Skapa och hantera en katalog med resurser i berättigandehantering

Den här artikeln visar hur du skapar och hanterar en katalog med resurser och åtkomstpaket i berättigandehantering.

Skapa en katalog

En katalog är en container med resurser och åtkomstpaket. Du skapar en katalog när du vill gruppera relaterade resurser och åtkomstpaket. En administratör kan skapa en katalog. Dessutom kan en användare som delegerats till katalogskaparrollen skapa en katalog för resurser som de äger. En icke-administratör som skapar katalogen blir den första katalogägaren. En katalogägare kan lägga till fler användare, grupper av användare eller huvudnamn för programtjänsten som katalogägare.

Så här skapar du en katalog:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogskapare. Användare som har tilldelats rollen Användaradministratör kommer inte längre att kunna skapa kataloger eller hantera åtkomstpaket i en katalog som de inte äger. Om användare i din organisation har tilldelats rollen Användaradministratör för att konfigurera kataloger, åtkomstpaket eller principer för berättigandehantering bör du i stället tilldela dessa användare rollen Identitetsstyrningsadministratör.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

    Skärmbild som visar kataloger för berättigandehantering i administrationscentret för Microsoft Entra.

  3. Välj Ny katalog.

  4. Ange ett unikt namn för katalogen och ange en beskrivning.

    Användarna ser den här informationen i ett åtkomstpakets information.

  5. Om du vill att åtkomstpaketen i den här katalogen ska vara tillgängliga för användare att begära så snart de har skapats anger du Aktiverad till Ja.

  6. Om du vill tillåta att användare i externa kataloger från anslutna organisationer kan begära åtkomstpaket i den här katalogen anger du Aktiverad för externa användare till Ja. Åtkomstpaketen måste också ha en princip som tillåter användare från anslutna organisationer att begära. Om åtkomstpaketen i den här katalogen endast är avsedda för användare som redan finns i katalogen anger du Aktiverad för externa användare till Nej.

    Skärmbild som visar fönstret Ny katalog.

  7. Välj Skapa för att skapa katalogen.

Skapa en katalog programmatiskt

Det finns två sätt att skapa en katalog programmatiskt.

Skapa en katalog med Microsoft Graph

Du kan skapa en katalog med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet, eller ett program med EntitlementManagement.ReadWrite.All programbehörighet, kan anropa API:et för att skapa en katalog.

Skapa en katalog med PowerShell

Du kan också skapa en katalog i PowerShell med cmdleten New-MgEntitlementManagementCatalog från Microsoft Graph PowerShell-cmdletar för modulen Identitetsstyrning version 2.2.0 eller senare.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Lägga till resurser i en katalog

Om du vill inkludera resurser i ett åtkomstpaket måste resurserna finnas i en katalog. De typer av resurser som du kan lägga till i en katalog är grupper, program och SharePoint Online-webbplatser.

  • Grupper kan vara molnskapade Microsoft 365 grupe eller molnskapade Microsoft Entra-säkerhetsgrupper.

    • Grupper som har sitt ursprung i en lokalni Active Directory kan inte tilldelas som resurser eftersom deras ägar- eller medlemsattribut inte kan ändras i Microsoft Entra-ID. Om du vill ge en användare åtkomst till ett program som använder AD-säkerhetsgruppmedlemskap skapar du en ny säkerhetsgrupp i Microsoft Entra-ID, konfigurerar tillbakaskrivning av grupper till AD och aktiverar att gruppen skrivs till AD, så att den molnskapade gruppen kan användas av ett AD-baserat program.

    • Grupper som har sitt ursprung i Exchange Online som distributionsgrupper kan inte heller ändras i Microsoft Entra-ID, så de kan inte läggas till i kataloger.

  • Program kan vara Microsoft Entra-företagsprogram, bland annat saaS-program (programvara som en tjänst), lokala program och egna program som är integrerade med Microsoft Entra-ID.

  • Webbplatser kan vara SharePoint Online-webbplatser eller SharePoint Online-webbplatssamlingar.

