Udostępnij za pośrednictwem


Samouczek: zarządzanie dostępem do zasobów w zarządzaniu upoważnieniami

Zarządzanie dostępem do wszystkich potrzebnych zasobów, takich jak grupy, aplikacje i witryny, jest ważną funkcją dla organizacji. Chcesz przyznać pracownikom odpowiedni poziom dostępu, który musi być produktywny i usunąć dostęp, gdy nie jest już potrzebny.

W tym samouczku pracujesz dla banku Woodgrove Bank jako administrator IT. Poproszono Cię o utworzenie pakietu zasobów dla kampanii marketingowej, której użytkownicy wewnętrzni mogą używać do samoobsługowego żądania. Żądania nie wymagają zatwierdzenia, a dostęp użytkownika wygasa po upływie 30 dni. W tym samouczku zasoby kampanii marketingowej są tylko członkostwem w jednej grupie, ale może to być kolekcja grup, aplikacji lub witryn usługi SharePoint Online.

Diagram przedstawiający przegląd scenariusza.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie pakietu dostępu z grupą jako zasobem
  • Zezwalanie użytkownikowi w katalogu na żądanie dostępu
  • Prezentacja sposobu, w jaki użytkownik wewnętrzny może zażądać pakietu dostępu

Aby zapoznać się z pokazem krok po kroku procesu wdrażania zarządzania upoważnieniami firmy Microsoft Entra, w tym tworzenia pierwszego pakietu dostępu, zobacz następujący film wideo:

W dalszej części tego artykułu do konfigurowania i demonstrowania zarządzania upoważnieniami używa centrum administracyjnego firmy Microsoft Entra.

Wymagania wstępne

Aby korzystać z zarządzania upoważnieniami, musisz mieć jedną z następujących licencji:

  • Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
  • Licencja Enterprise Mobility + Security (EMS) E5

Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.

Krok 1. Konfigurowanie użytkowników i grup

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Katalog zasobów ma co najmniej jeden zasób do udostępnienia. W tym kroku utworzysz grupę o nazwie Zasoby marketingowe w katalogu Banku Woodgrove Bank, która jest zasobem docelowym do zarządzania upoważnieniami. Konfigurujesz również wewnętrznego osoby żądającej.

Diagram przedstawiający użytkowników i grupy na potrzeby tego samouczka.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  3. Utwórz dwóch użytkowników. Użyj następujących nazw lub różnych nazw.

    Nazwisko Rola katalogu
    Administrator1 Co najmniej administrator ładu tożsamości. Ten użytkownik może być aktualnie zalogowanym użytkownikiem.
    Żądającego1 User
  4. Utwórz grupę zabezpieczeń Microsoft Entra o nazwie Zasoby marketingowe z typem członkostwa Przypisane. Ta grupa jest zasobem docelowym do zarządzania upoważnieniami. Aby rozpocząć, grupa powinna być pusta.

Krok 2. Tworzenie pakietu dostępu

Pakiet dostępu to pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. W tym kroku utworzysz pakiet dostępu kampanii marketingowej w katalogu ogólnym .

Diagram opisujący relację między elementami pakietu dostępu.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu.

  4. Podczas otwierania pakietu dostępu, jeśli zostanie wyświetlony komunikat Odmowa dostępu, upewnij się, że w katalogu znajduje się licencja Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra.

  5. Wybierz pozycję Nowy pakiet dostępu.

    Zrzuty ekranu przedstawiające sposób tworzenia pakietu dostępu.

  6. Na karcie Podstawowe wpisz nazwę Pakiet dostępu do kampanii marketingowej i opis Dostęp do zasobów dla kampanii.

  7. Pozostaw listę rozwijaną Wykaz ustawioną na Ogólne.

    Zrzut ekranu przedstawiający sposób ustawiania podstawowych zasad dostępu.

  8. Wybierz przycisk Dalej , aby otworzyć kartę Role zasobów. Na tej karcie wybierz zasoby i rolę zasobu do uwzględnienia w pakiecie dostępu. Możesz zarządzać dostępem do grup i zespołów, aplikacji i witryn usługi SharePoint Online. W tym scenariuszu wybierz pozycję Grupy i zespoły.

    Zrzut ekranu przedstawiający sposób wybierania grup i zespołów.

  9. W okienku Wybieranie grup znajdź i wybierz utworzoną wcześniej grupę Zasobów marketingowych.

    Domyślnie grupy są widoczne w wykazie ogólnym. Po wybraniu grupy spoza wykazu ogólnego, które można sprawdzić, jeśli zaznaczysz pole wyboru Zobacz wszystko , zostanie ono dodane do wykazu ogólnego.

    Zrzut ekranu przedstawiający sposób wybierania grup

  10. Wybierz pozycję Wybierz , aby dodać grupę do listy.

  11. Z listy rozwijanej Rola wybierz pozycję Członek. Jeśli wybierzesz rolę Właściciel, umożliwia użytkownikom dodawanie lub usuwanie innych członków lub właścicieli. Aby uzyskać więcej informacji na temat wybierania odpowiednich ról dla zasobu, przeczytaj dodawanie ról zasobów.

