Поделиться через

Руководство. Управление доступом к ресурсам в управлении правами

  • Статья

Управление доступом ко всем ресурсам, которые требуются сотрудникам, таким как группы, приложения и сайты, является важной функцией для организаций. Вам нужна возможность предоставлять сотрудникам нужный уровень доступа, который требуется им для продуктивной работы, и удалять права доступа, когда они больше не нужны.

В этом руководстве предполагается, что вы работаете ИТ-администратором в банке Woodgrove Bank. Вам нужно создать пакет ресурсов для маркетинговой кампании, который внутренние пользователи смогут использовать для самостоятельной обработки запросов. Запросы не требуют утверждения, а права доступа пользователя истекают через 30 дней. В этом руководстве для ресурсов маркетинговой кампании предполагается только участие в одной группе, но это также может быть коллекция групп, приложений или сайтов SharePoint Online.

Общая схема сценария

В этом руководстве описано следующее:

  • Создавать пакет для доступа с группой в качестве ресурса.
  • Разрешить пользователю в вашем каталоге запрашивать доступ
  • Показывать, как внутренний пользователь может запрашивать пакет для доступа.

Пошаговая демонстрация процесса развертывания управления правами Microsoft Entra, включая создание первого пакета доступа, просмотрите следующее видео:

Остальная часть этой статьи использует Центр администрирования Microsoft Entra для настройки и демонстрации управления правами.

Необходимые компоненты

Чтобы использовать управление правами, необходимо иметь одну из следующих лицензий:

  • Идентификатор Microsoft Entra P2 или Управление идентификацией Microsoft Entra
  • лицензия Enterprise Mobility + Security (EMS) E5.

Дополнительные сведения см. в статье Лицензионные требования.

Шаг 1. Настройка пользователей и групп

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Каталог ресурсов имеет один или несколько ресурсов для совместного использования. На этом шаге вы создадите группу с именем Маркетинговые ресурсы в каталоге банка Woodgrove Bank, которая будет целевым ресурсом для управления правами. Можно также настроить внутреннюю запрашивающую сторону.

Диаграмма: пользователи и группы для этого руководства.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  3. Создайте двух пользователей. Используйте указанные ниже или другие имена.

    Имя. Роль каталога
    Admin1 По крайней мере администратор управления удостоверениями. Этим пользователем может быть пользователь, под именем которого вы сейчас вошли.
    Requestor1 User

  4. Создайте группу безопасности Microsoft Entra с именем "Маркетинговые ресурсы " с типом членства "Назначено". Эта группа является целевым ресурсом для управления правами. Для начала работы группа должна быть пустой.

Шаг 2. Создание пакета доступа

Пакет для доступа — это набор ресурсов, которые требуются для группы или проекта и управляются политиками. Пакеты для доступа добавляются в контейнеры, называемые каталогами. На этом шаге создайте пакет для доступа Маркетинговая компания в каталоге Общий.

Диаграмма: взаимосвязь между элементами пакета для доступа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

  2. Перейдите к пакету управления правами управления>удостоверениями>.

  3. На странице пакетов Access откройте пакет доступа.

  4. При открытии пакета доступа, если вы видите отказ в доступе, убедитесь, что в каталоге присутствует лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.

  5. Выберите Новый пакет для доступа.

    Снимки экрана: создание пакета для доступа.

  6. На вкладке Основы введите имя пакета для доступа — Маркетинговая кампания, и описание — доступ к ресурсам кампании.

  7. В раскрывающемся списке Каталог оставьте значение Общий.

    Снимок экрана: установка базовой политики доступа.

  8. Нажмите кнопку Далее, чтобы открыть вкладку Роли ресурсов. На этой вкладке выберите ресурсы и роль ресурса для включения в пакет для доступа. Вы можете управлять доступом к группам, командам, приложениям, а также подключенным сайтам SharePoint Online. В этом случае выберите Группы и команды.

    Снимок экрана: выбор групп и команд.

  9. На панели Выбрать группы найдите и выберите созданную ранее группу Маркетинговые ресурсы.

    По умолчанию вы увидите группы, входящие в каталог "Общий". При выборе группы за пределами общего каталога, который можно увидеть, установлен ли флажок "Просмотреть все ", он добавляется в общий каталог.

    Снимок экрана: выбор группы.

  10. Нажмите кнопку Выбрать, чтобы добавить группу в список.

