Självstudie: Hantera åtkomst till resurser i Azure AD-berättigandehantering

  • Artikel
  • 6 minuter för att läsa

Att hantera åtkomsten till alla resurser som anställda behöver, till exempel grupper, program och webbplatser, är en viktig funktion för organisationer. Du vill ge anställda rätt åtkomstnivå som de behöver för att vara produktiva och ta bort deras åtkomst när de inte längre behövs.

I den här självstudien arbetar du för Woodgrove Bank som IT-administratör. Du har blivit ombedd att skapa ett paket med resurser för en marknadsföringskampanj som interna användare kan använda för att begära självbetjäning. Begäranden kräver inte godkännande och användarens åtkomst upphör att gälla efter 30 dagar. I den här självstudien är marknadsföringskampanjresurserna bara medlemskap i en enda grupp, men det kan vara en samling grupper, program eller SharePoint Online-webbplatser.

Diagram som visar scenarioöversikten.

I den här guiden får du lära dig att:

  • Skapa ett åtkomstpaket med en grupp som en resurs
  • Tillåt en användare i din katalog att begära åtkomst
  • Visa hur en intern användare kan begära åtkomstpaketet

En stegvis demonstration av processen för att distribuera Azure Active Directory berättigandehantering, inklusive att skapa ditt första åtkomstpaket, finns i följande video:

Förutsättningar

Om du vill använda Azure AD-berättigandehantering måste du ha någon av följande licenser:

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5-licens

Mer information finns i Licenskrav.

Steg 1: Konfigurera användare och grupp

En resurskatalog har en eller flera resurser att dela. I det här steget skapar du en grupp med namnet Marknadsföringsresurser i katalogen Woodgrove Bank som är målresursen för berättigandehantering. Du kan också konfigurera en intern begärande.

Förutsättningsroll: Global administratör administratör eller användaradministratör

Skapa användare och grupper

  1. Logga in på Azure Portal som Global administratör administratör eller användaradministratör.

  2. I det vänstra navigeringsfönstret klickar du på Azure Active Directory.

  3. Skapa eller konfigurera följande två användare. Du kan använda dessa namn eller olika namn. Admin1 kan vara den användare som du för närvarande är inloggad som.

    Name Katalogroll
    Admin1 Global administratör
    - eller -
    Användaradministratör
    Requestor1 Användare

  4. Skapa en Azure AD-säkerhetsgrupp med namnet Marknadsföringsresurser med medlemskapstypen Tilldelad.

    Den här gruppen blir målresursen för berättigandehantering. Gruppen ska vara tom med medlemmar för att starta.

Steg 2: Skapa ett åtkomstpaket

Ett åtkomstpaket är ett paket med resurser som ett team eller projekt behöver och som styrs av principer. Åtkomstpaket definieras i containrar som kallas kataloger. I det här steget skapar du ett åtkomstpaket för marknadsföringskampanjen i katalogen Allmänt.

Förutsättningsroll: Global administratör, Identity Governance-administratör, Användaradministratör, Katalogägare eller Åtkomstpakethanterare

Skapa ett åtkomstpaket

  1. I det Azure Portal navigeringsfönstret klickar du på Azure Active Directory.

  2. I den vänstra menyn klickar du på Identity Governance (Identitetsstyrning)

  3. Klicka på Åtkomstpaket på den vänstra menyn. Om åtkomst nekas ser du till att Azure AD Premium P2-licens finns i din katalog.

  4. Klicka på Nytt åtkomstpaket.

    Berättigandehantering i Azure Portal

  5. På fliken Grundläggande anger du namnet Marknadsföringskampanjens åtkomstpaket och beskrivning Åtkomst till resurser för kampanjen.

  6. Låt listrutan Katalog vara inställd på Allmänt.

    Nytt åtkomstpaket – fliken Grundläggande

  7. Klicka på Nästa för att öppna fliken Resursroller.

    På den här fliken väljer du de resurser och den resursroll som ska ingå i åtkomstpaketet.

