Delegare la governance dell'accesso ai creatori di cataloghi nella gestione entitlement

Un catalogo è un contenitore di risorse e pacchetti di accesso. È necessario creare un catalogo quando si vogliono raggruppare risorse e pacchetti di accesso correlati. Per impostazione predefinita, un amministratore globale o un amministratore di Identity Governance può creare un catalogo e può aggiungere altri utenti come proprietari del catalogo.

Nota

Dopo l'accesso con privilegi minimi, è consigliabile usare il ruolo Di amministratore di Identity Governance quando possibile nella gestione entitlement.

Esistono tre modi in cui un'organizzazione può delegare con i cataloghi:

  • Quando si inizia a usare un progetto pilota, gli amministratori di Identity Governance possono creare e gestire il catalogo. Successivamente, quando si passa dalla distribuzione pilota all'ambiente di produzione, è possibile delegare un catalogo assegnando non amministratori come proprietari al catalogo, in modo che tali utenti possano mantenere i criteri in futuro.
  • Se sono presenti risorse che non dispongono di proprietari, gli amministratori possono creare cataloghi, aggiungere tali risorse a ogni catalogo e quindi assegnare non amministratori come proprietari a un catalogo. Ciò consente agli utenti che non sono amministratori e non sono proprietari di risorse di gestire i propri criteri di accesso per tali risorse.
  • Se le risorse hanno proprietari, gli amministratori possono assegnare una raccolta di utenti, ad esempio un All Employees gruppo dinamico, al ruolo creatore del catalogo, in modo che un utente che si trovi in tale gruppo e le proprie risorse possa creare un catalogo per le proprie risorse.

Questo articolo illustra come delegare agli utenti che non sono amministratori, in modo che possano creare cataloghi personalizzati. È possibile aggiungere tali utenti al ruolo creatore del catalogo definito dalla gestione entitlement di Microsoft Entra. È possibile aggiungere singoli utenti oppure aggiungere un gruppo i cui membri sono in grado di creare cataloghi. Dopo aver creato un catalogo, è possibile aggiungere risorse di loro proprietà al catalogo. Possono creare pacchetti e criteri di accesso, inclusi i criteri che fanno riferimento alle organizzazioni connesse esistenti.

Se sono presenti cataloghi da delegare, continuare con l'articolo creare e gestire un catalogo di risorse .

Come amministratore IT, delegare a un creatore di cataloghi

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Seguire questa procedura per assegnare un utente al ruolo autore del catalogo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identity Governance Entitlement management settings (Impostazioni di gestione>entitlement per la governance>delle identità).

  3. Seleziona Modifica

    Impostazioni per aggiungere creatori di cataloghi

  4. Nella sezione Delegare la gestione entitlement selezionare Aggiungi creatori di cataloghi per selezionare gli utenti o i gruppi a cui si vuole delegare questo ruolo di gestione entitlement.

  5. Seleziona Seleziona.

  6. Seleziona Salva.

Consentire ai ruoli delegati di accedere all'interfaccia di amministrazione di Microsoft Entra

Per consentire ruoli delegati, ad esempio creatori di cataloghi e gestori pacchetti di accesso, di accedere all'interfaccia di amministrazione di Microsoft Entra per gestire i pacchetti di accesso, è necessario controllare l'impostazione del portale di amministrazione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identità>Utenti>Impostazioni utente.

  3. Assicurarsi che l'opzione Limita l'accesso al portale di amministrazione di Microsoft Entra sia impostata su No.

    Impostazioni utente di Microsoft Entra - Portale di amministrazione

Gestire le assegnazioni di ruolo a livello di codice

È anche possibile visualizzare e aggiornare le assegnazioni di ruolo specifiche del catalogo correlate a gestione entitlement e autori di cataloghi usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione dotata dell'autorizzazione delegata EntitlementManagement.ReadWrite.All può chiamare l'API Graph per elencare le definizioni di ruolo della gestione entitlement ed elencare le assegnazioni di ruolo a tali definizioni di ruolo.

Per recuperare un elenco di utenti e gruppi assegnati al ruolo creatori catalogo, il ruolo con ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8definizione , usare la query Graph:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Passaggi successivi