Руководство. Управление доступом к ресурсам в управлении правами

  • Статья

Управление доступом ко всем ресурсам, которые требуются сотрудникам, таким как группы, приложения и сайты, является важной функцией для организаций. Вам нужна возможность предоставлять сотрудникам нужный уровень доступа, который требуется им для продуктивной работы, и удалять права доступа, когда они больше не нужны.

В этом руководстве предполагается, что вы работаете ИТ-администратором в банке Woodgrove Bank. Вам нужно создать пакет ресурсов для маркетинговой кампании, который внутренние пользователи смогут использовать для самостоятельной обработки запросов. Запросы не требуют утверждения, а права доступа пользователя истекают через 30 дней. В этом руководстве для ресурсов маркетинговой кампании предполагается только участие в одной группе, но это также может быть коллекция групп, приложений или сайтов SharePoint Online.

Diagram that shows the scenario overview.

В этом руководстве описано следующее:

  • Создавать пакет для доступа с группой в качестве ресурса.
  • Разрешить пользователю в вашем каталоге запрашивать доступ
  • Показывать, как внутренний пользователь может запрашивать пакет для доступа.

Пошаговая демонстрация процесса развертывания управления правами Microsoft Entra, включая создание первого пакета доступа, просмотрите следующее видео:

Остальная часть этой статьи использует Центр администрирования Microsoft Entra для настройки и демонстрации управления правами.

Необходимые компоненты

Чтобы использовать управление правами, необходимо иметь одну из следующих лицензий:

  • Идентификатор Microsoft Entra P2 или Управление идентификацией Microsoft Entra
  • лицензия Enterprise Mobility + Security (EMS) E5.

Дополнительные сведения см. в статье Лицензионные требования.

Шаг 1. Настройка пользователей и групп

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Каталог ресурсов имеет один или несколько ресурсов для совместного использования. На этом шаге вы создадите группу с именем Маркетинговые ресурсы в каталоге банка Woodgrove Bank, которая будет целевым ресурсом для управления правами. Можно также настроить внутреннюю запрашивающую сторону.

Необходимая роль: глобальный администратор или управление удостоверениями Администратор istrator

Diagram that shows the users and groups for this tutorial.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  3. Создайте двух пользователей. Используйте указанные ниже или другие имена.

    Имя. Роль каталога
    Admin1 Глобальный администратор или управление удостоверениями Администратор istrator. Этим пользователем может быть пользователь, под именем которого вы сейчас вошли.
    Requestor1 User

  4. Создайте группу безопасности Microsoft Entra с именем "Маркетинговые ресурсы " с типом членства "Назначено". Эта группа является целевым ресурсом для управления правами. Для начала работы группа должна быть пустой.

Шаг 2. Создание пакета доступа

Пакет для доступа — это набор ресурсов, которые требуются для группы или проекта и управляются политиками. Пакеты для доступа добавляются в контейнеры, называемые каталогами. На этом шаге создайте пакет для доступа Маркетинговая компания в каталоге Общий.

Роль предварительных требований: глобальный Администратор istrator, управление удостоверениями Администратор istrator, владелец каталога или диспетчер пакетов Access

Diagram that describes the relationship between the access package elements.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакету управления правами управления>удостоверениями>.

  3. На странице пакетов Access откройте пакет доступа.

  4. При открытии пакета доступа, если вы видите отказ в доступе, убедитесь, что в каталоге присутствует лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.

  5. Выберите Новый пакет для доступа.

    Screenshots that shows how to create an access package.

  6. На вкладке Основы введите имя пакета для доступа — Маркетинговая кампания, и описание — доступ к ресурсам кампании.

  7. В раскрывающемся списке Каталог оставьте значение Общий.

    Screenshot showing how to set the basic of the access policy.

  8. Нажмите кнопку Далее, чтобы открыть вкладку Роли ресурсов. На этой вкладке выберите ресурсы и роль ресурса для включения в пакет для доступа. Вы можете управлять доступом к группам, командам, приложениям, а также подключенным сайтам SharePoint Online. В этом случае выберите Группы и команды.

    Screenshot showing how to select groups and teams.

  9. На панели Выбрать группы найдите и выберите созданную ранее группу Маркетинговые ресурсы.

