Co je správa nároků?
Správa nároků je funkce zásad správného řízení identit, která organizacím umožňuje spravovat životní cyklus identit a přístupu ve velkém měřítku prostřednictvím automatizace pracovních postupů žádostí o přístup, přiřazení přístupu, kontrol a vypršení platnosti.
Lidé v organizacích potřebují přístup k různým skupinám, aplikacím a webům SharePointu Online, aby mohli provádět svou práci. Správa tohoto přístupu je náročná, protože se mění požadavky. Nové aplikace se přidávají nebo uživatelé potřebují více přístupových práv. Tento scénář je složitější, když spolupracujete s externími organizacemi. Možná nevíte, kdo v jiné organizaci potřebuje přístup k prostředkům vaší organizace a nebude vědět, jaké aplikace, skupiny nebo weby vaše organizace používá.
Správa nároků vám může pomoct efektivněji spravovat přístup ke skupinám, aplikacím a webům SharePointu Online pro interní uživatele a také pro uživatele mimo vaši organizaci, kteří potřebují přístup k těmto prostředkům.
Proč používat správu nároků?
Organizace často čelí výzvám při správě přístupu pracovníků k prostředkům, jako jsou:
- Uživatelé nemusí vědět, jaký přístup by měli mít, a i když to dělají, mohou mít potíže s vyhledáním správných jednotlivců ke schválení přístupu.
- Jakmile uživatelé najdou a dostanou přístup k prostředku, můžou mít přístup delší, než je potřeba pro obchodní účely.
Tyto problémy jsou složené pro uživatele, kteří potřebují přístup z jiné organizace, jako jsou externí uživatelé z organizací dodavatelského řetězce nebo jiných obchodních partnerů. Příklad:
- Nikdo nemusí znát všechny konkrétní jednotlivce v adresářích jiné organizace, aby je mohl pozvat.
- I když byli schopni pozvat tyto uživatele, nikdo v této organizaci si nemusí pamatovat, že bude spravovat přístup všech uživatelů konzistentně.
Správa nároků může pomoct tyto problémy vyřešit. Další informace o tom, jak zákazníci používají správu nároků, si můžete přečíst Mississippi Division of Medicaid, Storebrand a Avanade případové studie. Toto video obsahuje přehled správy nároků a jeho hodnoty:
Co můžu dělat se správou nároků?
Tady jsou některé možnosti správy nároků:
- Určete, kdo může získat přístup k aplikacím, skupinám, týmům a sharepointovým webům, s vícefázovým schvalováním a zajistit, aby uživatelé nezachovával přístup po neomezenou dobu prostřednictvím časově omezených přiřazení a opakovaných kontrol přístupu.
- Udělte uživatelům přístup k těmto prostředkům automaticky na základě vlastností uživatele, jako je oddělení nebo nákladové středisko, a při změně těchto vlastností odeberte přístup uživatele.
- Delegujte na nesprávce možnost vytvářet přístupové balíčky. Tyto přístupové balíčky obsahují prostředky, které si uživatelé můžou vyžádat, a správci balíčků delegovaného přístupu můžou definovat zásady s pravidly, pro které můžou uživatelé požadovat, kdo musí schválit přístup a kdy vyprší platnost přístupu.
- Vyberte připojené organizace, jejichž uživatelé můžou požádat o přístup. Když uživatel, který ještě není ve vašem adresáři, požádá o přístup a schválí se, bude automaticky pozván do vašeho adresáře a přiřazený přístup. Když jejich přístup vyprší, pokud nemají žádná další přiřazení přístupového balíčku, jejich účet B2B ve vašem adresáři se dá automaticky odebrat.
Poznámka:
Pokud jste připraveni vyzkoušet správu nároků, můžete začít s naším kurzem a vytvořit první přístupový balíček.
Můžete si také přečíst běžné scénáře nebo sledovat videa, včetně
- Nasazení správy nároků ve vaší organizaci
- Monitorování a škálování využití správy nároků
- Postup delegování při správě nároků
Co jsou přístupové balíčky a jaké prostředky s nimi můžu spravovat?
Správa nároků zavádí koncept přístupového balíčku. Přístupový balíček je sada všech zdrojů s přístupem, který uživatel potřebuje k práci na projektu nebo k provedení úkolu. Přístupové balíčky se dají použít k řízení přístupu pro vaše zaměstnance a také pro uživatele, kteří pocházejí mimo vaši organizaci.
