Co to jest zarządzanie upoważnieniami?

  • Artykuł

Zarządzanie upoważnieniami to funkcja zapewniania ładu tożsamości, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygasanie.

Osoby w organizacjach muszą mieć dostęp do różnych grup, aplikacji i witryn usługi SharePoint Online, aby wykonywać swoje zadania. Zarządzanie tym dostępem jest trudne, ponieważ wymagania się zmieniają. Nowe aplikacje są dodawane lub użytkownicy potrzebują większej liczby praw dostępu. Ten scenariusz staje się bardziej skomplikowany podczas współpracy z organizacjami zewnętrznymi. Być może nie wiesz, kto w innego organizacji potrzebuje dostępu do zasobów organizacji i nie będzie wiedział, jakich aplikacji, grup lub witryn używa Twoja organizacja.

Zarządzanie upoważnieniami może pomóc w bardziej wydajnym zarządzaniu dostępem do grup, aplikacji i witryn usługi SharePoint Online dla użytkowników wewnętrznych, a także dla użytkowników spoza organizacji, którzy potrzebują dostępu do tych zasobów.

Dlaczego warto używać zarządzania upoważnieniami?

Organizacje przedsiębiorstwa często napotykają wyzwania związane z zarządzaniem dostępem pracowników do zasobów, takich jak:

  • Użytkownicy mogą nie wiedzieć, jaki dostęp powinien mieć, a nawet jeśli to zrobią, mogą mieć trudności z lokalizowaniem odpowiednich osób w celu zatwierdzenia dostępu
  • Gdy użytkownicy znajdą i otrzymają dostęp do zasobu, mogą trzymać się dostępu dłużej niż jest to wymagane w celach biznesowych

Te problemy są złożone dla użytkowników, którzy potrzebują dostępu z innej organizacji, takich jak użytkownicy zewnętrzni, którzy pochodzą z organizacji łańcucha dostaw lub innych partnerów biznesowych. Na przykład:

  • Nikt nie może znać wszystkich konkretnych osób w katalogach innych organizacji, aby móc je zaprosić
  • Nawet jeśli byli w stanie zaprosić tych użytkowników, nikt w tej organizacji nie może pamiętać o spójnym zarządzaniu dostępem wszystkich użytkowników

Zarządzanie upoważnieniami może pomóc w rozwiązywaniu tych problemów. Aby dowiedzieć się więcej o tym, jak klienci korzystali z zarządzania upoważnieniami, możesz przeczytać studia przypadków Missisipi Division of Medicaid, Storebrand i Avanade . Ten film wideo zawiera omówienie zarządzania upoważnieniami i jego wartości:

Co mogę zrobić z zarządzaniem upoważnieniami?

Oto niektóre możliwości zarządzania upoważnieniami:

  • Kontroluj, kto może uzyskiwać dostęp do aplikacji, grup, witryn usługi Teams i programu SharePoint z zatwierdzeniem wieloetapowym, i upewnij się, że użytkownicy nie zachowują dostępu przez czas nieokreślony przez przydziały ograniczone czasowo i cykliczne przeglądy dostępu.
  • Zapewnij użytkownikom dostęp automatycznie do tych zasobów na podstawie właściwości użytkownika, takich jak dział lub centrum kosztów, i usuń dostęp użytkownika po zmianie tych właściwości.
  • Delegowanie do nieadministratorów możliwości tworzenia pakietów dostępu. Te pakiety dostępu zawierają zasoby, których użytkownicy mogą żądać, a menedżerowie pakietów dostępu delegowanego mogą definiować zasady z regułami, których użytkownicy mogą żądać, którzy muszą zatwierdzić dostęp, a po wygaśnięciu dostępu.
  • Wybierz połączone organizacje, których użytkownicy mogą żądać dostępu. Gdy użytkownik, który nie znajduje się jeszcze w twoim katalogu, żąda dostępu i zostanie zatwierdzony, zostanie automatycznie zaproszony do katalogu i przypisany dostęp. Po wygaśnięciu dostępu, jeśli nie mają żadnych innych przypisań pakietów dostępu, ich konto B2B w katalogu może zostać automatycznie usunięte.

Uwaga

Jeśli wszystko jest gotowe do wypróbowania zarządzania upoważnieniami, możesz rozpocząć pracę z naszym samouczkiem, aby utworzyć swój pierwszy pakiet dostępu.

Możesz również przeczytać typowe scenariusze lub obejrzeć filmy wideo, w tym

Jakie są pakiety dostępu i jakie zasoby można nimi zarządzać?

