Vad är berättigandehantering?
Berättigandehantering är en funktion för identitetsstyrning som gör det möjligt för organisationer att hantera identitets- och åtkomstlivscykeln i stor skala genom att automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och upphörande.
Personer i organisationer behöver åtkomst till olika grupper, program och SharePoint Online-webbplatser för att utföra sitt jobb. Det är svårt att hantera den här åtkomsten när kraven ändras. Nya program läggs till eller användarna behöver fler åtkomsträttigheter. Det här scenariot blir mer komplicerat när du samarbetar med externa organisationer. Du kanske inte vet vem i den andra organisationen som behöver åtkomst till organisationens resurser och de vet inte vilka program, grupper eller webbplatser som din organisation använder.
Berättigandehantering kan hjälpa dig att mer effektivt hantera åtkomst till grupper, program och SharePoint Online-webbplatser för interna användare, och även för användare utanför organisationen som behöver åtkomst till dessa resurser.
Varför ska du använda berättigandehantering?
Företagsorganisationer står ofta inför utmaningar när de hanterar personalåtkomst till resurser, till exempel:
- Användare kanske inte vet vilken åtkomst de ska ha, och även om de gör det kan de ha svårt att hitta rätt personer för att godkänna deras åtkomst
- När användarna hittar och får åtkomst till en resurs kan de behålla åtkomsten längre än vad som krävs i affärssyfte
Dessa problem förvärras för användare som behöver åtkomst från en annan organisation, till exempel externa användare som kommer från leverantörskedjans organisationer eller andra affärspartner. Till exempel:
- Ingen person kan känna till alla specifika personer i andra organisations kataloger för att kunna bjuda in dem
- Även om de kunde bjuda in dessa användare kan ingen i organisationen komma ihåg att hantera alla användares åtkomst konsekvent
Berättigandehantering kan hjälpa dig att hantera dessa utmaningar. Om du vill veta mer om hur kunder har använt berättigandehantering kan du läsa Mississippi Division of Medicaid, Storebrand och Avanade fallstudier. Den här videon innehåller en översikt över berättigandehantering och dess värde:
Vad kan jag göra med berättigandehantering?
Här är några av funktionerna i berättigandehantering:
- Kontrollera vem som kan få åtkomst till program, grupper, Teams och SharePoint-webbplatser med godkännande i flera steg och se till att användarna inte behåller åtkomsten på obestämd tid genom tidsbegränsade tilldelningar och återkommande åtkomstgranskningar.
- Ge användarna åtkomst automatiskt till dessa resurser, baserat på användarens egenskaper som avdelning eller kostnadsställe, och ta bort en användares åtkomst när dessa egenskaper ändras.
- Delegera möjligheten att skapa åtkomstpaket till icke-administratörer. Dessa åtkomstpaket innehåller resurser som användarna kan begära, och de delegerade åtkomstpaketansvariga kan definiera principer med regler som användare kan begära, vem som måste godkänna deras åtkomst och när åtkomsten upphör att gälla.
- Välj anslutna organisationer vars användare kan begära åtkomst. När en användare som ännu inte finns i katalogen begär åtkomst och godkänns bjuds de automatiskt in till din katalog och tilldelas åtkomst. När deras åtkomst upphör att gälla, om de inte har några andra åtkomstpakettilldelningar, kan deras B2B-konto i din katalog tas bort automatiskt.
Kommentar
Om du är redo att prova berättigandehantering kan du komma igång med vår självstudie för att skapa ditt första åtkomstpaket.
Du kan också läsa vanliga scenarier eller titta på videor, inklusive
- Så här distribuerar du berättigandehantering i din organisation
- Övervaka och skala din användning av berättigandehantering
- Delegera i berättigandehantering
Vad är åtkomstpaket och vilka resurser kan jag hantera med dem?
Rättighetshantering introducerar begreppet åtkomstpaket. Ett åtkomstpaket är ett paket med alla resurser med den åtkomst som en användare behöver för att arbeta med ett projekt eller utföra sin uppgift. Åtkomstpaket kan användas för att styra åtkomsten för dina anställda och även för användare som har sitt ursprung utanför organisationen.
