Konfigurowanie rozdzielania obowiązków kontrolnych dla pakietu dostępu w zarządzaniu upoważnieniami
W zarządzaniu upoważnieniami można skonfigurować wiele zasad z różnymi ustawieniami dla każdej społeczności użytkowników, które będą potrzebować dostępu za pośrednictwem pakietu dostępu. Na przykład pracownicy mogą potrzebować tylko zatwierdzenia przez menedżera, aby uzyskać dostęp do niektórych aplikacji, ale goście pochodzący z innych organizacji mogą wymagać zatwierdzenia zarówno sponsora, jak i menedżera działu zespołu zasobów. W zasadach dla użytkowników już w katalogu można określić określoną grupę użytkowników, którzy mogą żądać dostępu. Można jednak mieć wymóg, aby uniknąć uzyskania przez użytkownika nadmiernego dostępu. Aby spełnić to wymaganie, należy dodatkowo ograniczyć, kto może żądać dostępu, na podstawie dostępu, który ma już osoba żądającej.
Dzięki rozdzieleniu ustawień obowiązków w pakiecie dostępu można skonfigurować użytkownika, który jest członkiem grupy lub który ma już przypisanie do jednego pakietu dostępu, nie może zażądać innego pakietu dostępu.
Scenariusze rozdzielania kontroli obowiązków
Na przykład masz pakiet dostępu, kampanię marketingową, do której osoby w organizacji i innych organizacjach mogą żądać dostępu, aby pracować z działem marketingu organizacji podczas tej kampanii. Ponieważ pracownicy działu marketingu powinni mieć już dostęp do tego materiału kampanii marketingowej, nie chcesz, aby pracownicy działu marketingu prosili o dostęp do tego pakietu dostępu. Możesz też mieć już dynamiczną grupę członkostwa, pracowników działu marketingu ze wszystkimi pracownikami marketingu. Możesz wskazać, że pakiet dostępu jest niezgodny z dynamiczną grupą członkostwa. Następnie, jeśli pracownik działu marketingu szuka pakietu dostępu do żądania, nie mógł zażądać dostępu do pakietu dostępu kampanii marketingowej .
Podobnie możesz mieć aplikację z dwiema rolami aplikacji — Western Sales i Eastern Sales — reprezentującymi terytoria sprzedaży i chcesz mieć pewność, że użytkownik może mieć tylko jedno terytorium sprzedaży naraz. Jeśli masz dwa pakiety dostępu, jeden pakiet dostępu Western Territory dający rolę Western Sales i drugi pakiet dostępu Terytorium Wschodnie dające rolę Eastern Sales, możesz skonfigurować:
- pakiet dostępu terytorium zachodniego ma pakiet terytorium wschodniego jako niezgodny i
- Pakiet dostępu terytorium wschodniego ma pakiet Terytorium Zachodnie jako niezgodne.
Jeśli używasz programu Microsoft Identity Manager lub innych lokalnych systemów zarządzania tożsamościami w celu automatyzacji dostępu do aplikacji lokalnych, możesz również zintegrować te systemy z zarządzaniem upoważnieniami. Jeśli kontrolujesz dostęp do zintegrowanych aplikacji firmy Microsoft za pomocą zarządzania upoważnieniami i chcesz uniemożliwić użytkownikom niezgodny dostęp, możesz skonfigurować, że pakiet dostępu jest niezgodny z grupą. Może to być grupa, którą lokalny system zarządzania tożsamościami wysyła do firmy Microsoft Entra ID za pośrednictwem programu Microsoft Entra Connect. Ta kontrola gwarantuje, że użytkownik nie może zażądać pakietu dostępu, jeśli ten pakiet dostępu zapewni dostęp niezgodny z dostępem użytkownika w aplikacjach lokalnych.