  8. Klicka på Grupper och Teams.

  9. I fönstret Välj grupper hittar och väljer du gruppen Marknadsföringsresurser som du skapade tidigare.

    Som standard visas grupper i katalogen Allmänt. När du väljer en grupp utanför katalogen Allmänt, som du kan se om du markerar kryssrutan Visa alla, läggs den till i katalogen Allmänt.

    Skärmbild som visar fliken Nytt åtkomstpaket – Resursroller och fönstret Välj grupper.

  10. Klicka på Välj för att lägga till gruppen i listan.

  11. I listrutan Roll väljer du Medlem.

    Nytt åtkomstpaket – fliken Resursroller

    Viktigt

    De rollde kan tilldelas grupper som läggs till i ett åtkomstpaket visas med hjälp av undertypen Som kan tilldelas till roller. Mer information om grupper som kan tilldelas till Azure AD-roller finns i Skapa en roll-tilldelningsbar grupp i Azure Active Directory mer information om grupper som kan tilldelas till Azure AD-roller. Tänk på att när en roll tilldelningsbar grupp finns i en åtkomstpaketkatalog, kan administrativa användare som kan hantera i rättighetshantering, inklusive globala administratörer, användaradministratörer och katalogägare av katalogen, styra åtkomstpaketen i katalogen, så att de kan välja vem som kan läggas till i dessa grupper. Om du inte ser någon roll assignerbar grupp som du vill lägga till eller om du inte kan lägga till den, kontrollerar du att du har den Azure AD-roll och berättigandehanteringsroll som krävs för att utföra den här åtgärden. Du kan behöva be någon med de nödvändiga rollerna att lägga till resursen i katalogen. Mer information finns i Nödvändiga roller för att lägga till resurser i en katalog.

    Anteckning

    När du använder dynamiska grupper ser du inga andra roller som är tillgängliga förutom ägare. Det här är avsiktligt. Översikt över scenario

  12. Klicka på Nästa för att öppna fliken Begäranden.

    På den här fliken skapar du en princip för begäran. En princip definierar regler eller skyddsräcken för åtkomst till ett åtkomstpaket. Du skapar en princip som gör att en specifik användare i resurskatalogen kan begära det här åtkomstpaketet.

  13. I avsnittet Användare som kan begära åtkomst klickar du på För användare i din katalog och klickar sedan på Specifika användare och grupper.

    Nytt åtkomstpaket – fliken Begäranden

  14. Klicka på Lägg till användare och grupper.

  15. I fönstret Välj användare och grupper väljer du den Requestor1-användare som du skapade tidigare.

    Nytt åtkomstpaket – fliken Begäranden – Välj användare och grupper

  16. Klicka på Välj.

  17. Rulla ned till avsnitten Godkännande och Aktivera begäranden.

  18. Lämna Kräv godkännande inställt på Nej.

  19. För Aktivera begäranden klickar du på Ja för att aktivera det här åtkomstpaketet så att det begärs så snart det har skapats.

    Nytt åtkomstpaket – fliken Begäranden – Godkännande- och aktivera begäranden

  20. Klicka på Nästa för att öppna fliken Livscykel.

  21. I avsnittet Förfallotid anger du Antal dagar som åtkomstpakettilldelningar upphör att gälla.

  22. Ange Tilldelningar upphör att gälla efter 30 dagar.

    Nytt åtkomstpaket – fliken Livscykel

  23. Klicka på Nästa för att öppna fliken Granska + skapa.

    Nytt åtkomstpaket – fliken Granska + skapa

    Efter en liten stund bör du se ett meddelande om att åtkomstpaketet har skapats.

  24. I den vänstra menyn i åtkomstpaketet för marknadsföringskampanjen klickar du på Översikt.

  25. Kopiera Min åtkomst portallänken.

    Du använder den här länken för nästa steg.

