Kurz: Správa přístupu k prostředkům ve správě nároků Azure AD

Správa přístupu ke všem prostředkům, které zaměstnanci potřebují, jako jsou skupiny, aplikace a weby, je důležitou funkcí pro organizace. Chcete zaměstnancům udělit správnou úroveň přístupu, kterou potřebují, aby byli produktivní, a pokud už přístup nepotřebujete, odeberte ho.

V tomto kurzu pracujete pro Woodgrove Bank jako správce IT. Byli jste požádáni o vytvoření balíčku prostředků pro marketingovou kampaň, kterou můžou interní uživatelé použít k samoobslužné žádosti. Žádosti nevyžadují schválení a platnost přístupu uživatele vyprší po 30 dnech. V tomto kurzu jsou prostředky marketingové kampaně pouze členství v jedné skupině, ale může se jednat o kolekci skupin, aplikací nebo SharePoint online webů.

Diagram that shows the scenario overview.

V tomto kurzu se naučíte:

  • Vytvoření přístupového balíčku se skupinou jako prostředkem
  • Povolit uživateli ve vašem adresáři požádat o přístup
  • Předvedení toho, jak může interní uživatel požádat o přístupový balíček

Podrobné ukázky procesu nasazení správy nároků Azure Active Directory, včetně vytvoření prvního přístupového balíčku, najdete v následujícím videu:

Tento zbytek tohoto článku používá Azure Portal ke konfiguraci a předvedení správy nároků Azure AD.

Požadavky

Pokud chcete používat správu nároků Azure AD, musíte mít jednu z následujících licencí:

  • Azure AD Premium P2
  • Licence Enterprise Mobility + Security (EMS) E5

Další informace najdete v tématu Licenční požadavky.

Krok 1: Nastavení uživatelů a skupin

Adresář prostředků má jeden nebo více prostředků, které chcete sdílet. V tomto kroku vytvoříte skupinu s názvem Marketingové prostředky v adresáři Woodgrove Bank, která je cílovým prostředkem pro správu nároků. Také jste nastavili interní žadatele.

Požadovaná role: Globální správce nebo správce uživatele

Create users and groups

  1. Přihlaste se k Azure Portal jako Globální správce nebo správce uživatelů.

  2. V levém navigačním panelu klikněte na Azure Active Directory.

  3. Vytvořte nebo nakonfigurujte následující dva uživatele. Tyto názvy nebo jiné názvy můžete použít. Správce1 může být uživatel, který jste aktuálně přihlášeni jako.

    Název Role adresáře
    Admin1 Globální správce
    -nebo-
    Správce uživatelů
    Žadatel1 Uživatel
  4. Vytvořte skupinu zabezpečení Azure AD s názvem Marketingové prostředky s typem členství přiřazeného.

    Tato skupina bude cílovým prostředkem pro správu nároků. Skupina by měla být prázdná pro začátek členů.

Krok 2: Vytvoření přístupového balíčku

Přístupový balíček je sada zdrojů, které tým nebo projekt potřebuje a řídí se zásadami. Přístupové balíčky jsou definovány v kontejnerech označovaných jako katalogy. V tomto kroku vytvoříte přístupový balíček marketingové kampaně v katalogu Obecné .

Požadovaná role: Globální správce, správce zásad správného řízení identit, správce uživatelů, vlastník katalogu nebo správce balíčků Accessu

Create an access package

  1. V Azure Portal klikněte v levém navigačním panelu na Azure Active Directory.

  2. V nabídce vlevo klikněte na Zásady správného řízení identit.

  3. V nabídce vlevo klikněte na accessové balíčky. Pokud se zobrazí odepření přístupu, ujistěte se, že je ve vašem adresáři k dispozici licence Azure AD Premium P2.

  4. Klikněte na Nový přístupový balíček.

    Entitlement management in the Azure portal

  5. Na kartě Základy zadejte název přístupového balíčku marketingové kampaně a popis Přístup k prostředkům kampaně.

  6. V rozevíracím seznamu Katalog ponechte nastavenou hodnotu Obecné.

    New access package - Basics tab

  7. Kliknutím na Tlačítko Další otevřete kartu Role prostředku .

    Na této kartě vyberete prostředky a roli prostředku, které se mají zahrnout do přístupového balíčku.