Här är de typer av resurser som du kan hantera användarens åtkomst till med berättigandehantering:
- Medlemskap i Microsoft Entra-säkerhetsgrupper
- Medlemskap i Microsoft 365-grupper och Teams
- Tilldelning till Microsoft Entra-företagsprogram, inklusive SaaS-program och anpassade integrerade program som stöder federation/enkel inloggning och/eller etablering
- Medlemskap i SharePoint Online-webbplatser
Du kan också styra åtkomsten till andra resurser som förlitar sig på Microsoft Entra-säkerhetsgrupper eller Microsoft 365-grupper. Till exempel:
- Du kan ge användare licenser för Microsoft 365 genom att använda en Microsoft Entra-säkerhetsgrupp i ett åtkomstpaket och konfigurera gruppbaserad licensiering för den gruppen.
- Du kan ge användarna åtkomst till att hantera Azure-resurser med hjälp av en Microsoft Entra-säkerhetsgrupp i ett åtkomstpaket och skapa en Azure-rolltilldelning för den gruppen.
- Du kan ge användarna åtkomst till att hantera Microsoft Entra-roller genom att använda grupper som kan tilldelas till Microsoft Entra-roller i ett åtkomstpaket och tilldela en Microsoft Entra-roll till den gruppen.
Hur gör jag för att styra vem som får åtkomst?
Med ett åtkomstpaket visar en administratör eller delegerad pakethanterare resurserna (grupper, appar och webbplatser) och de roller som användarna behöver för dessa resurser.
Åtkomstpaket innehåller också en eller flera principer. En princip definierar regler eller skyddsmekanismer för tilldelning till åtkomstpaket. Varje princip kan användas för att säkerställa att endast lämpliga användare kan ha åtkomsttilldelningar och att åtkomsten är tidsbegränsad och upphör att gälla om den inte förnyas.
Du kan ha principer för användare att begära åtkomst. I den här typen av principer definierar en administratör eller pakethanterare för åtkomst
- Antingen de redan befintliga användarna (vanligtvis anställda eller redan inbjudna gäster) eller partnerorganisationerna för externa användare som är berättigade att begära åtkomst
- Godkännandeprocessen och de användare som kan godkänna eller neka åtkomst
- Varaktigheten för en användares åtkomsttilldelning, när den har godkänts, innan tilldelningen upphör att gälla
Du kan också ha principer för användare som ska tilldelas åtkomst, antingen av en administratör, automatiskt baserat på regler eller via livscykelarbetsflöden.
Följande diagram visar ett exempel på de olika elementen i berättigandehantering. Den visar en katalog med två exempel på åtkomstpaket.
- Åtkomstpaket 1 innehåller en enda grupp som en resurs. Åtkomst definieras med en princip som gör det möjligt för en uppsättning användare i katalogen att begära åtkomst.
- Åtkomstpaket 2 innehåller en grupp, ett program och en SharePoint Online-webbplats som resurser. Åtkomst definieras med två olika principer. Den första principen gör det möjligt för en uppsättning användare i katalogen att begära åtkomst. Den andra principen gör det möjligt för användare i en extern katalog att begära åtkomst.
När ska jag använda åtkomstpaket?
Åtkomstpaket ersätter inte andra mekanismer för åtkomsttilldelning. De är lämpligast i situationer som:
- Migrera åtkomstprincipdefinitioner från en företagsrollhantering från tredje part till Microsoft Entra-ID.
- Användare behöver tidsbegränsad åtkomst för en viss uppgift. Du kan till exempel använda gruppbaserad licensiering och en dynamisk grupp för att säkerställa att alla anställda har en Exchange Online-postlåda och sedan använda åtkomstpaket för situationer där anställda behöver mer åtkomsträttigheter. Till exempel behörighet att läsa avdelningsresurser från en annan avdelning.
- Åtkomst som kräver godkännande av en persons chef eller andra utsedda personer.
- Åtkomst som ska tilldelas automatiskt till personer i en viss del av en organisation under deras tid i den jobbrollen, men som också är tillgänglig för personer någon annanstans i organisationen, eller i en affärspartnerorganisation, att begära.
