Delegering och roller i berättigandehantering
I Microsoft Entra-ID kan du använda förebilder för att hantera åtkomst i stor skala via identitetsstyrning.
- Du kan använda åtkomstpaket för att representera organisationsroller i din organisation, till exempel "säljare". Ett åtkomstpaket som representerar den organisationsrollen skulle innehålla alla åtkomsträttigheter som en säljare vanligtvis behöver, över flera resurser.
- Program kan definiera sina egna roller. Om du till exempel hade ett försäljningsprogram och programmet inkluderade approllen "säljare" i manifestet kan du sedan inkludera rollen från appmanifestet i ett åtkomstpaket. Program kan också använda säkerhetsgrupper i scenarier där en användare kan ha flera programspecifika roller samtidigt.
- Du kan använda roller för att delegera administrativ åtkomst. Om du har en katalog för alla åtkomstpaket som krävs av försäljningen kan du tilldela någon som ansvarar för katalogen genom att tilldela dem en katalogspecifik roll.
Den här artikeln beskriver hur du använder roller för att hantera aspekter inom Microsoft Entra-berättigandehantering för att kontrollera åtkomsten till resurser för berättigandehantering.
Som standard kan användare i rollen Global administratör eller administratörsrollen identitetsstyrning skapa och hantera alla aspekter av berättigandehantering. Men användarna i dessa roller kanske inte känner till alla situationer där åtkomstpaket krävs. Vanligtvis är det användare inom respektive avdelningar, team eller projekt som vet vem de samarbetar med, med vilka resurser och hur länge. I stället för att bevilja obegränsade behörigheter till icke-administratörer kan du ge användarna minst behörighet att utföra sitt jobb och undvika att skapa motstridiga eller olämpliga åtkomsträttigheter.
Den här videon innehåller en översikt över hur du delegerar åtkomststyrning från IT-administratören till användare som inte är administratörer.
Exempel på ombud
För att förstå hur du kan delegera åtkomststyrning i berättigandehantering hjälper det att överväga ett exempel. Anta att din organisation har följande administratör och chefer.
Som IT-administratör har Hana kontakter på varje avdelning – Mamta inom marknadsföring, Mark i Ekonomi och Joe i Juridiska frågor som ansvarar för avdelningens resurser och affärskritiska innehåll.
Med berättigandehantering kan du delegera åtkomststyrning till dessa icke-administratörer eftersom det är de som vet vilka användare som behöver åtkomst, hur länge och till vilka resurser. Om du delegerar till icke-administratörer ser du till att rätt personer hanterar åtkomsten för sina avdelningar.
Här är ett sätt som Hana kan delegera åtkomststyrning till marknadsförings-, ekonomi- och juridiska avdelningar.
Hana skapar en ny Microsoft Entra-säkerhetsgrupp och lägger till Mamta, Mark och Joe som medlemmar i gruppen.
Hana lägger till den gruppen i rollen katalogskapare.
Mamta, Mark och Joe kan nu skapa kataloger för sina avdelningar, lägga till resurser som deras avdelningar behöver och göra ytterligare delegering i katalogen. De kan inte se varandras kataloger.
Mamta skapar en marknadsföringskatalog , som är en container med resurser.
Mamta lägger till de resurser som marknadsföringsavdelningen äger i den här katalogen.
Mamta kan lägga till andra personer från den avdelningen som katalogägare för den här katalogen, vilket hjälper dig att dela ansvarsområden för kataloghantering.
Mamta kan vidare delegera skapandet och hanteringen av åtkomstpaket i marknadsföringskatalogen till projektledare på marknadsföringsavdelningen. De kan göra detta genom att tilldela dem till rollen som pakethanterare för åtkomstpaket i en katalog. En åtkomstpakethanterare kan skapa och hantera åtkomstpaket, tillsammans med principer, begäranden och tilldelningar i katalogen. Om katalogen tillåter det kan åtkomstpakethanteraren konfigurera principer för att ta in användare från anslutna organisationer.
Följande diagram visar kataloger med resurser för marknadsförings-, ekonomi- och juridiska avdelningar. När du använder dessa kataloger kan projektledare skapa åtkomstpaket för sina team eller projekt.
Efter delegeringen kan marknadsföringsavdelningen ha roller som liknar följande tabell.
| User | Organisationsroll | Microsoft Entra-roll | Rättighetshanteringsroll |
|---|---|---|---|
| Hana | IT-administratör | Global administratör eller identitetsstyrningsadministratör | |
| Mamta | Marknadschef | User | Katalogskapare och katalogägare |
| Johan | Marknadsföringsledare | User | Katalogägare |
| Jessica | Marknadsprojektledare | User | Åtkomstpakethanterare |
Roller för berättigandehantering
Rättighetshantering har följande roller, med behörigheter för att administrera själva rättighetshanteringen, som gäller för alla kataloger.
