Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Katalog ist ein Container für Ressourcen und Zugriffspakete. Sie erstellen einen Katalog, wenn Sie zugehörige Ressourcen und Zugriffspakete gruppieren möchten. Standardmäßig ist der Identitätsgovernance-Administrator die am wenigsten privilegierte Rolle, die einen Katalog erstellen kann, und es ermöglicht, andere Benutzer als Katalogbesitzer hinzuzufügen, als eine noch weiter eingeschränkte Berechtigungsoption.
Hinweis
Gemäß dem geringsten Berechtigungszugriff wird empfohlen, nach Möglichkeit in der Berechtigungsverwaltung die Identity Governance-Administratorrolle zu verwenden.
Eine Organisation hat drei Möglichkeiten, Kataloge zu delegieren:
- Zu Beginn eines Pilotprojekts können Administratoren der Identitätsgovernance den Katalog erstellen und verwalten. Später konnten sie beim Wechsel von Pilot zu Produktion einen Katalog delegieren, indem sie dem Katalog nichtadministratoren als Besitzer zuweisen, damit diese Benutzer die Richtlinien in Zukunft verwalten können.
- Wenn es Ressourcen gibt, die keine Besitzer haben, können Administratoren Kataloge erstellen, diese Ressourcen zu jedem Katalog hinzufügen und dann Nichtadministratoren als Besitzer einem Katalog zuweisen. Damit können Benutzer, die weder Administratoren noch Ressourcenbesitzer sind, ihre eigenen Zugriffsrichtlinien für diese Ressourcen verwalten.
- Wenn Ressourcen Besitzer haben, können Administratoren eine Gruppe von Benutzern, z. B. die dynamische Gruppe
All Employees, der Rolle „Katalogersteller“ zuweisen, sodass ein Benutzer in dieser Gruppe, der Ressourcen besitzt, einen Katalog für seine eigenen Ressourcen erstellen kann.
In diesem Artikel wird veranschaulicht, wie Sie eine Delegierung an Benutzer vornehmen, die keine Administratoren sind, damit diese ihre eigenen Kataloge erstellen können. Sie können diese Benutzer*innen zur in der Microsoft Entra-Berechtigungsverwaltung definierten Rolle „Katalogersteller“ hinzufügen. Sie können einzelne Benutzer oder eine ganze Gruppe hinzufügen, deren Mitglieder dann Kataloge erstellen können. Nachdem Sie einen Katalog erstellt haben, können Sie dem Katalog eigene Ressourcen hinzufügen. Sie können Zugriffspakete und -richtlinien erstellen, einschließlich Richtlinien, die auf vorhandene verbundene Organisationen verweisen.
Wenn Sie über vorhandene Kataloge zum Delegieren verfügen, fahren Sie mit dem Erstellen und Verwalten eines Ressourcenkatalogs fort.
Delegieren an einen Katalogersteller als IT-Administrator
Führen Sie diese Schritte aus, um einen Benutzer der Katalogerstellerrolle zuzuordnen.
Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Einstellungen.
Wählen Sie "Bearbeiten" aus.
Wählen Sie im Abschnitt " Berechtigungsverwaltung delegieren " die Option "Katalogersteller hinzufügen " aus, um die Benutzer oder Gruppen auszuwählen, an die Sie diese Berechtigungsverwaltungsrolle delegieren möchten.
Wählen Sie "Auswählen" aus.
Wählen Sie "Speichern" aus.
Zulassen delegierter Rollen den Zugriff auf das Microsoft Entra Admin Center
Wenn Sie delegierten Rollen wie (z. B. Katalogerstellern und Zugriffspaket-Managern), den Zugriff auf das Microsoft Entra Admin Center zum Verwalten von Zugriffspaketen gestatten möchten, sollten Sie die Einstellung im Verwaltungsportal prüfen.
Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Navigieren Sie zu Entra ID>Benutzer>Benutzereinstellungen.
Stellen Sie sicher, dass der Zugriff auf das Microsoft Entra-Verwaltungsportal auf Nein eingestellt ist.
Programmgesteuertes Verwalten von Rollenzuweisungen
Sie können Katalogersteller und katalogspezifische Rollenzuweisungen für die Berechtigungsverwaltung auch mithilfe von Microsoft Graph anzeigen und aktualisieren. Ein Benutzer in einer geeigneten Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All Berechtigung verfügt, kann die Graph-API aufrufen, um die Rollendefinitionen der Berechtigungsverwaltung auflisten und Rollenzuweisungen zu diesen Rollendefinitionen auflisten zu können.
Verwenden Sie zum Abrufen einer Liste der Benutzer und Gruppen, die der Rolle „Katalogersteller“ zugewiesen sind (der Rolle mit der Definitions-ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8) die folgende Graph-Abfrage:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal