Delegowanie i role w zarządzaniu upoważnieniami
W usłudze Microsoft Entra ID można używać modeli ról do zarządzania dostępem na dużą skalę za pośrednictwem ładu tożsamości.
- Za pomocą pakietów dostępu można reprezentować role organizacyjne w organizacji, takie jak "przedstawiciel handlowy". Pakiet dostępu reprezentujący rolę organizacji będzie zawierał wszystkie prawa dostępu, których przedstawiciel handlowy może zwykle potrzebować w wielu zasobach.
- Aplikacje mogą definiować własne role. Jeśli na przykład masz aplikację sprzedaży, a aplikacja zawierała rolę aplikacji "sprzedawca" w manifeście, możesz dołączyć rolę z manifestu aplikacji w pakiecie dostępu. Aplikacje mogą również używać grup zabezpieczeń w scenariuszach, w których użytkownik może mieć wiele ról specyficznych dla aplikacji jednocześnie.
- Role można użyć do delegowania dostępu administracyjnego. Jeśli masz wykaz dla wszystkich pakietów dostępu wymaganych przez sprzedaż, możesz przypisać kogoś, kto będzie odpowiedzialny za ten wykaz, przypisując im rolę specyficzną dla wykazu.
W tym artykule omówiono sposób używania ról do zarządzania aspektami w ramach zarządzania upoważnieniami firmy Microsoft w celu kontrolowania dostępu do zasobów zarządzania upoważnieniami.
Domyślnie użytkownicy w roli globalnego Administracja istratora lub roli Administracja istratora zarządzania tożsamościami mogą tworzyć wszystkie aspekty zarządzania upoważnieniami i zarządzać nimi. Jednak użytkownicy w tych rolach mogą nie znać wszystkich sytuacji, w których wymagane są pakiety dostępu. Zazwyczaj jest to użytkownicy w odpowiednich działach, zespołach lub projektach, którzy wiedzą, z kim współpracują, używają zasobów i jak długo. Zamiast udzielać nieograniczonych uprawnień innym niż administratorzy, możesz przyznać użytkownikom najmniejsze uprawnienia, których potrzebują do wykonania swojej pracy, i uniknąć tworzenia konfliktów lub nieodpowiednich praw dostępu.
Ten klip wideo zawiera omówienie delegowania ładu dostępu od administratora IT do użytkowników, którzy nie są administratorami.
Przykład delegowania
Aby zrozumieć, jak można delegować ład dostępu w zarządzaniu upoważnieniami, warto rozważyć przykład. Załóżmy, że Twoja organizacja ma następujących administratorów i menedżerów.
Jako administrator IT platforma Hana ma kontakty w każdym dziale — Mamta w marketingu, Mark in Finance i Joe w firmie Legal, którzy są odpowiedzialni za zasoby swojego działu i zawartość krytyczną dla działania firmy.
Dzięki zarządzaniu upoważnieniami można delegować ład dostępu do tych administratorów, ponieważ są one tymi, którzy wiedzą, którzy użytkownicy potrzebują dostępu, jak długo i do jakich zasobów. Delegowanie do osób niebędących administratorami gwarantuje, że odpowiednie osoby zarządzają dostępem do swoich działów.
Oto jeden ze sposobów, w jaki platforma Hana może delegować nadzór nad dostępem do działu marketingowego, finansowego i prawnego.
Platforma Hana tworzy nową grupę zabezpieczeń Firmy Microsoft Entra i dodaje mamta, Mark i Joe jako członkowie grupy.
Platforma Hana dodaje grupę do roli twórców wykazu.
Mamta, Mark i Joe mogą teraz tworzyć katalogi dla swoich działów, dodawać zasoby, których potrzebują działy, i wykonywać dalsze delegowanie w katalogu. Nie widzą ze sobą katalogów.
Mamta tworzy katalog marketingowy, który jest kontenerem zasobów.
Mamta dodaje zasoby, które dział marketingu jest właścicielem tego wykazu.
Mamta może dodawać inne osoby z tego działu jako właścicieli wykazu dla tego wykazu, co ułatwia udostępnianie obowiązków związanych z zarządzaniem wykazem.
Mamta może dodatkowo delegować tworzenie pakietów dostępu i zarządzanie nimi w katalogu Marketing do menedżerów projektów w dziale marketingu. Może to zrobić, przypisując je do roli menedżera pakietów dostępu w katalogu. Menedżer pakietów dostępu może tworzyć pakiety dostępu oraz zarządzać nimi wraz z zasadami, żądaniami i przypisaniami w tym wykazie. Jeśli wykaz go zezwala, menedżer pakietów dostępu może skonfigurować zasady, aby umożliwić użytkownikom dostęp z połączonych organizacji.