Zarządzanie upoważnieniami wprowadza koncepcję pakietu dostępu. Pakiet dostępu to pakiet wszystkich zasobów z dostępem, który użytkownik musi pracować nad projektem lub wykonać swoje zadanie. Pakiety dostępu mogą służyć do zarządzania dostępem dla pracowników, a także dla użytkowników pochodzących poza organizacją.

Poniżej przedstawiono typy zasobów, do których można zarządzać dostępem użytkownika za pomocą zarządzania upoważnieniami:

  • Członkostwo w grupach zabezpieczeń firmy Microsoft Entra
  • Członkostwo w usłudze Grupy Microsoft 365 i Teams
  • Przypisanie do aplikacji firmy Microsoft Entra dla przedsiębiorstw, w tym aplikacji SaaS i niestandardowych aplikacji zintegrowanych, które obsługują federację/logowanie jednokrotne i/lub aprowizowanie
  • Członkostwo w witrynach usługi SharePoint Online

Możesz również kontrolować dostęp do innych zasobów, które opierają się na grupach zabezpieczeń firmy Microsoft Entra lub Grupy Microsoft 365. Na przykład:

  • Licencje platformy Microsoft 365 można nadawać użytkownikom przy użyciu grupy zabezpieczeń Firmy Microsoft Entra w pakiecie dostępu i konfigurowania licencjonowania opartego na grupach dla tej grupy.
  • Możesz przyznać użytkownikom dostęp do zarządzania zasobami platformy Azure przy użyciu grupy zabezpieczeń Firmy Microsoft Entra w pakiecie dostępu i utworzeniu przypisania roli platformy Azure dla tej grupy.
  • Możesz przyznać użytkownikom dostęp do zarządzania rolami firmy Microsoft Entra przy użyciu grup, które można przypisać do ról firmy Microsoft Entra w pakiecie dostępu i przypisywać do tej grupy rolę Firmy Microsoft Entra.

Jak mogę kontrolować, kto uzyskuje dostęp?

W przypadku pakietu dostępu administrator lub delegowany menedżer pakietów dostępu wyświetla listę zasobów (grup, aplikacji i witryn) oraz ról, których potrzebują użytkownicy.

Pakiety dostępu obejmują również jedną lub więcej zasad. Zasady definiują reguły lub bariery zabezpieczające dla przypisania w celu uzyskania dostępu do pakietu. Każda zasada może służyć do zapewnienia, że tylko odpowiedni użytkownicy mogą mieć przypisania dostępu, a dostęp jest ograniczony czasowo i wygaśnie, jeśli nie zostanie odnowiony.

Diagram of access package and policies.

Możesz mieć zasady dotyczące żądań dostępu przez użytkowników. W takich typach zasad administrator lub menedżer pakietów dostępu definiuje

  • Istniejący użytkownicy (zazwyczaj pracownicy lub już zaproszeni goście) lub organizacje partnerskie użytkowników zewnętrznych, które kwalifikują się do żądania dostępu
  • Proces zatwierdzania i użytkownicy, którzy mogą zatwierdzać lub odmawiać dostępu
  • Czas trwania przypisania dostępu użytkownika, po zatwierdzeniu, przed wygaśnięciem przypisania

Możesz również mieć zasady dotyczące przypisywanego dostępu przez administratora, automatycznie na podstawie reguł lub za pośrednictwem przepływów pracy cyklu życia.

Na poniższym diagramie przedstawiono przykład różnych elementów zarządzania upoważnieniami. Przedstawia jeden wykaz z dwoma przykładowymi pakietami dostępu.

  • Pakiet dostępu 1 zawiera pojedynczą grupę jako zasób. Dostęp jest definiowany przy użyciu zasad, które umożliwiają zestawowi użytkowników w katalogu żądanie dostępu.
  • Pakiet dostępu 2 zawiera grupę, aplikację i witrynę usługi SharePoint Online jako zasoby. Dostęp jest definiowany przy użyciu dwóch różnych zasad. Pierwsze zasady umożliwiają zestawowi użytkowników w katalogu żądanie dostępu. Drugie zasady umożliwiają użytkownikom w katalogu zewnętrznym żądanie dostępu.

Entitlement management overview diagram

Kiedy należy używać pakietów dostępu?

