Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.
Для выполнения своей работы пользователям в организациях требуется доступ к различным группам, приложениям и сайтам SharePoint Online. Управление этим доступом является сложной задачей, поскольку требования меняются. Добавляются новые приложения или идентификации требуют больше прав доступа. Этот сценарий усложняется, когда вы сотрудничаете с внешними организациями. Возможно, вы не знаете, кто в другой организации нуждается в доступе к ресурсам вашей организации, и они не будут знать, какие приложения, группы или сайты использует ваша организация.
Управление правами поможет вам более эффективно управлять доступом к группам, приложениям и сайтам SharePoint Online для внутренних идентичностей, а также для идентичностей вне вашей организации, которым необходим доступ к этим ресурсам. Вы также можете использовать управление правами в предварительном просмотре для назначения групп, разрешений API и ролей идентификаторам агентов.
Зачем использовать управление правами?
Корпоративные организации часто сталкиваются с проблемами при управлении доступом к ресурсам, таким как:
- Личности могут не знать, какой доступ должны иметь они, их прямые подчинённые или агенты, которых они спонсировали, и даже если знают, им может быть сложно найти подходящих лиц для одобрения доступа
- После обнаружения и назначения доступа к ресурсам личности могут сохранять доступ дольше, чем требуется для их бизнес-нужд
Эти проблемы усугубляются для идентичностей, которым нужен доступ из другой организации, например, внешних идентичностей от организаций цепочки поставок или других бизнес-партнёров. Например:
- Никто не может знать всех конкретных лиц в каталогах другой организации, чтобы иметь возможность приглашать их
- Даже если бы они могли пригласить эти личности, никто в организации не мог бы вспомнить, что нужно регулярно управлять всеми доступами к идентичностям
Управление правами может помочь решить эти проблемы. Чтобы узнать больше о том, как клиенты используют управление льготами, вы можете ознакомиться с командой отдела Medicaid, Storebrand и цифровой безопасности и устойчивости Миссисипи в кейс-стади Microsoft . В этом видео представлены общие сведения об управлении правами и его ценности.
Что можно сделать с помощью управления правами?
Ниже приведены некоторые возможности управления правами.
- Управляйте доступом к приложениям, группам, группам, сайтам SharePoint, правам доступа SAP IAG и другим ресурсам, с многоэтапным утверждением и убедитесь, что удостоверения не сохраняют доступ на неопределенный срок с помощью ограниченных по времени назначений и повторяющихся проверок доступа.
- Предоставить идентичностям автоматический доступ к этим ресурсам на основе свойств идентичности, таких как отдел или центр затрат, и удалить доступ идентичности при изменении этих свойств.
- Дайте агентам доступ к необходимым ресурсам и разрешите спонсорам агентов обеспечивать доступ только во время необходимости.
- Делегировать неадминистраторам возможность создавать пакеты доступа. Эти пакеты доступа содержат ресурсы, которые идентичности могут запрашивать, а менеджеры делегированных пакетов доступа могут определять политики с правилами, которые идентичности могут запрашивать их, кто должен одобрить их доступ и когда истекает срок доступа.
- Выберите подключённые организации, чьи личности могут запрашивать доступ. Когда личность, которой ещё не входит в ваш каталог, запрашивает доступ и получает одобрение, она автоматически приглашается в ваш каталог и получает доступ. Когда срок действия доступа истечет, учетная запись B2B в каталоге может быть автоматически удалена, если у нее нет других назначений пакетов для доступа.
Примечание.
Если вы готовы попробовать управление правами, вы можете приступить к работе с нашим руководством, чтобы создать первый пакет доступа.
Вы также можете ознакомиться с распространенными сценариями или просмотреть видео, включая перечисленные ниже.
- Развертывание управления правами в организации
- Мониторинг и масштабирование использования управления правами
- Делегирование управления правами
Что такое пакеты для доступа и какими ресурсами можно управлять с их помощью?
Управление правами представляет концепцию пакета доступа. Пакет доступа — это набор всех ресурсов с доступом, необходимым идентичности для работы над проектом или выполнения задачи. Пакеты доступа могут использоваться для регулирования доступа как для внутренних идентичностей, так и для идентичностей, возникающих вне вашей организации.
