Självstudie: Hantera åtkomst till resurser i berättigandehantering

  • Artikel

Att hantera åtkomst till alla resurser som anställda behöver, till exempel grupper, program och webbplatser, är en viktig funktion för organisationer. Du vill ge anställda rätt åtkomstnivå för att vara produktiva och ta bort deras åtkomst när den inte längre behövs.

I den här självstudien arbetar du för Woodgrove Bank som IT-administratör. Du har blivit ombedd att skapa ett resurspaket för en marknadsföringskampanj som interna användare kan använda för självbetjäningsbegäran. Begäranden kräver inte godkännande och användarens åtkomst upphör att gälla efter 30 dagar. I den här självstudien är marknadsföringskampanjresurserna bara medlemskap i en enda grupp, men det kan vara en samling grupper, program eller SharePoint Online-webbplatser.

Diagram that shows the scenario overview.

I den här självstudien lär du dig att:

  • Skapa ett åtkomstpaket med en grupp som en resurs
  • Tillåt att en användare i din katalog begär åtkomst
  • Visa hur en intern användare kan begära åtkomstpaketet

En stegvis demonstration av processen för att distribuera Microsoft Entra-berättigandehantering, inklusive att skapa ditt första åtkomstpaket, finns i följande video:

I resten av den här artikeln används administrationscentret för Microsoft Entra för att konfigurera och demonstrera berättigandehantering.

Förutsättningar

Om du vill använda berättigandehantering måste du ha någon av följande licenser:

  • Microsoft Entra ID P2 eller Microsoft Entra ID-styrning
  • Enterprise Mobility + Security (EMS) E5-licens

Mer information finns i Licenskrav.

Steg 1: Konfigurera användare och grupp

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

En resurskatalog har en eller flera resurser att dela. I det här steget skapar du en grupp med namnet Marknadsföringsresurser i katalogen Woodgrove Bank som är målresursen för berättigandehantering. Du har också konfigurerat en intern begärande.

Kravroll: Global administratör eller identitetsstyrningsadministratör

Diagram that shows the users and groups for this tutorial.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>

  3. Skapa två användare. Använd följande namn eller olika namn.

    Name Katalogroll
    Admin1 Global administratör eller identitetsstyrningsadministratör. Den här användaren kan vara den användare som du för närvarande är inloggad på.
    Requestor1 User

  4. Skapa en Microsoft Entra-säkerhetsgrupp med namnet Marknadsföringsresurser med en medlemskapstyp tilldelad. Den här gruppen är målresursen för berättigandehantering. Gruppen bör vara tom på medlemmar som ska startas.

Steg 2: Skapa ett åtkomstpaket

Ett åtkomstpaket är ett paket med resurser som ett team eller projekt behöver och styrs med principer. Åtkomstpaket definieras i containrar som kallas kataloger. I det här steget skapar du ett marknadsföringskampanjåtkomstpaket i katalogen Allmänt .

Kravroll: Global administratör, identitetsstyrningsadministratör, katalogägare eller Åtkomstpakethanterare

Diagram that describes the relationship between the access package elements.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>

  3. Öppna ett åtkomstpaket på sidan Access-paket .

  4. När du öppnar åtkomstpaketet om åtkomst nekas kontrollerar du att en Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicens finns i din katalog.

  5. Välj Nytt åtkomstpaket.

    Screenshots that shows how to create an access package.

  6. På fliken Grundläggande skriver du namnet Marknadsföringskampanjs åtkomstpaket och beskrivning Åtkomst till resurser för kampanjen.

  7. Låt listrutan Katalog vara inställd på Allmänt.

    Screenshot showing how to set the basic of the access policy.

  8. Välj Nästa för att öppna fliken Resursroller . På den här fliken väljer du de resurser och den resursroll som ska ingå i åtkomstpaketet. Du kan välja att hantera åtkomst till grupper och team, program och SharePoint Online-webbplatser. I det här scenariot väljer du Grupper och Teams.

    Screenshot showing how to select groups and teams.

  9. I fönstret Välj grupper letar du upp och väljer gruppen Marknadsföringsresurser som du skapade tidigare.

    Som standard visas grupper i katalogen Allmänt. När du väljer en grupp utanför katalogen Allmänt, som du kan se om du markerar kryssrutan Visa alla , läggs den till i katalogen Allmänt.

