Tworzenie katalogu zasobów i zarządzanie nim w zarządzaniu upoważnieniami

W tym artykule pokazano, jak utworzyć wykaz zasobów i pakietów dostępu oraz zarządzać nim w zarządzaniu upoważnieniami.

Tworzenie katalogu

Wykaz jest kontenerem zasobów i pakietów dostępu. Wykaz jest tworzony, gdy chcesz grupować powiązane zasoby i uzyskiwać dostęp do pakietów. Administrator może utworzyć wykaz. Ponadto użytkownik delegowany do roli twórcy katalogu może utworzyć wykaz dla zasobów, których są właścicielami. Administrator, który tworzy wykaz, staje się pierwszym właścicielem wykazu. Właściciel wykazu może dodawać więcej użytkowników, grup użytkowników lub jednostek usługi aplikacji jako właścicieli wykazu.

Aby utworzyć wykaz:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

   Napiwek

   Inne role z najniższymi uprawnieniami, które mogą wykonać to zadanie, obejmują twórcę wykazu. Użytkownicy, którym przypisano rolę Administrator użytkowników, nie będą już mogli tworzyć katalogów ani zarządzać pakietami dostępu w wykazie, którego nie są właścicielami. Jeśli użytkownicy w organizacji zostali przypisani do roli Administrator użytkowników w celu skonfigurowania katalogów, pakietów dostępu lub zasad w zarządzaniu upoważnieniami, należy przypisać tych użytkowników rolę Administrator ładu tożsamości.

2. Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.

   

3. Wybierz pozycję Nowy wykaz.

4. Wprowadź unikatową nazwę wykazu i podaj opis.

   Użytkownicy widzą te informacje w szczegółach pakietu dostępu.

5. Jeśli chcesz, aby pakiety dostępu w tym wykazie były dostępne dla użytkowników żądań natychmiast po ich utworzeniu, ustaw wartość Włączone na Tak.

6. Jeśli chcesz zezwolić użytkownikom w katalogach zewnętrznych z połączonych organizacji, aby mogli żądać pakietów dostępu w tym wykazie, ustaw wartość Włączone dla użytkowników zewnętrznych na wartość Tak. Pakiety dostępu muszą również mieć zasady zezwalające użytkownikom z połączonych organizacji na żądanie. Jeśli pakiety dostępu w tym wykazie są przeznaczone tylko dla użytkowników już w katalogu, ustaw wartość Włączone dla użytkowników zewnętrznych na nie.

   

7. Wybierz pozycję Utwórz , aby utworzyć wykaz.

Programowe tworzenie wykazu

Istnieją dwa sposoby programowego tworzenia wykazu.

Tworzenie wykazu za pomocą programu Microsoft Graph

Wykaz można utworzyć przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia lub aplikację z EntitlementManagement.ReadWrite.All uprawnieniem aplikacji, może wywołać interfejs API, aby utworzyć wykaz.

Tworzenie wykazu przy użyciu programu PowerShell

Katalog można również utworzyć w programie PowerShell za pomocą New-MgEntitlementManagementCatalog polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.2.0 lub nowszej.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Dodawanie zasobów do wykazu

Aby uwzględnić zasoby w pakiecie dostępu, zasoby muszą istnieć w wykazie. Typy zasobów, które można dodać do katalogu, to grupy, aplikacje i witryny usługi SharePoint Online.

• Grupy mogą być tworzone w chmurze Grupy Microsoft 365 lub utworzone w chmurze grupy zabezpieczeń firmy Microsoft Entra.

  • Grupy pochodzące z lokalna usługa Active Directory nie mogą być przypisane jako zasoby, ponieważ nie można zmienić ich atrybutów właściciela lub członka w identyfikatorze Entra firmy Microsoft. Aby udzielić użytkownikowi dostępu do aplikacji korzystającej z członkostwa w grupach zabezpieczeń usługi AD, utwórz nową grupę zabezpieczeń w usłudze Microsoft Entra ID, skonfiguruj zapisywanie zwrotne grup w usłudze AD i włącz zapisywanie tej grupy w usłudze AD, aby grupa utworzona w chmurze mogła być używana przez aplikację opartą na usłudze AD.

  • Grupy pochodzące z usługi Exchange Online jako grupy dystrybucyjne nie mogą być modyfikowane w identyfikatorze Entra firmy Microsoft, więc nie można ich dodawać do wykazów.

• Aplikacje mogą być aplikacjami firmy Microsoft Entra dla przedsiębiorstw, które obejmują aplikacje typu oprogramowanie jako usługa (SaaS), aplikacje lokalne i własne aplikacje zintegrowane z identyfikatorem Microsoft Entra ID.

  • Jeśli aplikacja nie została jeszcze zintegrowana z identyfikatorem Entra firmy Microsoft, zobacz Zarządzanie dostępem do aplikacji w środowisku i integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i dodawanie aplikacji do katalogu przed dodaniem jej do katalogu.

