Share via

Przypisywanie ról firmy Microsoft Entra (wersja zapoznawcza)

  • Artykuł

Zarządzanie upoważnieniami obsługuje cykl życia dostępu dla różnych typów zasobów, takich jak aplikacje, witryny programu SharePoint, grupy i zespoły. Czasami użytkownicy potrzebują dodatkowych uprawnień do korzystania z tych zasobów w określony sposób. Na przykład użytkownik może potrzebować dostępu do pulpitów nawigacyjnych usługi Power BI w organizacji, ale musi mieć rolę Administracja istratora usługi Power BI, aby wyświetlić metryki dla całej organizacji. Mimo że inne funkcje identyfikatora Entra firmy Microsoft, takie jak grupy z możliwością przypisywania ról, mogą obsługiwać te przypisania ról firmy Microsoft Entra, dostęp udzielany za pośrednictwem tych metod jest mniej jawny. Na przykład można zarządzać członkostwem grupy zamiast zarządzać przypisaniami ról użytkowników bezpośrednio.

Przypisując role firmy Microsoft Entra pracownikom i gościom, korzystając z funkcji Zarządzanie upoważnieniami, możesz sprawdzić uprawnienia użytkownika, aby szybko określić, które role są przypisane do tego użytkownika. Jeśli dołączysz rolę Microsoft Entra jako zasób w pakiecie dostępu, możesz również określić, czy przypisanie roli jest "uprawnione", czy "aktywne".

Przypisywanie ról firmy Microsoft Entra za pomocą pakietów dostępu ułatwia efektywne zarządzanie przypisaniami ról na dużą skalę i poprawia cykl życia przypisywania ról.

Scenariusze przypisywania roli Entra firmy Microsoft przy użyciu pakietów dostępu

Wyobraźmy sobie, że Twoja organizacja niedawno zatrudniła 50 nowych pracowników zespołu pomocy technicznej i że twoim zadaniem jest zapewnienie tym nowym pracownikom dostępu do potrzebnych zasobów. Ci pracownicy potrzebują dostępu do grupy pomocy technicznej i niektórych aplikacji związanych z pomocą techniczną. Potrzebują również trzech ról firmy Microsoft Entra, w tym roli pomoc techniczna Administracja istrator, aby wykonywać swoje zadania. Zamiast indywidualnie przypisywać każdego z 50 pracowników do wszystkich zasobów i ról, można skonfigurować pakiet dostępu zawierający witrynę programu SharePoint, grupę i określone role firmy Microsoft. Następnie możesz skonfigurować pakiet dostępu tak, aby menedżerowie mieli jako osoby zatwierdzające i udostępnić link zespołowi pomocy technicznej.

Zrzut ekranu przedstawiający dodawanie roli zasobu do nowego pakietu dostępu.

Teraz nowi członkowie zespołu pomocy technicznej mogą zażądać dostępu do tego pakietu dostępu w obszarze Mój dostęp i uzyskać dostęp do wszystkiego, czego potrzebują, gdy tylko menedżer zatwierdzi żądanie. Pozwala to zaoszczędzić czas i energię, ponieważ zespół pomocy technicznej planuje rozszerzenie na całym świecie, zatrudniając ok. 1000 nowych pracowników, ale nie musisz już ręcznie przypisywać każdej osobie do pakietu dostępu.

Uwaga

Zalecamy użycie usługi Privileged Identity Management w celu zapewnienia użytkownikowi dostępu just in time do wykonania zadania wymagającego podwyższonych uprawnień. Te uprawnienia są udostępniane za pośrednictwem ról entra firmy Microsoft, które są oznaczone jako "uprzywilejowane", w naszej dokumentacji tutaj: Wbudowane role firmy Microsoft Entra. Zarządzanie upoważnieniami lepiej nadaje się do przypisywania użytkownikom pakietu zasobów, które mogą obejmować rolę Firmy Microsoft Entra, niezbędną do wykonania zadania. Użytkownicy przypisani do pakietów dostępu mają zwykle bardziej długotrwały dostęp do zasobów. Zalecamy zarządzanie rolami z wysokimi uprawnieniami za pomocą usługi Privileged Identity Management, ale można skonfigurować uprawnienia do tych ról za pośrednictwem pakietów dostępu w usłudze Zarządzanie upoważnieniami.

