Delegare la governance dell'accesso agli autori di cataloghi nella gestione entitlement

Un catalogo è un contenitore di risorse e pacchetti di accesso. È necessario creare un catalogo quando si vogliono raggruppare risorse e pacchetti di accesso correlati. Per impostazione predefinita, un amministratore globale o un amministratore di Identity Governance può creare un catalogo e può aggiungere altri utenti come proprietari del catalogo.

Esistono tre modi in cui un'organizzazione può delegare con i cataloghi:

• Quando si inizia a usare un progetto pilota, gli amministratori di Identity Governance possono creare e gestire il catalogo. Successivamente, quando si passa dalla distribuzione pilota all'ambiente di produzione, è possibile delegare un catalogo assegnando non amministratori come proprietari al catalogo, in modo che tali utenti possano mantenere i criteri in futuro.
• Se sono presenti risorse che non dispongono di proprietari, gli amministratori possono creare cataloghi, aggiungere tali risorse a ogni catalogo e quindi assegnare i non amministratori come proprietari a un catalogo. Ciò consente agli utenti che non sono amministratori e non sono proprietari di risorse di gestire i propri criteri di accesso per tali risorse.
• Se le risorse hanno proprietari, gli amministratori possono assegnare una raccolta di utenti, ad esempio un gruppo dinamico All Employees, al ruolo di autore del catalogo, in modo che un utente che si trovi in tale gruppo e sia proprietario di risorse possa creare un catalogo per le proprie risorse.

Questo articolo illustra come delegare agli utenti che non sono amministratori, in modo che possano creare cataloghi personalizzati. È possibile aggiungere tali utenti al ruolo di autore del catalogo definito dalla gestione entitlement di Microsoft Entra. È possibile aggiungere singoli utenti oppure aggiungere un gruppo i cui membri sono in grado di creare cataloghi. Dopo aver creato un catalogo, è possibile aggiungere risorse di proprietà al catalogo. Possono creare pacchetti e criteri di accesso, inclusi i criteri che fanno riferimento alle organizzazioni connesse esistenti.

Se sono presenti cataloghi da delegare, continuare all’articolo creare e gestire un catalogo di risorse.

Come amministratore IT, delegare a un autore di cataloghi

Seguire questa procedura per assegnare un utente al ruolo di autore del catalogo.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Passare a Identity governance>Gestione entitlement>Impostazioni.

3. Seleziona Modifica

   

4. Nella sezione Delegare la gestione entitlement selezionare Aggiungi autori di cataloghi per selezionare gli utenti o i gruppi a cui si vuole delegare questo ruolo di gestione entitlement.

5. Seleziona Seleziona.

6. Seleziona Salva.

Consentire ai ruoli delegati di accedere all'interfaccia di amministrazione di Microsoft Entra

Per consentire ai ruoli delegati, ad esempio autori di cataloghi e responsabili dei pacchetti di accesso, di accedere all'interfaccia di amministrazione di Microsoft Entra per gestire i pacchetti di accesso, è necessario controllare l'impostazione del portale di amministrazione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Passare a Identità>Utenti>Impostazioni utente.

3. Assicurarsi che Limitare l'accesso al portale di amministrazione di Microsoft Entra sia impostato su No.

   

Gestire le assegnazioni di ruolo a livello di codice

È anche possibile visualizzare e aggiornare le assegnazioni di ruolo specifiche del catalogo correlate a gestione entitlement e autori di cataloghi usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione dotata dell'autorizzazione delegata EntitlementManagement.ReadWrite.All può chiamare l'API Graph per elencare le definizioni di ruolo della gestione entitlement ed elencare le assegnazioni di ruolo a tali definizioni di ruolo.

Per recuperare un elenco di utenti e gruppi assegnati al ruolo di autori del catalogo, il ruolo con ba92d953-d8e0-4e39-a797-0cbedb0a89e8 di ID definizione, usare la query Graph:

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

Passaggi successivi

• Creare e gestire un catalogo di risorse
• Delegare la governance dell'accesso ai responsabili dei pacchetti di accesso
• Delegare la governance dell'accesso ai proprietari delle risorse