Megosztás a következőn keresztül:

Microsoft Entra-szerepkörök hozzárendelése (előzetes verzió)

  • Cikk

A jogosultságkezelés támogatja a hozzáférési életciklust különböző erőforrástípusokhoz, például alkalmazásokhoz, SharePoint-webhelyekhez, csoportokhoz és Teamshez. Előfordulhat, hogy a felhasználóknak további engedélyekre van szükségük ahhoz, hogy ezeket az erőforrásokat bizonyos módokon használják. Előfordulhat például, hogy egy felhasználónak hozzáféréssel kell rendelkeznie a szervezet Power BI-irányítópultjaihoz, de a szervezeti szintű metrikák megtekintéséhez a Power BI-rendszergazdai szerepkörre van szükség. Bár a Microsoft Entra ID egyéb funkciói, például a szerepkör-hozzárendelhető csoportok támogathatják ezeket a Microsoft Entra-szerepkör-hozzárendeléseket, az ezeken a módszereken keresztül biztosított hozzáférés kevésbé explicit. Például a felhasználók szerepkör-hozzárendeléseinek közvetlen kezelése helyett egy csoport tagságát felügyelné.

A Microsoft Entra-szerepkörök alkalmazottakhoz és vendégekhez való hozzárendelésével a Jogosultságkezelés használatával áttekintheti a felhasználó jogosultságait, hogy gyorsan megállapíthassa, mely szerepkörök vannak hozzárendelve az adott felhasználóhoz. Ha erőforrásként egy Microsoft Entra-szerepkört is belefoglal egy hozzáférési csomagba, megadhatja azt is, hogy a szerepkör-hozzárendelés "jogosult" vagy "aktív".

A Microsoft Entra-szerepkörök hozzáférési csomagokon keresztüli hozzárendelése segít hatékonyan kezelni a szerepkör-hozzárendeléseket nagy méretekben, és javítja a szerepkör-hozzárendelések életciklusát.

A Microsoft Entra szerepkör-hozzárendelésének forgatókönyvei hozzáférési csomagok használatával

Tegyük fel, hogy a szervezet nemrég 50 új alkalmazottat vett fel a támogatási csapathoz, és ön feladata, hogy hozzáférést adjon ezeknek az új alkalmazottaknak a szükséges erőforrásokhoz. Ezeknek az alkalmazottaknak hozzáférésre van szükségük a támogatási csoporthoz és bizonyos támogatási alkalmazásokhoz. Három Microsoft Entra-szerepkörre is szükségük van, beleértve a segélyszolgálati rendszergazdai szerepkört is a feladataik elvégzéséhez. Ahelyett, hogy egyenként rendeli hozzá az 50 alkalmazottat az összes erőforráshoz és szerepkörhöz, beállíthat egy hozzáférési csomagot, amely tartalmazza a SharePoint-webhelyet, a csoportot és az adott Microsoft Entra-szerepköröket. Ezután konfigurálhatja a hozzáférési csomagot úgy, hogy a kezelők jóváhagyókként rendelkezzenek, és megoszthassa a hivatkozást a támogatási csapattal.

Képernyőkép egy erőforrás-szerepkör új hozzáférési csomaghoz való hozzáadásáról.

Most a támogatási csapathoz csatlakozó új tagok hozzáférést kérhetnek ehhez a hozzáférési csomaghoz a Saját hozzáférés szolgáltatásban, és hozzáférhetnek minden szükségeshöz, amint a felettesük jóváhagyja a kérést. Ez időt és energiát takarít meg, mivel a támogatási csapat globális terjeszkedést tervez, körülbelül 1000 új alkalmazottat vesz fel, de már nem kell manuálisan hozzárendelnie minden személyt egy hozzáférési csomaghoz.

PIM-hozzáférési megjegyzés:

Feljegyzés

Javasoljuk, hogy a Privileged Identity Management használatával biztosítson igény szerint hozzáférést egy felhasználónak egy emelt szintű engedélyeket igénylő feladat végrehajtásához. Ezeket az engedélyeket a Microsoft Entra szerepkörök biztosítják, amelyek "privileged" címkével vannak ellátva, az alábbi dokumentációnkban: Microsoft Entra beépített szerepkörök. A jogosultságkezelés alkalmasabb a felhasználók számára egy erőforráscsomag hozzárendelésére, amely tartalmazhat egy Microsoft Entra-szerepkört, amely a feladat elvégzéséhez szükséges. A hozzáférési csomagokhoz rendelt felhasználók általában hosszabb ideig férnek hozzá az erőforrásokhoz. Bár azt javasoljuk, hogy a privileged Identity Management segítségével kezelje a magas jogosultságú szerepköröket, jogosultságot állíthat be ezekre a szerepkörökre a Jogosultságkezelés hozzáférési csomagjaival.

