Samouczek: zarządzanie dostępem do zasobów w zarządzaniu upoważnieniami

  • Artykuł

Zarządzanie dostępem do wszystkich potrzebnych zasobów, takich jak grupy, aplikacje i witryny, jest ważną funkcją dla organizacji. Chcesz przyznać pracownikom odpowiedni poziom dostępu, który musi być produktywny i usunąć dostęp, gdy nie jest już potrzebny.

W tym samouczku pracujesz dla banku Woodgrove Bank jako administrator IT. Poproszono Cię o utworzenie pakietu zasobów dla kampanii marketingowej, której użytkownicy wewnętrzni mogą używać do samoobsługowego żądania. Żądania nie wymagają zatwierdzenia, a dostęp użytkownika wygasa po upływie 30 dni. W tym samouczku zasoby kampanii marketingowej są tylko członkostwem w jednej grupie, ale może to być kolekcja grup, aplikacji lub witryn usługi SharePoint Online.

Diagram that shows the scenario overview.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie pakietu dostępu z grupą jako zasobem
  • Zezwalanie użytkownikowi w katalogu na żądanie dostępu
  • Prezentacja sposobu, w jaki użytkownik wewnętrzny może zażądać pakietu dostępu

Aby zapoznać się z pokazem krok po kroku procesu wdrażania zarządzania upoważnieniami firmy Microsoft Entra, w tym tworzenia pierwszego pakietu dostępu, zobacz następujący film wideo:

W dalszej części tego artykułu do konfigurowania i demonstrowania zarządzania upoważnieniami używa centrum administracyjnego firmy Microsoft Entra.

Wymagania wstępne

Aby korzystać z zarządzania upoważnieniami, musisz mieć jedną z następujących licencji:

  • Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
  • Licencja Enterprise Mobility + Security (EMS) E5

Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.

Krok 1. Konfigurowanie użytkowników i grup

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Katalog zasobów ma co najmniej jeden zasób do udostępnienia. W tym kroku utworzysz grupę o nazwie Zasoby marketingowe w katalogu Banku Woodgrove Bank, która jest zasobem docelowym do zarządzania upoważnieniami. Konfigurujesz również wewnętrznego osoby żądającej.

Rola wymagań wstępnych: administrator globalny lub Administracja istrator zarządzania tożsamościami

Diagram that shows the users and groups for this tutorial.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  3. Utwórz dwóch użytkowników. Użyj następujących nazw lub różnych nazw.

    Nazwisko Rola katalogu
    Administracja 1 Administrator globalny lub Administracja istrator zarządzania tożsamościami. Ten użytkownik może być aktualnie zalogowanym użytkownikiem.
    Żądającego1 User

  4. Utwórz grupę zabezpieczeń Microsoft Entra o nazwie Zasoby marketingowe z typem członkostwa Przypisane. Ta grupa jest zasobem docelowym do zarządzania upoważnieniami. Aby rozpocząć, grupa powinna być pusta.

Krok 2. Tworzenie pakietu dostępu

Pakiet dostępu to pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. W tym kroku utworzysz pakiet dostępu kampanii marketingowej w katalogu ogólnym .

Rola wymagań wstępnych: globalny Administracja istrator, Administracja istrator tożsamości, właściciel katalogu lub menedżer pakietów programu Access

Diagram that describes the relationship between the access package elements.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu.

  4. Podczas otwierania pakietu dostępu, jeśli zostanie wyświetlony komunikat Odmowa dostępu, upewnij się, że w katalogu znajduje się licencja Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra.

  5. Wybierz pozycję Nowy pakiet dostępu.

    Screenshots that shows how to create an access package.

  6. Na karcie Podstawowe wpisz nazwę Pakiet dostępu do kampanii marketingowej i opis Dostęp do zasobów dla kampanii.

  7. Pozostaw listę rozwijaną Wykaz ustawioną na Ogólne.

    Screenshot showing how to set the basic of the access policy.

  8. Wybierz przycisk Dalej , aby otworzyć kartę Role zasobów. Na tej karcie wybierz zasoby i rolę zasobu do uwzględnienia w pakiecie dostępu. Możesz zarządzać dostępem do grup i zespołów, aplikacji i witryn usługi SharePoint Online. W tym scenariuszu wybierz pozycję Grupy i zespoły.

    Screenshot showing how to select groups and teams.

  9. W okienku Wybieranie grup znajdź i wybierz utworzoną wcześniej grupę Zasobów marketingowych.

    Domyślnie grupy są widoczne w wykazie ogólnym. Po wybraniu grupy spoza wykazu ogólnego, które można sprawdzić, jeśli zaznaczysz pole wyboru Zobacz wszystko , zostanie ono dodane do wykazu ogólnego.

