Общие сведения об управлении правами
Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.
Для выполнения своей работы пользователям в организациях требуется доступ к различным группам, приложениям и сайтам SharePoint Online. Управление этим доступом является сложной задачей, поскольку требования меняются. Добавляются новые приложения, или пользователям требуется больше прав доступа. Этот сценарий усложняется, когда вы сотрудничаете с внешними организациями. Возможно, вы не знаете, кто в другой организации нуждается в доступе к ресурсам вашей организации, и они не будут знать, какие приложения, группы или сайты использует ваша организация.
Управление правами позволяет более эффективно управлять доступом к группам, приложениям и сайтам SharePoint Online для внутренних пользователей, а также пользователям за пределами организации, которым требуется доступ к этим ресурсам.
Зачем использовать управление правами?
Корпоративные организации часто сталкиваются с проблемами при управлении доступом к ресурсам, таким как:
- Пользователи могут не знать, какой доступ у них должен быть, и даже если они делают, у них могут возникнуть трудности при поиске нужных лиц для утверждения их доступа
- Когда пользователи находят и получают доступ к ресурсу, они могут хранить доступ дольше, чем требуется для бизнес-целей.
Это проблема для пользователей, которым необходим доступ из другой организации, например сторонних пользователей, из организаций-поставщиков или иных деловых партнеров. Например:
- Никто не может знать всех конкретных лиц в каталогах другой организации, чтобы иметь возможность приглашать их
- Даже если они смогли пригласить этих пользователей, никто в этой организации не может запомнить, чтобы управлять доступом всех пользователей согласованно
Управление правами может помочь решить эти проблемы. Чтобы узнать больше о том, как клиенты использовали управление правами, вы можете ознакомиться с отделом Mississippi Medicaid, Storebrand, Nippon Express Co., Ltd и Digital Security and Resilience команды в примерах Майкрософт. В этом видео представлены общие сведения об управлении правами и его ценности.
Что можно сделать с помощью управления правами?
Ниже приведены некоторые возможности управления правами.
- Контролируйте, кто может получить доступ к приложениям, группам, Teams и сайтам SharePoint, с помощью многоэтапного утверждения и убедитесь, что пользователи не сохраняют доступ на неопределенный срок с помощью ограниченных по времени назначений и повторяющихся проверок доступа.
- Предоставьте пользователям автоматический доступ к этим ресурсам на основе свойств пользователя, таких как отдел или центр затрат, и удалите доступ пользователя при изменении этих свойств.
- Делегировать неадминистраторам возможность создавать пакеты доступа. Эти пакеты для доступа содержат ресурсы, которые пользователи могут запрашивать, а диспетчеры делегированных пакетов для доступа могут определять политики с правилами, которые пользователи могут запрашивать, с указанием того, кто должен утверждать их доступ и когда срок действия доступа истечет.
- Выберите подключенные организации, пользователи которых могут запрашивать доступ. Когда пользователь, который еще не находится в вашем каталоге, запрашивает доступ и получает одобрение, он автоматически приглашается в каталог и получает доступ. Когда срок действия доступа истечет, учетная запись B2B в каталоге может быть автоматически удалена, если у нее нет других назначений пакетов для доступа.
Примечание.
Если вы готовы опробовать управление правами, вы можете начать с нашего учебника по созданию первого пакета доступа.
Вы также можете ознакомиться с распространенными сценариями или просмотреть видео, включая перечисленные ниже.
- Развертывание управления правами в организации
- Мониторинг и масштабирование использования управления правами
- Делегирование управления правами
Что такое пакеты для доступа и какими ресурсами можно управлять с их помощью?
Управление правами представляет концепцию пакета доступа. Пакет для доступа — это набор всех ресурсов с регулируемым доступом, которые нужны пользователю для работы над проектом или для выполнения своих задач. Пакеты доступа можно использовать для управления доступом для сотрудников, а также для пользователей, отправившихся за пределами вашей организации.
Ниже перечислены типы ресурсов, доступом пользователей к которым можно управлять с помощью управления правами.
- Членство в группах безопасности Microsoft Entra
- Членство в группах и командах Microsoft 365
- Назначение корпоративным приложениям Microsoft Entra, включая приложения SaaS и пользовательские интегрированные приложения, поддерживающие федерацию или единый вход и /или подготовку
- Членство на сайтах SharePoint Online
Вы также можете управлять доступом к другим ресурсам, которые используют группы безопасности Microsoft Entra или Группы Microsoft 365. Например:
- Вы можете предоставить пользователям лицензии для Microsoft 365 с помощью группы безопасности Microsoft Entra в пакете доступа и настройке лицензирования на основе групп для этой группы.
- Вы можете предоставить пользователям доступ к управлению ресурсами Azure с помощью группы безопасности Microsoft Entra в пакете доступа и создании назначения ролей Azure для этой группы.
- Вы можете предоставить пользователям доступ к управлению ролями Microsoft Entra с помощью групп, которые можно назначить ролям Microsoft Entra в пакете доступа и назначить роль Microsoft Entra этой группе.
Как проконтролировать, кто получает доступ?
С помощью пакета для доступа администратор или диспетчер пакетов с делегированным доступом перечисляет ресурсы (группы, приложения и сайты) и роли, необходимые пользователям для этих ресурсов.
Пакеты для доступа также содержат одну или несколько политик. Политика определяет правила или охранники для назначения пакета доступа. Каждая политика может использоваться для обеспечения того, чтобы только соответствующие пользователи могли иметь назначения доступа, а доступ ограничен временем и истекает, если он не продлен.