    Zrzut ekranu przedstawiający sposób wybierania roli członka.

    Ważne

    Grupy z możliwością przypisywania ról dodane do pakietu dostępu będą wskazywane przy użyciu podtypu Przypisywanie do ról. Aby uzyskać więcej informacji, zapoznaj się z artykułem Tworzenie grupy z możliwością przypisywania ról. Należy pamiętać, że gdy grupa z możliwością przypisania roli znajduje się w wykazie pakietów dostępu, użytkownicy administracyjni, którzy są w stanie zarządzać uprawnieniami, w tym użytkowników w roli administratora globalnego, użytkowników w roli Administratora ładu tożsamości i właścicieli katalogu, będą mogli kontrolować pakiety dostępu w katalogu, umożliwienie im wyboru, kto może zostać dodany do tych grup. Jeśli nie widzisz grupy z możliwością przypisania ról, którą chcesz dodać lub nie możesz jej dodać, upewnij się, że masz wymaganą rolę Microsoft Entra i rolę zarządzania upoważnieniami do wykonania tej operacji. Może być konieczne zwrócenie się do osoby z wymaganymi rolami o dodanie zasobu do katalogu. Aby uzyskać więcej informacji, zobacz Wymagane role, aby dodać zasoby do wykazu.

    Uwaga

    W przypadku korzystania z dynamicznych grup członkostwa nie zobaczysz żadnych innych ról dostępnych poza właścicielem. Jest to celowe. Zrzuty ekranu przedstawiające role dostępne dla grupy dynamicznej.

  12. Wybierz przycisk Dalej , aby otworzyć kartę Żądania . Na karcie Żądania utworzysz zasady żądania. Zasady definiują reguły lub bariery zabezpieczające w celu uzyskania dostępu do pakietu dostępu. Utworzysz zasady, które umożliwiają określonemu użytkownikowi w katalogu zasobów żądanie tego pakietu dostępu.

  13. W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Dla użytkowników w katalogu, a następnie wybierz pozycję Konkretni użytkownicy i grupy.

    Zrzut ekranu przedstawiający kartę Żądania pakietu dostępu.

  14. Wybierz pozycję Dodaj użytkowników i grupy.

  15. W okienku Wybieranie użytkowników i grup wybierz utworzonego wcześniej użytkownika Requestor1 .

    Zrzut ekranu przedstawiający wybieranie użytkowników i grup.

  16. Wybierz pozycję Wybierz , aby dodać użytkownika do listy.

  17. Przewiń w dół do sekcji Zatwierdzenie i Włącz żądania .

  18. Pozostaw opcję Wymagaj zatwierdzenia ustawioną na Nie.

  19. W obszarze Włącz żądania wybierz pozycję Tak , aby umożliwić zażądanie tego pakietu dostępu natychmiast po jego utworzeniu.

  20. Jeśli Twoja organizacja jest skonfigurowana do odbierania zweryfikowanych identyfikatorów, istnieje możliwość skonfigurowania pakietu dostępu w celu wymagania od żądających podania zweryfikowanego identyfikatora. Aby dowiedzieć się więcej, zobacz Konfigurowanie ustawień zweryfikowanego identyfikatora dla pakietu dostępu w zarządzaniu upoważnieniami (wersja zapoznawcza)

    Zrzut ekranu przedstawiający wybór selektora zweryfikowanego identyfikatora.

  21. Wybierz przycisk Dalej, aby otworzyć kartę Informacje o żądaniu.

    Zrzuty ekranu przedstawiający zatwierdzanie kart żądań i włączanie ustawień żądań.

  22. Na karcie Informacje o żądaniu możesz zadawać pytania, aby zebrać więcej informacji od osoby żądającej. Pytania są wyświetlane w formularzu żądania i mogą być wymagane lub opcjonalne. Możesz również określić, czy menedżer pracownika może żądać w ich imieniu, a jeśli jest wymagane zatwierdzenie, jeśli to zrobi. Jeśli zasady umożliwiają menedżerom żądanie w imieniu pracownika, menedżer odpowiada na pytania w imieniu pracownika, a nie siebie. Aby uzyskać więcej informacji na temat tej opcji, zobacz: Żądanie pakietu dostępu w imieniu innych użytkowników (wersja zapoznawcza). W tym scenariuszu nie poproszono Cię o dołączenie informacji osoby żądającej do pakietu dostępu, dzięki czemu można pozostawić te pola puste. Wybierz przycisk Dalej , aby otworzyć kartę Cykl życia .

  23. Na karcie Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Możesz również określić, czy użytkownicy mogą rozszerzać swoje przypisania. W sekcji Wygaśnięcie:

    1. Ustaw opcję Przydziały pakietów programu Access wygasają na Liczba dni.
    2. Ustaw opcję Przypisania wygasają po upływie 30 dni.
    3. Pozostaw opcję Użytkownicy mogą żądać określonej wartości domyślnej osi czasu, Tak.
    4. Dla opcji Wymagaj przeglądów dostępu ustaw wartość Nie.

