Criar e gerenciar um catálogo de recursos no gerenciamento de direitos

Este artigo mostra como criar e gerenciar um catálogo de recursos e pacotes de acesso no gerenciamento de direitos.

Criar um catálogo

Um catálogo é um contêiner de recursos e pacotes de acesso. Você cria um catálogo quando deseja agrupar recursos relacionados e pacotes de acesso. Um administrador pode criar um catálogo. Além disso, um usuário delegado à função criador de catálogos pode criar um catálogo para os recursos que possui. Uma pessoa não administradora que criar o catálogo se tornará o primeiro proprietário dele. Um proprietário de catálogo pode adicionar mais usuários, grupos de usuários ou entidades de serviço de aplicativo como proprietários de catálogo.

Para criar um catálogo:

1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

   Dica

   Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o criador do Catálogo. Os usuários aos quais foi atribuída a função de Administrador de Usuários não poderão mais criar catálogos ou gerenciar pacotes de acesso em um catálogo que não seja de sua propriedade. Se os usuários da sua organização receberam a função Administrador de usuários para configurar catálogos, pacotes de acesso ou políticas no gerenciamento de direitos, você deve atribuir a esses usuários a função Administrador de governança de identidade.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

   

3. Selecione Novo catálogo.

4. Insira um nome exclusivo para o catálogo e uma descrição.

   Os usuários veem essas informações nos detalhes de um pacote de acesso.

5. Para que os pacotes de acesso nesse catálogo estejam disponíveis assim que forem criados para a solicitação dos usuários, defina Habilitado como Sim.

6. Para permitir que os usuários em determinados diretórios externos possam solicitar pacotes de acesso nesse catálogo, defina Habilitado para usuários externos como Sim. Os pacotes de acesso também devem ter uma política que permita que os usuários de organizações conectadas solicitem. Se os pacotes de acesso neste catálogo forem destinados apenas aos usuários que já estão no diretório, defina Habilitado para usuários externos como Não.

   

7. Selecione Criar para criar o catálogo.

Criar um catálogo programaticamente

Existem duas formas de criar um catálogo programaticamente.

Criar um catálogo com o Microsoft Graph

Você pode criar um catálogo usando o Microsoft Graph. Um usuário em uma função adequada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All, ou um aplicativo com a permissão de aplicativo EntitlementManagement.ReadWrite.All, pode chamar a API para criar um catálogo.

Criar um catálogo no PowerShell

Você também pode criar um catálogo no PowerShell com o cmdlet New-MgEntitlementManagementCatalog do módulo cmdlets do PowerShell do Microsoft Graph para Governança de Identidade versão 2.2.0 ou posterior.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Adicionar recursos a um catálogo

Para incluir recursos em um pacote de acesso, os recursos devem existir em um catálogo. Os tipos de recursos que você pode adicionar a um catálogo são grupos, aplicativos e sites do SharePoint Online.

• Os grupos podem ser do Microsoft 365 criados na nuvem ou de segurança do Microsoft Entra criados na nuvem.

  • Grupos que se originem em um Active Directory local não podem ser atribuídos como recursos porque seus atributos de proprietário ou membro não podem ser alterados no Microsoft Entra ID. Para dar acesso a um aplicativo que usa associações de grupo de segurança do AD a um usuário, crie um grupo de segurança no Microsoft Entra, configure o write-back de grupo para o AD e permita que esse grupo seja gravado no AD, para que o grupo criado na nuvem possa ser usado por um aplicativo baseado em AD.

  • Grupos que se originam no Exchange Online como grupos de distribuição também não podem ser modificados no Microsoft Entra ID, portanto, não podem ser adicionados aos catálogos.

• Os aplicativos podem ser aplicativos empresariais do Microsoft Entra, que incluem aplicativos software como serviço (SaaS), aplicativos locais e seus próprios aplicativos federados para o Microsoft Entra ID.

  • Se o aplicativo ainda não tiver sido integrado ao Microsoft Entra ID, consulte controlar o acesso para aplicativos em seu ambiente e integrar um aplicativo ao Microsoft Entra ID e adicione o aplicativo ao seu diretório antes de adicioná-lo ao catálogo.

