Mi az a jogosultságkezelés?
A jogosultságkezelés egy identitásszabályozási funkció, amellyel a szervezetek nagy léptékben kezelhetik az identitásokat és a hozzáférési életciklust a hozzáférési kérelmek munkafolyamatainak, a hozzáférési hozzárendeléseknek, a felülvizsgálatoknak és a lejáratnak az automatizálásával.
Kapcsolatok szervezeteknek hozzáférésre van szükségük a különböző csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez a munkájuk elvégzéséhez. A hozzáférés kezelése kihívást jelent, mivel a követelmények változnak. Új alkalmazásokat adnak hozzá, vagy a felhasználóknak több hozzáférési jogosultságra van szükségük. Ez a forgatókönyv bonyolultabb lesz, ha külső szervezetekkel együttműködik. Előfordulhat, hogy nem tudja, hogy a másik szervezet kinek van szüksége a szervezet erőforrásaihoz való hozzáférésre, és nem fogják tudni, hogy a szervezet milyen alkalmazásokat, csoportokat vagy webhelyeket használ.
A jogosultságkezeléssel hatékonyabban kezelheti a csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez való hozzáférést a belső felhasználók, valamint a szervezeten kívüli felhasználók számára, akiknek hozzáférésre van szükségük ezekhez az erőforrásokhoz.
Miért érdemes jogosultságkezelést használni?
A vállalati szervezetek gyakran szembesülnek kihívásokkal a munkaerő erőforrásokhoz való hozzáférésének kezelésekor, például:
- Előfordulhat, hogy a felhasználók nem tudják, hogy milyen hozzáféréssel kell rendelkezniük, és ha igen, akkor is nehezen tudják megállapítani a megfelelő személyeket a hozzáférés jóváhagyásához
- Miután a felhasználók megtalálják és megkapják az erőforráshoz való hozzáférést, az üzleti célokra szükségesnél hosszabb ideig tarthatnak a hozzáféréshez
Ezeket a problémákat az olyan felhasználók okozhatják, akiknek hozzáférésre van szükségük egy másik szervezettől, például az ellátásilánc-szervezetektől vagy más üzleti partnerektől származó külső felhasználók számára. Például:
- Senki sem ismerheti a más szervezet címtáraiban szereplő összes személyt, hogy meghívhassa őket
- Még ha meg is tudnák hívni ezeket a felhasználókat, a szervezet egyik tagja sem emlékezhet arra, hogy következetesen kezelje a felhasználók összes hozzáférését.
A jogosultságkezelés segíthet ezeknek a kihívásoknak a megoldásában. Ha többet szeretne megtudni arról, hogy az ügyfelek hogyan használják a jogosultságkezelést, olvassa el a Mississippi Medicaid, Storebrand és Avanade esettanulmányait. Ez a videó áttekintést nyújt a jogosultságkezelésről és annak értékéről:
Mit tehetek a jogosultságkezeléssel?
A jogosultságkezelés néhány képessége:
- Szabályozhatja, hogy ki férhet hozzá alkalmazásokhoz, csoportokhoz, Teamshez és SharePoint-webhelyekhez többszakaszos jóváhagyással, és hogy a felhasználók ne őrizzék meg a hozzáférést határozatlan időre korlátozott hozzárendelésekkel és ismétlődő hozzáférési felülvizsgálatokkal.
- A felhasználók automatikusan hozzáférhetnek ezekhez az erőforrásokhoz a felhasználó tulajdonságai, például a részleg vagy a költséghely alapján, és eltávolíthatják a felhasználó hozzáférését, amikor ezek a tulajdonságok megváltoznak.
- Delegálhatja a nem rendszergazdáknak a hozzáférési csomagok létrehozásának lehetőségét. Ezek a hozzáférési csomagok olyan erőforrásokat tartalmaznak, amelyeket a felhasználók kérhetnek, és a delegált hozzáférési csomag-kezelők olyan szabályzatokat határozhatnak meg, amelyekhez a felhasználók kérhetik, kinek kell jóváhagyniuk a hozzáférésüket, és mikor jár le a hozzáférés.
- Válassza ki azokat a csatlakoztatott szervezeteket, amelyek felhasználói hozzáférést kérhetnek. Ha egy felhasználó, aki még nem szerepel a címtárában, hozzáférést kér, és jóváhagyják, a rendszer automatikusan meghívja őket a címtárba, és hozzárendeli a hozzáférést. Ha a hozzáférésük lejár, ha nem rendelkeznek más hozzáférési csomag-hozzárendelésekkel, a címtárban lévő B2B-fiókjuk automatikusan eltávolítható.
Megjegyzés:
Ha készen áll a jogosultságkezelés kipróbálására, elsőként az oktatóanyagunk segítségével hozhatja létre első hozzáférési csomagját.
Elolvashatja a gyakori forgatókönyveket, vagy videókat is megnézhet, beleértve a
- Jogosultságkezelés üzembe helyezése a szervezetben
- A jogosultságkezelés használatának monitorozása és skálázása
- Delegálás a jogosultságkezelésben
Mik azok a hozzáférési csomagok, és milyen erőforrásokat kezelhetek velük?
A jogosultságkezelés bevezeti a hozzáférési csomag fogalmát. A hozzáférési csomag az összes olyan erőforrás csomagja, amelynek hozzáférésével a felhasználónak dolgoznia kell egy projekten, vagy el kell végeznie a feladatát. A hozzáférési csomagok az alkalmazottak és a szervezeten kívüli felhasználók hozzáférésének szabályozására is használhatók.
Az alábbiakban a jogosultságkezeléssel kezelheti a felhasználók hozzáférését az alábbi típusú erőforrásokhoz:
- Microsoft Entra biztonsági csoportok tagsága
- Microsoft 365-csoportok és Teams tagsága
- Hozzárendelés nagyvállalati Microsoft Entra-alkalmazásokhoz, beleértve az összevonást/egyszeri bejelentkezést és/vagy üzembe helyezést támogató SaaS-alkalmazásokat és egyénileg integrált alkalmazásokat
- SharePoint Online-webhelyek tagsága
A Microsoft Entra biztonsági csoportjaira vagy Microsoft 365-csoportok támaszkodó egyéb erőforrásokhoz való hozzáférést is szabályozhatja. Például:
- A Microsoft 365-höz licenceket adhat a felhasználóknak egy hozzáférési csomagban lévő Microsoft Entra biztonsági csoport használatával, és konfigurálhatja a csoportalapú licencelést az adott csoporthoz.
- Hozzáférést adhat a felhasználóknak az Azure-erőforrások kezeléséhez egy Microsoft Entra biztonsági csoport használatával egy hozzáférési csomagban, és létrehozhat egy Azure-szerepkör-hozzárendelést az adott csoporthoz.
- Hozzáférést adhat a felhasználóknak a Microsoft Entra-szerepkörök kezeléséhez, ha a hozzáférési csomagban a Microsoft Entra szerepköreihez hozzárendelhető csoportokat használnak, és Microsoft Entra-szerepkört rendelnek hozzá a csoporthoz.
Hogyan szabályozni, hogy ki fér hozzá?
Hozzáférési csomag esetén a rendszergazda vagy a delegált hozzáférési csomag kezelője felsorolja az erőforrásokat (csoportokat, alkalmazásokat és webhelyeket), valamint azokat a szerepköröket, amelyekre a felhasználóknak szükségük van az erőforrásokhoz.
Az Access-csomagok egy vagy több szabályzatot is tartalmaznak. A szabályzat határozza meg a csomaghoz való hozzárendelés szabályait vagy védőkorlátjait. Minden szabályzat használható annak biztosítására, hogy csak a megfelelő felhasználók rendelkezzenek hozzáférési hozzárendelésekkel, és a hozzáférés korlátozott, és ha nem újul meg, lejár.
A felhasználók számára szabályzatokkal is rendelkezhet a hozzáférés kéréséhez. Az ilyen típusú szabályzatokban a rendszergazda vagy a hozzáférési csomagkezelő határozza meg
- A már meglévő felhasználók (jellemzően alkalmazottak vagy már meghívott vendégek) vagy a hozzáférés igénylésére jogosult külső felhasználók partnerszervezetei
- A jóváhagyási folyamat és azok a felhasználók, amelyek jóváhagyhatják vagy megtagadhatják a hozzáférést
- A felhasználó hozzáférési hozzárendelésének időtartama a jóváhagyás után, a hozzárendelés lejárta előtt
Szabályzatokkal is rendelkezhet a felhasználók hozzáféréshez való hozzárendeléséhez, akár rendszergazda, akár szabályok alapján, akár életciklus-munkafolyamatokon keresztül.
Az alábbi ábrán egy példa látható a jogosultságkezelés különböző elemeire. Egy katalógust jelenít meg két példaelérési csomaggal.
- Az 1 . hozzáférési csomag egyetlen csoportot tartalmaz erőforrásként. A hozzáférés olyan szabályzattal van definiálva, amely lehetővé teszi, hogy a címtárban lévő felhasználók hozzáférést kérjenek.
- A 2 . hozzáférési csomag tartalmaz egy csoportot, egy alkalmazást és egy SharePoint Online-webhelyet erőforrásokként. Az Access két különböző szabályzattal van definiálva. Az első szabályzat lehetővé teszi, hogy a címtárban lévő felhasználók hozzáférést kérjenek. A második szabályzat lehetővé teszi, hogy a külső címtárban lévő felhasználók hozzáférést kérjenek.
Mikor érdemes hozzáférési csomagokat használni?
A hozzáférési csomagok nem helyettesítik a hozzáférés-hozzárendelés más mechanizmusait. Ezek a legmegfelelőbbek az olyan helyzetekben, mint például:
- Hozzáférési szabályzatdefiníciók migrálása külső vállalati szerepkör-kezelésből a Microsoft Entra ID-ba.
- A felhasználóknak korlátozott időre van szükségük egy adott feladathoz. Használhat például csoportalapú licencelést és dinamikus csoportot annak biztosítására, hogy minden alkalmazott rendelkezik Exchange Online-postaládával, majd használjon hozzáférési csomagokat olyan helyzetekhez, amikor az alkalmazottaknak több hozzáférési jogosultságra van szükségük. Például a részlegek erőforrásainak olvasására vonatkozó jogosultságok egy másik részlegtől.
- Hozzáférés, amely egy személy felettesének vagy más kijelölt személynek a jóváhagyását igényli.
- Olyan hozzáférés, amelyet automatikusan hozzá kell rendelni a szervezet egy adott részén lévő személyekhez az adott feladat szerepkörben töltött ideje alatt, de a szervezet más részein vagy egy üzleti partnerszervezetben lévő személyek számára is elérhető a kéréshez.
- A részlegek informatikai közreműködés nélkül szeretnék kezelni saját hozzáférési szabályzataikat az erőforrásaikhoz.
- Két vagy több szervezet közösen dolgozik egy projekten, ezért egy szervezet több felhasználóját is be kell majd állítani a Microsoft Entra B2B-n keresztül egy másik szervezet erőforrásainak eléréséhez.
Hogyan delegált hozzáférést?
A hozzáférési csomagok katalógusoknak nevezett tárolókban vannak definiálva. Egyetlen katalógussal rendelkezhet az összes hozzáférési csomaghoz, vagy kijelölhet személyeket saját katalógusok létrehozására és birtoklására. A rendszergazdák bármilyen katalógushoz hozzáadhatnak erőforrásokat, de a nem rendszergazda csak a tulajdonában lévő erőforrásokat adhat hozzá a katalógushoz. A katalógus tulajdonosa hozzáadhat más felhasználókat a katalógus társtulajdonosaként vagy hozzáférési csomagkezelőként. Ezeket a forgatókönyveket a cikk delegálásában és a jogosultságkezelésben betöltött szerepkörök ismertetik részletesebben.
