Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Berättigandehantering är en identity governance funktion som gör det möjligt för organisationer att hantera identiteter och access livscykel i stor skala genom att automatisera access arbetsflöden för begäranden, access tilldelningar, granskningar och förfallodatum.
Personer i organisationer behöver åtkomst till olika grupper, program och SharePoint Online-webbplatser för att utföra sitt jobb. Det är svårt att hantera den här access när kraven ändras. Nya program läggs till eller identiteter behöver fler access rättigheter. Det här scenariot blir mer komplicerat när du samarbetar med externa organisationer. Du kanske inte vet vem i den andra organisationen som behöver access till organisationens resurser och de vet inte vilka program, grupper eller webbplatser som din organisation använder.
Berättigandehantering kan hjälpa dig att mer effektivt hantera åtkomst till grupper, program och SharePoint Online-webbplatser för interna identiteter, och även för identiteter utanför organisationen som behöver åtkomst till dessa resurser. Du kan också använda rättighetshantering i förhandsgranskning för att tilldela grupper, API-behörigheter och roller till agent-ID:n.
Varför ska du använda berättigandehantering?
Företagsorganisationer står ofta inför utmaningar när de hanterar personal access till resurser som:
- Identiteter kanske inte vet vad access de, deras direkta rapporter eller de agenter de sponsrar bör ha, och även om de gör det kan de ha svårt att hitta rätt individer för att godkänna sina access
- När access till resurser har identifierats och tilldelats kan identiteterna hålla fast vid access längre än vad som krävs för deras affärsbehov
Dessa problem förvärras för identiteter som behöver access från en annan organisation, till exempel externa identiteter som kommer från organisationer i leveranskedjan eller andra affärspartner. Till exempel:
- Ingen person kanske känner till alla specifika personer i andra organisations kataloger för att kunna bjuda in dem
- Även om de kunde bjuda in dessa identiteter kanske ingen i den organisationen kommer ihåg att hantera alla identiteter access konsekvent
Berättigandehantering kan hjälpa dig att hantera dessa utmaningar. Om du vill veta mer om hur kunder har använt berättigandehantering kan du läsa Mississippi Division of Medicaid, Storebrand och Digital Security and Resilience team på Microsoft fallstudier. Den här videon innehåller en översikt över berättigandehantering och dess värde:
Vad kan jag göra med berättigandehantering?
Här är några av funktionerna i berättigandehantering:
- Kontrollera vem som kan få åtkomst till program, grupper, Teams, SharePoint webbplatser, SAP IAG-åtkomsträttigheter och andra resurser med godkännande i flera steg och se till att identiteter inte behåller åtkomsten på obestämd tid genom tidsbegränsade tilldelningar och återkommande åtkomstgranskningar.
- Ge identiteter access automatiskt till dessa resurser, baserat på identitetsegenskaper som avdelning eller kostnadsställe, och ta bort en identitets access när dessa egenskaper ändras.
- Ge agent-ID:t access till resurser som behövs och gör det möjligt för sponsorer av agent-ID:t att se till att access underhålls endast när det behövs.
- Delegera till icke-administratörer möjligheten att skapa access paket. Dessa access paket innehåller resurser som identiteter kan begära, och de delegerade access pakethanterare kan definiera principer med regler för vilka identiteter kan begära, vem som måste godkänna deras access och när access upphör att gälla.
- Välj anslutna organisationer vars identiteter kan begära access. När en identitet som ännu inte finns i dina katalogbegäranden access och godkänns bjuds de automatiskt in till din katalog och tilldelas access. När deras access upphör att gälla kan deras B2B-konto i din katalog tas bort automatiskt om de inte har några andra access pakettilldelningar.
Kommentar
Om du är redo att prova berättigandehantering kan du get started med vår tutorial för att skapa ditt första access-paket.
Du kan också läsa vanliga scenarier eller titta på videor, inklusive
- Så här distribuerar du berättigandehantering i din organisation
- Övervaka och skala din användning av berättigandehantering
- Delegera i berättigandehantering
Vad är access paket och vilka resurser kan jag hantera med dem?
Rättighetshantering introducerar begreppet access-paket. Ett access-paket är ett paket med alla resurser med access en identitet måste arbeta med en project eller utföra sina uppgifter. Access paket kan användas för att styra access för interna identiteter och även för identiteter som kommer utanför organisationen.