    Screenshot that shows how to select the groups

  10. Wybierz pozycję Wybierz , aby dodać grupę do listy.

  11. Z listy rozwijanej Rola wybierz pozycję Członek. Jeśli wybierzesz rolę Właściciel, umożliwia użytkownikom dodawanie lub usuwanie innych członków lub właścicieli. Aby uzyskać więcej informacji na temat wybierania odpowiednich ról dla zasobu, przeczytaj dodawanie ról zasobów.

    Screenshot the shows how to select the member role.

    Ważne

    Grupy z możliwością przypisywania ról dodane do pakietu dostępu będą wskazywane przy użyciu podtypu Przypisywanie do ról. Aby uzyskać więcej informacji, zapoznaj się z artykułem Tworzenie grupy z możliwością przypisywania ról. Należy pamiętać, że gdy grupa z możliwością przypisania roli znajduje się w katalogu pakietów dostępu, użytkownicy administracyjni, którzy mogą zarządzać uprawnieniami, w tym użytkownicy w roli Globalnej Administracja istrator, użytkownicy w roli Administracja istratora zarządzania tożsamościami i właściciele wykazu będą mogli kontrolować pakiety dostępu w katalogu, umożliwienie im wyboru, kto może zostać dodany do tych grup. Jeśli nie widzisz grupy z możliwością przypisania ról, którą chcesz dodać lub nie możesz jej dodać, upewnij się, że masz wymaganą rolę Microsoft Entra i rolę zarządzania upoważnieniami do wykonania tej operacji. Może być konieczne zwrócenie się do osoby z wymaganymi rolami o dodanie zasobu do katalogu. Aby uzyskać więcej informacji, zobacz Wymagane role, aby dodać zasoby do wykazu.

    Uwaga

    W przypadku korzystania z grup dynamicznych nie będą widoczne żadne inne role dostępne poza właścicielem. Jest to celowe. Screenshots that shows a dynamic group available roles.

  12. Wybierz przycisk Dalej , aby otworzyć kartę Żądania . Na karcie Żądania utworzysz zasady żądania. Zasady definiują reguły lub bariery zabezpieczające w celu uzyskania dostępu do pakietu dostępu. Utworzysz zasady, które umożliwiają określonemu użytkownikowi w katalogu zasobów żądanie tego pakietu dostępu.

  13. W sekcji Użytkownicy, którzy mogą zażądać dostępu, wybierz pozycję Dla użytkowników w katalogu, a następnie wybierz pozycję Konkretni użytkownicy i grupy.

    Screenshot of the access package requests tab.

  14. Wybierz pozycję Dodaj użytkowników i grupy.

  15. W okienku Wybieranie użytkowników i grup wybierz utworzonego wcześniej użytkownika Requestor1 .

    Screenshot of select users and groups.

  16. Wybierz pozycję Wybierz , aby dodać użytkownika do listy.

  17. Przewiń w dół do sekcji Zatwierdzenie i Włącz żądania .

  18. Pozostaw opcję Wymagaj zatwierdzenia ustawioną na Nie.

  19. W obszarze Włącz żądania wybierz pozycję Tak , aby umożliwić zażądanie tego pakietu dostępu natychmiast po jego utworzeniu.

  20. Jeśli Twoja organizacja jest skonfigurowana do odbierania zweryfikowanych identyfikatorów, istnieje możliwość skonfigurowania pakietu dostępu w celu wymagania od żądających podania zweryfikowanego identyfikatora. Aby dowiedzieć się więcej, zobacz Konfigurowanie ustawień zweryfikowanego identyfikatora dla pakietu dostępu w zarządzaniu upoważnieniami (wersja zapoznawcza)

    Screenshot of the Verified ID picker selection.

  21. Wybierz przycisk Dalej, aby otworzyć kartę Informacje o żądaniu.

    Screenshots of the requests tab approval and enable requests settings.

  22. Na karcie Informacje o żądaniu możesz zadawać pytania, aby zebrać więcej informacji od osoby żądającej. Pytania są wyświetlane w formularzu żądania i mogą być wymagane lub opcjonalne. W tym scenariuszu nie poproszono Cię o dołączenie informacji osoby żądającej do pakietu dostępu, dzięki czemu można pozostawić te pola puste. Wybierz przycisk Dalej , aby otworzyć kartę Cykl życia .

  23. Na karcie Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Możesz również określić, czy użytkownicy mogą rozszerzać swoje przypisania. W sekcji Wygaśnięcie:

    1. Ustaw opcję Przydziały pakietów programu Access wygasają na Liczba dni.
    2. Ustaw opcję Przypisania wygasają po upływie 30 dni.
    3. Pozostaw opcję Użytkownicy mogą żądać określonej wartości domyślnej osi czasu, Tak.
    4. Dla opcji Wymagaj przeglądów dostępu ustaw wartość Nie.

