Delegar a governança de acesso aos criadores de catálogos no gerenciamento de direitos

Um catálogo é um contêiner de recursos e pacotes de acesso. Você cria um catálogo quando deseja agrupar recursos relacionados e acessar pacotes. Por padrão, um Administrador Global ou um Administrador de Governança de Identidade pode criar um catálogo e adicionar outros usuários como proprietários do catálogo.

Nota

Após o acesso com privilégios mínimos, recomenda-se usar a função de Administrador de Governança de Identidade quando possível no gerenciamento de direitos.

Há três maneiras pelas quais uma organização pode delegar com catálogos:

• Ao iniciar um projeto piloto, os administradores de governança de identidade podem criar e gerenciar o catálogo. Mais tarde, ao passar do piloto para a produção, eles poderiam delegar um catálogo atribuindo não administradores como proprietários ao catálogo, para que esses usuários pudessem manter as políticas no futuro.
• Se houver recursos que não tenham proprietários, os administradores poderão criar catálogos, adicionar esses recursos a cada catálogo e, em seguida , atribuir não administradores como proprietários a um catálogo. Isso permite que os usuários que não são administradores e não são proprietários de recursos gerenciem suas próprias políticas de acesso para esses recursos.
• Se os recursos tiverem proprietários, os administradores poderão atribuir uma coleção de usuários, como um All Employees grupo dinâmico, à função de criadores de catálogo, para que um usuário que esteja nesse grupo e possua recursos possa criar um catálogo para seus próprios recursos.

Este artigo ilustra como delegar a usuários que não são administradores, para que eles possam criar seus próprios catálogos. Você pode adicionar esses usuários à função de criador de catálogo definido pelo gerenciamento de direitos do Microsoft Entra. Você pode adicionar usuários individuais ou adicionar um grupo cujos membros podem criar catálogos. Depois de criar um catálogo, você pode adicionar recursos próprios ao catálogo. Eles podem criar pacotes e políticas de acesso, incluindo políticas que fazem referência a organizações conectadas existentes.

Se você tiver catálogos existentes para delegar, continue no artigo criar e gerenciar um catálogo de recursos .

Como administrador de TI, delegue a um criador de catálogo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Siga estas etapas para atribuir um usuário à função de criador de catálogo.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Configurações de gerenciamento de> direitos de governança>de identidade.

3. Selecione Editar.

   

4. Na seção Delegar gerenciamento de direitos, selecione Adicionar criadores de catálogo para selecionar os usuários ou grupos aos quais você deseja delegar essa função de gerenciamento de direitos.

5. Selecione Selecionar.

6. Selecione Guardar.

Permitir que funções delegadas acessem o centro de administração do Microsoft Entra

Para permitir que funções delegadas, como criadores de catálogos e gerenciadores de pacotes de acesso, acessem o centro de administração do Microsoft Entra para gerenciar pacotes de acesso, verifique a configuração do portal de administração.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Configurações de usuário de identidade>de usuários.>

3. Certifique-se de que Restringir acesso ao portal de administração do Microsoft Entra está definido como Não.

   

Gerenciar atribuições de função programaticamente

Você também pode exibir e atualizar criadores de catálogo e atribuições de função específicas do catálogo de gerenciamento de direitos usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All pode chamar a API do Graph para listar as definições de função do gerenciamento de direitos e listar atribuições de função para essas definições de função.

Para recuperar uma lista dos usuários e grupos atribuídos à função de criadores de catálogo, a função com ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8de definição , use a consulta Gráfico:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Próximos passos

• Criar e gerenciar um catálogo de recursos
• Delegar a governança de acesso aos gerenciadores de pacotes de acesso
• Delegar a governança de acesso aos proprietários de recursos