Wymagania wstępne
Aby korzystać z zarządzania upoważnieniami i przypisywać użytkowników do uzyskiwania dostępu do pakietów, musisz mieć jedną z następujących licencji:
- Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
- Licencja Enterprise Mobility + Security (EMS) E5
Konfigurowanie innego pakietu dostępu lub członkostwa w grupie jako niezgodnego w celu żądania dostępu do pakietu dostępu
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Wykonaj następujące kroki, aby zmienić listę niezgodnych grup lub innych pakietów dostępu dla istniejącego pakietu dostępu:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Na stronie Pakiety dostępu otwórz pakiet dostępu, którego żądają użytkownicy.
W menu po lewej stronie wybierz pozycję Separacja obowiązków.
Lista na karcie Niezgodne pakiety dostępu zawiera inne pakiety dostępu. Jeśli użytkownik ma już przypisanie do pakietu dostępu na tej liście, nie będzie mógł zażądać tego pakietu dostępu.
Jeśli chcesz uniemożliwić użytkownikom, którzy mają już inne przypisanie pakietu dostępu z żądaniem tego pakietu dostępu, wybierz pozycję Dodaj pakiet dostępu i wybierz pakiet dostępu, który został już przypisany przez użytkownika. Ten pakiet dostępu zostanie następnie dodany do listy pakietów dostępu na karcie Niezgodne pakiety dostępu.
Jeśli chcesz uniemożliwić użytkownikom, którzy mają istniejące członkostwo w grupie w żądaniu tego pakietu dostępu, wybierz pozycję Dodaj grupę i wybierz grupę, w której już będzie znajdować się użytkownik. Ta grupa zostanie następnie dodana do listy grup na karcie Niezgodne grupy .
Jeśli chcesz, aby użytkownicy przypisani do tego pakietu dostępu nie mogli zażądać tego pakietu dostępu, ponieważ każda niezgodna relacja pakietu dostępu jest jednokierunkowa, przejdź do tego pakietu dostępu i dodaj ten pakiet dostępu jako niezgodny. Na przykład chcesz, aby użytkownicy z pakietem dostępu Terytorium Zachodnie nie mogli zażądać pakietu dostępu Terytorium Wschodniego, a użytkownicy z pakietem dostępu Terytorium Wschodniego nie mogą zażądać pakietu dostępu Terytorium Zachodnie. Jeśli najpierw w pakiecie dostępu Terytorium Zachodnie dodano pakiet dostępu Terytorium Wschodniego jako niezgodny, następnie przejdź do pakietu dostępu Terytorium Wschodniego i dodaj pakiet dostępu Terytorium Zachodnie jako niezgodne.
Programowe konfigurowanie niezgodnych pakietów dostępu za pomocą programu Graph
Grupy i inne pakiety dostępu, które są niezgodne z pakietem dostępu, można skonfigurować przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia lub aplikację z EntitlementManagement.ReadWrite.All uprawnieniem aplikacji, może wywołać interfejs API, aby dodać, usunąć i wyświetlić listę niezgodnych grup i pakietów dostępu pakietu dostępu.
Konfigurowanie niezgodnych pakietów dostępu za pomocą programu Microsoft PowerShell
Można również skonfigurować grupy i inne pakiety dostępu niezgodne z pakietem dostępu w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 1.16.0 lub nowszej.
Poniższy skrypt ilustruje użycie v1.0 profilu programu Graph w celu utworzenia relacji wskazującej inny pakiet dostępu jako niezgodny.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params
Wyświetlanie innych pakietów dostępu skonfigurowanych jako niezgodne z tym pakietem
Wykonaj następujące kroki, aby wyświetlić listę innych pakietów dostępu, które wskazują, że są one niezgodne z istniejącym pakietem dostępu:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Na stronie Pakiety dostępu otwórz pakiet dostępu.
W menu po lewej stronie wybierz pozycję Separacja obowiązków.
Wybierz pozycję Niezgodne z.
Identyfikowanie użytkowników, którzy mają już niezgodny dostęp do innego pakietu dostępu (wersja zapoznawcza)
Jeśli skonfigurowano niezgodne ustawienia dostępu w pakiecie dostępu, który ma już przypisanych użytkowników, możesz pobrać listę tych użytkowników, którzy mają ten dodatkowy dostęp. Ci użytkownicy, którzy mają również przypisanie do niezgodnego pakietu dostępu, nie będą mogli ponownie zażądać dostępu.