Pakiety dostępu nie zastępują innych mechanizmów przypisywania dostępu. Są one najbardziej odpowiednie w sytuacjach takich jak:

  • Migrowanie definicji zasad dostępu z zarządzania rolami przedsiębiorstwa innej firmy do identyfikatora Entra firmy Microsoft.
  • Użytkownicy potrzebują ograniczonego czasowo dostępu do określonego zadania. Na przykład można użyć licencjonowania opartego na grupach i grupy dynamicznej, aby zapewnić, że wszyscy pracownicy mają skrzynkę pocztową usługi Exchange Online, a następnie używać pakietów dostępu w sytuacjach, w których pracownicy potrzebują większej liczby praw dostępu. Na przykład prawa do odczytu zasobów działu z innego działu.
  • Dostęp, który wymaga zatwierdzenia przez menedżera lub innych wyznaczonych osób.
  • Dostęp, który powinien być przypisywany automatycznie do osób w określonej części organizacji w czasie wykonywania tej roli pracy, ale także dla osób w innych miejscach w organizacji lub w organizacji partnera biznesowego, aby poprosić.
  • Działy chcą zarządzać własnymi zasadami dostępu dla swoich zasobów bez udziału IT.
  • Co najmniej dwie organizacje współpracują nad projektem, a w rezultacie wielu użytkowników z jednej organizacji będzie musiało zostać przeniesionych za pośrednictwem firmy Microsoft Entra B2B, aby uzyskać dostęp do zasobów innej organizacji.

Jak mogę delegować dostęp?

Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. Możesz mieć pojedynczy wykaz dla wszystkich pakietów dostępu lub wyznaczyć osoby do tworzenia i posiadania własnych wykazów. Administrator może dodawać zasoby do dowolnego katalogu, ale administrator inny niż administrator może dodawać tylko do katalogu zasoby, których są właścicielami. Właściciel wykazu może dodawać innych użytkowników jako współwłaścicieli wykazu lub jako menedżerów pakietów dostępu. Te scenariusze zostały szczegółowo opisane w artykule delegowanie i role w zarządzaniu upoważnieniami.

Podsumowanie terminologii

Aby lepiej zrozumieć zarządzanie upoważnieniami i jego dokumentację, możesz wrócić do poniższej listy terminów.

Okres opis
pakiet dostępu Pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiet dostępu jest zawsze zawarty w wykazie. Należy utworzyć nowy pakiet dostępu dla scenariusza, w którym użytkownicy muszą żądać dostępu.
żądanie dostępu Żądanie dostępu do zasobów w pakiecie dostępu. Żądanie zwykle przechodzi przez przepływ pracy zatwierdzania. Jeśli zostanie zatwierdzona, żądanie użytkownika otrzyma przypisanie pakietu dostępu.
Przypisania Przypisanie pakietu dostępu do użytkownika gwarantuje, że użytkownik ma wszystkie role zasobów tego pakietu dostępu. Przypisania pakietów programu Access zwykle mają limit czasu przed ich wygaśnięciem.
Katalog Kontener powiązanych zasobów i pakietów dostępu. Wykazy są używane do delegowania, aby użytkownicy niebędący administratorami mogli tworzyć własne pakiety dostępu. Właściciele wykazu mogą dodawać własne zasoby do katalogu.
twórca katalogu Kolekcja użytkowników, którzy mają uprawnienia do tworzenia nowych katalogów. Gdy użytkownik niebędący administratorem, który jest autoryzowany jako twórca wykazu, tworzy nowy wykaz, automatycznie staje się właścicielem tego wykazu.
połączona organizacja Zewnętrzny katalog firmy Microsoft Entra lub domena, z którą masz relację. Użytkownicy z połączonej organizacji mogą być określeni w zasadach, ponieważ mogą żądać dostępu.
policy Zestaw reguł definiujących cykl życia dostępu, na przykład sposób uzyskiwania dostępu przez użytkowników, którzy mogą zatwierdzać i jak długo użytkownicy mają dostęp za pośrednictwem przypisania. Zasady są połączone z pakietem dostępu. Na przykład pakiet dostępu może mieć dwie zasady — jeden dla pracowników, który zażąda dostępu, a drugi dla użytkowników zewnętrznych w celu żądania dostępu.
zasób Zasób, taki jak grupa pakietu Office, grupa zabezpieczeń, aplikacja lub witryna usługi SharePoint Online, z rolą, do której użytkownik może mieć uprawnienia.
katalog zasobów Katalog, który ma co najmniej jeden zasób do udostępnienia.
rola zasobu Kolekcja uprawnień skojarzonych z zasobem i zdefiniowanych przez ten zasób. Grupa ma dwie role — członka i właściciela. Witryny programu SharePoint zwykle mają trzy role, ale mogą mieć inne role niestandardowe. Aplikacje mogą mieć role niestandardowe.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga Zarządzanie tożsamością Microsoft Entra subskrypcji dla użytkowników organizacji. Niektóre funkcje w ramach tej funkcji mogą działać z subskrypcją microsoft Entra ID P2, zobacz artykuły dotyczące każdej funkcji, aby uzyskać więcej szczegółów. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.

Następne kroki