Delegowanie ładu dostępu do twórców katalogu w zarządzaniu upoważnieniami

  • Artykuł

Wykaz jest kontenerem zasobów i pakietów dostępu. Wykaz jest tworzony, gdy chcesz grupować powiązane zasoby i uzyskiwać dostęp do pakietów. Domyślnie administrator globalny lub administrator ładu tożsamości może utworzyć wykaz i dodać dodatkowych użytkowników jako właścicieli wykazu.

Istnieją trzy sposoby delegowania organizacji z wykazami:

  • Podczas rozpoczynania pracy w projekcie pilotażowym administratorzy ładu tożsamości mogą tworzyć wykaz i zarządzać nim. Później podczas przechodzenia z pilotażu do środowiska produkcyjnego mogą delegować wykaz , przypisując nieadministratorów jako właścicieli do katalogu, dzięki czemu ci użytkownicy będą mogli zachować zasady w przyszłości.
  • Jeśli istnieją zasoby, które nie mają właścicieli, administratorzy mogą tworzyć wykazy, dodawać te zasoby do każdego wykazu, a następnie przypisywać nieadministratorów jako właścicieli do wykazu. Dzięki temu użytkownicy, którzy nie są administratorami i nie są właścicielami zasobów, mogą zarządzać własnymi zasadami dostępu dla tych zasobów.
  • Jeśli zasoby mają właścicieli, administratorzy mogą przypisać kolekcję użytkowników, takich jak All Employees grupa dynamiczna, do roli twórców wykazu, aby użytkownik, który należy do tej grupy i własnych zasobów, może utworzyć wykaz dla własnych zasobów.

W tym artykule pokazano, jak delegować użytkowników, którzy nie są administratorami, aby mogli tworzyć własne wykazy. Możesz dodać tych użytkowników do roli twórcy katalogu zdefiniowanej przez firmę Microsoft Entra. Możesz dodać poszczególnych użytkowników lub dodać grupę, której członkowie będą mogli tworzyć katalogi. Po utworzeniu wykazu możesz dodać własne zasoby do katalogu. Mogą tworzyć pakiety dostępu i zasady, w tym zasady odwołujące się do istniejących połączonych organizacji.

Jeśli masz istniejące wykazy do delegowania, przejdź do artykułu Tworzenie katalogu zasobów i zarządzanie nim.

Jako administrator IT deleguj do twórcy wykazu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wykonaj następujące kroki, aby przypisać użytkownika do roli twórcy katalogu.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do pozycji Ustawienia zarządzania upoważnieniami>ładu tożsamości>.

  3. Zaznacz Edytuj.

    Settings to add catalog creators

  4. W sekcji Delegowanie zarządzania upoważnieniami wybierz pozycję Dodaj twórców wykazu, aby wybrać użytkowników lub grupy, do których chcesz delegować tę rolę zarządzania upoważnieniami.

  5. Wybierz pozycję Wybierz.

  6. Wybierz pozycję Zapisz.

Zezwalaj delegowanym rolam na dostęp do centrum administracyjnego firmy Microsoft Entra

Aby zezwolić delegowanym rolom, takim jak twórcy katalogu i menedżerom pakietów dostępu, aby uzyskać dostęp do centrum administracyjnego firmy Microsoft Entra w celu zarządzania pakietami dostępu, należy sprawdzić ustawienie portalu administracyjnego.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do pozycji Ustawienia użytkownika użytkownicy>tożsamości.>

  3. Upewnij się, że ustawienie Ogranicz dostęp do portalu administracyjnego firmy Microsoft Entra ma wartość Nie.

    Microsoft Entra user settings - Administration portal

Programowe zarządzanie przypisaniami ról

Możesz również wyświetlać i aktualizować twórców wykazu oraz przypisań ról specyficznych dla katalogu uprawnień przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API programu Graph, aby wyświetlić listę definicji ról zarządzania upoważnieniami oraz wyświetlić listę przypisań ról do tych definicji ról.

Aby pobrać listę użytkowników i grup przypisanych do roli twórców wykazu, rola z identyfikatorem ba92d953-d8e0-4e39-a797-0cbedb0a89e8definicji , użyj zapytania programu Graph:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Następne kroki