Wykonaj następujące kroki, aby wyświetlić listę użytkowników, którzy mają przypisania do dwóch pakietów dostępu.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Na stronie Pakiety dostępu otwórz pakiet dostępu, w którym skonfigurowano inny pakiet dostępu jako niezgodny.
W menu po lewej stronie wybierz pozycję Separacja obowiązków.
Jeśli w tabeli znajduje się wartość inna niż zero w kolumnie Dodatkowe dostęp dla drugiego pakietu dostępu, oznacza to, że istnieje co najmniej jeden użytkownik z przypisaniami.
Wybierz tę liczbę, aby wyświetlić listę niezgodnych przypisań.
Jeśli chcesz, możesz wybrać przycisk Pobierz , aby zapisać tę listę przypisań jako plik CSV.
Identyfikowanie użytkowników, którzy będą mieli niezgodny dostęp do innego pakietu dostępu
Jeśli konfigurujesz niezgodne ustawienia dostępu w pakiecie dostępu, który ma już przypisanych użytkowników, każdy z tych użytkowników, którzy mają również przypisanie do niezgodnego pakietu dostępu lub grup, nie będzie mógł ponownie zażądać dostępu.
Wykonaj następujące kroki, aby wyświetlić listę użytkowników, którzy mają przypisania do dwóch pakietów dostępu.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Otwórz pakiet dostępu, w którym konfigurujesz niezgodne przypisania.
W menu po lewej stronie wybierz pozycję Przypisania.
W polu Stan upewnij się, że wybrano stan Dostarczono.
Wybierz przycisk Pobierz i zapisz wynikowy plik CSV jako pierwszy plik z listą przypisań.
Na pasku nawigacyjnym wybierz pozycję Zarządzanie tożsamościami.
W menu po lewej stronie wybierz pozycję Pakiety dostępu, a następnie otwórz pakiet dostępu, który ma być wskazywany jako niezgodny.
W menu po lewej stronie wybierz pozycję Przypisania.
W polu Stan upewnij się, że wybrano stan Dostarczono .
Wybierz przycisk Pobierz i zapisz wynikowy plik CSV jako drugi plik z listą przypisań.
Użyj programu arkusza kalkulacyjnego, takiego jak program Excel, aby otworzyć dwa pliki.
Użytkownicy wymienieni w obu plikach mają już istniejące niezgodne przypisania.
Identyfikowanie użytkowników, którzy mają już niezgodny dostęp programowo
Przy użyciu programu Microsoft Graph można pobrać przypisania do pakietu dostępu, które są ograniczone tylko do tych użytkowników, którzy mają również przypisanie do innego pakietu dostępu. Użytkownik w roli administracyjnej z aplikacją, która ma delegowane uprawnienia EntitlementManagement.Read.All lub EntitlementManagement.ReadWrite.All może wywołać interfejs API, aby wyświetlić dodatkowy dostęp.
Identyfikowanie użytkowników, którzy mają już niezgodny dostęp przy użyciu programu PowerShell
Możesz również wysłać zapytanie do użytkowników, którzy mają przypisania do pakietu dostępu za pomocą Get-MgEntitlementManagementAssignment polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.0 lub nowszej.
Jeśli na przykład masz dwa pakiety dostępu, jeden z identyfikatorem 00aa00aa-bb11-cc22-dd33-44ee44ee44ee i drugim z identyfikatorem 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, możesz pobrać użytkowników, którzy mają przypisania do pierwszego pakietu dostępu, a następnie porównać je z użytkownikami, którzy mają przypisania do drugiego pakietu dostępu. Możesz również zgłosić użytkowników, którzy mają przypisania dostarczone do obu, przy użyciu skryptu programu PowerShell podobnego do następującego:
$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }
Konfigurowanie wielu pakietów dostępu dla scenariuszy zastępowania
Jeśli pakiet dostępu został skonfigurowany jako niezgodny, wówczas użytkownik, który ma przypisanie do tego niezgodnego pakietu dostępu, nie może zażądać pakietu dostępu ani nie może utworzyć nowego przypisania, które byłoby niezgodne.
