Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zarządzanie upoważnieniami to funkcja zapewniania ładu tożsamości, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygasanie.
Osoby w organizacjach potrzebują dostępu do różnych grup, aplikacji i witryn usługi SharePoint Online w celu wykonania swojej pracy. Zarządzanie tym dostępem jest trudne, ponieważ wymagania się zmieniają. Dodawane są nowe aplikacje lub tożsamości potrzebują większych praw dostępu. Ten scenariusz staje się bardziej skomplikowany podczas współpracy z organizacjami zewnętrznymi. Być może nie wiesz, kto w drugiej organizacji potrzebuje dostępu do zasobów organizacji i nie będzie wiedział, jakich aplikacji, grup lub witryn używa Twoja organizacja.
Zarządzanie uprawnieniami może pomóc efektywniej zarządzać dostępem do grup, aplikacji i stron SharePoint Online dla tożsamości wewnętrznych, a także dla osób spoza organizacji, które potrzebują dostępu do tych zasobów. Możesz także użyć zarządzania uprawnieniami w podglądzie, aby przypisać grupy, uprawnienia API i role do identyfikatorów agentów.
Dlaczego warto używać zarządzania upoważnieniami?
Organizacje przedsiębiorstwa często napotykają wyzwania związane z zarządzaniem dostępem pracowników do zasobów, takich jak:
- Tożsamości mogą nie wiedzieć, jaki dostęp powinni mieć, ich bezpośredni podwładni lub agenci, których sponsorują, a nawet jeśli wiedzą, mogą mieć trudności ze znalezieniem odpowiednich osób do zatwierdzenia dostępu
- Gdy dostęp do zasobów zostanie odkryty i przypisany, tożsamości mogą utrzymywać dostęp dłużej niż jest to konieczne dla ich potrzeb biznesowych
Problemy te potęgują się w przypadku tożsamości, które potrzebują dostępu od innej organizacji, na przykład zewnętrznych tożsamości pochodzących od organizacji łańcucha dostaw lub innych partnerów biznesowych. Na przykład:
- Nikt nie może znać wszystkich konkretnych osób w katalogach innych organizacji, aby móc je zaprosić
- Nawet gdyby mogli zaprosić te tożsamości, nikt w tej organizacji nie pamiętałby o regularnym zarządzaniu dostępem do wszystkich tożsamości
Zarządzanie upoważnieniami może pomóc w rozwiązywaniu tych problemów. Aby dowiedzieć się więcej o tym, jak klienci korzystają z zarządzania świadczeniami, możesz przeczytać zespół Mississippi Division of Medicaid, Storebrand oraz Digital Security and Resilience w Microsoft Case Studies. Ten film wideo zawiera omówienie zarządzania upoważnieniami i jego wartości:
Co mogę zrobić z zarządzaniem upoważnieniami?
Oto niektóre możliwości zarządzania upoważnieniami:
- Kontroluj, kto może uzyskiwać dostęp do aplikacji, grup, witryn usługi Teams, witryn programu SharePoint, praw dostępu do oprogramowania SAP IAG i innych zasobów, za pomocą zatwierdzania wieloetapowego, i upewnij się, że tożsamości nie zachowują dostępu na czas nieokreślony za pośrednictwem przydziałów ograniczonych czasowo i cyklicznych przeglądów dostępu.
- Dawaj tożsamościom automatyczny dostęp do tych zasobów na podstawie właściwości tożsamości, takich jak dział czy centrum kosztów, i usuń dostęp do tożsamości, gdy te właściwości się zmienią.
- Daj identyfikatorom agentów dostęp do potrzebnych zasobów i pozwól sponsorom ich identyfikować dostęp tylko wtedy, gdy jest to wymagane.
- Deleguj do administratorów możliwość tworzenia pakietów dostępu. Pakiety dostępu zawierają zasoby, o które mogą żądać tożsamości, a menedżerowie pakietów delegowanych mogą definiować polityki z regułami, o które tożsamości mogą żądać, kto musi zatwierdzić ich dostęp oraz kiedy dostęp wygasa.