  • Para obter mais informações sobre como selecionar os recursos apropriados para aplicativos com várias funções, consulte Como determinar quais funções de recursos incluir em um pacote de acesso.

• Os sites podem ser sites do SharePoint Online ou conjunto de sites do SharePoint Online.

Funções de pré-requisito: consulte funções necessárias para adicionar recursos a um catálogo.

Adicionar recursos a um catálogo:

1. Entre no centro de administração do Microsoft Entra como no mínimo um Administrador de Governança de Identidade.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

3. Na página Catálogos, abra o catálogo ao qual você deseja adicionar recursos.

4. No menu esquerdo, selecione Recursos.

5. Selecione Adicionar Recursos.

6. Selecione o tipo de recurso Grupos e equipes, Aplicativos ou Sites do SharePoint.

   Se não vir um grupo que você queira adicionar ou se não conseguir adicioná-lo, verifique se você tem as funções necessárias de gerenciamento de direitos e de diretório do Microsoft Entra. Pode ser necessário solicitar que alguém com as funções necessárias adicione o recurso ao catálogo. Para obter mais informações, confira Funções necessárias para adicionar recursos a um catálogo.

7. Selecione um ou mais recursos do tipo que você deseja adicionar ao catálogo.

   

8. Quando terminar, selecione Adicionar.

   Esses recursos agora podem ser incluídos em pacotes de acesso no catálogo.

Adicionar atributos de recurso no catálogo

Atributos são campos obrigatórios que os solicitantes devem responder antes de enviarem sua solicitação de acesso. Suas respostas para esses atributos são mostradas aos aprovadores e também carimbadas no objeto de usuário no Microsoft Entra ID.

Para exigir atributos para solicitações de acesso:

1. Selecione Recursos no menu à esquerda e uma lista de recursos no catálogo será exibida.

2. Selecione as reticências ao lado do recurso em que deseja adicionar atributos e, em seguida, selecione Exigir atributos.

   

3. Selecione o tipo de atributo:

   1. Interno inclui atributos de perfil de usuário do Microsoft Entra.
   2. Extensão de esquema de diretório fornece uma maneira de armazenar mais dados em usuários do Microsoft Entra. Você pode estender o esquema criando um atributo de extensão. Esses atributos de extensão em objetos de usuário podem ser usados para enviar declarações para aplicativos durante o provisionamento ou logon único.

4. Se escolher Interno, selecione um atributo na lista suspensa. Se escolher a Extensão de esquema de diretório, insira o nome do atributo na caixa de texto.

   Observação

   O atributo User.mobilePhone é uma propriedade confidencial que só pode ser atualizada por alguns administradores. Saiba mais em Quem pode atualizar atributos de usuário confidenciais?.

5. Selecione o formato de resposta que deseja que os solicitantes usem para sua resposta. Os formatos de resposta incluem texto curto, múltipla escolha e texto longo.

6. Se você selecionar múltipla escolha, selecione Editar e localizar para configurar as opções de resposta.

   1. No painel Exibir/editar pergunta exibido, insira as opções de resposta que deseja dar ao solicitante ao responder a pergunta nas caixas Valores de resposta.
   2. Selecione o idioma para a opção de resposta. Você pode localizar opções de resposta se escolher mais idiomas.
   3. Insira quantas respostas forem necessárias e, em seguida, selecione Salvar.

7. Se quiser que o valor do atributo seja editável durante as atribuições diretas e as solicitações de autoatendimento, selecione Sim.

   Observação

   

   • Se você selecionar Não na caixa O valor do atributo é editável e o valor do atributo estiver vazio, os usuários poderão inserir o valor desse atributo. Depois de salvar, o valor não pode ser editado.
   • Se você selecionar Não na caixa O valor do atributo é editável e o valor do atributo não estiver vazio, os usuários não poderão editar o valor preexistente durante as atribuições diretas e as solicitações de autoatendimento.

   

8. Se você quiser adicionar uma localização, selecione Adicionar localização.

   1. Uma vez no painel Adicionar localizações para pergunta, selecione o código de idioma para o idioma no qual deseja localizar a pergunta relacionada ao atributo selecionado.