Вот типы ресурсов, к которым вы можете управлять доступом идентичностей с помощью управления льготами:
- Членство в группах безопасности Microsoft Entra
- Членство в группах и командах Microsoft 365
- Назначение корпоративным приложениям Microsoft Entra, включая приложения SaaS и пользовательские интегрированные приложения, поддерживающие федерацию или единый вход и /или подготовку
- Членство на сайтах SharePoint Online
- Разрешения API для агентов с идентификаторами агентов или принципалами сервиса, которые находятся в предварительном просмотре в рамках Microsoft Entra Agent ID
- Бизнес-роли SAP IAG и другие права доступа в предварительной версии
Вы также можете управлять доступом к другим ресурсам, которые используют группы безопасности Microsoft Entra или Группы Microsoft 365. Например:
- Вы можете предоставить лицензии на идентификацию для Microsoft 365, используя группу безопасности Microsoft Entra в пакете доступа и настроив групповое лицензирование для этой группы.
- Вы можете предоставить идентификаторам доступ для управления ресурсами Azure, используя группу безопасности Microsoft Entra в пакете доступа и создав для этой группы назначение ролей Azure .
- Вы можете предоставить идентификаторам доступ для управления ролями Microsoft Entra, используя группы, назначаемые для ролей Microsoft Entra, в пакете доступа и назначав роль Microsoft Entra этой группе.
Как проконтролировать, кто получает доступ?
С помощью пакета доступа администратор или менеджер делегированных пакетов доступа перечисляет ресурсы (группы, приложения и сайты, роли Microsoft Entra и разрешения API), а также роли, необходимые идентичностям для этих ресурсов.
Пакеты для доступа также содержат одну или несколько политик. Политика определяет правила или охранники для назначения пакета доступа. Каждая политика может быть использована для того, чтобы только соответствующие личности имели доступ к назначению, а доступ ограничен по времени, который истекает, если не будет продлен.
Можно иметь политику для запроса доступа к личностям. В таких политиках администратор или диспетчер пакетов для доступа определяет
- Либо уже существующие личности (обычно сотрудники или уже приглашённые гости), либо партнерские организации внешних идентичностей, которые имеют право запросить доступ
- Процесс одобрения и личности, которые могут одобрять или отказать в доступе
- Продолжительность присвоения доступа идентичности после утверждения до истечения срока присваивания
Также можно иметь политики, позволяющие идентичностям получать доступ — либо администратором, автоматически на основе правил или через жизненный цикл рабочих процессов.
На схеме ниже показан пример различных элементов управления правами. На ней показан один каталог с двумя примерами пакетов для доступа.
- Пакета для доступа 1 содержит одну группу как ресурс. Доступ определяется с помощью политики, которая позволяет набору идентичностей в каталоге запрашивать доступ.
- Пакет для доступа 2 содержит группу, приложение и сайт SharePoint Online в качестве ресурсов. Доступ определяется двумя разными политиками. Первая политика позволяет набору идентичностей в каталоге запрашивать доступ. Вторая политика позволяет идентификаторам во внешнем каталоге запрашивать доступ.
Когда следует использовать пакеты для доступа?
Пакеты для доступа не заменяют другие механизмы назначения доступа. Они наиболее уместны в таких ситуациях, как:
- Перенос определений политик доступа из стороннего управления корпоративными ролями в идентификатор Microsoft Entra.
- Идентичности требуют ограниченного по времени доступа для конкретной задачи. Например, вы можете использовать групповое лицензирование и динамическую группу, чтобы гарантировать наличие у всех сотрудников почтового ящика Exchange Online, а затем использовать пакеты для доступа в ситуациях, когда сотрудникам требуется больше прав доступа. Например, права на чтение ресурсов отдела из другого отдела.
- Доступ, требующий одобрения руководителя или других назначенных лиц.
- Доступ, который должен быть назначен автоматически людям в определенной части организации в течение своего времени в этой роли, но также доступен для людей в других местах организации или в организации бизнес-партнера, чтобы запросить.
- Отделы управляют собственными политиками доступа к своим ресурсам без привлечения ИТ.
- Две или более организаций сотрудничают над проектом, и в результате через Microsoft Entra B2B необходимо привлекать несколько идентичностей одной организации для доступа к ресурсам другой организации.