  • Aby uzyskać więcej informacji na temat wybierania odpowiednich zasobów dla aplikacji z wieloma rolami, zobacz , jak określić, które role zasobów mają być uwzględniane w pakiecie dostępu.

• Witryny mogą być witrynami usługi SharePoint Online lub zbiorami witryn usługi SharePoint Online.

Uwaga

Wyszukaj witrynę programu SharePoint według nazwy witryny lub dokładny adres URL, ponieważ pole wyszukiwania uwzględnia wielkość liter.

Role wymagań wstępnych: zobacz Wymagane role, aby dodać zasoby do katalogu.

Aby dodać zasoby do katalogu:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.

3. Na stronie Wykazy otwórz katalog, do którego chcesz dodać zasoby.

4. W menu po lewej stronie wybierz pozycję Zasoby.

5. Wybierz pozycję Dodaj zasoby.

6. Wybierz grupy zasobów i zespoły, aplikacje lub witryny programu SharePoint.

   Jeśli nie widzisz zasobu, który chcesz dodać lub nie możesz dodać zasobu, upewnij się, że masz wymaganą rolę katalogu Entra firmy Microsoft i rolę zarządzania upoważnieniami. Może być konieczne dodanie zasobu do katalogu przez osobę z wymaganymi rolami. Aby uzyskać więcej informacji, zobacz Wymagane role, aby dodać zasoby do wykazu.

7. Wybierz co najmniej jeden zasób typu, który chcesz dodać do wykazu.

   

8. Po zakończeniu wybierz pozycję Dodaj.

   Te zasoby można teraz uwzględnić w pakietach dostępu w katalogu.

Dodawanie atrybutów zasobów w wykazie

Atrybuty są wymaganymi polami, na które żądający są proszeni o udzielenie odpowiedzi przed przesłaniem żądania dostępu. Ich odpowiedzi dotyczące tych atrybutów są wyświetlane do osób zatwierdzających, a także sygnatury obiektu użytkownika w identyfikatorze Entra firmy Microsoft.

Uwaga

Wszystkie atrybuty skonfigurowane w zasobie wymagają odpowiedzi przed żądaniem pakietu dostępu zawierającego ten zasób. Jeśli osoby żądających nie podadzą odpowiedzi, ich żądanie nie zostanie przetworzone.

Aby wymagać atrybutów dla żądań dostępu:

1. Wybierz pozycję Zasoby w menu po lewej stronie, a zostanie wyświetlona lista zasobów w wykazie.

2. Wybierz wielokropek obok zasobu, w którym chcesz dodać atrybuty, a następnie wybierz pozycję Wymagaj atrybutów.

   

3. Wybierz typ atrybutu:

   1. Wbudowane obejmują atrybuty profilu użytkownika entra firmy Microsoft.
   2. Rozszerzenie schematu katalogu umożliwia przechowywanie większej ilości danych w użytkownikach firmy Microsoft Entra. Schemat można rozszerzyć, tworząc atrybut rozszerzenia. Te atrybuty rozszerzenia obiektów użytkownika mogą służyć do wysyłania oświadczeń do aplikacji podczas aprowizacji lub logowania jednokrotnego.

4. W przypadku wybrania pozycji Wbudowane wybierz atrybut z listy rozwijanej. W przypadku wybrania rozszerzenia schematu katalogu wprowadź nazwę atrybutu w polu tekstowym.

   Uwaga

   Atrybut User.mobilePhone jest właściwością wrażliwą, która może być aktualizowana tylko przez niektórych administratorów. Dowiedz się więcej na stronie Kto może aktualizować poufne atrybuty użytkownika?.

5. Wybierz format odpowiedzi, który mają być używane przez żądających dla ich odpowiedzi. Formaty odpowiedzi obejmują krótki tekst, wybór wielokrotny i długi tekst.

6. Jeśli wybierzesz wybór wielokrotny, wybierz pozycję Edytuj i lokalizuj , aby skonfigurować opcje odpowiedzi.

   1. W wyświetlonym okienku Wyświetl/edytuj pytanie wprowadź opcje odpowiedzi, które chcesz nadać żądającemu, gdy odpowiedzą na pytanie w polach Wartości odpowiedzi.
   2. Wybierz język dla opcji odpowiedzi. Opcje odpowiedzi można lokalizować, jeśli wybierzesz więcej języków.
   3. Wprowadź dowolną liczbę odpowiedzi, a następnie wybierz pozycję Zapisz.

7. Jeśli chcesz, aby wartość atrybutu można było edytować podczas przypisań bezpośrednich i żądań samoobsługi, wybierz pozycję Tak.

   Uwaga

   

   • W przypadku wybrania opcji Nie w polu Wartość atrybutu można edytować , a wartość atrybutu jest pusta, użytkownicy mogą wprowadzić wartość tego atrybutu. Po zapisaniu wartości nie można edytować.
   • Jeśli wybierzesz opcję Nie w polu Wartość atrybutu jest edytowalna , a wartość atrybutu nie jest pusta, użytkownicy nie będą mogli edytować wstępnie istniejącej wartości podczas przypisań bezpośrednich i żądań samoobsługi.

