Kurz: Správa přístupu k prostředkům ve správě nároků Azure AD

  • Článek
  • 6 min ke čtení

Správa přístupu ke všem prostředkům, které zaměstnanci potřebují, jako jsou skupiny, aplikace a weby, je důležitou funkcí pro organizace. Chcete zaměstnancům udělit správnou úroveň přístupu, kterou potřebují k tomu, aby byli produktivní, a odebrat přístup, když už ho nepotřebujete.

V tomto kurzu pracujete pro Woodgrove Bank jako správce IT. Byli jste požádáni o vytvoření balíčku prostředků pro marketingovou kampaň, kterou mohou interní uživatelé použít k samoobslužné žádosti. Žádosti nevyžadují schválení a platnost přístupu uživatele vyprší po 30 dnech. Pro účely tohoto kurzu jsou prostředky marketingové kampaně jen členství v jedné skupině, ale může to být kolekce skupin, aplikací nebo webů SharePointu Online.

Diagram znázorňuje přehled scénáře

V tomto kurzu se naučíte:

  • Vytvoření přístupového balíčku se skupinou jako prostředek
  • Povolení uživateli ve vašem adresáři požádat o přístup
  • Předvedení způsobu, jakým může interní uživatel požádat o přístupový balíček

Podrobné ukázky procesu nasazení správy nároků Azure Active Directory, včetně vytvoření prvního přístupového balíčku, si můžete prohlédnout následující video:

Požadavky

Pokud chcete používat správu nároků Azure AD, musíte mít jednu z následujících licencí:

  • Azure AD Premium P2
  • Licence Enterprise Mobility + Security (EMS) E5

Další informace najdete v tématu Licenční požadavky.

Krok 1: Nastavení uživatelů a skupin

Adresář prostředků má jeden nebo více prostředků ke sdílení. V tomto kroku vytvoříte v adresáři Woodgrove Bank skupinu s názvem Marketingové prostředky, která je cílovým zdrojem pro správu nároků. Nastavili jste také interního requestoru.

Požadovaná role: Globální správce nebo Správce uživatelů

Vytváření uživatelů a skupin

  1. Přihlaste se k Azure Portal jako globální správce nebo Správce uživatelů.

  2. V levém navigačním panelu klikněte na Azure Active Directory.

  3. Vytvořte nebo nakonfigurujte následující dva uživatele. Můžete použít tyto názvy nebo jiné názvy. Admin1 může být uživatel, ke kterému jste aktuálně přihlášení.

    Name Role adresáře
    Uživateli Globální správce
    -nebo-
    Správce uživatelů
    Requestor1 Uživatel

  4. Vytvořte skupinu zabezpečení Azure AD s názvem marketingové zdroje s přiřazeným typem členství.

    Tato skupina bude cílovým prostředkem pro správu nároků. Skupina by měla být prázdná pro členy, kteří mají být spuštěni.

Krok 2: vytvoření balíčku pro přístup

Balíček pro přístup je sada prostředků, které tým nebo projekt potřebuje a které se řídí zásadami. Balíčky přístupu jsou definované v kontejnerech nazývaných katalogy. V tomto kroku vytvoříte balíček pro přístup k marketingové kampani v katalogu Obecné .

Požadovaná role: Globální správce, správce zásad správného řízení identity, správce uživatele, vlastník katalogu nebo správce balíčků pro přístup

Vytvoření přístupového balíčku

  1. V Azure Portal klikněte v levém navigačním panelu na možnost Azure Active Directory.

  2. V nabídce vlevo klikněte na zásady správného řízení identity .

  3. V nabídce vlevo klikněte na možnost přístup k balíčkům. Pokud se zobrazí zpráva Přístup odepřen, ujistěte se, Azure AD Premium váš adresář obsahuje licenci P2.

  4. Klikněte na Nový přístupový balíček.

    Správa nároků v Azure Portal

  5. Na kartě Základy zadejte název Přístupový balíček marketingové kampaně a popis Přístup k prostředkům pro kampaň.

  6. Rozevírací seznam Katalog nechte nastavený na Obecné.

    Nový přístupový balíček – karta Základy

  7. Kliknutím na Další otevřete kartu Role prostředků.

    Na této kartě vyberete prostředky a roli prostředku, které chcete zahrnout do přístupového balíčku.