Как делегировать доступ?
Пакеты для доступа добавляются в контейнеры, называемые каталогами. У вас может быть один каталог для всех пакетов для доступа, или можно разрешить отдельным пользователям создавать собственные каталоги и владеть ими. Администратор может добавлять ресурсы в любой каталог, но неадминистатор может добавлять только в каталог ресурсы, принадлежащие им. Владелец каталога может добавлять другие идентичности в качестве совладельцев каталога или менеджеров пакетов доступа. Эти сценарии описаны далее в статье делегирования и ролей в управлении правами.
Сводка по терминологии
Чтобы лучше понимать управление правами и документацию, вы можете использовать следующий список терминов.
| Срок | Описание |
|---|---|
| пакет для доступа | Набор управляемых политиками ресурсов, которые требуются для группы или проекта. Пакет для доступа всегда содержится в каталоге. Вы создаёте новый пакет доступа для сценария, когда идентичности должны сами запрашивать доступ. |
| запрос на доступ | Запрос на доступ к ресурсам в пакете для доступа. Обычно запрос проходит через рабочий процесс утверждения. Если это одобрено, запрашивающая идентичность получает назначение пакета доступа. |
| присваивание | Назначение пакета доступа идентичности гарантирует, что идентичность обладает всеми ресурсными ролями этого пакета доступа. Назначения пакетов для доступа обычно ограничены по времени до истечения срока их действия. |
| сценариев | Контейнер связанных ресурсов и пакетов для доступа. Каталоги используются для делегирования, чтобы неадминистраторы могли создавать собственные пакеты доступа. Владельцы каталога могут добавлять ресурсы, которыми они владеют, в каталог. Каталоги могут иметь уровень привилегийуровня "Стандартный" или каталог с регулярными ресурсами в нем или "Привилегированный ", где он содержит ресурсы, предоставляющие повышенные разрешения. |
| создатель каталога | Коллекция идентичностей, уполномоченных создавать новые каталоги. Когда неадминистраторская личность, уполномоченная быть создателем каталога, создаёт новый каталог, она автоматически становится владельцем этого каталога. |
| подключенная организация | Внешний каталог Microsoft Entra или домен, с которым у вас есть связь. Идентичности подключённой организации могут быть указаны в политике как разрешённые для запроса доступа. |
| политика | Набор правил, определяющих жизненный цикл доступа, например, как идентичности получают доступ, кто может одобрить и как долго они имеют доступ через назначение. Политика связана с пакетом для доступа. Например, пакет доступа может иметь две политики — одну для запроса доступа сотрудников, вторую для запроса доступа внешних идентичностей. |
| ресурс | Актив, такой как Office-группа, группа безопасности, приложение или сайт SharePoint Online, с ролью, на которую может быть предоставлена идентичность. |
| каталог ресурсов | Каталог, содержащий один или несколько ресурсов для совместного использования. |
| роль ресурса | Коллекция разрешений, связанных с определенным ресурсом, и определяемых им. Группа имеет две роли — "член" и "владелец". Сайты SharePoint обычно имеют три роли, но могут иметь другие пользовательские роли. Приложения могут иметь пользовательские роли. |
Требования к лицензиям
Эта функция требует Управление идентификацией Microsoft Entra или подписок Microsoft Entra Suite для пользователей вашей организации. Некоторые возможности в рамках этой функции могут работать с подпиской Microsoft Entra ID P2. Дополнительные сведения см. в статьях о каждой возможности. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Требования к лицензии для назначения агентов для доступа к пакетам (предварительный просмотр)
Это важно
Идентификатор Агента Microsoft Entra Agent является частью Microsoft Agent 365, доступной сейчас в Frontier, программе раннего доступа Майкрософт для последних инноваций ИИ. Дополнительные сведения см. в разделе Идентификатор агента Microsoft Entra Agent.
Следующие шаги
- Если вы хотите использовать Центр администрирования Microsoft Entra для управления доступом к ресурсам, см . руководство. Управление доступом к ресурсам — Microsoft Entra.
- Если вы заинтересованы в использовании Microsoft Graph для управления доступом к ресурсам, см. Руководство. Управление доступом к ресурсам: Microsoft Graph
- Распространенные сценарии