Поделиться через


Создание каталога ресурсов и управление ими в управлении правами

В этой статье показано, как создать каталог ресурсов и получить доступ к пакетам управления правами и управлять ими.

Создание каталога

Каталог — это контейнер ресурсов и пакетов доступа. Каталог создается, когда требуется сгруппировать связанные ресурсы и пакеты доступа. Администратор может создать каталог. Кроме того, пользователь, делегированный роли создателя каталога, может создать каталог для ресурсов, принадлежащих им. Неадминистатор, который создает каталог, становится первым владельцем каталога. Владелец каталога может добавлять больше пользователей, групп пользователей или субъектов-служб приложений в качестве владельцев каталога.

Создание каталога:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают создателя каталога. Пользователи, которым назначена роль администратора пользователей, больше не смогут создавать каталоги или управлять пакетами доступа в каталоге, которым они не принадлежат. Если пользователям в вашей организации назначена роль администратора пользователей для настройки каталогов, пакетов доступа или политик в управлении правами, то вместо этого следует назначить этих пользователей роль администратора управления удостоверениями.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

    Снимок экрана: каталоги управления правами в Центре администрирования Microsoft Entra.

  3. Щелкните элемент Новый каталог.

  4. Введите уникальное имя каталога и описание.

    Пользователи увидят эту информацию в сведениях о пакете Access.

  5. Если требуется, чтобы пакеты для доступа в этом каталоге были доступны пользователям для запроса сразу после их создания, задайте для параметра Включено значение Да.

  6. Если вы хотите разрешить пользователям во внешних каталогах из подключенных организаций возможность запрашивать пакеты доступа в этом каталоге, установите для внешних пользователей значение "Да". Пакеты доступа также должны иметь политику, позволяющую пользователям из подключенных организаций запрашивать запросы. Если пакеты доступа в этом каталоге предназначены только для пользователей, уже имеющихся в каталоге, установите для внешних пользователей значение No.

    Снимок экрана: область

  7. Выберите команду Создать, чтобы создать кластер.

Создание каталога программным способом

Есть два способа создать каталог программными средствами.

Создание каталога с помощью Microsoft Graph

Кроме того, вы можете создать каталог, используя Microsoft Graph. Пользователь в соответствующей роли с приложением с делегированным EntitlementManagement.ReadWrite.All разрешением или приложением с EntitlementManagement.ReadWrite.All разрешением приложения может вызвать API для создания каталога.

Создание каталога с помощью PowerShell

Вы также можете создать каталог в PowerShell с New-MgEntitlementManagementCatalog помощью командлетов Microsoft Graph PowerShell для модуля управления удостоверениями версии 2.2.0 или более поздней версии.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Добавить ресурсы в каталог

Чтобы включить ресурсы в пакет Access, ресурсы должны находиться в каталоге. Типы ресурсов, которые можно добавить в каталог, — это группы, приложения и сайты SharePoint Online.

  • Группы можно создавать в облаке Группы Microsoft 365 или облачными группами безопасности Microsoft Entra.

    • Группы, поступающие в локальная служба Active Directory, не могут быть назначены в качестве ресурсов, так как их атрибуты владельца или члена не могут быть изменены в идентификаторе Microsoft Entra. Чтобы предоставить пользователю доступ к приложению, использующего членство в группах безопасности AD, создайте новую группу безопасности в идентификаторе Microsoft Entra ID, настройте обратную запись группы в AD и включите запись этой группы в AD, чтобы созданная в облаке группа может использоваться приложением на основе AD.

    • Группы, которые возникают в Exchange Online, так как группы рассылки не могут быть изменены в идентификаторе Microsoft Entra ID, поэтому их нельзя добавить в каталоги.

  • Приложения могут быть корпоративными приложениями Microsoft Entra, которые включают в себя приложения saaS, локальные приложения и собственные приложения, интегрированные с идентификатором Microsoft Entra.

  • Сайтами могут быть сайты SharePoint Online или семейства веб-сайтов SharePoint Online.

Примечание.

Выполните на сайте SharePoint поиск по имени сайта или по точному URL-адресу. Это поле поиска учитывает регистр.

Требуемые роли: см. раздел Роли, необходимые для добавления ресурсов в каталог.

Добавление ресурсов в каталог:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

  3. На странице "Каталоги" откройте каталог, в который нужно добавить ресурсы.

