Проверки доступа к каталогу (предварительная версия)

Проверки доступа к каталогу в системе управления идентификаторами Microsoft Entra позволяют организациям упростить проверку доступа пользователей к нескольким типам ресурсов, таким как группы, приложения и пользовательские отключенные ресурсы одновременно. Это помогает обеспечить только правильный доступ пользователей, позволяя руководителям и владельцам ресурсов эффективно просматривать доступ через многоэтапный процесс.

Требования к лицензии

Для этой функции требуются подписки Microsoft Entra ID Governance или Microsoft Entra Suite для пользователей вашей организации. Дополнительные сведения см. в статьях о каждой возможности. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования Microsoft Entra ID.

Добавление ресурсов в каталог

Чтобы включить обзоры доступа для нескольких ресурсов в одном интерфейсе для обозревателя, необходимо сначала добавить эти ресурсы в каталог. В настоящее время через каталог можно проверить три типа ресурсов: группы, приложения и ресурсы, предоставленные на основе пользовательских данных. Добавление ресурсов в каталог:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями или создатель каталога, а также как владелец или администратор ресурсов.

  2. Перейдите к Управление правами>Каталоги.

  3. На экране каталогов выберите существующий каталог или выберите новый каталог , чтобы создать новый каталог.

  4. На странице обзора каталога выберите "Добавить ресурсы>".

  5. Чтобы просмотреть членство в группах или командах, выберите группы и Teams и выберите группы, которые нужно включить в каталог. Чтобы просмотреть назначения ролей приложения, выберите "Приложения " и выберите приложения, которые вы хотите включить в каталог.

    Замечание

    В проверках доступа к каталогу поддерживаются только группы, приложения и ресурсы, предоставляемые пользовательскими данными.

  6. Выбрав ресурсы, нажмите кнопку "Добавить ", чтобы сохранить их в каталоге.

  7. Чтобы включить проверку данных также от пользовательских поставщиков, выберите ресурс данных, предоставленный пользователем (Предварительная версия) и укажите имя и описание ресурса. Дополнительные сведения см. в разделе настраиваемых данных, предоставленных ресурсом.

Дополнительные сведения о создании каталога и добавлении ресурсов см. в статье "Создание и управление каталогом ресурсов".

Создание проверки доступа к каталогу

После добавления ресурсов в каталог можно создать проверку доступа к каталогу, чтобы руководители могли одновременно просматривать доступ ко всем этим ресурсам для пользователей, которыми они управляют. Чтобы создать проверку доступа к каталогу, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.

  2. Перейдите к Управлению идентификациейКонтролю доступаНовый обзор доступа.

  3. На экране шаблона проверки доступа выберите "Проверить доступ пользователей между несколькими типами ресурсов в каталоге ", чтобы выбрать шаблон проверки каталога. Снимок экрана: страница шаблонов проверки доступа.

  4. Введите основные сведения о рабочем процессе и нажмите кнопку "Далее".

  5. На вкладке ресурсов выберите каталог, в который вы добавили ресурсы, и нажмите кнопку "Далее".

  6. На вкладке "Рецензенты" и "Расписание" выберите рецензентов . В настоящее время руководители пользователей являются основными рецензентами.

  7. При необходимости можно настроить многоэтапные проверки, где владельцы ресурсов (владельцы групп или приложений) служат дополнительными рецензентами.

  8. Настройте параметры взаимодействия рецензента (уведомления электронной почты, напоминания, требования к оправданию) и параметры завершения.

  9. Нажмите кнопку "Создать", чтобы завершить проверку доступа.

Вы также можете создать проверку доступа программным способом с помощью Microsoft Graph. Дополнительные сведения см. в статье "Создание проверки доступа на одном этапе" в каталоге.

Отправка данных из пользовательских ресурсов данных

Если вы добавили ресурсы с пользовательскими данными в каталог, то вы должны загрузить эти данные во время инициализации экземпляра ревизии. Дополнительные сведения см. в разделе получение объекта проверки доступа и идентификатора.

Завершение проверки доступа к каталогу

При создании проверки доступа к каталогу менеджеры получают уведомление по электронной почте, которое направляет их на портал myaccess. Они также могут напрямую перейти на портал "Мой доступ", где они могут просматривать доступ к всем ресурсам в каталоге.

Чтобы завершить проверку доступа к каталогу, выполните следующие действия.

  1. Войдите на портал https://myaccess.microsoft.com "Мой доступ" в качестве руководителя пользователей, для которого требуется выполнить проверку доступа к каталогу.

  2. В меню слева выберите "Проверки доступа" , чтобы просмотреть список проверок доступа, ожидающих утверждения.

  3. Перейдите на вкладку Multi-resource, чтобы просмотреть список запланированных проверок доступа к каталогу.

  4. Для каждого элемента доступа выберите "Утвердить " или "Запретить" и укажите обоснование при необходимости.

  5. Нажмите кнопку "Отправить ", чтобы записать решения.

На дату окончания проверки все решения, кроме решений для настраиваемых отключенных ресурсов, автоматически применяются.

Связанный контент

  • Last updated on