A terminológia összefoglalása
A jogosultságkezelés és a dokumentáció jobb megértéséhez tekintse meg a következő kifejezések listáját.
| Term | Leírás |
|---|---|
| hozzáférési csomag | Egy csapat vagy projekt által igényelt és szabályzatokkal szabályozott erőforráscsomag. A hozzáférési csomagok mindig egy katalógusban találhatók. Létrehozhat egy új hozzáférési csomagot egy olyan forgatókönyvhöz, amelyben a felhasználóknak hozzáférést kell kérnie. |
| hozzáférési kérelem | Egy hozzáférési csomagban lévő erőforrások elérésére vonatkozó kérés. A kérések általában jóváhagyási munkafolyamaton mennek keresztül. Jóváhagyás esetén a kérelmező felhasználó hozzáférési csomag-hozzárendelést kap. |
| Hozzárendelés | A hozzáférési csomag felhasználóhoz való hozzárendelése biztosítja, hogy a felhasználó rendelkezik a hozzáférési csomag összes erőforrásszerepkörével. A hozzáférési csomagok hozzárendelései általában időkorláttal rendelkeznek a lejáratuk előtt. |
| Katalógus | Kapcsolódó erőforrásokat és hozzáférési csomagokat tartalmazó tároló. A katalógusok delegálásra szolgálnak, így a nem rendszergazdák létrehozhatják saját hozzáférési csomagjukat. A katalógustulajdonosok hozzáadhatják a katalógushoz a saját erőforrásaikat. |
| katalógus létrehozója | Olyan felhasználók gyűjteménye, akik jogosultak új katalógusok létrehozására. Ha egy nem rendszergazdai felhasználó, aki jogosult katalóguskészítőnek lenni, létrehoz egy új katalógust, automatikusan a katalógus tulajdonosa lesz. |
| csatlakoztatott szervezet | Egy külső Microsoft Entra-címtár vagy tartomány, amellyel kapcsolatban áll. A csatlakoztatott szervezet felhasználói megadhatóak egy szabályzatban, mivel engedélyezve van a hozzáférés kérése. |
| szabályzat | A hozzáférési életciklust meghatározó szabályok készlete, például a felhasználók hozzáférésének, jóváhagyásának és a hozzárendelésen keresztüli hozzáférésüknek a hossza. A szabályzat egy hozzáférési csomaghoz van csatolva. Egy hozzáférési csomagnak például két szabályzata lehet: az egyik az alkalmazottak számára a hozzáférés kérése, a másik pedig a külső felhasználók számára a hozzáférés kérése. |
| erőforrás | Egy objektum, például egy Office-csoport, egy biztonsági csoport, egy alkalmazás vagy egy SharePoint Online-webhely olyan szerepkörrel, amelyhez a felhasználó engedélyeket adhat. |
| erőforráskönyvtár | Egy vagy több megosztható erőforrással rendelkező könyvtár. |
| erőforrás-szerepkör | Erőforráshoz társított és definiált engedélyek gyűjteménye. Egy csoport két szerepkörrel rendelkezik : tag és tulajdonos. A SharePoint-webhelyek általában három szerepkört használnak, de más egyéni szerepkörök is lehetnek. Az alkalmazások egyéni szerepkörökhöz is tartozhatnak. |
License requirements
A funkció használatához Microsoft Entra ID-kezelés előfizetésre van szükség a szervezet felhasználói számára. A funkció egyes képességei microsoft Entra ID P2-előfizetéssel is működhetnek. További részletekért tekintse meg az egyes képességekről szóló cikkeket. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
További lépések
- Ha szeretné, hogy a Microsoft Entra felügyeleti központ segítségével kezelje az erőforrásokhoz való hozzáférést, tekintse meg az oktatóanyagot: Az erőforrásokhoz való hozzáférés kezelése – Microsoft Entra.
- ha szeretné, hogy a Microsoft Graph segítségével kezelje az erőforrásokhoz való hozzáférést, tekintse meg az oktatóanyagot: az erőforrásokhoz való hozzáférés kezelése – Microsoft Graph
- Gyakori forgatókönyvek