  4. В меню слева выберите элемент Ресурсы.

  5. Щелкните Добавление ресурсов.

  6. Выберите тип ресурса Группы и команды, Приложения или Сайты SharePoint.

    Если вы не видите ресурс, который вы хотите добавить или не удается добавить ресурс, убедитесь, что у вас есть необходимая роль каталога Microsoft Entra и роль управления правами. Возможно, потребуется попросить пользователя с необходимыми ролями добавить ресурс в каталог. Дополнительные сведения см. в разделе Роли, требуемые для добавления ресурсов в каталог.

  7. Выберите один или несколько ресурсов данного типа, которые вы хотите добавить в каталог.

    Снимок экрана: область добавления ресурсов в каталог.

  8. По завершении нажмите кнопку "Добавить".

    Теперь эти ресурсы можно включать в пакеты Access в каталоге.

Добавление атрибутов ресурсов в каталог

Атрибуты являются обязательными полями, которые запрашивающие запрашивают, прежде чем отправлять запрос доступа. Их ответы на эти атрибуты отображаются утверждающие, а также метки на объект пользователя в идентификаторе Microsoft Entra.

Примечание.

Все атрибуты, настроенные для ресурса, требуют указать сведения, прежде чем будет запрошен пакета для доступа, содержащий этот ресурс. Если запрашивающие стороны не предоставляют сведения, их запрос не обрабатывается.

Установка требования указать атрибуты для запросов на доступ:

  1. В меню слева выберите элемент Ресурсы. В каталоге отобразится список ресурсов.

  2. Нажмите кнопку с многоточием рядом с ресурсом, в который нужно добавить атрибуты, а затем выберите параметр Require attributes (Preview) (Требовать атрибуты).

    Снимок экрана: выбор параметра Require attributes (Требовать атрибуты).

  3. Выберите типа атрибута:

    1. Встроенные атрибуты профиля пользователя Microsoft Entra.
    2. Расширение схемы каталогов позволяет хранить больше данных в пользователях Microsoft Entra. Вы можете расширить схему, создав атрибут расширения. Эти атрибуты расширения для пользовательских объектов можно использовать для отправки утверждений приложениям во время подготовки или единого входа.
  4. Если вы выбрали параметр Встроенный, выберите атрибут из раскрывающегося списка. Если вы выбрали параметр Directory schema extension (Расширение схемы каталогов) введите имя атрибута в текстовом поле.

    Примечание.

    Атрибут User.mobilePhone — это конфиденциальное свойство, которое может обновляться только некоторыми администраторами. Дополнительные сведения см. в статье "Кто может обновить конфиденциальные атрибуты пользователя?".

  5. Выберите формат, который запрашивающим сторонам следует использовать для указания сведений. Возможные форматы ответов: короткий текст, несколько вариантов и длинный текст.

  6. Для множественного выбора выберите элемент Edit and localize (Изменить и локализовать), чтобы настроить варианты ответа.

    1. В открывшейся области просмотра и изменения вопроса введите варианты ответов, которые вы хотите предоставить запрашивающему пользователю при ответе на вопрос в полях значений ответов.
    2. Выберите язык для варианта ответа. Если выбрать дополнительные языки, то можно будет локализовать варианты ответа.
    3. Введите требуемое число ответов, а затем нажмите кнопку Сохранить.
  7. Если нужно, чтобы значение атрибута было доступно для изменения во время прямых назначений и запросов на самостоятельное обслуживание, выберите вариант Да.

    Примечание.

    Снимок экрана, на котором показано, как сделать атрибуты изменяемыми.

    • Если в поле Attribute value is editable (Значение атрибута можно изменить) выбран вариант Нет и значение атрибута не указано, пользователи могут ввести значение этого атрибута. После сохранения значение изменить нельзя.
    • Если в поле Attribute value is editable (Значение атрибута можно изменить) выбран вариант Нет, а значение атрибута указано, пользователи не смогут изменить существовавшее ранее значение во время прямых назначений и запросов на самостоятельное обслуживание.

    Снимок экрана: добавление локализаций.

  8. Если вы хотите добавить локализацию, выберите команду Add localization (Добавить локализацию).