  11. В раскрывающемся списке Роль выберите роль Участник. Если вы выберете роль "Владелец", она позволит пользователям добавлять или удалять других участников или владельцев. Дополнительные сведения о выборе соответствующих ролей для ресурса см. в статье Добавление ролей ресурсов.

    Снимок экрана: выбор роли участника.

    Внимание

    Группы, назначаемые ролями, добавленные в пакет для доступа, будут обозначаться с помощью подтипа Возможно назначение ролей. Дополнительные сведения см. в статье Создание группы с назначением роли. Помните, что после того, как группа, назначаемая ролью, присутствует в каталоге пакетов доступа, администраторы, которые могут управлять правами, включая пользователей в роли глобального администратора, пользователи в роли администратора управления удостоверениями и владельцы каталога каталога смогут управлять пакетами доступа в каталоге, позволяя им выбрать, кто может быть добавлен в эти группы. Если вы не видите группу с возможностью назначения ролей, которую вы хотите добавить или не можете добавить ее, убедитесь, что у вас есть необходимая роль Microsoft Entra и роль управления правами для выполнения этой операции. Возможно, вам потребуется попросить пользователя с необходимыми ролями добавить ресурс в каталог. Дополнительные сведения см. в разделе Роли, требуемые для добавления ресурсов в каталог.

    Примечание.

    При использовании динамических групп членства вы не увидите другие роли, доступные помимо владельца. Это сделано намеренно. Снимки экрана: доступные роли динамической группы.

  12. Нажмите кнопку Далее, чтобы открыть вкладку Запросы. На вкладке "Запросы" вы создаете политику запросов. Политика определяет правила или ограничения доступа к пакету для доступа. Вы создадите политику, которая позволяет конкретному пользователю в каталоге ресурсов запросить пакет для доступа.

  13. В разделе "Пользователи, которые могут запрашивать доступ", выберите "Для пользователей в каталоге" и выберите "Определенные пользователи и группы".

    Снимок экрана: вкладки запросов пакетов для доступа.

  14. Выберите Добавить пользователей и группы.

  15. На панели "Выбор пользователей и групп" выберите пользователя Requestor1, созданного ранее.

    Скриншот: выбранные пользователи и группы.

  16. Нажмите кнопку Выбрать, чтобы добавить пользователя в список.

  17. Прокрутите вниз к разделам Утверждение и Включить запросы.

  18. Оставьте для пункта Требовать утверждение значение Нет.

  19. Для параметра Включить запросы выберите Да, чтобы этот пакет для доступа запрашивался сразу после его создания.

  20. Если ваша организация настроена для получения проверенных идентификаторов, существует возможность настроить пакет доступа, чтобы требовать от запрашивателей предоставить проверенный идентификатор. Дополнительные сведения см. в статье " Настройка проверенных параметров идентификатора для пакета доступа в управлении правами (предварительная версия)

    Снимок экрана: выбор средства выбора проверенного идентификатора.

  21. Нажмите кнопку Далее, чтобы открыть вкладку Сведения о запрашивающей стороне.

    Снимки экрана: настройки утверждения и включения вкладки запросов.

  22. На вкладке Сведения о запрашивающей стороне вы можете задавать вопросы, чтобы получить дополнительную информацию от запросившей стороны. Эти вопросы отображаются в форме запроса и могут быть заданы как обязательные или необязательные. Вы также можете указать, может ли менеджер сотрудника запрашивать от их имени, и если утверждение необходимо, если они делают это. Если политика позволяет менеджерам запрашивать от имени сотрудника, менеджер будет отвечать на вопросы от имени сотрудника, а не сам. Дополнительные сведения об этом параметре см. в статье "Запрос пакета доступа от имени других пользователей(предварительная версия)". В этом сценарии вам не было предложено включить сведения о запрашивающем для пакета для доступа, поэтому вы можете оставить эти поля пустыми. Нажмите кнопку Далее, чтобы открыть вкладку Жизненный цикл.

  23. На вкладке Жизненный цикл укажите, когда истекает срок действия назначения пользователя для пакета для доступа. Вы также можете указать, могут ли пользователи расширять свои назначения. В разделе Истечение срока:

    1. Установите для параметра Срок действия назначений для пакетов доступа истекает значение Число дней.
    2. Установите для параметра Срок действия назначений истекает через значение 30 дней.
    3. Оставьте для параметра Пользователи могут запрашивать конкретную временную шкалу значение по умолчанию Да.
    4. Установите для параметра Требуются проверки доступа значение Нет.

