Oktatóanyag: az első hozzáférési csomag létrehozása az Azure AD-jogosultságok kezelésébenTutorial: Create your first access package in Azure AD entitlement management

A szervezetek számára fontos funkció az összes erőforráshoz, például a csoportokhoz, alkalmazásokhoz és webhelyekhez való hozzáférés kezelése.Managing access to all the resources employees need, such as groups, applications, and sites, is an important function for organizations. Azt szeretné, hogy az alkalmazottak a megfelelő szintű hozzáférést biztosítsanak a hatékonysághoz, és el kell távolítaniuk a hozzáférést, ha már nincs rá szükség.You want to grant employees the right level of access they need to be productive and remove their access when it is no longer needed.

Ebben az oktatóanyagban a Woodgrove Bank rendszergazdaként működik.In this tutorial, you work for Woodgrove Bank as an IT administrator. A rendszer arra kérte, hogy hozzon létre egy erőforrás-csomagot egy olyan marketingkampányok számára, amelyet a belső felhasználók önkiszolgáló kéréssel használhatnak.You've been asked to create a package of resources for a marketing campaign that internal users can self-service request. A kérések nem igényelnek jóváhagyást, és a felhasználó hozzáférése 30 nap után lejár.Requests do not require approval and user's access expires after 30 days. Ebben az oktatóanyagban a marketing kampány erőforrásai csak egyetlen csoport tagjai, de lehetnek csoportok, alkalmazások vagy SharePoint Online-webhelyek gyűjteményei.For this tutorial, the marketing campaign resources are just membership in a single group, but it could be a collection of groups, applications, or SharePoint Online sites.

A forgatókönyv áttekintése

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:In this tutorial, you learn how to:

  • Hozzáférési csomag létrehozása erőforrásként egy csoporttalCreate an access package with a group as a resource
  • Hozzáférés kérésének engedélyezése a címtárban lévő felhasználónakAllow a user in your directory to request access
  • Bemutatjuk, hogyan kérheti a belső felhasználó a hozzáférési csomagotDemonstrate how an internal user can request the access package

Az Azure Active Directory jogosultságok felügyeletének üzembe helyezési folyamatának lépésenkénti bemutatásához, beleértve az első hozzáférési csomag létrehozását is, tekintse meg a következő videót:For a step-by-step demonstration of the process of deploying Azure Active Directory entitlement management, including creating your first access package, view the following video:

Microsoft Graph használatával programozott módon is létrehozhat hozzáférési csomagokat.You can also create an access package programmatically using Microsoft Graph. Egy olyan oktatóanyaghoz, amely bemutatja, hogyan hozhat létre programozott módon egy hozzáférési csomagot, tekintse meg a jogosultságok kezelése API-t.For a tutorial that shows how to create an access package programmatically, see entitlement management API.

ElőfeltételekPrerequisites

Az Azure AD-jogosultságok felügyeletének használatához a következő licencek egyike szükséges:To use Azure AD entitlement management, you must have one of the following licenses:

  • Prémium szintű Azure AD P2Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5-licencEnterprise Mobility + Security (EMS) E5 license

További információkért lásd a licencekre vonatkozó követelményeket.For more information, see License requirements.

1. lépés: felhasználók és csoportok beállításaStep 1: Set up users and group

Egy erőforrás-címtárhoz egy vagy több megosztani kívánt erőforrás tartozik.A resource directory has one or more resources to share. Ebben a lépésben létrehoz egy marketing-erőforrások nevű csoportot a Woodgrove Bank címtárában, amely a jogosultságok kezelésének célként szolgáló erőforrása.In this step, you create a group named Marketing resources in the Woodgrove Bank directory that is the target resource for entitlement management. A belső kérelmezőt is be kell állítania.You also set up an internal requestor.

Előfeltételként szükséges szerepkör: Globális rendszergazda vagy felhasználói rendszergazdaPrerequisite role: Global administrator or User administrator

Felhasználók és csoportok létrehozása

  1. Jelentkezzen be a Azure Portal globális rendszergazdaként vagy felhasználói rendszergazdaként.Sign in to the Azure portal as a Global administrator or User administrator.

  2. A bal oldali navigációs sávon kattintson a Azure Active Directoryelemre.In the left navigation, click Azure Active Directory.

  3. Hozza létre vagy konfigurálja a következő két felhasználót.Create or configure the following two users. Ezeket a neveket vagy más neveket is használhatja.You can use these names or different names. A Rendszergazda1 lehet az a felhasználó, aki jelenleg be van jelentkezve.Admin1 can be the user you are currently signed in as.