    По умолчанию вы увидите группы, входящие в каталог "Общий". При выборе группы за пределами общего каталога, которое можно увидеть, проверка поле "Просмотреть все проверка", оно добавляется в общий каталог.

    Screenshot that shows how to select the groups

  10. Нажмите кнопку Выбрать, чтобы добавить группу в список.

  11. В раскрывающемся списке Роль выберите роль Участник. Если вы выберете роль "Владелец", она позволит пользователям добавлять или удалять других участников или владельцев. Дополнительные сведения о выборе соответствующих ролей для ресурса см. в статье Добавление ролей ресурсов.

    Screenshot the shows how to select the member role.

    Важно!

    Группы, назначаемые ролями, добавленные в пакет для доступа, будут обозначаться с помощью подтипа Возможно назначение ролей. Дополнительные сведения см. в статье Создание группы с назначением роли. Помните, что после того, как группа, назначаемая ролью, присутствует в каталоге пакетов доступа, администраторы, которые могут управлять в управлении правами, включая пользователей в роли Глобального Администратор istrator, пользователи роли управления удостоверениями Администратор istrator, а владельцы каталога смогут управлять пакетами доступа в каталоге, позволяя им выбрать, кто может быть добавлен в эти группы. Если вы не видите группу с возможностью назначения ролей, которую вы хотите добавить или не можете добавить ее, убедитесь, что у вас есть необходимая роль Microsoft Entra и роль управления правами для выполнения этой операции. Возможно, вам потребуется попросить пользователя с необходимыми ролями добавить ресурс в каталог. Дополнительные сведения см. в разделе Роли, требуемые для добавления ресурсов в каталог.

    Примечание.

    При использовании динамических групп будет отображаться только роль владельца. Это сделано намеренно. Screenshots that shows a dynamic group available roles.

  12. Нажмите кнопку Далее, чтобы открыть вкладку Запросы. На вкладке "Запросы" вы создаете политику запросов. Политика определяет правила или ограничения доступа к пакету для доступа. Вы создадите политику, которая позволяет конкретному пользователю в каталоге ресурсов запросить пакет для доступа.

  13. В разделе Пользователи, которые могут запросить доступ выберите Для пользователей в вашем каталоге, а затем выберите Конкретные пользователи и группы.

    Screenshot of the access package requests tab.

  14. Выберите Добавить пользователей и группы.

  15. На панели "Выбор пользователей и групп" выберите пользователя Requestor1, созданного ранее.

    Screenshot of select users and groups.

  16. Нажмите кнопку Выбрать, чтобы добавить пользователя в список.

  17. Прокрутите вниз к разделам Утверждение и Включить запросы.

  18. Оставьте для пункта Требовать утверждение значение Нет.

  19. Для параметра Включить запросы выберите Да, чтобы этот пакет для доступа запрашивался сразу после его создания.

  20. Если ваша организация настроена для получения проверенных идентификаторов, существует возможность настроить пакет доступа, чтобы требовать от запрашивателей предоставить проверенный идентификатор. Дополнительные сведения см. в статье " Настройка проверенных параметров идентификатора для пакета доступа в управлении правами (предварительная версия)

    Screenshot of the Verified ID picker selection.

  21. Нажмите кнопку Далее, чтобы открыть вкладку Сведения о запрашивающей стороне.

    Screenshots of the requests tab approval and enable requests settings.

  22. На вкладке Сведения о запрашивающей стороне вы можете задавать вопросы, чтобы получить дополнительную информацию от запросившей стороны. Эти вопросы отображаются в форме запроса и могут быть заданы как обязательные или необязательные. В этом сценарии вам не было предложено включить сведения о запрашивающем для пакета для доступа, поэтому вы можете оставить эти поля пустыми. Нажмите кнопку Далее, чтобы открыть вкладку Жизненный цикл.

  23. На вкладке Жизненный цикл укажите, когда истекает срок действия назначения пользователя для пакета для доступа. Вы также можете указать, могут ли пользователи расширять свои назначения. В разделе Истечение срока:

    1. Установите для параметра Срок действия назначений для пакетов доступа истекает значение Число дней.
    2. Установите для параметра Срок действия назначений истекает через значение 30 дней.
    3. Оставьте для параметра Пользователи могут запрашивать конкретную временную шкалу значение по умолчанию Да.
    4. Установите для параметра Требуются проверки доступа значение Нет.