    Screenshot that shows how to select the groups

  10. Välj Välj för att lägga till gruppen i listan.

  11. I listrutan Roll väljer du Medlem. Om du väljer rollen Ägare kan användarna lägga till eller ta bort andra medlemmar eller ägare. Mer information om hur du väljer lämpliga roller för en resurs finns i Lägg till resursroller.

    Screenshot the shows how to select the member role.

    Viktigt!

    De rolltilldelningsbara grupper som läggs till i ett åtkomstpaket visas med hjälp av den undertyp som kan tilldelas roller. Mer information finns i artikeln Skapa en rolltilldelningsbar grupp . Tänk på att när en rolltilldelningsbar grupp finns i en katalog för åtkomstpaket kommer administrativa användare som kan hantera berättigandehantering, inklusive användare i rollen Global administratör, användare i rollen Identitetsstyrningsadministratör och katalogägare i katalogen, att kunna styra åtkomstpaketen i katalogen. så att de kan välja vem som kan läggas till i dessa grupper. Om du inte ser en rolltilldelningsbar grupp som du vill lägga till eller om du inte kan lägga till den kontrollerar du att du har den microsoft entra-roll och rättighetshanteringsroll som krävs för att utföra den här åtgärden. Du kan behöva fråga någon med de roller som krävs för att lägga till resursen i katalogen. Mer information finns i Nödvändiga roller för att lägga till resurser i en katalog.

    Kommentar

    När du använder dynamiska grupper ser du inga andra roller som är tillgängliga förutom ägaren. Det här är avsiktligt. Screenshots that shows a dynamic group available roles.

  12. Välj Nästa för att öppna fliken Begäranden . På fliken Begäranden skapar du en begärandeprincip. En princip definierar regler eller skyddsmekanismer för åtkomst till ett åtkomstpaket. Du skapar en princip som gör att en specifik användare i resurskatalogen kan begära det här åtkomstpaketet.

  13. I avsnittet Användare som kan begära åtkomst väljer du För användare i din katalog och väljer sedan Specifika användare och grupper.

    Screenshot of the access package requests tab.

  14. Välj Lägg till användare och grupper.

  15. I fönstret Välj användare och grupper väljer du den Requestor1-användare som du skapade tidigare.

    Screenshot of select users and groups.

  16. Välj Välj för att lägga till användaren i listan.

  17. Rulla ned till avsnitten Godkännande och Aktivera begäranden .

  18. Lämna Kräv godkännande inställt på Nej.

  19. För Aktivera begäranden väljer du Ja för att aktivera det här åtkomstpaketet så snart det har skapats.

  20. Om din organisation har konfigurerats för att ta emot verifierade ID:t finns det ett alternativ för att konfigurera ett åtkomstpaket för att kräva att beställare anger ett verifierat ID. Mer information finns i: Konfigurera verifierade ID-inställningar för ett åtkomstpaket i berättigandehantering (förhandsversion)

    Screenshot of the Verified ID picker selection.

  21. Välj Nästa för att öppna fliken Förfrågningsinformation .

    Screenshots of the requests tab approval and enable requests settings.

  22. På fliken Requestor information (Begärandeinformation) kan du ställa frågor för att samla in mer information från beställaren. Frågorna visas i formuläret för begäran och kan vara obligatoriska eller valfria. I det här scenariot har du inte blivit ombedd att inkludera information om begärande eller åtkomstpaketet, så du kan lämna dessa rutor tomma. Välj Nästa för att öppna fliken Livscykel .

  23. På fliken Livscykel anger du när en användares tilldelning till åtkomstpaketet upphör att gälla. Du kan också ange om användare kan utöka sina tilldelningar. I avsnittet Förfallodatum :

    1. Ange att tilldelningarna för Access-paket upphör att gälla till Antal dagar.
    2. Ange att tilldelningarna ska upphöra att gälla efter 30 dagar.
    3. Låt användarna begära ett specifikt standardvärde för tidslinjen, Ja.
    4. Ställ in Kräv åtkomstgranskningarNej.