- Wybierz powiązane organizacje, których tożsamości mogą żądać dostępu. Gdy tożsamość, która jeszcze nie znajduje się w Twoim katalogu, prosi o dostęp i zostaje zatwierdzona, automatycznie zostaje zaproszona do Twojego katalogu i otrzymuje jej dostęp. Po wygaśnięciu dostępu, jeśli nie mają żadnych innych przypisań pakietów dostępu, ich konto B2B w katalogu może zostać automatycznie usunięte.
Uwaga
Jeśli wszystko jest gotowe do wypróbowania zarządzania upoważnieniami, możesz rozpocząć pracę z naszym samouczkiem, aby utworzyć swój pierwszy pakiet dostępu.
Możesz również przeczytać typowe scenariusze lub obejrzeć filmy wideo, w tym
- Jak wdrożyć zarządzanie upoważnieniami w organizacji
- Jak monitorować i skalować użycie zarządzania upoważnieniami
- Jak delegować w zarządzaniu upoważnieniami
Jakie są pakiety dostępu i jakie zasoby można nimi zarządzać?
Zarządzanie upoważnieniami wprowadza koncepcję pakietu dostępu. Pakiet dostępu to pakiet wszystkich zasobów posiadających dostęp, jaki dana tożsamość potrzebuje do pracy nad projektem lub wykonania jego zadania. Pakiety dostępu mogą być używane do zarządzania dostępem dla tożsamości wewnętrznych, a także dla tożsamości pochodzących spoza Twojej organizacji.
Oto rodzaje zasobów, do których możesz zarządzać dostępem tożsamości poprzez zarządzanie uprawnieniami:
- Członkostwo w grupach zabezpieczeń firmy Microsoft Entra
- Członkostwo w usłudze Grupy Microsoft 365 i Teams
- Przypisanie do aplikacji firmy Microsoft Entra dla przedsiębiorstw, w tym aplikacji SaaS i niestandardowych aplikacji zintegrowanych, które obsługują federację/logowanie jednokrotne i/lub aprowizowanie
- Członkostwo w witrynach usługi SharePoint Online
- Uprawnienia API dla agentów z identyfikatorami agentów lub zasadami usług, w podglądzie jako część ID agenta Microsoft Entra
- Role biznesowe oprogramowania SAP IAG i inne prawa dostępu w wersji zapoznawczej
Możesz również kontrolować dostęp do innych zasobów, które opierają się na grupach zabezpieczeń firmy Microsoft Entra lub Grupy Microsoft 365. Na przykład:
- Możesz przyznawać tożsamości licencje na Microsoft 365, korzystając z grupy zabezpieczeń Microsoft Entra w pakiecie dostępowym i konfigurując licencjonowanie grupowe dla tej grupy.
- Możesz dać tożsamościom dostęp do zarządzania zasobami Azure, używając grupy bezpieczeństwa Microsoft Entra w pakiecie access i tworząc przypisanie ról Azure dla tej grupy.
- Możesz przydzielić tożsamościom dostęp do zarządzania rolami Microsoft Entra, używając grup przypisywalnych do ról Microsoft Entra w pakiecie dostępowym i przypisując tej grupie rolę Microsoft Entra.
Jak mogę kontrolować, kto uzyskuje dostęp?
W przypadku pakietu dostępowego, administrator lub menedżer pakietu dostępu delegowanego wymienia zasoby (grupy, aplikacje i strony, role Microsoft Entra oraz uprawnienia API) oraz role, które tożsamości potrzebują dla tych zasobów.
Pakiety dostępu obejmują również jedną lub więcej zasad. Zasady definiują reguły lub bariery zabezpieczające dla przypisania do pakietu dostępu. Każda polityka może być używana, aby zapewnić, że tylko odpowiednie tożsamości mogą mieć przypisane uprawnienia, a dostęp jest ograniczony czasowo do wygaśnięcia, jeśli nie zostanie odnowiony.