    Zrzut ekranu przedstawiający kartę cyklu życia pakietu dostępu

  24. Pomiń krok Rozszerzenia niestandardowe.

  25. Wybierz przycisk Dalej , aby otworzyć kartę Przeglądanie i tworzenie .

  26. Na karcie Przeglądanie + tworzenie wybierz pozycję Utwórz. Po kilku chwilach powinno zostać wyświetlone powiadomienie o pomyślnym utworzeniu pakietu dostępu.

  27. W menu po lewej stronie pakietu dostępu do kampanii marketingowej wybierz pozycję Przegląd.

  28. Skopiuj link Mój portal dostępu.

    Użyjesz tego linku do następnego kroku.

    Zrzut ekranu przedstawiający sposób kopiowania linku do zasad dostępu.

Krok 3. Żądanie dostępu

W tym kroku wykonasz kroki jako wewnętrzny żądającego i zażądasz dostępu do pakietu dostępu. Żądających przesyłają swoje żądania przy użyciu witryny o nazwie Portal Mój dostęp. Portal Mój dostęp umożliwia żądaniom przesyłanie żądań dotyczących pakietów dostępu, zobacz pakiety dostępu, do których już mają dostęp, i wyświetlają historię żądań. Gdy nowy gość żąda pakietu dostępu w usłudze MyAccess, preferowany język jest oznaczany na podstawie języka przeglądarki MyAccess na żądanie. Dzięki temu nowi goście mogą odbierać komunikację e-mail w zrozumiałym języku.

Rola wymagań wstępnych: Wewnętrzny żądającego

  1. Wyloguj się z centrum administracyjnego firmy Microsoft Entra.

  2. W nowym oknie przeglądarki przejdź do linku Mój portal dostępu skopiowanego w poprzednim kroku.

  3. Zaloguj się do portalu Mój dostęp jako requestor1.

    Powinien zostać wyświetlony pakiet dostępu do kampanii marketingowej.

  4. W polu Uzasadnienie biznesowe wpisz uzasadnienie, dla których pracuję nad nową kampanią marketingową.

    Zrzut ekranu przedstawiający portal Mój dostęp z listą pakietów dostępu.

  5. Wybierz Prześlij.

  6. W menu po lewej stronie wybierz pozycję Historia żądań, aby sprawdzić, czy żądanie zostało dostarczone. Aby uzyskać więcej informacji, wybierz pozycję Widok.

    Zrzut ekranu przedstawiający historię żądań portalu Mój dostęp.

Krok 4. Sprawdzanie, czy przypisano dostęp

W tym kroku potwierdzisz, że wewnętrzny żądający został przypisany pakiet dostępu i że jest teraz członkiem grupy zasobów marketingowych.

  1. Wyloguj się z portalu Mój dostęp.

  2. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administrator 1, który jest co najmniej administratorem ładu tożsamości.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela katalogu i menedżera pakietów programu Access.

  3. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  4. Znajdź i wybierz pozycję Pakiet dostępu do kampanii marketingowej .

  5. W menu po lewej stronie wybierz pozycję Żądania.

    Powinna zostać wyświetlona wartość Requestor1 i zasady początkowe ze stanem Dostarczono.

  6. Wybierz żądanie, aby wyświetlić szczegóły żądania.

    Zrzut ekranu przedstawiający szczegóły żądania pakietu dostępu.

  7. W obszarze nawigacji po lewej stronie wybierz pozycję Tożsamość.

  8. Wybierz pozycję Grupy i otwórz grupę Zasobów marketingowych.

  9. Wybierz pozycję Członkowie.

    Element Requestor1 powinien zostać wyświetlony jako członek.

    Zrzut ekranu przedstawiający obiekt żądającego, który został dodany do grupy zasobów marketingowych.

Krok 5. Czyszczenie zasobów

W tym kroku usuniesz wprowadzone zmiany i usuniesz pakiet dostępu do kampanii marketingowej.

  1. W centrum administracyjnym firmy Microsoft Entra jako co najmniej administrator ładu tożsamości wybierz pozycję Zarządzanie tożsamościami.

  2. Otwórz pakiet dostępu do kampanii marketingowej.

  3. Wybierz pozycję Przypisania.

  4. W polu Requestor1 wybierz wielokropek (...), a następnie wybierz pozycję Usuń dostęp. W wyświetlonym komunikacie wybierz pozycję Tak.

    Po kilku chwilach stan zmieni się z Dostarczone na Wygasłe.

  5. Wybierz pozycję Role zasobów.

  6. W obszarze Zasoby marketingowe wybierz wielokropek (...), a następnie wybierz pozycję Usuń rolę zasobu. W wyświetlonym komunikacie wybierz pozycję Tak.

  7. Otwórz listę pakietów dostępu.

  8. W obszarze Kampania marketingowa wybierz wielokropek (...), a następnie wybierz pozycję Usuń. W wyświetlonym komunikacie wybierz pozycję Tak.

  9. W obszarze Tożsamość usuń wszystkich utworzonych użytkowników, takich jak Requestor1 i Admin1.

  10. Usuń grupę Zasobów marketingowych.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się więcej o typowych krokach scenariuszy zarządzania upoważnieniami.