Här är de typer av resurser som du kan hantera identiteternas access till, med berättigandehantering:
- Medlemskap i Microsoft Entra säkerhetsgrupper
- Medlemskap i Microsoft 365-grupper och Teams
- Tilldelning till Microsoft Entra företagsprogram, inklusive SaaS-program och anpassade integrerade program som stöder federation/enkel inloggning och/eller etablering
- Medlemskap i SharePoint Online-webbplatser
- API-behörigheter, för agenter med agent-ID:n eller tjänstens huvudnamn, i förhandsversion som en del av Microsoft Entra agent-ID
- SAP IAG-affärsroller och andra access rättigheter i förhandsversion
Du kan också styra åtkomsten till andra resurser som förlitar sig på Microsoft Entra säkerhetsgrupper eller Microsoft 365-grupper. Till exempel:
- Du kan ge identitetslicenser för Microsoft 365 med hjälp av en Microsoft Entra säkerhetsgrupp i ett åtkomstpaket och konfigurera gruppbaserad licensiering för den gruppen.
- Du kan ge identiteter åtkomst för att hantera Azure resurser med hjälp av en Microsoft Entra säkerhetsgrupp i ett åtkomstpaket och skapa en Azure rolltilldelning för den gruppen.
- Du kan ge identiteter åtkomst till att hantera Microsoft Entra roller genom att använda grupper som kan tilldelas till Microsoft Entra roller i ett åtkomstpaket och tilldela en Microsoft Entra roll till den gruppen.
How do I styra vem som får access?
Med ett åtkomstpaket visar en administratör eller delegerad åtkomstpakethanterare resurserna (grupper, appar och webbplatser, Microsoft Entra roller och API-behörigheter) och de roller som identiteterna behöver för dessa resurser.
Access paket innehåller också en eller flera principer. En princip definierar regler eller skyddsmekanismer för tilldelning till access-paketet. Varje princip kan användas för att säkerställa att endast lämpliga identiteter kan ha access tilldelningar, och access är tidsbegränsad för att upphöra om den inte förnyas.
Du kan ha principer för identiteter för att begära access. I den här typen av principer definierar en administratör eller access package manager
- Antingen de redan befintliga identiteterna (vanligtvis anställda eller redan inbjudna gäster) eller partnerorganisationerna för externa identiteter som är berättigade att begära access
- Godkännandeprocessen och identiteterna som kan godkänna eller neka access
- Varaktigheten för en identitets access tilldelning, när den har godkänts, innan tilldelningen upphör att gälla
Du kan också ha principer för identiteter som ska tilldelas access, antingen av en administratör, automatiskt baserat på regler eller genom livscykelarbetsflöden.
Följande diagram visar ett exempel på de olika elementen i berättigandehantering. Den visar en katalog med två exempel access paket.
- Access paket 1 innehåller en enda grupp som en resurs. Access definieras med en princip som gör att en uppsättning identiteter i katalogen kan begära access.
- Access-paket 2 innehåller en grupp, ett program och en SharePoint Online-webbplats som resurser. Access definieras med två olika principer. Den första principen gör det möjligt för en uppsättning identiteter i katalogen att begära access. Den andra principen gör det möjligt för identiteter i en extern katalog att begära access.
När ska jag använda access paket?
Access paket ersätter inte andra mekanismer för access tilldelning. De är lämpligast i situationer som:
- Migrera åtkomstprincipdefinitioner från tredje part enterprise rollhantering till Microsoft Entra ID.
- Identiteter behöver tidsbegränsade access för en viss uppgift. Du kan till exempel använda gruppbaserad licensiering och en dynamisk grupp för att säkerställa att alla anställda har en Exchange Online postlåda och sedan använda åtkomstpaket för situationer där anställda behöver fler åtkomsträttigheter. Till exempel behörighet att läsa avdelningsresurser från en annan avdelning.
- Access som kräver godkännande av en persons chef eller andra utsedda personer.
- Access som ska tilldelas automatiskt till personer i en viss del av en organisation under deras tid i den jobbrollen, men som också är tillgängliga för personer någon annanstans i organisationen, eller i en affärspartnerorganisation, att begära.
- Avdelningarna vill hantera sina egna access principer för sina resurser utan IT-inblandning.
- Två eller flera organisationer samarbetar i ett projekt, och därför måste flera identiteter från en organisation tas in via Microsoft Entra B2B för att få åtkomst till en annan organisations resurser.