    NameName CímtárszerepkörDirectory role
    Rendszergazda1Admin1 Globális rendszergazdaGlobal administrator
    -vagy--or-
    Felhasználói rendszergazdaUser administrator
    Requestor1Requestor1 FelhasználóUser
  4. Hozzon létre egy marketing-erőforrások nevű Azure ad biztonsági csoportot a hozzárendelttagsági típussal.Create an Azure AD security group named Marketing resources with a membership type of Assigned.

    Ez a csoport lesz a jogosultságok kezelésének cél erőforrása.This group will be the target resource for entitlement management. A csoportnak üresnek kell lennie a tagoktól a kezdéshez.The group should be empty of members to start.

2. lépés: hozzáférési csomag létrehozásaStep 2: Create an access package

A hozzáférési csomag olyan erőforrások kötege, amelyekhez egy csoportnak vagy projektnek szüksége van, és amelyekre szabályzat vonatkozik.An access package is a bundle of resources that a team or project needs and is governed with policies. A hozzáférési csomagok a katalógusoknevű tárolókban vannak meghatározva.Access packages are defined in containers called catalogs. Ebben a lépésben létrehoz egy marketingkampány -hozzáférési csomagot az általános katalógusban.In this step, you create a Marketing Campaign access package in the General catalog.

Előfeltételként szükséges szerepkör: Globális rendszergazda, felhasználói rendszergazda, katalógus tulajdonosa vagy hozzáférési csomag kezelőjePrerequisite role: Global administrator, User administrator, Catalog owner, or Access package manager

Hozzáférési csomag létrehozása

  1. A Azure Portal a bal oldali navigációs sávon kattintson a Azure Active Directoryelemre.In the Azure portal, in the left navigation, click Azure Active Directory.

  2. A bal oldali menüben kattintson az identitások szabályozása elemre.In the left menu, click Identity Governance

  3. A bal oldali menüben kattintson a hozzáférési csomagokelemre.In the left menu, click Access packages. Ha a hozzáférés megtagadvaérték jelenik meg, győződjön meg arról, hogy a címtárban van egy prémium szintű Azure ad P2-licenc.If you see Access denied, ensure that an Azure AD Premium P2 license is present in your directory.

  4. Kattintson az új hozzáférési csomagelemre.Click New access package.

    Jogosultságok kezelése a Azure Portal

  5. Az alapvető beállítások lapon írja be a marketing kampány hozzáférési csomagjának és leírásának nevet a kampány erőforrásaihoz.On the Basics tab, type the name Marketing Campaign access package and description Access to resources for the campaign.

  6. Hagyja meg a katalógus legördülő lista általánosértékre állítását.Leave the Catalog drop-down list set to General.

    Új hozzáférési csomag – alapismeretek lap

  7. Kattintson a tovább gombra az erőforrás-szerepkörök lap megnyitásához.Click Next to open the Resource roles tab.

    Ezen a lapon kiválaszthatja a hozzáférési csomagban szerepeltetni kívánt erőforrásokat és erőforrás-szerepkört.On this tab, you select the resources and the resource role to include in the access package.

  8. Kattintson a csoportok éscsoportok elemre.Click Groups and Teams.

  9. A csoportok kiválasztása panelen keresse meg és válassza ki a korábban létrehozott marketing-erőforrások csoportot.In the Select groups pane, find and select the Marketing resources group you created earlier.

    Alapértelmezés szerint a csoportok az általános katalóguson belül jelennek meg.By default, you see groups inside the General catalog. Ha kijelöl egy csoportot az általános katalóguson kívül, amelyet láthat, ha bejelöli az összes megjelenítése jelölőnégyzetet, a rendszer hozzáadja az általános katalógushoz.When you select a group outside of the General catalog, which you can see if you check the See all check box, it will be added to the General catalog.

    Új hozzáférési csomag – erőforrás-szerepkörök lap

  10. Kattintson a kiválasztás elemre a csoport listához való hozzáadásához.Click Select to add the group to the list.

  11. A szerepkör legördülő listában válassza a tagelemet.In the Role drop-down list, select Member.

    Új hozzáférési csomag – erőforrás-szerepkörök lap

    Megjegyzés

    Dinamikus csoportok használatakor a tulajdonoson kívül más szerepkörök is nem érhetők el.When using dynamic groups you will not see any other roles available besides owner. Ez az elvárt működés.This is by design. A forgatókönyv áttekintéseScenario overview

  12. A tovább gombra kattintva nyissa meg a kérelmek lapot.Click Next to open the Requests tab.

    Ezen a lapon létrehoz egy kérési házirendet.On this tab, you create a request policy. A szabályzatok határozzák meg a hozzáférési csomag elérésére vonatkozó szabályokat vagy guardrails.A policy defines the rules or guardrails to access an access package. Olyan házirendet hoz létre, amely lehetővé teszi egy adott felhasználó számára az erőforrás-címtárban a hozzáférési csomag igénylését.You create a policy that allows a specific user in the resource directory to request this access package.