    1. В области Add localizations for question (Добавление локализации для вопроса) выберите код для языка, на который вам нужно локализовать вопрос, который связан с выбранным атрибутом.

    2. Введите вопрос на выбранном языке в поле Localized Text (Локализованный текст).

    3. После добавления всех нужных локализаций нажмите кнопку Сохранить.

      Снимок экрана: сохранение локализаций.

  9. После указания всех сведений для атрибутов на странице Require attributes (Preview) (Требовать атрибуты) нажмите кнопку Сохранить.

Добавление сайта SharePoint с несколькими географическими расположениями

  1. Если для SharePoint включена поддержка нескольких географических расположений, выберите то расположение, из которого вы хотите выбрать сайты.

    Снимок экрана: панель выбора сайтов SharePoint Online.

  2. Выберите сайты, которые хотите добавить в каталог.

Добавление ресурса в каталог программными средствами

Также можно добавить ресурс в каталог, используя Microsoft Graph. Пользователь в соответствующей роли или владелец каталога и ресурса с приложением с делегированным EntitlementManagement.ReadWrite.All разрешением может вызвать API для создания ресурсаRequest. Приложение, имеющее разрешение приложения EntitlementManagement.ReadWrite.All и разрешения на изменение ресурсов, например Group.ReadWrite.All, может также добавлять ресурсы в каталог.

Добавление ресурса в каталог с помощью PowerShell

Вы также можете добавить ресурс в каталог в PowerShell с New-MgEntitlementManagementResourceRequest помощью командлета из командлетов Microsoft Graph PowerShell для модуля управления удостоверениями версии 2.1.x или более поздней версии модуля. В следующем примере показано, как добавить группу в каталог в качестве ресурса с помощью модуля командлетов Microsoft Graph PowerShell версии 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Удаление ресурсов из каталога

Ресурсы можно удалять из каталога. Ресурс можно удалить из каталога, только если он не используется ни в одном из пакетов для доступа к каталогу.

Требуемые роли: см. раздел Роли, необходимые для добавления ресурсов в каталог.

Удаление ресурсов из каталога:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

  3. На странице "Каталоги" откройте каталог, из которого нужно удалить ресурсы.

  4. В меню слева выберите элемент Ресурсы.

  5. Выберите ресурсы, которые нужно удалить.

  6. Выберите Удалить. При необходимости нажмите кнопку с многоточием (...), а затем выберите команду Удалить ресурс.

Добавление владельцев каталога

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Пользователь, создавший каталог, станет его первым владельцем. Для делегирования управления каталогом добавьте пользователей в роль владельца каталога. Добавление владельцев каталога позволяет разделить обязанности по управлению каталогом.

Чтобы назначить пользователя роли владельца каталога, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают владельца каталога.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

  3. На странице "Каталоги" откройте каталог, в который нужно добавить администраторов.

  4. В меню слева выберите элемент Роли и администраторы.

    Снимок экрана: роли и администраторы каталога.

  5. Выберите команду Добавить владельцев, чтобы выбрать членов для этих ролей.

  6. Нажмите кнопку " Выбрать ", чтобы добавить эти элементы.

Редактирование каталога

Вы можете изменять имя и описание каталога. Пользователи увидят эту информацию в сведениях о пакете Access.

Редактирование каталога:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают создателя каталога.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

  3. На странице "Каталоги" откройте каталог, который требуется изменить.

  4. На странице каталога Обзор выберите команду Изменить.

  5. Измените имя каталога, описание или настройки включения.

    Снимок экрана: изменение параметров каталога.

  6. Выберите Сохранить.

Удаление каталога

Каталог можно удалить, но только в том случае, если у него нет пакетов доступа.

Удаление каталога:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают создателя каталога.

  2. Перейдите к каталогам управления правами управления>удостоверениями.>

  3. На странице "Каталоги" откройте каталог, который нужно удалить.

  4. На странице каталога Обзор выберите команду Удалить.

  5. В появившемся окне сообщения выберите вариант Да.

Удаление каталога программными средствами

Кроме того, вы можете удалить каталог с использованием Microsoft Graph. Пользователь с соответствующей ролью в приложении, имеющем делегированное разрешение EntitlementManagement.ReadWrite.All, может вызвать API, чтобы удалить accessPackageCatalog.

Следующие шаги

Делегирование управления доступом диспетчерам пакетов для доступа