  8. Klikněte na Skupiny a Teams.

  9. V podokně Vybrat skupiny vyhledejte a vyberte skupinu Prostředků marketingu, kterou jste vytvořili dříve.

    Ve výchozím nastavení se skupiny zobrazí v katalogu Obecné. Když vyberete skupinu mimo katalog Obecné, uvidíte, že pokud zaškrtáte políčko Zobrazit vše, přidá se do katalogu Obecné.

    Snímek obrazovky znázorňuje kartu Nový přístupový balíček – Role prostředků a okno Vybrat skupiny

  10. Kliknutím na Vybrat přidejte skupinu do seznamu.

  11. V rozevíracím seznamu Role vyberte Člen.

    Nový přístupový balíček – karta Role prostředků

    Důležité

    Skupiny s možností přiřazení rolí přidané do přístupového balíčku se budou indikovat pomocí podtypu Assignable k rolím. Další podrobnosti o skupinách, které je možné přiřadit k rolím Azure AD, najdete Azure Active Directory tématu Vytvoření skupiny s možností přiřazení rolí v Azure AD. Mějte na paměti, že jakmile se v katalogu přístupových balíčků nachází skupina s možností přiřazení rolí, budou moct správci, kteří jsou schopní spravovat správu nároků, včetně globálních správců, správců uživatelů a vlastníků katalogu katalogu, řídit přístupové balíčky v katalogu, což jim umožní zvolit, kdo je možné do těchto skupin přidat. Pokud nevidíte skupinu s možností přiřazení rolí, kterou chcete přidat, nebo ji nemůžete přidat, ujistěte se, že k provedení této operace máte požadovanou roli Azure AD a roli pro správu nároků. Možná budete muset požádat někoho s požadovanými rolemi přidat prostředek do katalogu. Další informace najdete v tématu požadované role pro přidání prostředků do katalogu.

    Poznámka

    Při použití dynamických skupin se kromě vlastníka nezobrazí žádné další role. Toto chování je úmyslné. Přehled scénáře

  12. Kliknutím na Další otevřete kartu žádosti .

    Na této kartě vytvoříte zásadu žádosti. Zásady definují pravidla nebo guardrails pro přístup k balíčku přístupu. Vytvoříte zásadu, která umožňuje určitému uživateli v adresáři prostředků požádat o tento balíček přístupu.

  13. V části Uživatelé, kteří můžou požádat o přístup , klikněte na uživatele v adresáři a pak klikněte na konkrétní uživatelé a skupiny.

    Nový balíček přístupu – karta požadavky

  14. Klikněte na Přidat uživatele a skupiny.

  15. V podokně vybrat uživatele a skupiny vyberte uživatele Requestor1 , kterého jste vytvořili dříve.

    Nový přístupový balíček – karta požadavky – vybrat uživatele a skupiny

  16. Klikněte na Vybrat.

  17. Přejděte dolů na oddíly schválení a Povolit žádosti .

  18. Nechte položku vyžadovat schválení nastavenou na ne.

  19. Pro Povolit žádosti klikněte na Ano , aby se tento balíček pro přístup vyžádal, jakmile se vytvoří.

    Nový přístupový balíček – vyžádá schválení a povolí žádosti na kartě.

  20. Kliknutím na Další otevřete kartu životní cyklus .

  21. V části vypršení platnosti nastavte u Přiřazení přístupových balíčků počet dní.

  22. Nastavte platnost přiřazení po dobu 30 dnů.

    Nový balíček přístupu – karta životního cyklu

  23. Kliknutím na Další otevřete kartu Zkontrolovat a vytvořit.

    Nový přístupový balíček – karta Zkontrolovat a vytvořit

    Po chvíli by se mělo zobrazit oznámení o úspěšném vytvoření přístupového balíčku.

  24. V levé nabídce přístupového balíčku marketingové kampaně klikněte na Přehled.

  25. Zkopírujte odkaz Můj přístup Portal.

    Tento odkaz použijete v dalším kroku.