    Screenshot of the access package lifecycle tab

  24. Hoppa över steget Anpassade tillägg.

  25. Välj Nästa för att öppna fliken Granska + skapa .

  26. På fliken Granska + skapa väljer du Skapa. Efter en liten stund bör du se ett meddelande om att åtkomstpaketet har skapats.

  27. I den vänstra menyn i marknadsföringskampanjens åtkomstpaket väljer du Översikt.

  28. Kopiera länken till Min åtkomstportal.

    Du använder den här länken för nästa steg.

    Screenshot that demonstrates how to copy the link to the access policy.

Steg 3: Begär åtkomst

I det här steget utför du stegen som intern beställare och begär åtkomst till åtkomstpaketet. Beställare skickar sina begäranden med hjälp av en webbplats som kallas My Access-portalen. Portalen Min åtkomst gör det möjligt för beställare att skicka begäranden om åtkomstpaket, se de åtkomstpaket som de redan har åtkomst till och visa sin begärandehistorik. När en ny gäst begär ett åtkomstpaket i MyAccess stämplas deras önskade språk baserat på webbläsarspråket MyAccess vid begäran. På så sätt kan nya gäster få e-postkommunikation på ett språk som de förstår.

Förutsättningsroll: Intern begärande

  1. Logga ut från administrationscentret för Microsoft Entra.

  2. I ett nytt webbläsarfönster navigerar du till länken i Min åtkomstportal som du kopierade i föregående steg.

  3. Logga in på My Access-portalen som Requestor1.

    Du bör se marknadsföringskampanjens åtkomstpaket.

  4. I rutan Affärsmotivering skriver du motiveringen jag arbetar med den nya marknadsföringskampanjen.

    Screenshot of the My Access portal listing the access packages.

  5. Välj Skicka.

  6. I den vänstra menyn väljer du Begäranshistorik för att verifiera att din begäran har levererats. Om du vill ha mer information väljer du Visa.

    Screenshot of the My Access portal request history.

Steg 4: Verifiera att åtkomst har tilldelats

I det här steget bekräftar du att den interna beställaren tilldelades åtkomstpaketet och att de nu är medlemmar i gruppen Marknadsföringsresurser .

Kravroll: Global administratör, identitetsstyrningsadministratör, katalogägare eller Åtkomstpakethanterare

  1. Logga ut från Portalen För min åtkomst.

  2. Logga in på administrationscentret för Microsoft Entra som Administratör1.

  3. Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>

  4. Leta upp och välj Åtkomstpaket för marknadsföringskampanj .

  5. I den vänstra menyn väljer du Begäranden.

    Du bör se Requestor1 och den inledande principen med statusen Levererad.

  6. Välj begäran för att se information om begäran.

    Screenshot of the access package request details.

  7. I det vänstra navigeringsfältet väljer du Identitet.

  8. Välj Grupper och öppna gruppen Marknadsföringsresurser .

  9. Välj Medlemmar.

    Du bör se Requestor1 som medlem.

    Screenshot shows the requestor one has been added to the marketing resources group.

Steg 5: Rensa resurser

I det här steget tar du bort de ändringar som du har gjort och tar bort marknadsföringskampanjens åtkomstpaket.

Kravroll: Global administratör eller identitetsstyrningsadministratör

  1. I administrationscentret för Microsoft Entra Identitetsstyrning.

  2. Öppna marknadsföringskampanjens åtkomstpaket.

  3. Välj Tilldelningar.

  4. För Requestor1 väljer du ellipsen (...) och väljer sedan Ta bort åtkomst. I meddelandet som visas väljer du Ja.

    Efter en liten stund ändras statusen från Levererad till Förfallen.

  5. Välj Resursroller.

  6. För Marknadsföringsresurser väljer du ellipsen (...) och väljer sedan Ta bort resursroll. I meddelandet som visas väljer du Ja.

  7. Öppna listan över åtkomstpaket.

  8. För Marknadsföringskampanj väljer du ellipsen (...) och väljer sedan Ta bort. I meddelandet som visas väljer du Ja.

  9. I Identitet tar du bort alla användare som du har skapat, till exempel Requestor1 och Admin1.

  10. Ta bort gruppen Marknadsföringsresurser .

Nästa steg

Gå vidare till nästa artikel för att lära dig mer om vanliga scenariosteg i berättigandehantering.

Vanliga scenarier