  8. Klikněte na Skupiny a Teams.

  9. V podokně Vybrat skupiny vyhledejte a vyberte skupinu marketingových prostředků , kterou jste vytvořili dříve.

    Ve výchozím nastavení se skupiny zobrazují v katalogu Obecné. Když vyberete skupinu mimo katalog Obecné, která se zobrazí, pokud zaškrtnete políčko Zobrazit vše , přidá se do katalogu Obecné.

    Screenshot that shows the

  10. Kliknutím na vybrat skupinu přidáte do seznamu.

  11. V rozevíracím seznamu Role vyberte Člen.

    New access package - Resource roles tab

    Důležité

    Skupiny přiřazené rolí přidané do přístupového balíčku budou označeny pomocí přiřazení dílčího typu k rolím. Další podrobnosti o skupinách, které lze přiřadit k rolím Azure AD, najdete v tématu Vytvoření skupiny, která je možné přiřadit v Azure Active Directory. Mějte na paměti, že jakmile je skupina s možností přiřazení role v katalogu přístupových balíčků, správci, kteří můžou spravovat správu nároků, včetně globálních správců, správců uživatelů a vlastníků katalogu katalogu, budou moct řídit přístupové balíčky v katalogu, což jim umožní zvolit, kdo může být přidán do těchto skupin. Pokud nevidíte skupinu, kterou chcete přidat, nebo ji nemůžete přidat, ujistěte se, že máte k provedení této operace požadovanou roli Azure AD a roli správy nároků. Možná budete muset požádat někoho, kdo má požadované role, přidat prostředek do vašeho katalogu. Další informace naleznete v tématu Požadované role pro přidání prostředků do katalogu.

    Poznámka

    Při použití dynamických skupin neuvidíte žádné další role, které jsou k dispozici kromě vlastníka. Toto chování je úmyslné. Scenario overview

  12. Kliknutím na Tlačítko Další otevřete kartu Žádosti .

    Na této kartě vytvoříte zásadu žádosti. Zásada definuje pravidla nebo mantinely pro přístup k přístupovém balíčku. Vytvoříte zásadu, která konkrétnímu uživateli v adresáři prostředků umožní požádat o tento přístupový balíček.

  13. V části Uživatelé, kteří můžou požádat o přístup , klikněte na Položku Pro uživatele ve vašem adresáři a potom klikněte na konkrétní uživatele a skupiny.

    New access package - Requests tab

  14. Klikněte na Přidat uživatele a skupiny.

  15. V podokně Vybrat uživatele a skupiny vyberte uživatele Žadatele1 , který jste vytvořili dříve.

    New access package - Requests tab - Select users and groups

  16. Klikněte na Vybrat.

  17. Posuňte se dolů k oddílům Schválení a Povolit žádosti .

  18. Ponechte možnost Vyžadovat schválení nastavenou na Ne.

  19. Chcete-li povolit žádosti, klikněte na tlačítko Ano , chcete-li povolit, aby byl tento přístupový balíček požadován ihned po jeho vytvoření.

    New access package - Requests tab - Approval and Enable requests

  20. Kliknutím na Tlačítko Další otevřete kartu Životní cyklus .

  21. V části Vypršení platnosti nastavte vypršení platnosti přiřazení balíčku accessu na počet dnů.

  22. Nastavit přiřazení vyprší po30 dnech.

    New access package - Lifecycle tab

  23. Kliknutím na Tlačítko Další otevřete kartu Zkontrolovat a vytvořit .

    New access package - Review + Create tab

    Po chvíli by se mělo zobrazit oznámení o úspěšném vytvoření přístupového balíčku.

  24. V nabídce vlevo v přístupovém balíčku marketingové kampaně klikněte na Přehled.

  25. Zkopírujte odkaz portálu Můj přístup.

    Tento odkaz použijete pro další krok.