    Přehled přístupového balíčku – Můj přístup portálu

Krok 3: Žádost o přístup

V tomto kroku provedete kroky jako interní requestor a vyžádáte si přístup k přístupového balíčku. Requestors submit their requests using a site called the Můj přístup portal. Portál Můj přístup umožňuje žádajícím odesílat žádosti o přístupové balíčky, zobrazit přístupové balíčky, ke které už mají přístup, a zobrazit historii žádostí.

Role předpokladu: Interní requestor

  1. Odhlásit se z Azure Portal.

  2. V novém okně prohlížeče přejděte na odkaz Můj přístup Portal, který jste zkopíroval v předchozím kroku.

  3. Přihlaste se k portálu Můj přístup jako Requestor1.

    Měl by se zobrazit přístupový balíček marketingové kampaně.

  4. V případě potřeby klikněte ve sloupci Popis na šipku a zobrazte podrobnosti o přístupových balíčku.

    Můj přístup Portal – Přístup k balíčkům

  5. Kliknutím na značku zaškrtnutí vyberte balíček.

  6. Kliknutím na Požádat o přístup otevřete podokno Požádat o přístup.

    Můj portál pro přístup – požádat o přístup k tlačítku

  7. Do pole obchodní odůvodnění zadejte odůvodnění při práci na nové marketingové kampani.

    Můj portál přístupu – požádat o přístup

  8. Klikněte na Odeslat.

  9. V nabídce vlevo klikněte na historie požadavků a ověřte, zda byla žádost odeslána.

Krok 4: ověření, zda byl přiřazen přístup

V tomto kroku ověříte, že interní žadatel byl přiřazen k balíčku přístupu a že je teď členem skupiny marketingových zdrojů .

Požadovaná role: Globální správce, Správce uživatelů, vlastník katalogu nebo správce balíčků přístupu

  1. Odhlaste se z portálu pro přístup k webu.

  2. Přihlaste se k Azure Portal jako admin1.

  3. Klikněte na Azure Active Directory a pak na zásady správného řízení identity.

  4. V nabídce vlevo klikněte na možnost přístup k balíčkům.

  5. Vyhledejte a klikněte na balíček pro přístup k marketingové kampani .

  6. V nabídce vlevo klikněte na požadavky.

    Měli byste vidět Requestor1 a počáteční zásady se stavem dodáno.

  7. Kliknutím na žádost zobrazíte podrobnosti o žádosti.

    Přístup k balíčku – Podrobnosti žádosti

  8. V levém navigačním panelu klikněte na Azure Active Directory.

  9. Klikněte na skupiny a otevřete skupinu marketingových zdrojů .

  10. Klikněte na tlačítko Členové.

    Jako člen by se měl zobrazit Requestor1.

    Členové marketingových prostředků

Krok 5: Vyčištění prostředků

V tomto kroku odeberete provedené změny a odstraníte přístupový balíček marketingové kampaně.

Role předpokladu: Globální správce nebo správce uživatelů

  1. V části Azure Portal klikněte na Azure Active Directory a pak klikněte na Zásady správného řízení identit.

  2. Otevřete přístupový balíček marketingové kampaně.

  3. Klikněte na Přiřazení.

  4. V případě requestor1 klikněte na tři tečky (...) a pak klikněte na Odebrat přístup. Ve zprávě, která se zobrazí, klikněte na Ano.

    Po chvíli se stav změní z Doručeno na Platnost vypršela.

  5. Klikněte na Role prostředků.

  6. V případě prostředků marketingu klikněte na tři tečky (...) a pak klikněte na Odebrat roli prostředku. Ve zprávě, která se zobrazí, klikněte na Ano.

  7. Otevřete seznam přístupových balíčků.

  8. V případě marketingové kampaně klikněte na tři tečky (...) a pak klikněte na Odstranit. Ve zprávě, která se zobrazí, klikněte na Ano.

  9. V Azure Active Directory odstraňte všechny uživatele, které jste vytvořili, například Requestor1 a Admin1.

  10. Odstraňte skupinu Prostředků marketingu.

Další kroky

V dalším článku se dozvíte o běžných krocích scénáře při správě nároků.

Obvyklé scénáře