- Avdelningarna vill hantera sina egna åtkomstprinciper för sina resurser utan IT-inblandning.
- Två eller flera organisationer samarbetar i ett projekt, och därför måste flera användare från en organisation tas in via Microsoft Entra B2B för att få åtkomst till en annan organisations resurser.
Hur gör jag för att delegera åtkomst?
Åtkomstpaket definieras i containrar som kallas kataloger. Du kan ha en enda katalog för alla dina åtkomstpaket, eller så kan du utse enskilda personer att skapa och äga sina egna kataloger. En administratör kan lägga till resurser i valfri katalog, men en icke-administratör kan bara lägga till de resurser som de äger i en katalog. En katalogägare kan lägga till andra användare som katalogägare eller som åtkomstpakethanterare. Dessa scenarier beskrivs ytterligare i artikeln delegering och roller i berättigandehantering.
Sammanfattning av terminologi
För att bättre förstå rättighetshantering och dess dokumentation kan du gå tillbaka till följande lista med villkor.
| Period | beskrivning |
|---|---|
| åtkomstpaket | Ett paket med resurser som ett team eller projekt behöver och styrs med principer. Ett åtkomstpaket finns alltid i en katalog. Du skapar ett nytt åtkomstpaket för ett scenario där användarna behöver begära åtkomst. |
| åtkomstbegäran | En begäran om att få åtkomst till resurserna i ett åtkomstpaket. En begäran går vanligtvis igenom ett arbetsflöde för godkännande. Om det godkänns får den begärande användaren en tilldelning av åtkomstpaket. |
| Tilldelning | En tilldelning av ett åtkomstpaket till en användare säkerställer att användaren har alla resursroller i det åtkomstpaketet. Åtkomstpakettilldelningar har vanligtvis en tidsgräns innan de upphör att gälla. |
| Katalog | En container med relaterade resurser och åtkomstpaket. Kataloger används för delegering, så att icke-administratörer kan skapa sina egna åtkomstpaket. Katalogägare kan lägga till resurser som de äger i en katalog. |
| katalogskapare | En samling användare som har behörighet att skapa nya kataloger. När en icke-administratörsanvändare som har behörighet att vara katalogskapare skapar en ny katalog blir de automatiskt ägare till katalogen. |
| ansluten organisation | En extern Microsoft Entra-katalog eller domän som du har en relation till. Användare från en ansluten organisation kan anges i en princip som tillåts begära åtkomst. |
| policy | En uppsättning regler som definierar åtkomstlivscykeln, till exempel hur användare får åtkomst, vem som kan godkänna och hur länge användarna har åtkomst via en tilldelning. En princip är länkad till ett åtkomstpaket. Ett åtkomstpaket kan till exempel ha två principer – en för anställda att begära åtkomst och en andra för externa användare att begära åtkomst. |
| resource | En tillgång, till exempel en Office-grupp, en säkerhetsgrupp, ett program eller en SharePoint Online-webbplats, med en roll som en användare kan beviljas behörighet till. |
| resurskatalog | En katalog som har en eller flera resurser att dela. |
| resursroll | En samling behörigheter som är associerade med och definierade av en resurs. En grupp har två roller – medlem och ägare. SharePoint-webbplatser har vanligtvis tre roller men kan ha andra anpassade roller. Program kan ha anpassade roller. |
Licenskrav
För att kunna använda den här funktionen krävs Microsoft Entra ID Governance-prenumerationer för organisationens användare. Vissa funktioner i den här funktionen kan fungera med en Microsoft Entra ID P2-prenumeration, se artiklarna i varje funktion för mer information. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.
Nästa steg
- Om du är intresserad av att använda administrationscentret för Microsoft Entra för att hantera åtkomst till resurser kan du läsa Självstudie: Hantera åtkomst till resurser – Microsoft Entra.
- Om du är intresserad av att använda Microsoft Graph för att hantera åtkomst till resurser kan du läsa Självstudie: Hantera åtkomst till resurser – Microsoft Graph
- Vanliga scenarier