| Rättighetshanteringsroll | Rolldefinitions-ID | beskrivning |
|---|---|---|
| Katalogskapare | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
Skapa och hantera kataloger. Vanligtvis en IT-administratör som inte är global administratör eller resursägare för en samling resurser. Den person som skapar en katalog blir automatiskt katalogens första katalogägare och kan lägga till fler katalogägare. En katalogskapare kan inte hantera eller se kataloger som de inte äger och inte kan lägga till resurser som de inte äger i en katalog. Om katalogskaparen behöver hantera en annan katalog eller lägga till resurser som de inte äger kan de begära att bli delägare i katalogen eller resursen. |
Berättigandehantering har följande roller som definieras för varje viss katalog, för att administrera åtkomstpaket och annan konfiguration i en katalog. En administratör eller en katalogägare kan lägga till användare, grupper av användare eller tjänstens huvudnamn i dessa roller.
| Rättighetshanteringsroll | Rolldefinitions-ID | beskrivning |
|---|---|---|
| Katalogägare | ae79f266-94d4-4dab-b730-feca7e132178 |
Redigera och hantera åtkomstpaket och andra resurser i en katalog. Vanligtvis en IT-administratör eller resursägare, eller en användare som katalogägaren väljer. |
| Katalogläsare | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
Visa befintliga åtkomstpaket i en katalog. |
| Åtkomstpakethanterare | 7f480852-ebdc-47d4-87de-0d8498384a83 |
Redigera och hantera alla befintliga åtkomstpaket i en katalog. |
| Åtkomstpakettilldelningshanteraren | e2182095-804a-4656-ae11-64734e9b7ae5 |
Redigera och hantera alla befintliga åtkomstpakets tilldelningar. |
Dessutom har den valda godkännaren och en begärande av ett åtkomstpaket rättigheter, även om de inte är roller.
| Right | beskrivning |
|---|---|
| Godkännare | Auktoriserat av en princip att godkänna eller neka begäranden om åtkomst till paket, men de kan inte ändra definitionerna för åtkomstpaket. |
| Beställare | Auktoriseras av en princip för ett åtkomstpaket för att begära åtkomstpaketet. |
I följande tabell visas de uppgifter som behörighetshanteringsrollerna kan utföra inom berättigandehantering.
Om du vill fastställa den minst privilegierade rollen för en uppgift kan du även referera till administratörsroller efter administratörsaktivitet i Microsoft Entra-ID.
Kommentar
Användare som har tilldelats rollen Åtkomstpakettilldelningshanterare kan inte längre kringgå godkännandeinställningarna när de direkt tilldelar en användare om principen för åtkomstpaket kräver godkännande. Om du har ett scenario där du behöver kringgå godkännandet rekommenderar vi att du skapar en andra princip för åtkomstpaketet som inte kräver godkännande och endast är begränsad till användare som behöver åtkomst.
Nödvändiga roller för att lägga till resurser i en katalog
En global administratör kan lägga till eller ta bort valfri grupp (molnskapade säkerhetsgrupper eller molnskapade Microsoft 365-grupper), program eller SharePoint Online-webbplatser i en katalog.
Kommentar
Användare som har tilldelats rollen Användaradministratör kan inte längre skapa kataloger eller hantera åtkomstpaket i en katalog som de inte äger. En användaradministratör som är katalogägare kan lägga till eller ta bort alla grupper eller program i katalogen som de äger, förutom en grupp som har konfigurerats som tilldelningsbar till en katalogroll. Mer information om rolltilldelningsbara grupper finns i Skapa en rolltilldelningsbar grupp i Microsoft Entra-ID. Om användare i din organisation har tilldelats rollen Användaradministratör för att konfigurera kataloger, åtkomstpaket eller principer i berättigandehantering bör du i stället tilldela dessa användare rollen Identitetsstyrningsadministratör .
För en användare som inte är global administratör, för att kunna lägga till grupper, program eller SharePoint Online-webbplatser i en katalog, måste användaren ha både möjlighet att utföra åtgärder på den resursen och vara en katalogägarroll i berättigandehantering för katalogen. Det vanligaste sättet för en användare att utföra åtgärder för en resurs är genom att vara i en Microsoft Entra-katalogroll som gör att de kan administrera resursen. Eller för resurser som har ägare kan användaren ha möjlighet att utföra åtgärder genom att ha tilldelats som ägare till resursen.
De åtgärder som rättighetshantering kontrollerar när en användare lägger till en resurs i en katalog är:
- Om du vill lägga till en säkerhetsgrupp eller Microsoft 365-grupp: användaren måste ha behörighet att utföra
microsoft.directory/groups/members/updateåtgärderna ochmicrosoft.directory/groups/owners/update - Om du vill lägga till ett program: användaren måste ha behörighet att utföra
microsoft.directory/servicePrincipals/appRoleAssignedTo/updateåtgärden - Om du vill lägga till en SharePoint Online-webbplats: användaren måste vara SharePoint-administratör eller vara i en SharePoint Online-webbplatsroll så att de kan hantera behörigheter på webbplatsen
I följande tabell visas några av de rollkombinationer som innehåller de åtgärder som gör det möjligt för användare i dessa rollkombinationer att lägga till resurser i en katalog. Om du vill ta bort resurser från en katalog måste du också ha en roll eller ägarskap med samma åtgärder.