Wymagania wstępne

Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.

Dodawanie roli Entra firmy Microsoft jako zasobu w pakiecie dostępu

Rola wymagań wstępnych: globalny Administracja istrator

Wykonaj następujące kroki, aby zmienić listę niezgodnych grup lub innych pakietów dostępu dla istniejącego pakietu dostępu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, do którego chcesz dodać role zasobów, i wybierz pozycję Role zasobów.

  4. Na stronie Dodawanie ról zasobów w celu uzyskania dostępu do pakietu wybierz pozycję Role entra firmy Microsoft (wersja zapoznawcza), aby otworzyć okienko Wybieranie ról firmy Microsoft Entra.

  5. Wybierz role firmy Microsoft Entra, które chcesz uwzględnić w pakiecie dostępu. Zrzut ekranu przedstawiający wybieranie roli dla pakietu dostępu.

  6. Na liście Rola wybierz pozycję Uprawniony członek lub Aktywny członek. Zrzut ekranu przedstawiający wybieranie roli zasobu w pakiecie dostępu.

  7. Wybierz Dodaj.

Uwaga

Jeśli wybierzesz opcję Kwalifikujące się, użytkownicy będą kwalifikować się do tej roli i mogą aktywować swoje przypisanie przy użyciu usługi Privileged Identity Management w centrum administracyjnym firmy Microsoft Entra. W przypadku wybrania opcji Aktywne użytkownicy będą mieć aktywne przypisanie roli, dopóki nie będą już mieli dostępu do pakietu dostępu. W przypadku ról Entra, które są oznaczone jako "uprzywilejowane", będzie można wybrać tylko opcję Kwalifikujące. Listę ról uprzywilejowanych można znaleźć tutaj: Wbudowane role firmy Microsoft Entra.

Programowe dodawanie roli Entra firmy Microsoft jako zasobu w pakiecie dostępu

Aby programowo dodać rolę Entra firmy Microsoft, należy użyć następującego kodu:

    "role": {
        "originId": "Eligible",
        "displayName": "Eligible Member",
        "originSystem": "DirectoryRole",
        "resource": {
            "id": "ea036095-57a6-4c90-a640-013edf151eb1"
        }
    },
    "scope": {
        "description": "Root Scope",
        "displayName": "Root",
        "isRootScope": true,
        "originSystem": "DirectoryRole",
        "originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
    }
}

Dodawanie roli Microsoft Entra jako zasobu w pakiecie dostępu przy użyciu programu Graph

Role entra firmy Microsoft można dodać jako zasoby w pakiecie dostępu przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All permissionlub aplikację z EntitlementManagement.ReadWrite.All uprawnieniem aplikacji, może wywołać interfejs API, aby utworzyć pakiet dostępu zawierający role firmy Microsoft Entra i przypisać użytkowników do tego pakietu dostępu.

Dodawanie roli Microsoft Entra jako zasobu w pakiecie dostępu przy użyciu programu PowerShell

Role entra firmy Microsoft można również dodać jako zasoby w pakietach dostępu w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 1.16.0 lub nowszej.

Poniższy skrypt ilustruje użycie Beta profilu programu Graph w celu dodania roli Microsoft Entra jako zasobu w pakiecie dostępu:

Najpierw pobierz identyfikator wykazu i zasobu w tym wykazie oraz jego zakresy i role, które mają zostać uwzględnione w pakiecie dostępu. Użyj skryptu podobnego do poniższego przykładu. Przyjęto założenie, że w wykazie znajduje się jeden zasób aplikacji.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Entra Admins'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'DirectoryRole'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Następnie przypisz rolę Microsoft Entra z tego zasobu do pakietu dostępu. Jeśli na przykład chcesz uwzględnić pierwszą rolę zasobu zwróconą wcześniej jako rolę zasobu dostępu, użyj skryptu podobnego do poniższego.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Następny krok

Wyświetlanie, dodawanie i usuwanie przypisań dla pakietudostępu Wyświetlanie raportów i dzienników