    Översikt över åtkomstpaket – Min åtkomst portallänk

Steg 3: Begär åtkomst

I det här steget utför du stegen som intern begärande och begär åtkomst till åtkomstpaketet. Beställare skickar sina begäranden via en webbplats som kallas Min åtkomst portalen. Med Min åtkomst portal kan beställare skicka begäranden om åtkomstpaket, se de åtkomstpaket som de redan har åtkomst till och visa sin begäranshistorik.

Förutsättningsroll: Intern begärande

  1. Logga ut från Azure Portal.

  2. I ett nytt webbläsarfönster går du till Min åtkomst som du kopierade i föregående steg.

  3. Logga in på Min åtkomst portalen som Requestor1.

    Du bör se åtkomstpaketet marknadsföringskampanj.

  4. Om det behövs klickar du pilen i kolumnen Beskrivning för att visa information om åtkomstpaketet.

    Min åtkomst portal – Åtkomstpaket

  5. Klicka på bockmarkeringen för att välja paketet.

  6. Klicka på Begär åtkomst för att öppna fönstret Begär åtkomst.

    Min åtkomst portal – knappen Begär åtkomst

  7. I rutan Affärsberättigande skriver du den motivering som jag arbetar med den nya marknadsföringskampanjen.

    Min åtkomst portal – Begär åtkomst

  8. Klicka på Skicka.

  9. I den vänstra menyn klickar du på Begäranshistorik för att verifiera att din begäran skickades.

Steg 4: Verifiera att åtkomst har tilldelats

I det här steget bekräftar du att den interna beställaren har tilldelats åtkomstpaketet och att den nu är medlem i resursgruppen Marknadsföring.

Förutsättningsroll: Global administratör, användaradministratör, katalogägare eller åtkomstpakethanterare

  1. Logga ut från Min åtkomst portalen.

  2. Logga in på Azure Portal som Admin1.

  3. Klicka Azure Active Directory och sedan på Identity Governance.

  4. Klicka på Åtkomstpaket på den vänstra menyn.

  5. Leta upp och klicka på Åtkomstpaket för marknadsföringskampanj.

  6. I den vänstra menyn klickar du på Begäranden.

    Du bör se Requestor1 och principen Initial med statusen Levererad.

  7. Klicka på begäran för att visa information om begäran.

    Åtkomstpaket – Information om begäran

  8. I det vänstra navigeringsfönstret klickar du på Azure Active Directory.

  9. Klicka Grupper och öppna resursgruppen Marknadsföring.

  10. Klicka på Medlemmar.

    Du bör se Requestor1 listat som medlem.

    Medlemmar i marknadsföringsresurser

Steg 5: Rensa resurser

I det här steget tar du bort de ändringar du har gjort och tar bort åtkomstpaketet marknadsföringskampanj.

Förutsättningsroll: Global administratör eller användaradministratör

  1. I dialogrutan Azure Portal du på Azure Active Directory sedan på Identity Governance.

  2. Öppna åtkomstpaketet marknadsföringskampanj.

  3. Klicka på Tilldelningar.

  4. För Requestor1 klickar du på ellipsen (...) och sedan på Ta bort åtkomst. I meddelandet som visas klickar du på Ja.

    Efter en liten stund ändras statusen från Levererad till Upphört att gälla.

  5. Klicka på Resursroller.

  6. För Marknadsföringsresurser klickar du på ellipsen (...) och sedan på Ta bort resursroll. I meddelandet som visas klickar du på Ja.

  7. Öppna listan över åtkomstpaket.

  8. För Marknadsföringskampanj klickar du på ellipsen (...) och sedan på Ta bort. I meddelandet som visas klickar du på Ja.

  9. I Azure Active Directory du bort alla användare som du har skapat, till exempel Requestor1 och Admin1.

  10. Ta bort resursgruppen Marknadsföring.

Nästa steg

Gå vidare till nästa artikel om du vill veta mer om vanliga steg i berättigandehantering.

Vanliga scenarier