Możesz mieć polityki dotyczące tożsamości do żądania dostępu. W takich typach zasad administrator lub menedżer pakietów dostępu definiuje
- Albo już istniejące tożsamości (zazwyczaj pracownicy lub już zaproszeni goście), albo organizacje partnerskie tożsamości zewnętrznych, które mogą ubiegać się o dostęp
- Proces zatwierdzania oraz tożsamości, które mogą zatwierdzać lub odmawiać dostępu
- Czas trwania przydziału dostępu do tożsamości, po zatwierdzeniu, przed wygaśnięciem przydziału
Możesz także mieć polityki przypisywania dostępu tożsamościom, czy to przez administratora, automatycznie na podstawie reguł, czy w ramach cyklu życia.
Na poniższym diagramie przedstawiono przykład różnych elementów zarządzania upoważnieniami. Przedstawia jeden wykaz z dwoma przykładowymi pakietami dostępu.
- Pakiet dostępu 1 zawiera pojedynczą grupę jako zasób. Dostęp jest definiowany za pomocą polityki umożliwiającej zestawowi tożsamości w katalogu żądanie dostępu.
- Pakiet dostępu 2 zawiera grupę, aplikację i witrynę usługi SharePoint Online jako zasoby. Dostęp jest definiowany przy użyciu dwóch różnych zasad. Pierwsza polityka pozwala zestawowi tożsamości w katalogu żądać dostępu. Druga polityka umożliwia tożsamościom w zewnętrznym katalogu żądanie dostępu.
Kiedy należy używać pakietów dostępu?
Pakiety dostępu nie zastępują innych mechanizmów przypisywania dostępu. Są one najbardziej odpowiednie w sytuacjach takich jak:
- Migrowanie definicji zasad dostępu z zarządzania rolami przedsiębiorstwa innej firmy do identyfikatora Entra firmy Microsoft.
- Tożsamości potrzebują dostępu ograniczonego czasowo do konkretnego zadania. Na przykład można użyć licencjonowania opartego na grupach i grupy dynamicznej, aby zapewnić, że wszyscy pracownicy mają skrzynkę pocztową usługi Exchange Online, a następnie używać pakietów dostępu w sytuacjach, w których pracownicy potrzebują większej liczby praw dostępu. Na przykład prawa do odczytu zasobów działu z innego działu.
- Dostęp, który wymaga zatwierdzenia przez menedżera lub innych wyznaczonych osób.
- Dostęp, który powinien być przypisywany automatycznie do osób w określonej części organizacji w czasie wykonywania tej roli pracy, ale także dla osób w innych miejscach w organizacji lub w organizacji partnera biznesowego, aby poprosić.
- Działy chcą zarządzać własnymi zasadami dostępu dla swoich zasobów bez udziału IT.
- Dwie lub więcej organizacji współpracuje przy projekcie, w związku z czym wiele tożsamości z jednej organizacji musi zostać wprowadzonych przez Microsoft Entra B2B, aby uzyskać dostęp do zasobów innej organizacji.
Jak mogę delegować dostęp?
Pakiety dostępu są definiowane w kontenerach nazywanych wykazami. Możesz mieć pojedynczy wykaz dla wszystkich pakietów dostępu lub wyznaczyć osoby do tworzenia i posiadania własnych wykazów. Administrator może dodawać zasoby do dowolnego katalogu, ale administrator może dodawać tylko zasoby, które są ich właścicielami. Właściciel katalogu może dodawać inne tożsamości jako współwłaścicieli katalogu lub jako menedżerów pakietów dostępu. Te scenariusze zostały szczegółowo opisane w artykule delegowanie i role w zarządzaniu upoważnieniami.