    Screenshot of the access package lifecycle tab

  24. Pomiń krok Rozszerzenia niestandardowe.

  25. Wybierz przycisk Dalej , aby otworzyć kartę Przeglądanie i tworzenie .

  26. Na karcie Przeglądanie + tworzenie wybierz pozycję Utwórz. Po kilku chwilach powinno zostać wyświetlone powiadomienie o pomyślnym utworzeniu pakietu dostępu.

  27. W menu po lewej stronie pakietu dostępu do kampanii marketingowej wybierz pozycję Przegląd.

  28. Skopiuj link Mój portal dostępu.

    Użyjesz tego linku do następnego kroku.

    Screenshot that demonstrates how to copy the link to the access policy.

Krok 3. Żądanie dostępu

W tym kroku wykonasz kroki jako wewnętrzny żądającego i zażądasz dostępu do pakietu dostępu. Żądających przesyłają swoje żądania przy użyciu witryny o nazwie Portal Mój dostęp. Portal Mój dostęp umożliwia żądaniom przesyłanie żądań dotyczących pakietów dostępu, zobacz pakiety dostępu, do których już mają dostęp, i wyświetlają historię żądań. Gdy nowy gość żąda pakietu dostępu w usłudze MyAccess, preferowany język jest oznaczany na podstawie języka przeglądarki MyAccess na żądanie. Dzięki temu nowi goście mogą odbierać komunikację e-mail w zrozumiałym języku.

Rola wymagań wstępnych: Wewnętrzny żądającego

  1. Wyloguj się z centrum administracyjnego firmy Microsoft Entra.

  2. W nowym oknie przeglądarki przejdź do linku Mój portal dostępu skopiowanego w poprzednim kroku.

  3. Zaloguj się do portalu Mój dostęp jako requestor1.

    Powinien zostać wyświetlony pakiet dostępu do kampanii marketingowej.

  4. W polu Uzasadnienie biznesowe wpisz uzasadnienie, dla których pracuję nad nową kampanią marketingową.

    Screenshot of the My Access portal listing the access packages.

  5. Wybierz Prześlij.

  6. W menu po lewej stronie wybierz pozycję Historia żądań, aby sprawdzić, czy żądanie zostało dostarczone. Aby uzyskać więcej informacji, wybierz pozycję Widok.

    Screenshot of the My Access portal request history.

Krok 4. Sprawdzanie, czy przypisano dostęp

W tym kroku potwierdzisz, że wewnętrzny żądający został przypisany pakiet dostępu i że jest teraz członkiem grupy zasobów marketingowych.

Rola wymagań wstępnych: globalny Administracja istrator, Administracja istrator tożsamości, właściciel katalogu lub menedżer pakietów programu Access

  1. Wyloguj się z portalu Mój dostęp.

  2. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja 1.

  3. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  4. Znajdź i wybierz pozycję Pakiet dostępu do kampanii marketingowej .

  5. W menu po lewej stronie wybierz pozycję Żądania.

    Powinna zostać wyświetlona wartość Requestor1 i zasady początkowe ze stanem Dostarczono.

  6. Wybierz żądanie, aby wyświetlić szczegóły żądania.

    Screenshot of the access package request details.

  7. W obszarze nawigacji po lewej stronie wybierz pozycję Tożsamość.

  8. Wybierz pozycję Grupy i otwórz grupę Zasobów marketingowych.

  9. Wybierz pozycję Członkowie.

    Element Requestor1 powinien zostać wyświetlony jako członek.

    Screenshot shows the requestor one has been added to the marketing resources group.

Krok 5. Czyszczenie zasobów

W tym kroku usuniesz wprowadzone zmiany i usuniesz pakiet dostępu do kampanii marketingowej.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

  1. W centrum administracyjnym firmy Microsoft Entra Identity Governance.

  2. Otwórz pakiet dostępu do kampanii marketingowej.

  3. Wybierz pozycję Przypisania.

  4. W polu Requestor1 wybierz wielokropek (...), a następnie wybierz pozycję Usuń dostęp. W wyświetlonym komunikacie wybierz pozycję Tak.

    Po kilku chwilach stan zmieni się z Dostarczone na Wygasłe.

  5. Wybierz pozycję Role zasobów.

  6. W obszarze Zasoby marketingowe wybierz wielokropek (...), a następnie wybierz pozycję Usuń rolę zasobu. W wyświetlonym komunikacie wybierz pozycję Tak.

  7. Otwórz listę pakietów dostępu.

  8. W obszarze Kampania marketingowa wybierz wielokropek (...), a następnie wybierz pozycję Usuń. W wyświetlonym komunikacie wybierz pozycję Tak.

  9. W obszarze Tożsamość usuń wszystkich utworzonych użytkowników, takich jak Requestor1 i Administracja 1.

  10. Usuń grupę Zasobów marketingowych.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się więcej o typowych krokach scenariuszy zarządzania upoważnieniami.

Typowe scenariusze