   2. No idioma configurado, insira a pergunta na caixa Texto localizado.

   3. Depois de adicionar todas as localizações de que precisa, selecione Salvar.

      

9. Depois que todas as informações de atributo forem concluídas na página Exigir atributos, selecione Salvar.

Adicionar um site do SharePoint de várias regiões geográficas

1. Se você tiver Várias regiões geográficas habilitado para o SharePoint, selecione o ambiente no qual deseja selecionar sites.

   

2. Em seguida, selecione os sites que deseja adicionar ao catálogo.

Adicionar programaticamente um recurso a um catálogo

Você também pode adicionar um recurso a um catálogo com o Microsoft Graph. Um usuário em uma função apropriada ou um proprietário de catálogo e recurso com um aplicativo que tenha a permissão EntitlementManagement.ReadWrite.All delegada pode chamar a API para criar uma resourceRequest.. Um aplicativo com a permissão EntitlementManagement.ReadWrite.All e permissões para alterar recursos, como Group.ReadWrite.All, também pode adicionar recursos ao catálogo.

Adicionar um recurso a um catálogo com o PowerShell

Você também pode adicionar um recurso a um catálogo no PowerShell com o cmdlet New-MgEntitlementManagementResourceRequest do módulo cmdlets do PowerShell do Microsoft Graph para Governança de Identidade, versão do módulo 2.1.x ou posterior. O exemplo a seguir mostra como adicionar um grupo a um catálogo como um recurso usando o módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Remover recursos de um catálogo

Você pode remover recursos de um catálogo. Um recurso pode ser removido de um catálogo somente quando não estiver sendo usado em nenhum de seus pacotes de acesso.

Funções de pré-requisito: consulte funções necessárias para adicionar recursos a um catálogo.

Para remover recursos de um catálogo:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

3. Na página Catálogos, abra o catálogo do qual você quer remover recursos.

4. No menu esquerdo, selecione Recursos.

5. Selecionar os recursos que você deseja remover.

6. Selecione Remover. Opcionalmente, selecione as reticências ( ... ) e, em seguida, selecione Remover recurso.

Adicione mais proprietários de catálogo

O usuário que criou um catálogo se torna o primeiro proprietário do catálogo. Para delegar o gerenciamento de um catálogo, você adiciona usuários à função de proprietário de catálogo. Adicionar mais proprietários de catálogo ajuda a compartilhar as responsabilidades de gerenciamento de catálogo.

Para atribuir a um usuário a função de proprietário de catálogo:

1. Entre no centro de administração do Microsoft Entra como no mínimo um Administrador de Governança de Identidade.

   Dica

   Outras funções de privilégio mínimo que podem concluir esta tarefa incluem o proprietário do Catálogo.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

3. Na página Catálogos, abra o catálogo ao qual você quer adicionar administradores.

4. No menu esquerdo, selecione Funções e administradores.

   

5. Selecione Adicionar proprietários para selecionar os membros para essas funções.

6. Selecione Selecionar para adicionar esses membros.

Editar um catálogo

É possível editar o nome e a descrição de um catálogo. Os usuários veem essas informações nos detalhes de um pacote de acesso.

Para editar um catálogo:

1. Entre no centro de administração do Microsoft Entra como no mínimo um Administrador de Governança de Identidade.

   Dica

   Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o criador do Catálogo.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

3. Na página Catálogos, abra o catálogo que você quer editar.

4. Na página Visão geral do catálogo, selecione Editar.

5. Edite o nome e a descrição do catálogo ou as configurações habilitadas.

   

6. Selecione Salvar.

Excluir um catálogo

Você poderá excluir um catálogo, mas somente se ele não tiver nenhum pacote de acesso.

Para excluir um catálogo:

1. Entre no centro de administração do Microsoft Entra como no mínimo um Administrador de Governança de Identidade.

   Dica

   Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o criador do Catálogo.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

3. Na página Catálogos, abra o catálogo que você quer excluir.

4. Na página Visão geral do catálogo, selecione Excluir.

5. Na caixa de mensagem que aparece, selecione Sim.

Excluir um catálogo programaticamente

Você também pode excluir um catálogo com o Microsoft Graph. Um usuário com a função adequada e um aplicativo que tenha a permissão EntitlementManagement.ReadWrite.All delegada pode chamar a API para excluir um accessPackageCatalog.

Próximas etapas

Delegar a governança de acesso a gerenciadores de pacotes de acesso