Вы можете использовать политики, позволяющие пользователям запрашивать доступ. В таких политиках администратор или диспетчер пакетов для доступа определяет
- Либо уже существующие пользователи (обычно сотрудники или уже приглашенные гости), либо партнерские организации внешних пользователей, которые имеют право запрашивать доступ
- процесс утверждения и пользователей, которые могут утверждать или запрещать доступ;
- продолжительность назначения доступа пользователя после утверждения до истечения срока действия назначения.
Вы также можете иметь политики для пользователей, которым необходимо назначить доступ, администратором, автоматически на основе правил или рабочих процессов жизненного цикла.
На схеме ниже показан пример различных элементов управления правами. На ней показан один каталог с двумя примерами пакетов для доступа.
- Пакета для доступа 1 содержит одну группу как ресурс. Доступ определяется с помощью политики, которая позволяет набору пользователей в каталоге запрашивать доступ.
- Пакет для доступа 2 содержит группу, приложение и сайт SharePoint Online в качестве ресурсов. Доступ определяется двумя разными политиками. Первая политика позволяет набору пользователей в каталоге запрашивать доступ. Вторая политика позволяет пользователям из внешнего каталога запрашивать доступ.
Когда следует использовать пакеты для доступа?
Пакеты для доступа не заменяют другие механизмы назначения доступа. Они наиболее уместны в таких ситуациях, как:
- Перенос определений политик доступа из стороннего управления корпоративными ролями в идентификатор Microsoft Entra.
- Пользователям требуется ограниченный доступ к определенной задаче. Например, вы можете использовать групповое лицензирование и динамическую группу, чтобы гарантировать наличие у всех сотрудников почтового ящика Exchange Online, а затем использовать пакеты для доступа в ситуациях, когда сотрудникам требуется больше прав доступа. Например, права на чтение ресурсов отдела из другого отдела.
- Доступ, требующий одобрения руководителя или других назначенных лиц.
- Доступ, который должен быть назначен автоматически людям в определенной части организации в течение своего времени в этой роли, но также доступен для людей в других местах организации или в организации бизнес-партнера, чтобы запросить.
- Отделы управляют собственными политиками доступа к своим ресурсам без привлечения ИТ.
- Две или несколько организаций совместно работают над проектом, и в результате несколько пользователей из одной организации должны быть доставлены через Microsoft Entra B2B для доступа к ресурсам другой организации.
Как делегировать доступ?
Пакеты для доступа добавляются в контейнеры, называемые каталогами. У вас может быть один каталог для всех пакетов для доступа, или можно разрешить отдельным пользователям создавать собственные каталоги и владеть ими. Администратор может добавлять ресурсы в любой каталог, но неадминистатор может добавлять только в каталог ресурсы, принадлежащие им. Владелец каталога может добавлять в каталог других пользователей в качестве совладельцев или в качестве менеджеров пакетов для доступа. Эти сценарии описаны далее в статье делегирования и ролей в управлении правами.
Сводка по терминологии
Чтобы лучше понимать управление правами и документацию, вы можете использовать следующий список терминов.
Срок | Description |
---|---|
пакет для доступа | Набор управляемых политиками ресурсов, которые требуются для группы или проекта. Пакет для доступа всегда содержится в каталоге. Необходимо создать новый пакет для доступа для сценария, в котором пользователям необходимо запросить доступ. |
запрос на доступ | Запрос на доступ к ресурсам в пакете для доступа. Обычно запрос проходит через рабочий процесс утверждения. Если утверждение получено, запрашивающему пользователю назначается пакет для доступа. |
присваивание | Назначение пакета для доступа пользователю гарантирует, что у пользователя есть все роли ресурсов этого пакета для доступа. Назначения пакетов для доступа обычно ограничены по времени до истечения срока их действия. |
сценариев | Контейнер связанных ресурсов и пакетов для доступа. Каталоги используются для делегирования, чтобы неадминистраторы могли создавать собственные пакеты доступа. Владельцы каталога могут добавлять ресурсы, которыми они владеют, в каталог. |
создатель каталога | Коллекция пользователей, которым разрешено создавать новые каталоги. Когда пользователь, не имеющий права быть создателем каталога, создает новый каталог, он автоматически становится владельцем этого каталога. |
подключенная организация | Внешний каталог Microsoft Entra или домен, с которым у вас есть связь. Пользователям из подключенной организации в политике может быть разрешено запрашивать доступ. |
policy | Набор правил, определяющий жизненный цикл доступа, например способ получения доступа пользователями, тех, кто может утверждать доступ, и как надолго пользователи получают доступ с помощью назначения. Политика связана с пакетом для доступа. Например, пакет для доступа может иметь две политики: один для запроса доступа сотрудниками, а второй — для запроса доступа сторонними пользователями. |
resource | Ресурс, например группа Office, группа безопасности, приложение или сайт SharePoint Online с ролью, которой может быть предоставлен доступ пользователю. |
каталог ресурсов | Каталог, содержащий один или несколько ресурсов для совместного использования. |
роль ресурса | Коллекция разрешений, связанных с определенным ресурсом, и определяемых им. Группа имеет две роли — "член" и "владелец". Сайты SharePoint обычно имеют три роли, но могут иметь другие пользовательские роли. Приложения могут иметь пользовательские роли. |
Требования к лицензиям
Эта функция требует Управление идентификацией Microsoft Entra или подписок Microsoft Entra Suite для пользователей вашей организации. Некоторые возможности в рамках этой функции могут работать с подпиской Microsoft Entra ID P2. Дополнительные сведения см. в статьях о каждой возможности. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Следующие шаги
- Если вы хотите использовать Центр администрирования Microsoft Entra для управления доступом к ресурсам, см . руководство. Управление доступом к ресурсам — Microsoft Entra.
- Если вы заинтересованы в использовании Microsoft Graph для управления доступом к ресурсам, см. Руководство. Управление доступом к ресурсам: Microsoft Graph
- Распространенные сценарии