Поделиться через

Делегирование управления доступом создателям каталога в управлении правами

  • Статья

Каталог — это контейнер ресурсов и пакетов доступа. Каталог создается, когда требуется сгруппировать связанные ресурсы и пакеты доступа. По умолчанию глобальный администратор или администратор управления удостоверениями может создавать каталог и добавлять других пользователей в качестве владельцев каталога.

Примечание.

После минимального доступа к привилегиям рекомендуется использовать роль администратора управления удостоверениями, если это возможно в управлении правами.

Существует три способа делегирования организации с каталогами:

  • При запуске пилотного проекта администраторы управления удостоверениями могут создавать каталог и управлять ими. Позже при переходе из пилотного проекта в рабочую среду они могли делегировать каталог , назначив неадминистраторы владельцам каталога, чтобы эти пользователи могли поддерживать политики вперед.
  • Если у владельцев нет ресурсов, администраторы могут создавать каталоги, добавлять эти ресурсы в каждый каталог, а затем назначать неадминистраторы владельцам каталога. Это позволяет пользователям, которые не являются администраторами и не являются владельцами ресурсов для управления собственными политиками доступа для этих ресурсов.
  • Если у ресурсов есть владельцы, администраторы могут назначить коллекцию пользователей, например All Employees динамическую группу, роли создателей каталога, поэтому пользователь, который входит в эту группу и собственные ресурсы, может создать каталог для своих собственных ресурсов.

В этой статье показано, как делегировать пользователям, которые не являются администраторами, чтобы они могли создавать собственные каталоги. Вы можете добавить этих пользователей в роль создателя каталога, определяемого корпорацией Майкрософт, для управления правами. Вы можете добавить отдельных пользователей или добавить группу, участники которой смогут создавать каталоги. После создания каталога можно добавить ресурсы, принадлежащие им, в свой каталог. Они могут создавать пакеты и политики доступа, включая политики, ссылающиеся на существующие подключенные организации.

Если у вас есть каталоги для делегирования, перейдите к созданию и управлению каталогом ресурсов .

Делегирование ИТ-администратором прав создателю каталогов

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы назначить пользователю роль владельца каталога, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к параметрам управления>правами управления>удостоверениями.

  3. Выберите Изменить.

    Параметры для добавления создателей каталогов

  4. В разделе "Управление правами делегата" выберите "Добавить создателей каталога", чтобы выбрать пользователей или группы, которым требуется делегировать эту роль управления правами.

  5. Выберите Выбрать.

  6. Выберите Сохранить.

Разрешить делегированным ролям доступ к Центру администрирования Microsoft Entra

Чтобы разрешить делегированным ролям, таким как создатели каталога и диспетчеры пакетов доступа, для доступа к Центру администрирования Microsoft Entra для управления пакетами доступа необходимо проверить параметр портала администрирования.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

  2. Перейдите к параметрам пользователей>удостоверений>.

  3. Убедитесь, что для портала администрирования Microsoft Entra задано значение "Нет".

    Параметры пользователя Microsoft Entra — портал администрирования

Программное управление назначениями ролей

Вы также можете просматривать и обновлять назначения ролей создателей каталога и ролей управления правами в каталоге, используя Microsoft Graph. Пользователь с соответствующей ролью в приложении с делегированным разрешением EntitlementManagement.ReadWrite.All может вызвать API Graph, чтобы получить список определений ролей управления правами и список назначений ролей для этих определений ролей.

Чтобы получить список пользователей и групп, назначенных роли создателей каталога, роль с идентификатором ba92d953-d8e0-4e39-a797-0cbedb0a89e8определения используйте запрос Graph:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Следующие шаги