Kommentar

Sök på SharePoint-webbplatsen efter webbplatsnamn eller en exakt URL eftersom sökrutan är skiftlägeskänslig.

Nödvändiga roller: Se Obligatoriska roller för att lägga till resurser i en katalog.

Så här lägger du till resurser i en katalog:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

  3. På sidan Kataloger öppnar du katalogen som du vill lägga till resurser i.

  4. Välj Resurser på den vänstra menyn.

  5. Välj Lägg till resurser.

  6. Välj resurstypen Grupper och Teams, Program eller SharePoint-webbplatser.

    Om du inte ser en resurs som du vill lägga till eller om du inte kan lägga till en resurs kontrollerar du att du har den nödvändiga Microsoft Entra-katalogrollen och rättighetshanteringsrollen. Du kan behöva ha någon med de roller som krävs för att lägga till resursen i katalogen. Mer information finns i Nödvändiga roller för att lägga till resurser i en katalog.

  7. Välj en eller flera resurser av den typ som du vill lägga till i katalogen.

    Skärmbild som visar fönstret Lägg till resurser i en katalog.

  8. När du är klar väljer du Lägg till.

    Dessa resurser kan nu ingå i åtkomstpaket i katalogen.

Lägga till resursattribut i katalogen

Attribut är obligatoriska fält som beställare uppmanas att besvara innan de skickar sin åtkomstbegäran. Deras svar på dessa attribut visas för godkännare och stämplas även på användarobjektet i Microsoft Entra-ID.

Kommentar

Alla attribut som har konfigurerats för en resurs kräver ett svar innan en begäran om ett åtkomstpaket som innehåller resursen kan skickas. Om begärande inte ger något svar bearbetas inte deras begäran.

Så här kräver du attribut för åtkomstbegäranden:

  1. Välj Resurser på den vänstra menyn och en lista över resurser i katalogen visas.

  2. Välj ellipsen bredvid resursen där du vill lägga till attribut och välj sedan Kräv attribut.

    Skärmbild som visar hur du väljer Kräv attribut

  3. Välj attributtyp:

    1. Inbyggda innehåller Microsoft Entra-användarprofilattribut .
    2. Med katalogschematillägget kan du lagra mer data i Microsoft Entra-användare. Du kan utöka schemat genom att skapa ett tilläggsattribut. Dessa tilläggsattribut på användarobjekt kan användas för att skicka ut anspråk till program under etablering eller enkel inloggning.
  4. Om du väljer Inbyggd väljer du ett attribut i listrutan. Om du väljer Katalogschematillägg anger du attributnamnet i textrutan.

    Kommentar

    Attributet User.mobilePhone är en känslig egenskap som bara kan uppdateras av vissa administratörer. Läs mer på Vem kan uppdatera känsliga användarattribut?.

  5. Välj det svarsformat som du vill att beställare ska använda för sitt svar. Svarsformaten innehåller kort text, flervalsformat och lång text.

  6. Om du väljer flera alternativ väljer du Redigera och lokalisera för att konfigurera svarsalternativen.

    1. I fönstret Visa/redigera fråga som visas anger du de svarsalternativ som du vill ge frågeställaren när de svarar på frågan i rutorna Svarsvärden .
    2. Välj språk för svarsalternativet. Du kan lokalisera svarsalternativ om du väljer fler språk.
    3. Ange så många svar du behöver och välj sedan Spara.
  7. Om du vill att attributvärdet ska vara redigerbart under direkta tilldelningar och självbetjäningsbegäranden väljer du Ja.

    Kommentar

    Skärmbild som visar hur du kan redigera attribut.

    • Om du väljer Nej i rutan Attributvärde kan redigeras och attributvärdet är tomt kan användarna ange värdet för attributet. När du har sparat kan värdet inte redigeras.
    • Om du väljer Nej i rutan Attributvärde kan redigeras och attributvärdet inte är tomt kan användarna inte redigera det befintliga värdet under direkta tilldelningar och självbetjäningsbegäranden.

    Skärmbild som visar hur du lägger till lokaliseringar.

