Включите предоставленные ресурсы с настраиваемыми данными в каталог для проведения проверок доступа пользователей каталога (предварительная версия)

Организации часто имеют приложения, которые еще не интегрированы с Microsoft Entra, но по-прежнему должны управляться. Используя предоставленные данные, вы можете включить эти отключенные приложения в проверки доступа Microsoft Entra ID, загрузив их данные доступа непосредственно в каталог.

Эта возможность позволяет запускать проверки доступа пользователей (UAR) как для подключенных к Microsoft Entra, так и пользовательских ресурсов в одном каталоге. Рецензенты могут легко просматривать и сертифицировать доступ пользователей на портале "Мой доступ", обеспечивая согласованное управление, улучшенную видимость и соответствие всем ресурсам независимо от того, подключены ли они к Microsoft Entra.

Требования к лицензии

Для этой функции требуются подписки Microsoft Entra ID Governance или Microsoft Entra Suite для пользователей вашей организации. Дополнительные сведения см. в статьях о каждой возможности. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования Microsoft Entra ID.

Создание каталога

Если у вас еще нет каталога, создайте новый каталог. Если у вас уже есть каталог, перейдите к следующему разделу.

  1. Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора управления идентификацией или создателя каталога.

    Подсказка

    Пользователи, которым назначена роль администратора пользователей, больше не смогут создавать каталоги или управлять пакетами доступа в каталоге, которым они не принадлежат. Если пользователям в организации назначена роль администратора пользователей для настройки каталогов, пакетов доступа или политик в управлении правами, то вместо этого следует назначить этих пользователей роль администратора управления удостоверениями.

  2. Перейдите к управлению идентификаторами>каталогам.

  3. Выберите новый каталог.

  4. Введите уникальное имя каталога и укажите описание.

    Пользователи увидят эту информацию в сведениях о пакете Access.

  5. Нажмите кнопку "Создать" , чтобы создать каталог.

Дополнительные сведения о создании каталога и добавлении ресурсов см. в статье "Создание и управление каталогом ресурсов".

Добавление ресурса с пользовательскими данными в каталог

С помощью созданного каталога вы можете добавить предоставленные настраиваемые данные, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.

  2. Перейдите к управлению идентификаторами>каталогам.

  3. На странице "Каталоги" откройте каталог, созданный в предыдущем разделе.

  4. В меню слева выберите "Ресурсы".

  5. Щелкните Добавление ресурсов.

  6. Выберите тип ресурса: настраиваемые данные, предоставленные ресурсом. Снимок экрана: добавление сведений о расширении данных ресурса пользовательского доступа.

  7. На странице ресурса введите следующее:

    • Имя ресурса — название для ресурса.
    • Описание — описание ресурса.

  8. Нажмите кнопку "Сохранить".

Создание проверки доступа пользователей

Это важно

Пользовательские проверки ресурсов данных в настоящее время поддерживают одноэтапные проверки , где менеджеры являются единственными доступными рецензентами.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.

  2. Перейдите в Управление идентификаторами>Ревизии доступа>новая проверка доступа.

  3. На экране шаблона проверки доступа выберите "Проверить доступ пользователей между несколькими типами ресурсов в каталоге" и выберите шаблон проверки каталога. Снимок экрана: страница шаблонов проверки доступа.

  4. Введите основные сведения о рабочем процессе и нажмите кнопку "Далее".

  5. На вкладке ресурсов выберите каталог, в который вы добавили ресурсы, и нажмите кнопку "Далее".

  6. На вкладке «Рецензенты и расписание» выберите рецензентов, которые будут проводить проверки доступа. В настоящее время могут устанавливаться только одноэтапные проверки, где в качестве рецензентов назначаются руководители пользователей, для которых проводятся проверки доступа.

  7. Нажмите кнопку "Создать".

Вы также можете создать проверку доступа программным способом с помощью Microsoft Graph. Дополнительные сведения см. в статье "Создание проверки доступа на одном этапе" в каталоге.

Получение объекта проверки доступа и идентификатора экземпляра

После создания проверки доступа к каталогу перед отправкой пользовательских данных необходимо получить идентификатор объекта Access Review и идентификатор объекта Access Review. Чтобы получить эти сведения, сделайте следующее:

  1. Перейдите к управлению идентификаторами проверкам доступа.

  2. Выберите обзор доступа к каталогу, который вы создали.

  3. На экране обзора проверки доступа скопируйте идентификатор объекта. Снимок экрана: поиск идентификатора объекта проверки доступа.

  4. Выберите текущий сеанс проверки доступа на экране обзора.