    Access package overview - My Access portal link

Krok 3: Vyžádání přístupu

V tomto kroku provedete kroky jako interní žadatel a požádáte o přístup k přístupovém balíčku. Žadateli odesílají své žádosti pomocí webu s názvem Portál Můj přístup. Portál Můj přístup umožňuje žadatelem odesílat žádosti o přístupové balíčky, zobrazit přístupové balíčky, ke kterým už mají přístup, a zobrazit historii žádostí.

Požadovaná role: Interní žadatel

  1. Odhlaste se z Azure Portal.

  2. V novém okně prohlížeče přejděte na odkaz Portál Můj přístup, který jste zkopírovali v předchozím kroku.

  3. Přihlaste se k portálu Můj přístup jako žadatel1.

    Měl by se zobrazit přístupový balíček marketingové kampaně .

  4. V případě potřeby klikněte ve sloupci Popis na šipku a zobrazte podrobnosti o přístupovém balíčku.

    My Access portal - Access packages

  5. Kliknutím na značku zaškrtnutí balíček vyberte.

  6. Kliknutím na tlačítko Požádat o přístup otevřete podokno Požádat o přístup.

    My Access portal - Request access button

  7. Do pole Obchodní odůvodnění zadejte odůvodnění, které používám pro novou marketingovou kampaň.

    My Access portal - Request access

  8. Klikněte na Odeslat.

  9. V nabídce vlevo klikněte na Položku Historie žádostí a ověřte, že byla vaše žádost odeslána.

Krok 4: Ověření přiřazení přístupu

V tomto kroku potvrdíte, že interní žadatel má přiřazený přístupový balíček a že je teď členem skupiny marketingových prostředků .

Požadovaná role: Globální správce, správce uživatelů, vlastník katalogu nebo správce balíčků Accessu

  1. Odhlaste se z portálu Můj přístup.

  2. Přihlaste se k Azure Portal jako správce1.

  3. Klikněte na Azure Active Directory a potom klikněte na Zásady správného řízení identit.

  4. V nabídce vlevo klikněte na accessové balíčky.

  5. Vyhledejte a klikněte na přístupový balíček marketingové kampaně .

  6. V nabídce vlevo klikněte na Požadavky.

    Měli byste vidět žadatele1 a počáteční zásadu se stavem Doručeno.

  7. Kliknutím na žádost zobrazíte podrobnosti žádosti.

    Access package - Request details

  8. V levém navigačním panelu klikněte na Azure Active Directory.

  9. Klikněte na Skupiny a otevřete skupinu marketingových prostředků .

  10. Klikněte na Členové.

    Měl by se zobrazit žadatel1 uvedený jako člen.

    Marketing resources members

Krok 5: Vyčištění prostředků

V tomto kroku odeberete provedené změny a odstraníte přístupový balíček marketingové kampaně .

Požadovaná role: Globální správce nebo správce uživatele

  1. V Azure Portal klikněte na Azure Active Directory a potom klikněte na Zásady správného řízení identit.

  2. Otevřete přístupový balíček marketingové kampaně .

  3. Klikněte na Zadání.

  4. V případě žadatele1 klikněte na tři tečky (...) a potom klikněte na odebrat přístup. Ve zprávě, která se zobrazí, klikněte na tlačítko Ano.

    Po chvíli se stav změní z Doručeno na Konec platnosti.

  5. Klikněte na Role prostředků.

  6. V případě marketingových prostředků klikněte na tři tečky (...) a potom klikněte na odebrat roli prostředku. Ve zprávě, která se zobrazí, klikněte na tlačítko Ano.

  7. Otevřete seznam přístupových balíčků.

  8. V případě marketingové kampaně klikněte na tři tečky (...) a potom klikněte na Odstranit. Ve zprávě, která se zobrazí, klikněte na tlačítko Ano.

  9. V Azure Active Directory odstraňte všechny uživatele, které jste vytvořili, například Žadatele1 a Admin1.

  10. Odstraňte skupinu marketingových prostředků .

Další kroky

V dalším článku se dozvíte o běžných krocích scénáře správy nároků.