  13. A hozzáférést kérő felhasználók területen kattintson a címtárban lévő felhasználók elemre, majd az adott felhasználók és csoportokelemre.In the Users who can request access section, click For users in your directory and then click Specific users and groups.

    Új hozzáférési csomag – kérelmek lap

  14. Kattintson a felhasználók és csoportok hozzáadásalehetőségre.Click Add users and groups.

  15. A felhasználók és csoportok kiválasztása panelen válassza ki a korábban létrehozott Requestor1 -felhasználót.In the Select users and groups pane, select the Requestor1 user you created earlier.

    Új hozzáférési csomag – kérelmek lap – felhasználók és csoportok kiválasztása

  16. Kattintson a Kiválasztás elemre.Click Select.

  17. Görgessen le a jóváhagyás és a kérelmek engedélyezése szakaszban.Scroll down to the Approval and Enable requests sections.

  18. A jóváhagyáshoz a nemérték megadása szükséges.Leave Require approval set to No.

  19. A kérelmek engedélyezéséhezkattintson az Igen gombra, hogy a hozzáférési csomagot a létrehozásuk után azonnal meg lehessen kérni.For Enable requests, click Yes to enable this access package to be requested as soon as it is created.

    Új hozzáférési csomag – kérelmek lap – jóváhagyás és a kérelmek engedélyezése

  20. Az életciklus lap megnyitásához kattintson a tovább gombra.Click Next to open the Lifecycle tab.

  21. A lejárat szakaszban adja meg a hozzáférési csomag hozzárendeléseinek érvényességét a napok számaszerint.In the Expiration section, set Access package assignments expire to Number of days.

  22. A hozzárendelések beállítása 30 nap után lejár.Set Assignments expire after to 30 days.

    Új hozzáférési csomag – életciklus lap

  23. A tovább gombra kattintva nyissa meg a felülvizsgálat + létrehozás lapot.Click Next to open the Review + Create tab.

    Új hozzáférési csomag – áttekintés + Létrehozás lap

    Néhány pillanat múlva megjelenik egy értesítés arról, hogy a hozzáférési csomag létrehozása sikeres volt.After a few moments, you should see a notification that the access package was successfully created.

  24. A marketing kampány hozzáférési csomagjának bal oldali menüjében kattintson az Áttekintéselemre.In left menu of the Marketing Campaign access package, click Overview.

  25. Másolja a saját hozzáférési portál hivatkozást.Copy the My Access portal link.

    Ezt a hivatkozást fogja használni a következő lépéshez.You'll use this link for the next step.

    Hozzáférési csomag áttekintése – saját hozzáférési portál hivatkozása

3. lépés: hozzáférés kéréseStep 3: Request access

Ebben a lépésben a lépéseket a belső kérelmezőnek kell elvégeznie, és hozzáférést kell kérnie a hozzáférési csomaghoz.In this step, you perform the steps as the internal requestor and request access to the access package. A kérelmező a saját hozzáférési portál nevű hely használatával küldi el a kérelmeit.Requestors submit their requests using a site called the My Access portal. A saját hozzáférési portál lehetővé teszi, hogy a kérők beküldjék a hozzáférési csomagokat, és megtekintsék a hozzáférési csomagokat, amelyekre már hozzáférhetnek, és megtekinthetik a kérelmek előzményeit.The My Access portal enables requestors to submit requests for access packages, see the access packages they already have access to, and view their request history.

Előfeltételként szükséges szerepkör: Belső kérelmezőPrerequisite role: Internal requestor

  1. Jelentkezzen ki a Azure Portalból.Sign out of the Azure portal.

  2. Egy új böngészőablakban navigáljon az előző lépésben másolt saját hozzáférési portál hivatkozásra.In a new browser window, navigate to the My Access portal link you copied in the previous step.

  3. Jelentkezzen be a saját hozzáférési portálra Requestor1néven.Sign in to the My Access portal as Requestor1.

    Ekkor meg kell jelennie a marketing kampány hozzáférési csomagjának.You should see the Marketing Campaign access package.

  4. Szükség esetén a Leírás oszlopban kattintson a nyílra a hozzáférési csomag részleteinek megtekintéséhez.If necessary, in the Description column, click the arrow to view details about the access package.

    Hozzáférési portál – hozzáférési csomagok

  5. Kattintson a pipa jelre a csomag kiválasztásához.Click the checkmark to select the package.

  6. Kattintson a hozzáférés kérése elemre a hozzáférés kérése panel megnyitásához.Click Request access to open the Request access pane.

    Hozzáférési portál – hozzáférés kérése gomb

  7. Az üzleti indoklás mezőbe írja be azt az indoklást, amelyet az új marketingkampány során dolgozom.In the Business justification box, type the justification I am working on the new marketing campaign.