Tady jsou typy prostředků, ke kterým můžete spravovat přístup uživatele pomocí správy nároků:
- Členství ve skupinách zabezpečení Microsoft Entra
- Členství v Skupiny Microsoft 365 a Teams
- Přiřazení podnikovým aplikacím Microsoft Entra, včetně aplikací SaaS a vlastních integrovaných aplikací, které podporují federaci, jednotné přihlašování nebo zřizování
- Členství na webech SharePointu Online
Můžete také řídit přístup k dalším prostředkům, které využívají skupiny zabezpečení Microsoft Entra nebo Skupiny Microsoft 365. Příklad:
- Licence pro Microsoft 365 můžete uživatelům udělit pomocí skupiny zabezpečení Microsoft Entra v přístupovém balíčku a konfigurací licencování na základě skupin pro tuto skupinu.
- Uživatelům můžete udělit přístup ke správě prostředků Azure pomocí skupiny zabezpečení Microsoft Entra v přístupovém balíčku a vytvořením přiřazení role Azure pro tuto skupinu.
- Uživatelům můžete udělit přístup ke správě rolí Microsoft Entra pomocí skupin přiřaditelných k rolím Microsoft Entra v přístupovém balíčku a přiřazením role Microsoft Entra této skupině.
Návody řídit, kdo získá přístup?
Pomocí přístupového balíčku správce nebo správce balíčků delegovaného přístupu uvádí prostředky (skupiny, aplikace a weby) a role, které uživatelé potřebují k těmto prostředkům.
Přístupové balíčky také obsahují jednu nebo více zásad. Zásada definuje pravidla nebo mantinely pro přiřazení pro přístup k balíčku. Každou zásadu je možné použít k zajištění toho, aby měli přístupová přiřazení pouze odpovídající uživatelé, a přístup je časově omezený a platnost vyprší, pokud se neprodlouží.
Můžete mít zásady pro uživatele, kteří chtějí požádat o přístup. V těchto typech zásad definuje správce nebo správce přístupových balíčků.
- Stávající uživatelé (obvykle zaměstnanci nebo pozvaní hosté) nebo partnerské organizace externích uživatelů, kteří mají nárok na přístup
- Proces schválení a uživatelé, kteří můžou schválit nebo odepřít přístup
- Doba trvání přiřazení přístupu uživatele po schválení před vypršením platnosti přiřazení
Můžete také mít zásady pro uživatele, kteří mají mít přiřazený přístup, a to buď správcem, automaticky na základě pravidel nebo prostřednictvím pracovních postupů životního cyklu.
Následující diagram znázorňuje příklad různých prvků správy nároků. Zobrazuje jeden katalog se dvěma ukázkovými přístupovými balíčky.
- Přístupový balíček 1 obsahuje jednu skupinu jako prostředek. Přístup je definován pomocí zásady, která umožňuje sadě uživatelů v adresáři požádat o přístup.
- Přístupový balíček 2 obsahuje skupinu, aplikaci a web SharePointu Online jako prostředky. Access je definovaný pomocí dvou různých zásad. První zásada umožňuje sadě uživatelů v adresáři požádat o přístup. Druhá zásada umožňuje uživatelům v externím adresáři požádat o přístup.
Kdy mám používat přístupové balíčky?
Přístupové balíčky nenahrazovat jiné mechanismy přiřazení přístupu. Nejvhodnější jsou v situacích, jako jsou:
- Migrace definic zásad přístupu ze správy podnikových rolí třetí strany na ID Microsoft Entra.
- Uživatelé potřebují pro konkrétní úkol časově omezený přístup. Můžete například použít licencování na základě skupin a dynamickou skupinu, abyste zajistili, že všichni zaměstnanci mají poštovní schránku Exchange Online, a pak pro situace, kdy zaměstnanci potřebují více přístupových práv, používají přístupové balíčky. Například práva ke čtení prostředků oddělení z jiného oddělení.
- Přístup, který vyžaduje schválení nadřízený osoby nebo jiných určených osob.
- Přístup, který by měl být automaticky přiřazen lidem v určité části organizace během jejich doby v dané pracovní roli, ale také dostupný pro lidi jinde v organizaci nebo v organizaci obchodního partnera, aby požádal.