How do I delegera access?
Access paket definieras i containrar som kallas catalogs. Du kan ha en enda katalog för alla dina access paket, eller så kan du utse enskilda användare att skapa och äga sina egna kataloger. En administratör kan lägga till resurser i valfri katalog, men en icke-administratör kan bara lägga till de resurser som de äger i en katalog. En katalogägare kan lägga till andra identiteter som katalogägare eller som access pakethanterare. Dessa scenarier beskrivs ytterligare i artikeln delegering och roller i berättigandehantering.
Sammanfattning av terminologi
För att bättre förstå rättighetshantering och dess dokumentation kan du gå tillbaka till följande lista med villkor.
| Period | beskrivning |
|---|---|
| access paket | Ett paket med resurser som ett team eller project behöver och styrs med principer. Ett access paket finns alltid i en katalog. Du skapar ett nytt access paket för ett scenario där identiteter behöver begära access själva. |
| access begäran | En begäran om att access resurserna i ett access-paket. En begäran går vanligtvis igenom ett arbetsflöde för godkännande. Om den begärde identiteten godkänns får den en access pakettilldelning. |
| tilldelning | En tilldelning av ett access paket till en identitet säkerställer att identiteten har alla resursroller för det access paketet. Access pakettilldelningar har vanligtvis en tidsgräns innan de upphör att gälla. |
| katalog | En container med relaterade resurser och access paket. Kataloger används för delegering, så att icke-administratörer kan skapa egna access paket. Katalogägare kan lägga till resurser som de äger i en katalog. |
| katalogskapare | En samling identiteter som är auktoriserade att skapa nya kataloger. När en icke-administratörsidentitet som är auktoriserad att vara katalogskapare skapar en ny katalog, blir de automatiskt ägare till den katalogen. |
| ansluten organisation | En extern Microsoft Entra katalog eller domän som du har en relation med. Identiteterna från en ansluten organisation kan anges i en princip som tillåts begära access. |
| politik | En uppsättning regler som definierar access livscykel, till exempel hur identiteter blir access, vem som kan godkänna och hur länge de har access genom en tilldelning. En princip är länkad till ett access-paket. Ett access-paket kan till exempel ha två principer – en för anställda att begära access och en andra för externa identiteter att begära access. |
| resurs | En tillgång, till exempel en Office-grupp, en säkerhetsgrupp, ett program eller en SharePoint Online-webbplats, med en roll som en identitet kan beviljas behörighet till. |
| resurskatalog | En katalog som har en eller flera resurser att dela. |
| resursroll | En samling behörigheter som är associerade med och definierade av en resurs. En grupp har två roller – medlem och ägare. SharePoint webbplatser har vanligtvis tre roller men kan ha andra anpassade roller. Program kan ha anpassade roller. |
Licenskrav
Den här funktionen kräver Microsoft Entra ID Governance eller Microsoft Entra-sviten prenumerationer för din organisations användare. Vissa funktioner i den här funktionen kan fungera med en Microsoft Entra ID P2-prenumeration. Mer information finns i artiklarna i varje funktion för mer information. Information om hur du hittar rätt licens för dina krav finns i Microsoft Entra ID Governance licensing fundamentals.
Licenskrav för att tilldela agenter till access paket (förhandsversion)
Microsoft Entra agent-ID ingår i Microsoft Agent 365. Båda är tillgängliga via programmet Frontier i Microsoft 365. För att få åtkomst till dessa funktioner måste du ha en licens för Microsoft 365 Copilot och ha aktiverat Frontier för dina användare.
Följ guiden Frontier getting started eller använd följande steg för att kontrollera om Frontier är aktiverat:
- Logga in på Administrationscenter för Microsoft 365 som Faktureringsadministratör.
- Bläddra till Copilot>Settings>Användareåtkomst>Copilot Frontier och kontrollera att det är aktiverat för användare. Om du inte ser de här alternativen kontaktar du administratören för att kontrollera din Microsoft 365 Copilot licensiering.
Nästa steg
- Om du är intresserad av att använda Microsoft Entra administrationscenter för att hantera åtkomst till resurser kan du läsa Tutorial: Hantera åtkomst till resurser – Microsoft Entra.
- Om du är intresserad av att använda Microsoft Graph för att hantera åtkomst till resurser kan du läsa Tutorial: hantera åtkomst till resurser – Microsoft Graph
- Vanliga scenarier