Udostępnij za pośrednictwem


Delegowanie ładu dostępu do twórców katalogu w zarządzaniu upoważnieniami

Wykaz jest kontenerem zasobów i pakietów dostępu. Wykaz jest tworzony, gdy chcesz grupować powiązane zasoby i uzyskiwać dostęp do pakietów. Domyślnie administrator globalny lub administrator zarządzania tożsamościami może utworzyć wykaz i dodać innych użytkowników jako właścicieli wykazu.

Uwaga

Po najniższym dostępie zaleca się użycie roli Administrator ładu tożsamości, jeśli jest to możliwe w zarządzaniu upoważnieniami.

Istnieją trzy sposoby delegowania organizacji z wykazami:

  • Podczas rozpoczynania pracy w projekcie pilotażowym administratorzy zarządzania tożsamościami mogą tworzyć wykaz i zarządzać nim. Później podczas przechodzenia z pilotażu do środowiska produkcyjnego mogą delegować wykaz, przypisując administratorom jako właścicielom wykaz, aby ci użytkownicy mogli zachować zasady w przyszłości.
  • Jeśli istnieją zasoby, które nie mają właścicieli, administratorzy mogą tworzyć wykazy, dodawać te zasoby do każdego katalogu, a następnie przypisywać administratorów jako właścicieli do wykazu. Dzięki temu użytkownicy, którzy nie są administratorami i nie są właścicielami zasobów, mogą zarządzać własnymi zasadami dostępu dla tych zasobów.
  • Jeśli zasoby mają właścicieli, administratorzy mogą przypisać kolekcję użytkowników, takich jak All Employees grupa dynamiczna, do roli twórców wykazu, aby użytkownik, który należy do tej grupy i własnych zasobów, może utworzyć wykaz dla własnych zasobów.

W tym artykule pokazano, jak delegować użytkowników, którzy nie są administratorami, aby mogli tworzyć własne wykazy. Możesz dodać tych użytkowników do roli twórcy katalogu zdefiniowanej przez firmę Microsoft Entra. Możesz dodać poszczególnych użytkowników lub dodać grupę, której członkowie będą mogli tworzyć katalogi. Po utworzeniu wykazu możesz dodać własne zasoby do katalogu. Mogą tworzyć pakiety dostępu i zasady, w tym zasady odwołujące się do istniejących połączonych organizacji.

Jeśli masz istniejące wykazy do delegowania, przejdź do artykułu Tworzenie katalogu zasobów i zarządzanie nim.

Jako administrator IT deleguj do twórcy wykazu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wykonaj następujące kroki, aby przypisać użytkownika do roli twórcy katalogu.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do pozycji Ustawienia zarządzania upoważnieniami>ładu tożsamości>.

  3. Zaznacz Edytuj.

    Ustawienia dodawania twórców wykazu

  4. W sekcji Delegowanie zarządzania upoważnieniami wybierz pozycję Dodaj twórców wykazu, aby wybrać użytkowników lub grupy, do których chcesz delegować tę rolę zarządzania upoważnieniami.

  5. Wybierz pozycję Wybierz.

  6. Wybierz pozycję Zapisz.

Zezwalaj delegowanym rolam na dostęp do centrum administracyjnego firmy Microsoft Entra

Aby zezwolić delegowanym rolom, takim jak twórcy katalogu i menedżerom pakietów dostępu, aby uzyskać dostęp do centrum administracyjnego firmy Microsoft Entra w celu zarządzania pakietami dostępu, należy sprawdzić ustawienie portalu administracyjnego.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do pozycji Ustawienia użytkownika użytkownicy>tożsamości.>

  3. Upewnij się, że ustawienie Ogranicz dostęp do portalu administracyjnego firmy Microsoft Entra ma wartość Nie.

    Ustawienia użytkownika firmy Microsoft Entra — portal administracyjny

Programowe zarządzanie przypisaniami ról

Możesz również wyświetlać i aktualizować twórców wykazu oraz przypisań ról specyficznych dla katalogu uprawnień przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API programu Graph, aby wyświetlić listę definicji ról zarządzania upoważnieniami oraz wyświetlić listę przypisań ról do tych definicji ról.

Aby pobrać listę użytkowników i grup przypisanych do roli twórców wykazu, rola z identyfikatorem ba92d953-d8e0-4e39-a797-0cbedb0a89e8definicji , użyj zapytania programu Graph:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Następne kroki