Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Управление клиентами Microsoft Entra в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Шаблоны политик управления — это базовый компонент службы управления клиентами, которая помогает организациям обеспечить безопасность клиентов Microsoft Entra в масштабе. Прежде чем установить связь управления между клиентами, создайте шаблон политики управления, определяющий поведение отношений. Эти шаблоны можно использовать повторно в разных отношениях управления, обеспечивая согласованное и масштабируемое управление доступом между клиентами.
Как работают шаблоны политик управления
Шаблон политики управления служит схемой для связей управления. При создании шаблона вы определяете две ключевые области доступа:
Роли делегированного администрирования между клиентами — укажите, какие встроенные роли Microsoft Entra имеют пользователи из управляющего клиента в управляемом клиенте.
Приложения с поддержкой многопользовательского режима — выбор пользовательских приложений для создания и управления ими в разных клиентах.
После создания шаблона его можно использовать для создания нескольких связей управления с разными управляемыми клиентами, обеспечивая согласованные политики доступа в организации.
При создании отношения управления управление фиксирует и сохраняет моментальный снимок политики в контексте этой связи. Этот моментальный снимок представляет роли и разрешения, примененные во время установки или последнего обновления связи.
Обновление шаблона политики управления не обновляет связи, созданные с помощью этого шаблона. Эта конструкция гарантирует, что управляемый клиент всегда имеет возможность просматривать необходимые изменения разрешений для связи. Чтобы применить обновления разрешений к активным отношениям, необходимо повторить процесс запроса и утверждения.
Конфигурация делегированного администрирования между клиентами
Выбрав встроенные роли Microsoft Entra и назначив их группе в управляющем клиенте, определите, какие роли (и уровень доступа) в этой группе имеются в управляемом клиенте. С помощью этих ролей пользователи могут:
Войдите в управляемую арендуемую среду, используя учетные данные управляющей арендуемой среды.
Управление администрируемым арендатором без необходимости использования локального аккаунта или учетной записи B2B в этом арендаторе.
Каждая группа может иметь несколько назначений ролей, и каждый шаблон политики может иметь несколько групп. При создании связи управления управление клиентами создает гранулярные делегированные полномочия администратора (GDAP) в управляемом клиенте.
Настройка мультитенантного приложения
Выбрав настраиваемые мультитенантные приложения в шаблоне политики, вы включите централизованное управление приложениями. При создании управленческой связи Tenant Governance создает учетную запись службы с теми же разрешениями в управляемом клиенте.
Эта возможность позволяет управлять пользовательскими мультитенантными приложениями в масштабе от центрального управляющего клиента. Вам не нужно заходить в каждого арендатора по отдельности, чтобы отслеживать и поддерживать минимально необходимые права доступа для приложений.
Например, предположим, что вы создали пользовательскую линейку бизнес-приложений с именем Contoso Resource Manager, отвечающая за мониторинг, отчеты и автоматизацию конфигурации ресурсов в ваших арендаторах. Используйте связь управления для настройки экземпляра учетной записи службы Contoso Resource Manager в управляемых арендаторах с соответствующими предоставленными с согласием разрешениями. Если необходимо добавить или удалить разрешения, сделайте это через управленческие отношения вместо того, чтобы вносить изменения и предоставлять согласие на разрешения на уровне каждого клиента.
Шаблон политики по умолчанию
Шаблон политики по умолчанию — это специальный шаблон, используемый для сценариев создания безопасного клиента. При создании нового дополнительного арендатора управление арендаторами автоматически устанавливает связь управления между родительским арендатором и дополнительным арендатором с использованием шаблона политики по умолчанию. Эта настройка гарантирует, что новые клиенты сразу же приступают к централизованному администрированию клиентов с самого начала.
Шаблон политики по умолчанию имеет следующие характеристики:
Уникальный идентификатор: вместо GUID шаблон политики по умолчанию имеет идентификатор по умолчанию.
Необходимо настроить шаблон политики по умолчанию, прежде чем его использовать.