Podsumowanie terminologii
Aby lepiej zrozumieć zarządzanie upoważnieniami i jego dokumentację, możesz wrócić do poniższej listy terminów.
| Okres | opis |
|---|---|
| pakiet dostępu | Pakiet zasobów, których potrzebuje zespół lub projekt i podlega zasadom. Pakiet dostępu jest zawsze zawarty w wykazie. Stworzyłbyś nowy pakiet dostępu dla sytuacji, w której tożsamości muszą zażądać dostępu dla siebie. |
| żądanie dostępu | Żądanie dostępu do zasobów w pakiecie dostępu. Żądanie zwykle przechodzi przez przepływ pracy zatwierdzania. Jeśli zostanie zatwierdzona, tożsamość żądająca otrzymuje przypisanie pakietu dostępowego. |
| przypisanie | Przypisanie pakietu dostępu do tożsamości zapewnia, że tożsamość posiada wszystkie role zasobów tego pakietu dostępu. Przypisania pakietów programu Access zwykle mają limit czasu przed ich wygaśnięciem. |
| katalog | Kontener powiązanych zasobów i pakietów dostępu. Wykazy są używane do delegowania, dzięki czemu administratorzy nieadministratorzy mogą tworzyć własne pakiety dostępu. Właściciele wykazu mogą dodawać własne zasoby do katalogu. |
| twórca katalogów | Zbiór tożsamości uprawnionych do tworzenia nowych katalogów. Gdy tożsamość nieadministratora, która jest upoważniona do bycia twórcą katalogu, tworzy nowy katalog, automatycznie staje się właścicielem tego katalogu. |
| połączona organizacja | Zewnętrzny katalog firmy Microsoft Entra lub domena, z którą masz relację. Tożsamości powiązanej organizacji mogą być określone w polityce jako uprawnione do żądania dostępu. |
| zasady | Zestaw reguł definiujących cykl życia, takich jak jak tożsamości uzyskują dostęp, kto może zatwierdzić oraz jak długo mają dostęp na podstawie przypisania. Zasady są połączone z pakietem dostępu. Na przykład pakiet dostępu mógłby mieć dwie polityki – jedną dla pracowników do żądania dostępu, a drugą dla zewnętrznych tożsamości do żądania dostępu. |
| zasób | Zasób, taki jak grupa Office, grupa bezpieczeństwa, aplikacja lub strona SharePoint Online, z rolą, do której można przyznać uprawnienia tożsamości. |
| katalog zasobów | Katalog, który ma co najmniej jeden zasób do udostępnienia. |
| rola zasobu | Kolekcja uprawnień skojarzonych z zasobem i zdefiniowanych przez ten zasób. Grupa ma dwie role — członka i właściciela. Witryny programu SharePoint zwykle mają trzy role, ale mogą mieć inne role niestandardowe. Aplikacje mogą mieć role niestandardowe. |
Wymagania dotyczące licencji
Ta funkcja wymaga subskrypcji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite dla użytkowników organizacji. Niektóre możliwości, w ramach tej funkcji, mogą działać z subskrypcją Microsoft Entra ID P2. Aby uzyskać więcej informacji, zobacz artykuły dotyczące każdej możliwości, aby uzyskać więcej informacji. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Wymagania licencyjne dotyczące przypisywania agentów do dostępu do pakietów (podgląd)
Ważne
Microsoft Entra Agent ID jest częścią programu Microsoft Agent 365, który jest dostępny teraz w usłudze Frontier, czyli programie microsoft wczesnego dostępu do najnowszych innowacji w zakresie sztucznej inteligencji. Aby uzyskać więcej informacji, zobacz Microsoft Entra Agent ID.
Następne kroki
- Jeśli interesuje Cię korzystanie z centrum administracyjnego firmy Microsoft Entra do zarządzania dostępem do zasobów, zobacz Samouczek: zarządzanie dostępem do zasobów — Microsoft Entra.
- Jeśli interesuje Cię zarządzanie dostępem do zasobów przy użyciu programu Microsoft Graph, zobacz Samouczek: zarządzanie dostępem do zasobów — Microsoft Graph
- Typowe scenariusze