Előfeltételek

A funkció használatához Microsoft Entra ID-kezelés vagy Microsoft Entra Suite-licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.

Microsoft Entra-szerepkör hozzáadása erőforrásként egy hozzáférési csomagban

A meglévő hozzáférési csomagok inkompatibilis csoportjainak vagy egyéb hozzáférési csomagjainak listájának módosításához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

  2. Keresse meg az identitásszabályozási>>hozzáférési csomagokat.

  3. Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelyhez erőforrás-szerepköröket szeretne hozzáadni, és válassza ki az Erőforrás-szerepköröket.

  4. A csomag eléréséhez tartozó erőforrás-szerepkörök hozzáadása lapon válassza a Microsoft Entra-szerepkörök (előzetes verzió) lehetőséget a Microsoft Entra-szerepkörök kiválasztása panel megnyitásához.

  5. Válassza ki a hozzáférési csomagban felvenni kívánt Microsoft Entra-szerepköröket. Képernyőkép a hozzáférési csomag szerepkörének kiválasztásáról.

  6. A Szerepkör listában válassza a Jogosult tag vagy az Aktív tag lehetőséget. Képernyőkép az erőforrásszerepkör kiválasztásáról a hozzáférési csomagban.

  7. Válassza a Hozzáadás lehetőséget.

Feljegyzés

Ha a Jogosult lehetőséget választja, a felhasználók jogosultak lesznek erre a szerepkörre, és aktiválhatják a hozzárendelésüket a Privileged Identity Management használatával a Microsoft Entra Felügyeleti központban. Ha az Aktív lehetőséget választja, a felhasználók aktív szerepkör-hozzárendeléssel rendelkeznek, amíg már nem férnek hozzá a hozzáférési csomaghoz. A "privileged" címkével ellátott Entra-szerepkörök esetében csak a Jogosult lehetőséget választhatja ki. A kiemelt szerepkörök listáját itt találja: Microsoft Entra beépített szerepkörök.

Microsoft Entra-szerepkör hozzáadása erőforrásként egy hozzáférési csomagban programozott módon

Microsoft Entra-szerepkör programozott hozzáadásához használja a következő kódot:

    "role": {
        "originId": "Eligible",
        "displayName": "Eligible Member",
        "originSystem": "DirectoryRole",
        "resource": {
            "id": "ea036095-57a6-4c90-a640-013edf151eb1"
        }
    },
    "scope": {
        "description": "Root Scope",
        "displayName": "Root",
        "isRootScope": true,
        "originSystem": "DirectoryRole",
        "originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
    }
}

Microsoft Entra-szerepkör hozzáadása erőforrásként egy hozzáférési csomagban a Graph használatával

A Microsoft Entra-szerepköröket erőforrásokként is hozzáadhatja egy hozzáférési csomaghoz a Microsoft Graph használatával. Az API-t olyan felhasználók hívhatják meg, akik egy megfelelő szerepkörben vannak, és egy alkalmazással rendelkeznek, amelynek delegált EntitlementManagement.ReadWrite.All permission van vagy EntitlementManagement.ReadWrite.All alkalmazásengedélye van, hogy létrehozzanak egy Microsoft Entra-szerepköröket tartalmazó hozzáférési csomagot, és felhasználókat rendeljenek hozzá a hozzáférési csomaghoz.

Microsoft Entra-szerepkör hozzáadása erőforrásként egy hozzáférési csomagban a PowerShell használatával

A Microsoft Entra-szerepköröket erőforrásokként is hozzáadhatja a PowerShell hozzáférési csomagjaihoz a Microsoft Graph PowerShell-parancsmagok 1.16.0-s vagy újabb verziójú Identitásszabályozás modul parancsmagjaival.

Az alábbi szkript egy Microsoft Entra-szerepkör erőforrásként való hozzáadását mutatja be egy hozzáférési csomagban:

Először kérje le a katalógus és a katalógusban található erőforrás azonosítóját, valamint a hozzáférési csomagban felvenni kívánt hatóköröket és szerepköröket. Az alábbi példához hasonló szkriptet használjon. Ez feltételezi, hogy egy Microsoft Entra szerepkör-erőforrás található a katalógusban.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Entra Admins'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'DirectoryRole'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Ezután rendelje hozzá a Microsoft Entra szerepkört az erőforrástól a hozzáférési csomaghoz. Ha például a korábban visszaadott erőforrás első erőforrásszerepkörét szeretné belefoglalni egy hozzáférési csomag erőforrásszerepköreként, az alábbihoz hasonló szkriptet használna.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Következő lépés

Hozzáférési csomaghozzárendeléseinek megtekintése, hozzáadása és eltávolítása Jelentések és naplók megtekintése