Delegar a governança de acesso aos criadores de catálogos no gerenciamento de direitos

Um catálogo é um contêiner de recursos e pacotes de acesso. Você cria um catálogo quando deseja agrupar recursos relacionados e pacotes de acesso. Por padrão, um Administrador global ou um Administrador de governança de identidade pode criar um catálogo e adicionar outros usuários como proprietários dele.

Observação

Após o acesso de privilégios mínimos, é recomendável usar a função Administrador de governança de identidade quando possível no gerenciamento de direitos.

Há três maneiras de uma organização delegar com catálogos:

  • Ao começar em um projeto piloto, os Administradores de Governança de Identidade podem criar e gerenciar o catálogo. Posteriormente, ao migrar do piloto para a produção, eles poderiam delegar um catálogo atribuindo não administradores como proprietários ao catálogo, para que esses usuários pudessem manter as políticas daqui para frente.
  • Se houver recursos sem proprietários, os administradores poderão criar catálogos, adicionar esses recursos a cada catálogo e atribuir não administradores como proprietários a um catálogo. Isso permite que os usuários que não são administradores e não são proprietários de recursos gerenciem suas próprias políticas de acesso para esses recursos.
  • Se os recursos tiverem proprietários, os administradores poderão atribuir uma coleção de usuários, como um grupo dinâmico All Employees, à função de criadores de catálogo, para que um usuário que esteja nesse grupo e recursos próprios possa criar um catálogo para seus próprios recursos.

Este artigo ilustra como delegar aos usuários que não são administradores, para que eles possam criar seus próprios catálogos. Você pode adicionar esses usuários à função criador de catálogo definida pelo gerenciamento de direitos do Microsoft Entra. Você pode adicionar usuários individuais ou pode adicionar um grupo, cujos membros podem criar catálogos. Depois de criar um catálogo, você pode adicionar recursos que eles possuem ao catálogo. Eles podem criar pacotes de acesso e políticas, incluindo políticas que fazem referência a organizações conectadas existentes.

Se você tiver catálogos existentes para delegar, continue no artigo Criar e gerenciar um catálogo de recursos.

Como um administrador de TI, delegar a um criador de catálogos

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Siga estas etapas para atribuir a um usuário a função de criador de catálogos.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>configurações.

  3. Selecione Editar.

    Configurações para adicionar criadores de catálogo

  4. Na seção Delegar gerenciamento de direitos, selecione Adicionar criadores de catálogo para selecionar os usuários ou grupos aos quais você deseja delegar essa função de gerenciamento de direitos.

  5. Selecione Selecionar.

  6. Selecione Salvar.

Permitir que funções delegadas acessem o Centro de administração do Microsoft Entra

Para permitir funções delegadas, como criadores de catálogo e gerenciadores de pacotes de acesso e para acessar o Centro de administração do Microsoft Entra para gerenciar pacotes de acesso, você deve verificar a configuração do portal de administração.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.

  2. Navegue até Identidade>Usuários>Configurações do usuário.

  3. Defina a opção Restringir o acesso ao portal de administração do Microsoft Entra como Não.

    Configurações de usuário do Microsoft Entra – Portal de administração

Gerenciar atribuições de função programaticamente

Você também pode exibir e atualizar criadores de catálogo e atribuições de função específicas do catálogo de gerenciamento de direitos usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All pode chamar o API do Graph para listar as definições de função do gerenciamento de direitos e listar as atribuições de função para essas definições de função.

Para recuperar uma lista de usuários e grupos atribuídos à função de criadores de catálogo, a função com ID de definição ba92d953-d8e0-4e39-a797-0cbedb0a89e8, use a consulta do Graph:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Próximas etapas