- Oddělení chtějí spravovat vlastní zásady přístupu pro své prostředky bez zapojení IT.
- Dvě nebo více organizací spolupracuje na projektu a v důsledku toho se bude muset přes Microsoft Entra B2B dostat více uživatelů z jedné organizace, aby bylo možné získat přístup k prostředkům jiné organizace.
Návody přístup delegáta?
Přístupové balíčky jsou definovány v kontejnerech označovaných jako katalogy. Můžete mít jeden katalog pro všechny přístupové balíčky nebo můžete určit jednotlivce, kteří budou vytvářet a vlastnit vlastní katalogy. Správce může přidávat prostředky do libovolného katalogu, ale nesprávce může do katalogu přidávat pouze prostředky, které vlastní. Vlastník katalogu může přidat další uživatele jako spoluvlastníky katalogu nebo jako správce přístupových balíčků. Tyto scénáře jsou podrobněji popsány v delegování článku a rolích při správě nároků.
Shrnutí terminologie
Pokud chcete lépe porozumět správě nároků a jeho dokumentaci, můžete se vrátit k následujícímu seznamu podmínek.
| Období | Popis |
|---|---|
| přístupový balíček | Sada zdrojů, které tým nebo projekt potřebuje a řídí se zásadami. Přístupový balíček je vždy obsažen v katalogu. Pro scénář, ve kterém uživatelé potřebují požádat o přístup, byste vytvořili nový přístupový balíček. |
| žádost o přístup | Žádost o přístup k prostředkům v přístupovém balíčku Žádost obvykle prochází pracovním postupem schválení. Pokud je schváleno, obdrží žádající uživatel přiřazení přístupového balíčku. |
| Přiřazení | Přiřazení přístupového balíčku uživateli zajistí, že má uživatel všechny role prostředků daného přístupového balíčku. Přiřazení přístupového balíčku mají obvykle časový limit před vypršením jejich platnosti. |
| Katalogu | Kontejner souvisejících prostředků a přístupových balíčků. Katalogy se používají pro delegování, aby nesprávci mohli vytvářet vlastní přístupové balíčky. Vlastníci katalogu můžou do katalogu přidávat prostředky, které vlastní. |
| tvůrce katalogu | Kolekce uživatelů, kteří mají oprávnění vytvářet nové katalogy. Když uživatel, který nemá oprávnění být tvůrcem katalogu, vytvoří nový katalog, automaticky se stane vlastníkem tohoto katalogu. |
| propojená organizace | Externí adresář nebo doména Microsoft Entra, se kterou máte relaci. Uživatelé z připojené organizace je možné zadat v zásadách, aby mohli požádat o přístup. |
| policy | Sada pravidel, která definují životní cyklus přístupu, například jak uživatelé získají přístup, kdo může schválit a jak dlouho mají uživatelé přístup prostřednictvím přiřazení. Zásada je propojená s přístupovým balíčkem. Přístupový balíček může mít například dvě zásady – jednu pro zaměstnance, kteří chtějí požádat o přístup, a druhou pro externí uživatele, kteří chtějí požádat o přístup. |
| resource | Prostředek, například skupina Office, skupina zabezpečení, aplikace nebo web SharePointu Online, s rolí, ke které může uživatel udělit oprávnění. |
| adresář prostředků | Adresář, který má jeden nebo více prostředků ke sdílení. |
| role prostředku | Kolekce oprávnění přidružených a definovaných prostředkem. Skupina má dvě role – člena a vlastníka. Sharepointové weby mají obvykle tři role, ale můžou mít i jiné vlastní role. Aplikace můžou mít vlastní role. |
Požadavky na licenci
Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace. Některé funkce v této funkci můžou fungovat s předplatným Microsoft Entra ID P2. Další podrobnosti najdete v článcích o jednotlivých funkcích. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.
Další kroky
- Pokud vás zajímá použití Centra pro správu Microsoft Entra ke správě přístupu k prostředkům, přečtěte si kurz : Správa přístupu k prostředkům – Microsoft Entra.
- Pokud vás zajímá použití Microsoft Graphu ke správě přístupu k prostředkům, přečtěte si kurz : Správa přístupu k prostředkům – Microsoft Graph
- Obvyklé scénáře