Na poniższym diagramie przedstawiono wykazy z zasobami dla działów marketingowych, finansowych i prawnych. Przy użyciu tych katalogów menedżerowie projektów mogą tworzyć pakiety dostępu dla swoich zespołów lub projektów.
Po delegowaniu dział marketingu może mieć role podobne do poniższej tabeli.
| User | Rola organizacyjna | Rola Microsoft Entra | Rola zarządzania upoważnieniami |
|---|---|---|---|
| Hana | Administrator IT | Administrator globalny lub administrator ładu tożsamości | |
| Mamta | Menedżer marketingu | User | Twórca wykazu i właściciel wykazu |
| Robert | Marketingowy prowadzić | User | Właściciel wykazu |
| Jessica | Menedżer projektu marketingowego | User | Menedżer pakietów programu Access |
Role zarządzania upoważnieniami
Zarządzanie upoważnieniami ma następujące role z uprawnieniami do administrowania zarządzaniem upoważnieniami, które mają zastosowanie we wszystkich katalogach.
| Rola zarządzania upoważnieniami | Identyfikator definicji roli | opis |
|---|---|---|
| Twórca wykazu | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
Tworzenie wykazów i zarządzanie nimi. Zazwyczaj administrator IT, który nie jest administratorem globalnym lub właścicielem zasobów dla kolekcji zasobów. Osoba, która tworzy wykaz, automatycznie staje się pierwszym właścicielem wykazu i może dodać więcej właścicieli wykazu. Twórca wykazu nie może zarządzać wykazami ani wyświetlać ich wykazów, których nie posiadają i nie mogą dodawać zasobów, których nie posiadają do wykazu. Jeśli twórca wykazu musi zarządzać innym wykazem lub dodawać zasoby, których nie są właścicielami, może poprosić o współwłaściciel tego wykazu lub zasobu. |
Zarządzanie upoważnieniami ma następujące role, które są zdefiniowane dla każdego określonego wykazu, do administrowania pakietami dostępu i inną konfiguracją w katalogu. Administrator lub właściciel wykazu może dodawać użytkowników, grupy użytkowników lub jednostki usługi do tych ról.
| Rola zarządzania upoważnieniami | Identyfikator definicji roli | opis |
|---|---|---|
| Właściciel wykazu | ae79f266-94d4-4dab-b730-feca7e132178 |
Edytowanie pakietów dostępu i innych zasobów oraz zarządzanie nimi w wykazie. Zazwyczaj administrator IT lub właściciel zasobów albo użytkownik, który wybrał właściciela wykazu. |
| Czytelnik wykazu | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
Wyświetlanie istniejących pakietów dostępu w katalogu. |
| Menedżer pakietów programu Access | 7f480852-ebdc-47d4-87de-0d8498384a83 |
Edytuj wszystkie istniejące pakiety dostępu i zarządzaj nimi w katalogu. |
| Uzyskiwanie dostępu do menedżera przypisań pakietów | e2182095-804a-4656-ae11-64734e9b7ae5 |
Edytuj wszystkie istniejące przypisania pakietów dostępu i zarządzaj nimi. |
Ponadto wybrany osoba zatwierdzająca i osoba żądająca pakietu dostępu mają prawa, chociaż nie są to role.
| Right | opis |
|---|---|
| Osoba zatwierdzająca | Autoryzowane przez zasady do zatwierdzania lub odrzucania żądań dostępu do pakietów, chociaż nie mogą zmienić definicji pakietów dostępu. |
| Requestor | Autoryzowane przez zasady pakietu dostępu w celu żądania tego pakietu dostępu. |
W poniższej tabeli wymieniono zadania, które role zarządzania upoważnieniami mogą wykonywać w ramach zarządzania upoważnieniami.
Aby określić najmniej uprzywilejowaną rolę dla zadania, możesz również odwołać się do ról Administracja istratora według zadania administratora w identyfikatorze Entra firmy Microsoft.
Wymagane role do dodawania zasobów do wykazu
Administrator globalny może dodawać lub usuwać dowolną grupę (grupy zabezpieczeń utworzone w chmurze lub utworzone w chmurze Grupy Microsoft 365), aplikację lub witrynę usługi SharePoint Online w katalogu.