   

8. Jeśli chcesz dodać lokalizację, wybierz pozycję Dodaj lokalizację.

   1. W okienku Dodawanie lokalizacji dla pytania wybierz kod języka dla języka, w którym chcesz zlokalizować pytanie powiązane z wybranym atrybutem.

   2. W skonfigurowanym języku wprowadź pytanie w polu Zlokalizowany tekst .

   3. Po dodaniu wszystkich potrzebnych lokalizacji wybierz pozycję Zapisz.

      

9. Po zakończeniu wszystkich informacji o atrybutach na stronie Wymagaj atrybutów wybierz pozycję Zapisz.

Dodawanie witryny programu SharePoint z wieloma obszarami geograficznymi

1. Jeśli masz włączoną funkcję Multi-Geo dla programu SharePoint, wybierz środowisko, z którego chcesz wybrać witryny.

   

2. Następnie wybierz witryny, które chcesz dodać do katalogu.

Programowe dodawanie zasobu do wykazu

Zasób można również dodać do wykazu przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli lub właściciel katalogu i zasobu z aplikacją z delegowanym EntitlementManagement.ReadWrite.All uprawnieniem może wywołać interfejs API, aby utworzyć zasóbRequest. Aplikacja z uprawnieniami i uprawnieniami EntitlementManagement.ReadWrite.All aplikacji do zmiany zasobów, takich jak Group.ReadWrite.All, może również dodawać zasoby do katalogu.

Dodawanie zasobu do wykazu przy użyciu programu PowerShell

Zasób można również dodać do katalogu w programie PowerShell za pomocą New-MgEntitlementManagementResourceRequest polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.x lub nowszej. W poniższym przykładzie pokazano, jak dodać grupę do katalogu jako zasób przy użyciu modułu poleceń cmdlet programu PowerShell programu Microsoft Graph w wersji 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Usuwanie zasobów z wykazu

Zasoby można usunąć z wykazu. Zasób można usunąć z wykazu tylko wtedy, gdy nie jest używany w żadnym z pakietów dostępu katalogu.

Role wymagań wstępnych: zobacz Wymagane role, aby dodać zasoby do katalogu.

Aby usunąć zasoby z katalogu:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.

3. Na stronie Wykazy otwórz katalog, z którego chcesz usunąć zasoby.

4. W menu po lewej stronie wybierz pozycję Zasoby.

5. Wybierz zasoby, które chcesz usunąć.

6. Wybierz Usuń. Opcjonalnie wybierz wielokropek (...), a następnie wybierz pozycję Usuń zasób.

Dodawanie kolejnych właścicieli wykazu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Użytkownik, który utworzył wykaz, staje się pierwszym właścicielem wykazu. Aby delegować zarządzanie wykazem, dodaj użytkowników do roli właściciela wykazu. Dodanie większej liczby właścicieli wykazu ułatwia udostępnianie obowiązków związanych z zarządzaniem wykazem.

Aby przypisać użytkownika do roli właściciela wykazu:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

   Napiwek

   Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu.

2. Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.

3. Na stronie Wykazy otwórz katalog, do którego chcesz dodać administratorów.

4. W menu po lewej stronie wybierz pozycję Role i administratorzy.

   

5. Wybierz pozycję Dodaj właścicieli , aby wybrać członków dla tych ról.

6. Wybierz pozycję Wybierz, aby dodać tych członków.

Edytowanie wykazu

Możesz edytować nazwę i opis wykazu. Użytkownicy widzą te informacje w szczegółach pakietu dostępu.

Aby edytować wykaz:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

   Napiwek

   Inne role z najniższymi uprawnieniami, które mogą wykonać to zadanie, obejmują twórcę wykazu.

2. Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.

3. Na stronie Wykazy otwórz katalog, który chcesz edytować.

4. Na stronie Przegląd katalogu wybierz pozycję Edytuj.

5. Edytuj nazwę katalogu, opis lub włączone ustawienia.

   

6. Wybierz pozycję Zapisz.

Usuwanie wykazu

Wykaz można usunąć, ale tylko wtedy, gdy nie ma żadnych pakietów dostępu.

Aby usunąć wykaz:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

   Napiwek

   Inne role z najniższymi uprawnieniami, które mogą wykonać to zadanie, obejmują twórcę wykazu.

2. Przejdź do katalogu zarządzania upoważnieniami do zarządzania tożsamościami>>.

3. Na stronie Wykazy otwórz katalog, który chcesz usunąć.

4. Na stronie Przegląd wykazu wybierz pozycję Usuń.

5. W wyświetlonym oknie komunikatu wybierz pozycję Tak.

Programowe usuwanie wykazu

Wykaz można również usunąć przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API, aby usunąć plik accessPackageCatalog.

Następne kroki

Delegowanie ładu dostępu w celu uzyskania dostępu do menedżerów pakietów