| Microsoft Entra-katalogroll | Rättighetshanteringsroll | Kan lägga till säkerhetsgrupp | Kan lägga till Microsoft 365-grupp | Kan lägga till app | Kan lägga till SharePoint Online-webbplats |
|---|---|---|---|---|---|
| Global administratör för | saknas | ✔️ | ✔️ | ✔️ | ✔️ |
| Administratör för identitetsstyrning | saknas | ✔️ | |||
| Gruppadministratör | Katalogägare | ✔️ | ✔️ | ||
| Intune-administratör | Katalogägare | ✔️ | ✔️ | ||
| Exchange-administratör | Katalogägare | ✔️ | |||
| SharePoint-administratör | Katalogägare | ✔️ | ✔️ | ||
| Programadministratör | Katalogägare | ✔️ | |||
| Molnprogramadministratör | Katalogägare | ✔️ | |||
| User | Katalogägare | Endast om gruppägare | Endast om gruppägare | Endast om appens ägare |
Delegerad hantering av gästanvändarens livscykel
Vanligtvis kan en användare i en roll med gästinbjudningsbehörighet bjuda in enskilda externa användare till en organisation, och den här inställningen kan ändras med hjälp av inställningarna för externt samarbete.
För att hantera externt samarbete, där enskilda externa användare för ett samarbetsprojekt kanske inte är kända i förväg, kan tilldelning av användare som arbetar med externa organisationer till rättighetshanteringsroller göra det möjligt för dem att konfigurera kataloger, åtkomstpaket och principer för sitt externa samarbete. Med de här konfigurationerna kan externa användare som de samarbetar med begära och läggas till i organisationens katalog- och åtkomstpaket.
- För att användare i externa kataloger från anslutna organisationer ska kunna begära åtkomstpaket i en katalog måste kataloginställningen Aktiverad för externa användare anges till Ja. Om du ändrar den här inställningen kan du göra det av en administratör eller katalogägare i katalogen.
- Åtkomstpaketet måste också ha en principuppsättning för användare som inte finns i din katalog. Den här principen kan skapas av en administratör, katalogägare eller åtkomstpakethanterare för katalogen.
- Ett åtkomstpaket med den principen gör att användare i omfånget kan begära åtkomst, inklusive användare som inte redan finns i din katalog. Om deras begäran godkänns eller inte kräver godkännande läggs användaren automatiskt till i katalogen.
- Om principinställningen var för Alla användare och användaren inte ingick i en befintlig ansluten organisation skapas automatiskt en ny föreslagen ansluten organisation. Du kan visa listan över anslutna organisationer och ta bort organisationer som inte längre behövs.
Du kan också konfigurera vad som händer när en extern användare som tas in av rättighetshantering förlorar sin senaste tilldelning till alla åtkomstpaket. Du kan blockera dem från att logga in i den här katalogen eller låta deras gästkonto tas bort i inställningarna för att hantera livscykeln för externa användare.
Begränsa delegerade administratörer från att konfigurera principer för användare som inte finns i katalogen
Du kan förhindra att användare som inte har administrativa roller bjuder in enskilda gäster, i inställningarna för externt samarbete, genom att ändra inställningen Inställningar för gästinbjudan till specifika administratörsroller och låta Aktivera självbetjäningsregistrering för gäster vara inställt på Nej.
För att förhindra att delegerade användare konfigurerar berättigandehantering så att externa användare kan begära externt samarbete, måste du kommunicera den här begränsningen till alla globala administratörer, identitetsstyrningsadministratörer, katalogskapare och katalogägare, eftersom de kan ändra kataloger, så att de inte oavsiktligt tillåter nytt samarbete i nya eller uppdaterade kataloger. De bör se till att kataloger anges med Aktiverad för externa användare till Nej och inte har några åtkomstpaket med principer för att tillåta en användare som inte finns i katalogen att begära.
Du kan visa listan över kataloger som för närvarande är aktiverade för externa användare i administrationscentret för Microsoft Entra.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Kataloger för berättigandehantering av>identitetsstyrning.>
Ändra filterinställningen för Aktiverad för externa användare till Ja.
Om någon av dessa kataloger har ett icke-noll antal åtkomstpaket kan dessa åtkomstpaket ha en princip för användare som inte finns i katalogen.
Hantera rolltilldelningar till rättighetshanteringsroller programmatiskt
Du kan också visa och uppdatera katalogskapare och rättighetshanteringskatalogspecifika rolltilldelningar med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet kan anropa Graph-API:et för att visa rolldefinitionerna för berättigandehantering och lista rolltilldelningar till dessa rolldefinitioner.
Om du till exempel vill visa de rättighetshanteringsspecifika roller som en viss användare eller grupp har tilldelats använder du Graph-frågan för att lista rolltilldelningar och ange användarens eller gruppens ID som värdet för principalId frågefiltret, som i
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
För en roll som är specifik för en katalog appScopeId anger svaret i katalogen där användaren har tilldelats en roll. Det här svaret hämtar endast explicita tilldelningar av det huvudkontot till rollen i berättigandehantering, det returnerar inte resultat för en användare som har åtkomsträttigheter via en katalogroll eller genom medlemskap i en grupp som tilldelats en roll.