Uwaga
Użytkownicy, którym przypisano rolę administrator użytkowników, nie będą już mogli tworzyć katalogów ani zarządzać pakietami dostępu w wykazie, którego nie posiadają. Administrator użytkowników, który jest właścicielem wykazu, może dodać lub usunąć dowolną grupę lub aplikację w wykazie, którego jest właścicielem, z wyjątkiem grupy skonfigurowanej jako możliwe do przypisania do roli katalogu. Aby uzyskać więcej informacji na temat grup z możliwością przypisywania ról, zapoznaj się z tematem Create a role-assignable group in Microsoft Entra ID (Tworzenie grupy z możliwością przypisywania ról w usłudze Microsoft Entra ID). Jeśli użytkownicy w organizacji zostali przypisani do roli Administrator użytkowników w celu skonfigurowania katalogów, pakietów dostępu lub zasad w zarządzaniu upoważnieniami, należy przypisać tych użytkowników rolę administratora zarządzania tożsamościami.
W przypadku użytkownika, który nie jest administratorem globalnym, aby dodać grupy, aplikacje lub witryny usługi SharePoint Online do wykazu, użytkownik musi mieć zarówno możliwość wykonywania akcji na tym zasobie, jak i roli właściciela wykazu w zarządzaniu upoważnieniami dla wykazu. Najczęstszym sposobem, w jaki użytkownik może mieć możliwość wykonywania akcji dla zasobu, jest posiadanie roli katalogu Entra firmy Microsoft, która pozwala im administrować zasobem. W przypadku zasobów, które mają właścicieli, użytkownik może mieć możliwość wykonywania akcji przez przypisanie go jako właściciela zasobu.
Akcje, które umożliwiają zarządzanie upoważnieniami, sprawdzają, kiedy użytkownik dodaje zasób do katalogu:
- Aby dodać grupę zabezpieczeń lub grupę platformy Microsoft 365: użytkownik musi mieć uprawnienia do wykonywania
microsoft.directory/groups/members/updateakcji imicrosoft.directory/groups/owners/update - Aby dodać aplikację: użytkownik musi mieć zezwolenie na wykonanie
microsoft.directory/servicePrincipals/appRoleAssignedTo/updateakcji - Aby dodać witrynę usługi SharePoint Online: użytkownik musi być Administracja istratorem programu SharePoint lub być w roli witryny usługi SharePoint Online, co pozwala im zarządzać uprawnieniami w witrynie
W poniższej tabeli wymieniono niektóre kombinacje ról, które obejmują akcje, które umożliwiają użytkownikom w tych kombinacjach ról dodawanie zasobów do wykazu. Aby usunąć zasoby z wykazu, musisz również mieć rolę lub własność z tymi samymi akcjami.
| Rola katalogu Entra firmy Microsoft | Rola zarządzania upoważnieniami | Może dodać grupę zabezpieczeń | Może dodać grupę platformy Microsoft 365 | Może dodać aplikację | Może dodać witrynę usługi SharePoint Online |
|---|---|---|---|---|---|
| Globalny administrator usługi | nie dotyczy | ✔️ | ✔️ | ✔️ | ✔️ |
| Zarządzanie tożsamościami Administracja istrator | nie dotyczy | ✔️ | |||
| Administracja istrator grup | Właściciel wykazu | ✔️ | ✔️ | ||
| Administracja istrator usługi Intune | Właściciel wykazu | ✔️ | ✔️ | ||
| Administracja istrator programu Exchange | Właściciel wykazu | ✔️ | |||
| Administracja istrator programu SharePoint | Właściciel wykazu | ✔️ | ✔️ | ||
| Administrator aplikacji | Właściciel wykazu | ✔️ | |||
| Administrator aplikacji w chmurze | Właściciel wykazu | ✔️ | |||
| User | Właściciel wykazu | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel aplikacji |
Delegowane zarządzanie cyklem życia użytkownika-gościa
Zazwyczaj użytkownik w roli z uprawnieniami zapraszania gościa może zapraszać poszczególnych użytkowników zewnętrznych do organizacji, a to ustawienie można zmienić przy użyciu ustawień współpracy zewnętrznej.
W przypadku zarządzania współpracą zewnętrzną, w przypadku której indywidualni użytkownicy zewnętrzni projektu współpracy mogą nie być z wyprzedzeniem znani, przypisując użytkowników, którzy pracują z organizacjami zewnętrznymi w role zarządzania upoważnieniami, mogą umożliwić im konfigurowanie katalogów, uzyskiwanie dostępu do pakietów i zasad na potrzeby współpracy zewnętrznej. Te konfiguracje umożliwiają użytkownikom zewnętrznym, z którymi współpracują, aby poprosić o dodanie ich do katalogu organizacji i pakietów dostępu.