    Hozzáférési portál – hozzáférés kérése

  8. Kattintson a Submit (Küldés) gombra.Click Submit.

  9. A bal oldali menüben kattintson a kérelmek előzményei elemre, és ellenőrizze, hogy elküldte-e a kérést.In the left menu, click Request history to verify that your request was submitted.

4. lépés: annak ellenőrzése, hogy a hozzáférés hozzá van-e rendelveStep 4: Validate that access has been assigned

Ebben a lépésben megerősíti, hogy a belső kérelmező hozzá lett rendelve a hozzáférési csomaghoz, és hogy most már a marketing-erőforrások csoport tagja.In this step, you confirm that the internal requestor was assigned the access package and that they are now a member of the Marketing resources group.

Előfeltételként szükséges szerepkör: Globális rendszergazda, felhasználói rendszergazda, katalógus tulajdonosa vagy hozzáférési csomag kezelőjePrerequisite role: Global administrator, User administrator, Catalog owner, or Access package manager

  1. Jelentkezzen ki a saját hozzáférési portálról.Sign out of the My Access portal.

  2. Jelentkezzen be a Azure Portalba Rendszergazda1.Sign in to the Azure portal as Admin1.

  3. Kattintson a Azure Active Directory , majd az identitás-szabályozáselemre.Click Azure Active Directory and then click Identity Governance.

  4. A bal oldali menüben kattintson a hozzáférési csomagokelemre.In the left menu, click Access packages.

  5. Keresse meg és kattintson a marketing kampány hozzáférési csomag elemre.Find and click Marketing Campaign access package.

  6. A bal oldali menüben kattintson a kérelmekelemre.In the left menu, click Requests.

    Ekkor meg kell jelennie a Requestor1 és a kezdeti házirendnek, amelynek állapota kézbesítés.You should see Requestor1 and the Initial policy with a status of Delivered.

  7. A kérelem részleteinek megtekintéséhez kattintson a kérelemre.Click the request to see the request details.

    Hozzáférési csomag – kérelem részletei

  8. A bal oldali navigációs sávon kattintson a Azure Active Directoryelemre.In the left navigation, click Azure Active Directory.

  9. Kattintson a csoportok elemre, és nyissa meg a marketing-erőforrások csoportot.Click Groups and open the Marketing resources group.

  10. Kattintson a tagokelemre.Click Members.

    Ekkor meg kell jelennie a tag Requestor1 .You should see Requestor1 listed as a member.

    Marketing-erőforrások tagjai

5. lépés: erőforrások törléseStep 5: Clean up resources

Ebben a lépésben eltávolítja a végrehajtott módosításokat, és törli a marketing kampány hozzáférési csomagját.In this step, you remove the changes you made and delete the Marketing Campaign access package.

Előfeltételként szükséges szerepkör: Globális rendszergazda vagy felhasználói rendszergazdaPrerequisite role: Global administrator or User administrator

  1. A Azure Portal kattintson a Azure Active Directory , majd az identitás-irányításelemre.In the Azure portal, click Azure Active Directory and then click Identity Governance.

  2. Nyissa meg a marketing kampány hozzáférési csomagját.Open the Marketing Campaign access package.

  3. Kattintson a hozzárendelésekelemre.Click Assignments.

  4. A Requestor1kattintson a három pontra (...), majd a hozzáférés eltávolításaelemre.For Requestor1, click the ellipsis (...) and then click Remove access. A megjelenő üzenetben kattintson az Igengombra.In the message that appears, click Yes.

    Néhány pillanat elteltével az állapot a kézbesítéstől a Lejártig változik.After a few moments, the status will change from Delivered to Expired.

  5. Kattintson az erőforrás-szerepkörökelemre.Click Resource roles.

  6. Marketing-erőforrásokesetében kattintson a három pontra (...), majd az erőforrás-szerepkör eltávolításaelemre.For Marketing resources, click the ellipsis (...) and then click Remove resource role. A megjelenő üzenetben kattintson az Igengombra.In the message that appears, click Yes.

  7. Nyissa meg a hozzáférési csomagok listáját.Open the list of access packages.

  8. Marketingkampányesetén kattintson a három pontra (...), majd a Törlésgombra.For Marketing Campaign, click the ellipsis (...) and then click Delete. A megjelenő üzenetben kattintson az Igengombra.In the message that appears, click Yes.

  9. A Azure Active Directory törölje a létrehozott felhasználókat, például a Requestor1 és a Rendszergazda1.In Azure Active Directory, delete any users you created such as Requestor1 and Admin1.

  10. Törölje a marketing-erőforrások csoportot.Delete the Marketing resources group.

További lépésekNext steps

A következő cikkből megismerheti a jogosultságok kezelésének gyakori forgatókönyveit.Advance to the next article to learn about common scenario steps in entitlement management.