    Снимок экрана: вкладка жизненного цикла пакета для доступа

  24. Пропустите шаг пользовательских расширений .

  25. Нажмите кнопку Далее, чтобы открыть вкладку Просмотр + создание.

  26. На вкладке Просмотр + создание выберите Создать. Через несколько секунд вы увидите уведомление, что пакет для доступа успешно создан.

  27. В меню слева пакета для доступа маркетинговой компании выберите Обзор.

  28. Скопируйте ссылку на портал Мой доступ.

    Эта ссылка потребуется вам на следующем шаге.

    Снимок экрана: копирование ссылки на политику доступа.

Шаг 3. Запрос доступа

На этом шаге вы выполните действия в качестве внутренней запросившей стороны и запросите доступ к пакету для доступа. Запросившие стороны отправляют свои запросы с помощью портала "Мой доступ". Портал "Мой доступ" позволяет запросившей стороне отправлять запросы на получение пакетов для доступа и просматривать пакеты, к которым у них уже есть доступ, а также просматривать историю запросов. Когда новый гостевой пакет доступа запрашивает пакет доступа в MyAccess, его предпочтительный язык помечен на основе языка браузера MyAccess во время запроса. Это позволяет новым гостям получать сообщения электронной почты на языке, который они понимают.

Роль предварительных требований: внутренний запрашиватель

  1. Выйдите из Центра администрирования Microsoft Entra.

  2. В новом окне браузера перейдите по ссылке на портал "Мой доступ", которую вы скопировали на предыдущем шаге.

  3. Войдите на портал "Мой доступ" в качестве Requestor1.

    Вы должны увидеть пакет для доступа к маркетинговой кампании.

  4. В поле Бизнес-обоснование введите обоснование Работа над новой маркетинговой кампанией.

    Снимок экрана: портал

  5. Выберите Отправить.

  6. В меню слева выберите Журнал запросов, чтобы убедиться, что ваш запрос был доставлен. Для дополнительных сведения выберите Просмотреть.

    Снимок экрана: журнал запросов портала

Шаг 4. Проверка назначения доступа

На этом шаге вы подтверждаете, что внутренней запросившей стороне был назначен пакет для доступа и что он теперь является членом группы Маркетинговые ресурсы.

  1. Выйдите из портала "Мой доступ".

  2. Войдите в Центр администрирования Microsoft Entra как admin1, который является по крайней мере администратором управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

  3. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  4. Найдите и выберите пакет для доступа Маркетинговая компания.

  5. В меню слева выберите Запросы.

    Вы увидите Requestor1 и начальную политику с состоянием Доставлено.

  6. Выберите запрос, чтобы просмотреть сведения о нем.

    Снимок экрана: сведения запроса пакета для доступа.

  7. В области навигации слева выберите "Удостоверение".

  8. Выберите Группы и откройте группу Маркетинговые ресурсы.

  9. Выберите Участники.

    Вы увидите Requestor1 в качестве участника.

    Снимок экрана: добавление запросившей стороны в группу маркетинговых ресурсов.

Шаг 5. Очистка ресурсов

На этом шаге вы удалите внесенные изменения и пакет для доступа с именем Маркетинговая кампания.

  1. В Центре администрирования Microsoft Entra как минимум администратор управления удостоверениями выберите управление удостоверениями.

  2. Откройте пакет для доступа к маркетинговой кампании.

  3. Выберите назначения.

  4. Для Requestor1 выберите многоточие (...), а затем — Удалить доступ. В появившемся сообщении выберите Да.

    Через несколько секунд состояние изменится с "Доставлено" на "Срок действия истек".

  5. Выберите Роли ресурсов.

  6. В разделе Маркетинговые ресурсы выберите многоточие (...), а затем — Удалить роль ресурса. В появившемся сообщении выберите Да.

  7. Откройте список пакетов для доступа.

  8. В разделе Маркетинговая кампания выберите многоточие (...), а затем — Удалить. В появившемся сообщении выберите Да.

  9. В Identity удалите всех пользователей, созданных вами, таких как Requestor1 и Admin1.

  10. Удалите группу Маркетинговые ресурсы.

Следующие шаги

Перейдите к следующей статье, чтобы узнать о распространенных сценариях управления правами.

Распространенные сценарии