- Aby umożliwić użytkownikom w katalogach zewnętrznych z połączonych organizacji możliwość żądania pakietów dostępu w wykazie, ustawienie katalogu Włączone dla użytkowników zewnętrznych musi mieć wartość Tak. Zmiana tego ustawienia może być wykonywana przez administratora lub właściciela wykazu wykazu.
- Pakiet dostępu musi również mieć zestaw zasad dla użytkowników, którzy nie znajdują się w katalogu. Te zasady można utworzyć przez administratora, właściciela katalogu lub menedżera pakietów dostępu katalogu.
- Pakiet dostępu z takimi zasadami umożliwi użytkownikom w zakresie możliwość żądania dostępu, w tym użytkowników, którzy jeszcze nie znajdują się w twoim katalogu. Jeśli żądanie zostanie zatwierdzone lub nie wymaga zatwierdzenia, użytkownik zostanie automatycznie dodany do katalogu.
- Jeśli ustawienie zasad dotyczyło wszystkich użytkowników, a użytkownik nie był częścią istniejącej połączonej organizacji, zostanie automatycznie utworzona nowa proponowana połączona organizacja. Możesz wyświetlić listę połączonych organizacji i usunąć organizacje, które nie są już potrzebne.
Możesz również skonfigurować, co się stanie, gdy użytkownik zewnętrzny wprowadzony przez zarządzanie upoważnieniami utraci ostatnie przypisanie do dowolnych pakietów dostępu. Możesz zablokować logowanie się do tego katalogu lub usunąć ich konto gościa w ustawieniach w celu zarządzania cyklem życia użytkowników zewnętrznych.
Ograniczanie administratorów delegowanych do konfigurowania zasad dla użytkowników, którzy nie znajdują się w katalogu
Możesz uniemożliwić użytkownikom, którzy nie pełnią ról administracyjnych, zapraszanie poszczególnych gości w ustawieniach współpracy zewnętrznej przez zmianę ustawienia ustawienia zapraszania gościa na określone role administratora i ustawienie Włącz rejestrację samoobsługową gościa ustawioną na Nie.
Aby uniemożliwić użytkownikom delegowanym konfigurowanie zarządzania upoważnieniami w celu umożliwienia użytkownikom zewnętrznym żądań współpracy zewnętrznej, należy przekazać to ograniczenie wszystkim administratorom globalnym, administratorom ładu tożsamości, twórcom katalogu i właścicielom wykazu, ponieważ mogą zmieniać wykazy, aby nie zezwalali na nieumyślną współpracę w nowych lub zaktualizowanych katalogach. Należy upewnić się, że wykazy są ustawione z włączoną wartością Włączone dla użytkowników zewnętrznych na wartość Nie i nie mają żadnych pakietów dostępu z zasadami zezwalania użytkownikowi niemu na żądanie.
Listę wykazów, które są obecnie włączone dla użytkowników zewnętrznych, można wyświetlić w centrum administracyjnym firmy Microsoft Entra.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.
Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.
Zmień ustawienie filtru włączone dla użytkowników zewnętrznych na Tak.
Jeśli którykolwiek z tych katalogów ma niezerową liczbę pakietów dostępu, te pakiety dostępu mogą mieć zasady dla użytkowników, którzy nie znajdują się w katalogu.
Programowe zarządzanie przypisaniami ról do ról zarządzania upoważnieniami
Możesz również wyświetlać i aktualizować twórców wykazu oraz przypisań ról specyficznych dla katalogu uprawnień przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API programu Graph, aby wyświetlić listę definicji ról zarządzania upoważnieniami oraz wyświetlić listę przypisań ról do tych definicji ról.
Aby na przykład wyświetlić role specyficzne dla zarządzania upoważnieniami przypisane przez określonego użytkownika lub grupę, użyj zapytania programu Graph do wyświetlania listy przypisań ról i podaj identyfikator użytkownika lub grupy jako wartość filtru principalId zapytania, jak w sekcji
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq '10850a21-5283-41a6-9df3-3d90051dd111'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
W przypadku roli, która jest specyficzna dla wykazu, w odpowiedzi wskazuje wykaz, appScopeId w którym użytkownik ma przypisaną rolę. Ta odpowiedź pobiera tylko jawne przypisania tego podmiotu zabezpieczeń do roli w zarządzaniu upoważnieniami, nie zwraca wyników dla użytkownika, który ma prawa dostępu za pośrednictwem roli katalogu lub za pośrednictwem członkostwa w grupie przypisanej do roli.