  8. Om du vill lägga till lokalisering väljer du Lägg till lokalisering.

    1. I fönstret Lägg till lokaliseringar för frågor väljer du språkkoden för det språk där du vill lokalisera frågan som är relaterad till det valda attributet.

    2. På det språk som du konfigurerade anger du frågan i rutan Lokaliserad text .

    3. När du har lagt till alla lokaliseringar du behöver väljer du Spara.

      Skärmbild som visar hur du sparar lokaliseringarna.

  9. När all attributinformation har slutförts på sidan Kräv attribut väljer du Spara.

Lägga till en Multi-Geo SharePoint-webbplats

  1. Om du har Multi-Geo aktiverat för SharePoint väljer du den miljö som du vill välja webbplatser från.

    Skärmbild som visar fönstret Välj SharePoint Online-webbplatser.

  2. Välj sedan de platser som du vill lägga till i katalogen.

Lägga till en resurs i en katalog programmatiskt

Du kan också lägga till en resurs i en katalog med hjälp av Microsoft Graph. En användare i en lämplig roll, eller en katalog- och resursägare, med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet kan anropa API:et för att skapa en resourceRequest. Ett program med programbehörighet EntitlementManagement.ReadWrite.All och behörighet att ändra resurser, till exempel Group.ReadWrite.All, kan också lägga till resurser i katalogen.

Lägga till en resurs i en katalog med PowerShell

Du kan också lägga till en resurs i en katalog i PowerShell med cmdleten New-MgEntitlementManagementResourceRequest från Microsoft Graph PowerShell-cmdletarna för modulen Identitetsstyrning version 2.1.x eller senare. I följande exempel visas hur du lägger till en grupp i en katalog som en resurs med hjälp av Microsoft Graph PowerShell-cmdlets-modulversion 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Ta bort resurser från en katalog

Du kan ta bort resurser från en katalog. En resurs kan endast tas bort från en katalog om den inte används i något av katalogens åtkomstpaket.

Nödvändiga roller: Se Obligatoriska roller för att lägga till resurser i en katalog.

Så här tar du bort resurser från en katalog:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

  3. Öppna katalogen som du vill ta bort resurser från på sidan Kataloger.

  4. Välj Resurser på den vänstra menyn.

  5. Välj de resurser som du vill ta bort.

  6. Välj Ta bort. Du kan också välja ellipsen (...) och sedan Ta bort resurs.

Lägga till fler katalogägare

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Användaren som skapade en katalog blir den första katalogägaren. Om du vill delegera hanteringen av en katalog lägger du till användare i katalogens ägarroll. Genom att lägga till fler katalogägare kan du dela ansvarsområden för kataloghantering.

Så här tilldelar du en användare till katalogens ägarroll:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

  3. På sidan Kataloger öppnar du katalogen som du vill lägga till administratörer i.

  4. På den vänstra menyn väljer du Roller och administratörer.

    Skärmbild som visar katalogroller och administratörer.

  5. Välj Lägg till ägare för att välja medlemmar för de här rollerna.

  6. Välj Välj för att lägga till dessa medlemmar.

Redigera en katalog

Du kan redigera namnet och beskrivningen för en katalog. Användarna ser den här informationen i ett åtkomstpakets information.

Så här redigerar du en katalog:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogskapare.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

  3. Öppna katalogen som du vill redigera på sidan Kataloger.

  4. På katalogens översiktssida väljer du Redigera.

  5. Redigera katalogens namn, beskrivning eller aktiverade inställningar.

    Skärmbild som visar redigering av kataloginställningar.

  6. Välj Spara.

Ta bort en katalog

Du kan ta bort en katalog, men bara om den inte har några åtkomstpaket.

Så här tar du bort en katalog:

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogskapare.

  2. Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>

  3. Öppna katalogen som du vill ta bort på sidan Kataloger.

  4. På katalogens översiktssida väljer du Ta bort.

  5. I meddelanderutan som visas väljer du Ja.

Ta bort en katalog programmatiskt

Du kan också ta bort en katalog med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet kan anropa API:et för att ta bort en accessPackageCatalog.

Nästa steg

Delegera åtkomststyrning till åtkomstpakethanterare