    Screenshot of the access package lifecycle tab

  24. Пропустите шаг пользовательских расширений .

  25. Нажмите кнопку Далее, чтобы открыть вкладку Просмотр + создание.

  26. На вкладке Просмотр + создание выберите Создать. Через несколько секунд вы увидите уведомление, что пакет для доступа успешно создан.

  27. В меню слева пакета для доступа маркетинговой компании выберите Обзор.

  28. Скопируйте ссылку на портал Мой доступ.

    Эта ссылка потребуется вам на следующем шаге.

    Screenshot that demonstrates how to copy the link to the access policy.

Шаг 3. Запрос доступа

На этом шаге вы выполните действия в качестве внутренней запросившей стороны и запросите доступ к пакету для доступа. Запросившие стороны отправляют свои запросы с помощью портала "Мой доступ". Портал "Мой доступ" позволяет запросившей стороне отправлять запросы на получение пакетов для доступа и просматривать пакеты, к которым у них уже есть доступ, а также просматривать историю запросов. Когда новый гостевой пакет доступа запрашивает пакет доступа в MyAccess, его предпочтительный язык помечен на основе языка браузера MyAccess во время запроса. Это позволяет новым гостям получать сообщения электронной почты на языке, который они понимают.

Роль предварительных требований: внутренний запрашиватель

  1. Выйдите из Центра администрирования Microsoft Entra.

  2. В новом окне браузера перейдите по ссылке на портал "Мой доступ", которую вы скопировали на предыдущем шаге.

  3. Войдите на портал "Мой доступ" в качестве Requestor1.

    Вы должны увидеть пакет для доступа к маркетинговой кампании.

  4. В поле Бизнес-обоснование введите обоснование Работа над новой маркетинговой кампанией.

    Screenshot of the My Access portal listing the access packages.

  5. Выберите Отправить.

  6. В меню слева выберите Журнал запросов, чтобы убедиться, что ваш запрос был доставлен. Для дополнительных сведения выберите Просмотреть.

    Screenshot of the My Access portal request history.

Шаг 4. Проверка назначения доступа

На этом шаге вы подтверждаете, что внутренней запросившей стороне был назначен пакет для доступа и что он теперь является членом группы Маркетинговые ресурсы.

Роль предварительных требований: глобальный Администратор istrator, управление удостоверениями Администратор istrator, владелец каталога или диспетчер пакетов Access

  1. Выйдите из портала "Мой доступ".

  2. Войдите в Центр администрирования Microsoft Entra как Администратор 1.

  3. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  4. Найдите и выберите пакет для доступа Маркетинговая компания.

  5. В меню слева выберите Запросы.

    Вы увидите Requestor1 и начальную политику с состоянием Доставлено.

  6. Выберите запрос, чтобы просмотреть сведения о нем.

    Screenshot of the access package request details.

  7. В области навигации слева выберите "Удостоверение".

  8. Выберите Группы и откройте группу Маркетинговые ресурсы.

  9. Выберите Участники.

    Вы увидите Requestor1 в качестве участника.

    Screenshot shows the requestor one has been added to the marketing resources group.

Шаг 5. Очистка ресурсов

На этом шаге вы удалите внесенные изменения и пакет для доступа с именем Маркетинговая кампания.

Роль необходимых компонентов: глобальный Администратор istrator или управление удостоверениями Администратор istrator

  1. В центре администрирования Microsoft Entra Identity Governance.

  2. Откройте пакет для доступа к маркетинговой кампании.

  3. Выберите назначения.

  4. Для Requestor1 выберите многоточие (...), а затем — Удалить доступ. В появившемся сообщении выберите Да.

    Через несколько секунд состояние изменится с "Доставлено" на "Срок действия истек".

  5. Выберите Роли ресурсов.

  6. В разделе Маркетинговые ресурсы выберите многоточие (...), а затем — Удалить роль ресурса. В появившемся сообщении выберите Да.

  7. Откройте список пакетов для доступа.

  8. В разделе Маркетинговая кампания выберите многоточие (...), а затем — Удалить. В появившемся сообщении выберите Да.

  9. В Identity удалите всех созданных пользователей, таких как Requestor1 и Администратор 1.

  10. Удалите группу Маркетинговые ресурсы.

Следующие шаги

Перейдите к следующей статье, чтобы узнать о распространенных сценариях управления правами.

Распространенные сценарии