Jeśli na przykład pakiet dostępu środowiska produkcyjnego oznaczył pakiet środowiska programistycznego jako niezgodny, a użytkownik ma przypisanie do pakietu dostępu środowiska deweloperskiego, menedżer pakietów dostępu dla środowiska produkcyjnego nie może utworzyć przypisania dla tego użytkownika do środowiska produkcyjnego. Aby kontynuować przypisywanie, należy najpierw usunąć istniejące przypisanie użytkownika do pakietu dostępu do środowiska deweloperskiego.
Jeśli istnieje wyjątkowa sytuacja, w której może być konieczne przesłonięcie reguł obowiązków, skonfigurowanie dodatkowego pakietu dostępu w celu przechwycenia użytkowników, którzy mają nakładające się prawa dostępu, wyjaśnić osobom zatwierdzającym, recenzentom i audytorom wyjątkowy charakter tych zadań.
Na przykład w przypadku scenariusza, w którym niektórzy użytkownicy będą musieli mieć jednocześnie dostęp do środowisk produkcyjnych i wdrożeniowych, można utworzyć nowy pakiet dostępu Środowiska produkcyjne i programistyczne. Ten pakiet dostępu może mieć jako role zasobów niektóre role zasobów pakietu dostępu środowiska produkcyjnego i niektóre role zasobów pakietu dostępu środowiska deweloperskiego.
Jeśli motywacją niezgodnego dostępu jest rola jednego zasobu jest problematyczna, ten zasób może zostać pominięty z połączonego pakietu dostępu i wymaga jawnego przypisania użytkownika do roli zasobu. Jeśli jest to aplikacja innej firmy lub własna aplikacja, możesz zapewnić nadzór, monitorując te przypisania ról przy użyciu skoroszytu działania przypisania roli aplikacji opisanego w następnej sekcji.
W zależności od procesów zapewniania ładu połączony pakiet dostępu może mieć następujące zasady:
- zasady przypisań bezpośrednich, tak aby tylko menedżer pakietów dostępu wchodził w interakcję z pakietem dostępu lub
- użytkownicy mogą żądać zasad dostępu, aby użytkownik mógł zażądać, z potencjalnie dodatkowym etapem zatwierdzania
Te zasady mogą mieć jako ustawienia cyklu życia krótszą liczbę dni wygaśnięcia niż zasady w innych pakietach dostępu lub wymagają częstszych przeglądów dostępu z regularnym nadzorem, dzięki czemu użytkownicy nie zachowują dostępu dłużej niż jest to konieczne.
Monitorowanie i raportowanie przypisań dostępu
Możesz użyć skoroszytów usługi Azure Monitor, aby uzyskać szczegółowe informacje na temat sposobu uzyskiwania dostępu przez użytkowników.
Skonfiguruj identyfikator entra firmy Microsoft w celu wysyłania zdarzeń inspekcji do usługi Azure Monitor.
Skoroszyt o nazwie Działanie pakietu programu Access wyświetla każde zdarzenie związane z określonym pakietem dostępu.
Aby sprawdzić, czy wprowadzono zmiany przypisań ról aplikacji dla aplikacji, która nie została utworzona z powodu przypisań pakietów dostępu, możesz wybrać skoroszyt o nazwie Działanie przypisania roli aplikacji. Jeśli wybierzesz opcję pominięcia działania uprawnień, zostaną wyświetlone tylko zmiany ról aplikacji, które nie zostały wprowadzone przez zarządzanie upoważnieniami. Na przykład zostanie wyświetlony wiersz, jeśli administrator globalny bezpośrednio przypisał użytkownika do roli aplikacji.
