny, administrator użytkowników, właściciel katalogu lub menedżer pakietów programu Access

  1. Wyloguj się z portalu Mój dostęp.

  2. Zaloguj się do Azure Portal jako Administrator1.

  3. Wybierz pozycję Azure Active Directory , a następnie wybierz pozycję Zarządzanie tożsamościami.

  4. W menu po lewej stronie wybierz pozycję Pakiety dostępu.

  5. Znajdź i wybierz pozycję Pakiet dostępu do kampanii marketingowej .

  6. W menu po lewej stronie wybierz pozycję Żądania.

    Powinny zostać wyświetlone pozycje Requestor1 i Initial policy ze stanem Dostarczono.

  7. Wybierz żądanie, aby wyświetlić szczegóły żądania.

    Zrzut ekranu przedstawiający szczegóły żądania pakietu dostępu.

  8. W obszarze nawigacji po lewej stronie wybierz pozycję Azure Active Directory.

  9. Wybierz pozycję Grupy i otwórz grupę Zasobów marketingowych .

  10. Wybierz pozycję Członkowie.

    Element Requestor1 powinien być wyświetlany jako członek.

    Zrzut ekranu przedstawiający obiekt żądającego, który został dodany do grupy zasobów marketingowych.

Krok 5. Czyszczenie zasobów

W tym kroku usuniesz wprowadzone zmiany i usuniesz pakiet dostępu do kampanii marketingowej .

Rola wymagań wstępnych: administrator globalny lub administrator użytkowników

  1. W Azure Portal wybierz pozycję Azure Active Directory, a następnie wybierz pozycję Zarządzanie tożsamościami.

  2. Otwórz pakiet dostępu do kampanii marketingowej .

  3. Wybierz pozycję Przypisania.

  4. W polu Requestor1 wybierz wielokropek (...), a następnie wybierz pozycję Usuń dostęp. W wyświetlonym komunikacie wybierz pozycję Tak.

    Po kilku chwilach stan zmieni się z Dostarczono na Wygasłe.

  5. Wybierz pozycję Role zasobów.

  6. W obszarze Zasoby marketingowe wybierz wielokropek (...), a następnie wybierz pozycję Usuń rolę zasobu. W wyświetlonym komunikacie wybierz pozycję Tak.

  7. Otwórz listę pakietów dostępu.

  8. W obszarze Marketing Campaign (Kampania marketingowa) wybierz wielokropek (...), a następnie wybierz pozycję Usuń. W wyświetlonym komunikacie wybierz pozycję Tak.

  9. W usłudze Azure Active Directory usuń wszystkich użytkowników utworzonych przez Ciebie, takich jak Requestor1 i Admin1.

  10. Usuń grupę Zasobów marketingowych .

Konfigurowanie zapisywania zwrotnego grup w zarządzaniu upoważnieniami

Aby skonfigurować zapisywanie zwrotne grup dla grup platformy Microsoft 365 w pakietach dostępu, należy spełnić następujące wymagania wstępne:

  • Konfigurowanie zapisywania zwrotnego grup w centrum administracyjnym usługi Azure Active Directory.
  • Jednostka organizacyjna (OU), która będzie używana do konfigurowania zapisywania zwrotnego grup w konfiguracji programu Azure AD Connect.
  • Wykonaj kroki włączania zapisywania zwrotnego grup dla programu Azure AD Connect.

Za pomocą zapisywania zwrotnego grup można teraz synchronizować grupy platformy Microsoft 365, które są częścią pakietów dostępu do lokalna usługa Active Directory. Aby zsynchronizować grupy, wykonaj poniższe kroki:

  1. Utwórz grupę usługi Microsoft 365 w usłudze Azure Active Directory.

  2. Ustaw grupę do zapisania z powrotem na lokalna usługa Active Directory. Aby uzyskać instrukcje, zobacz Zapisywanie zwrotne grup w centrum administracyjnym usługi Azure Active Directory.

  3. Dodaj grupę do pakietu dostępu jako rolę zasobu. Aby uzyskać wskazówki, zobacz Tworzenie nowego pakietu dostępu .

  4. Przypisz użytkownika do pakietu dostępu. Aby uzyskać instrukcje dotyczące bezpośredniego przypisywania użytkownika , zobacz Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu .

  5. Po przypisaniu użytkownika do pakietu dostępu upewnij się, że użytkownik jest teraz członkiem grupy lokalnej po zakończeniu cyklu synchronizacji programu Azure AD Connect:

    1. Wyświetlanie właściwości elementu członkowskiego grupy w lokalnej jednostki organizacyjnej OR
    2. Przejrzyj element członkowski obiektu użytkownika.

Uwaga

domyślny harmonogram cyklu synchronizacji programu Azure AD Connect jest co 30 minut. Może być konieczne zaczekać na następny cykl, aby zobaczyć wyniki lokalnie lub ręcznie uruchomić cykl synchronizacji, aby zobaczyć wyniki wcześniej.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się więcej o typowych krokach scenariuszy zarządzania upoważnieniami.