  5. На экране проверки доступа сохраните идентификатор объекта экземпляра. Снимок экрана, показывающий идентификатор объекта экземпляра проверки доступа.

Отправка пользовательских данных

После копирования идентификаторов объектов проверки доступа и проверки доступа обратите внимание, что состояние проверки доступа отображается как инициализация. Инициализация статуса проверки доступа.

  1. Вернитесь в созданный каталог и выберите "Ресурсы".

  2. На экране ресурсов каталога выберите созданный вами пользовательский ресурс доступа к данным и выберите "Отправить пользовательские данные доступа". Снимок экрана: параметр отправки пользовательских данных доступа.

  3. На экране "Загрузка данных доступа для пользовательского ресурса" в разделе Основные сведения введите как идентификатор объекта проверки доступа, так и идентификатор объекта экземпляра проверки доступа, найденные в разделе Получение объекта и идентификатора экземпляра проверки доступа. Снимок экрана: основные сведения о пользовательском доступе к данным.

  4. В разделе "Отправка файлов" выберите до 10 CSV, чтобы включить в данные доступа и нажмите кнопку "Сохранить". Снимок экрана загрузки файлов в пользовательские данные доступа.

    Замечание

    Чтобы убедиться, что все CSV были успешно отправлены, просмотрите журналы аудита.

  5. У вас есть до двух часов с момента перехода проверки в состояние инициализации для завершения загрузки.

Пользовательские данные для доступа к полям CSV

При отправке CSV для включения в данные доступа в шаблон включаются следующие параметры:

Замечание

Все столбцы являются обязательными.

Параметр Description
PrincipalId Идентификатор пользователя Microsoft Entra ID пользователя, доступ которого необходимо проверить. Это значение должно соответствовать допустимому пользователю Microsoft Entra.
ТипПринципиала Указывает тип принципала. Для проверки доступа это всегда будет EntraIdUser.
Идентификатор разрешения Уникальный идентификатор разрешения в приложении, которое будет проверено. Это помогает различать разные разрешения в одном приложении.
Имя разрешения Отображаемое имя разрешения, которое пользователь имеет в приложении. Пример: Чтение, Запись и Администрирование.
ОписаниеРазрешения Краткое описание того, что это разрешение разрешает в приложении. Это предоставляет рецензентам контекст при определении необходимости продолжения доступа.
ТипРазрешения Указывает категорию разрешений.

Вы также можете отправить пользовательские данные с помощью Graph, создав сеанс отправки, а затем отправив CSV-файл. Дополнительные сведения см. в разделе customDataProvidedResourceUploadSession.

Состояние активной ревизии

На активном этапе:

  • Рецензенты получают уведомление по электронной почте.
  • Они могут войти на портал "Мой доступ" , чтобы просмотреть и завершить свои решения о проверке.

Применение этапа

На этапе применения вы можете получить список запрещенных пользователей, выполнив вызов API принятия решений по списку :

GET https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/{access review object ID}/instances/{access review instance object ID}/decisions?$filter=(decision eq 'Deny' and resourceId eq '<custom data provided resource ID>')

Для каждого элемента решения:

Удалите доступ из собственной системы, а затем исправьте каждый элемент решения, чтобы указать успешное или неудачное удаление, выполнив вызов API update AccessReviewInstanceDecisionItem :

PATCH https://graph.microsoft.com/beta/identityGovernance/accessReviews/definitions/{access review object ID}/instances/{access review instance object ID}/decisions/{decision ID}
Content-Type: application/json

{
 "applyResult": "AppliedSuccessfully",
 "applyDescription": "ServiceNow ticket created"
}

Переход на состояние обзора 'Применено' осуществляется после применения всех предоставленных решений. Например, если у вас есть пять решений, которые должны быть сделаны на основании данных, необходимо применить PATCH к каждому из пяти элементов решений прежде чем обзор перейдет в состояние Применено.

Статус проверки

Когда рецензенты выполняют действия, проверка проходит через несколько этапов.

Статус проверки Description
Инициализация Создан экземпляр проверки; ожидается загрузка пользовательских данных.
Active Рецензенты могут принимать решения на портале "Мой доступ".
Применение Решения по рассмотрению находятся в процессе исправления.
Применено Все решения помечены как примененные.

Сводка по временным интервалам

Действие Когда Ограничение времени
Отправка пользовательских данных Во время инициализации В течение двух часов.
Обзор решений Во время активности До окончания проверки.
Применение решений Во время применения 30 дней, и проверка остается в статусе применения, пока все решения не будут отмечены как примененные.

Связанный контент

  • Last updated on