Hozzáférés-szabályozás delegálása katalóguskészítőknek a jogosultságkezelésben

A katalógus erőforrások és hozzáférési csomagok tárolója. Katalógust akkor hoz létre, ha csoportosítani szeretné a kapcsolódó erőforrásokat és a csomagokat. Alapértelmezés szerint egy globális rendszergazda vagy identitásszabályozási rendszergazda létrehozhat egy katalógust, és további felhasználókat adhat hozzá katalógustulajdonosokként.

A szervezetek három módon delegálhatnak katalógusokat:

• A próbaprojektek első lépéseikor az identitásszabályozási rendszergazdák létrehozhatják és kezelhetik a katalógust. Később, amikor a próbaüzemről az éles környezetbe lépnek, delegálhatnak egy katalógust úgy, hogy nem rendszergazdákat rendelnek hozzá a katalógushoz, hogy a felhasználók fenntarthassák a szabályzatokat.
• Ha vannak olyan erőforrások, amelyek nem rendelkeznek tulajdonosokkal, akkor a rendszergazdák katalógusokat hozhatnak létre, hozzáadhatják ezeket az erőforrásokat az egyes katalógusokhoz, majd tulajdonosként nem rendszergazdákat rendelhetnek egy katalógushoz. Ez lehetővé teszi, hogy azok a felhasználók, akik nem rendszergazdák, és nem erőforrás-tulajdonosok, saját hozzáférési szabályzatokat kezelhessenek ezekhez az erőforrásokhoz.
• Ha az erőforrások rendelkeznek tulajdonosokkal, akkor a rendszergazdák felhasználók gyűjteményét , például dinamikus All Employees csoportot rendelhetnek a katalógus létrehozói szerepköréhez, így az adott csoporthoz tartozó és saját erőforrásokat használó felhasználók létrehozhatnak katalógust a saját erőforrásaikhoz.

Ez a cikk bemutatja, hogyan delegálhat olyan felhasználókat, akik nem rendszergazdák, így saját katalógusokat hozhatnak létre. Ezeket a felhasználókat hozzáadhatja a Microsoft Entra jogosultságkezelés által definiált katalógus létrehozói szerepköréhez. Hozzáadhat egyéni felhasználókat, vagy hozzáadhat egy csoportot, amelynek tagjai ezután katalógusokat hozhatnak létre. A katalógus létrehozása után hozzáadhatja a saját erőforrásaikat a katalógushoz. Hozzáférési csomagokat és szabályzatokat hozhatnak létre, beleértve a meglévő kapcsolt szervezetekre hivatkozó szabályzatokat is.

Ha már rendelkezik delegálandó katalógusokkal, folytassa az erőforráskatalógus létrehozásával és kezelésével foglalkozó cikkben.

Rendszergazdaként delegáljon egy katalógus létrehozójának

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az alábbi lépéseket követve rendelhet hozzá egy felhasználót a katalógus létrehozói szerepköréhez.

Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

2. Keresse meg az identitásszabályozás>jogosultságkezelési>beállításait.

3. Válassza a Szerkesztés lehetőséget.

   

4. A Jogosultságkezelési szerepkör delegálása szakaszban válassza a Katalóguskészítők hozzáadása lehetőséget, és válassza ki azokat a felhasználókat vagy csoportokat, akikhez a jogosultságkezelési szerepkört delegálni szeretné.

5. Válassza a lehetőséget.

6. Válassza a Mentés lehetőséget.

Delegált szerepkörök hozzáférésének engedélyezése a Microsoft Entra felügyeleti központhoz

Ha engedélyezni szeretné, hogy a delegált szerepkörök, például a katalógus létrehozói és a hozzáférési csomagkezelők hozzáférjenek a Microsoft Entra felügyeleti központhoz a hozzáférési csomagok kezeléséhez, ellenőrizze a felügyeleti portál beállítását.

Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

2. Keresse meg az Identitásfelhasználók>>felhasználói beállításait.

3. Győződjön meg arról, hogy a Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása nem értékre van állítva.

   

Szerepkör-hozzárendelések programozott kezelése

A Microsoft Graph használatával megtekintheti és frissítheti a katalóguskészítőket és a jogosultságkezelési katalógusspecifikus szerepkör-hozzárendeléseket. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező felhasználók meghívhatják a Graph API-t a jogosultságkezelés szerepkör-definícióinak listázására, valamint a szerepkör-hozzárendelések listázására az adott szerepkör-definíciókhoz.

A katalógus létrehozói szerepkörhöz rendelt felhasználók és csoportok listájának lekéréséhez a definícióazonosítóval ba92d953-d8e0-4e39-a797-0cbedb0a89e8rendelkező szerepkör a Graph-lekérdezést használja:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Következő lépések

• Erőforráskatalógus létrehozása és kezelése
• Hozzáférés-vezérlés delegálása a csomagkezelők elérésére
• Hozzáférés-szabályozás delegálása erőforrás-tulajdonosoknak