Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um catálogo é um contêiner de recursos e pacotes de acesso. Você cria um catálogo quando deseja agrupar recursos relacionados e acessar pacotes. Por padrão, a função Administrador de Governança de Identidade é a função menos privilegiada que pode criar um catálogoe pode adicionar outros usuários como proprietários de catálogo como uma opção de privilégio ainda menor.
Nota
Após o acesso com privilégios mínimos, recomenda-se usar a função de Administrador de Governança de Identidade quando possível no gerenciamento de direitos.
Há três maneiras pelas quais uma organização pode delegar com catálogos:
- Ao iniciar um projeto piloto, os administradores de governança de identidade podem criar e gerenciar o catálogo. Mais tarde, ao passar do piloto para a produção, eles poderiam delegar um catálogo atribuindo não administradores como proprietários ao catálogo, para que esses usuários pudessem manter as políticas no futuro.
- Se houver recursos que não tenham proprietários, os administradores poderão criar catálogos, adicionar esses recursos a cada catálogo e, em seguida , atribuir não administradores como proprietários a um catálogo. Isso permite que os usuários que não são administradores e não são proprietários de recursos gerenciem suas próprias políticas de acesso para esses recursos.
- Se os recursos tiverem proprietários, os administradores poderão atribuir uma coleção de usuários, como um
All Employeesgrupo dinâmico, à função de criadores de catálogo, para que um usuário que esteja nesse grupo e possua recursos possa criar um catálogo para seus próprios recursos.
Este artigo ilustra como delegar a usuários que não são administradores, para que eles possam criar seus próprios catálogos. Você pode adicionar esses usuários à função de criador de catálogo definido pelo gerenciamento de direitos do Microsoft Entra. Você pode adicionar usuários individuais ou adicionar um grupo cujos membros podem criar catálogos. Depois de criar um catálogo, pode adicionar os recursos que eles possuem ao catálogo deles. Eles podem criar pacotes e políticas de acesso, incluindo políticas que fazem referência a organizações conectadas existentes.
Se você tiver catálogos existentes para delegar, continue no artigo criar e gerenciar um catálogo de recursos .
Como administrador de TI, delegue a um criador de catálogo
Siga estas etapas para atribuir um usuário à função de criador de catálogo.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de ID>Gerenciamento de direitos>Configurações.
Selecione Editar.
Na seção Delegar gerenciamento de direitos, selecione Adicionar criadores de catálogo para selecionar os usuários ou grupos aos quais você deseja delegar essa função de gerenciamento de direitos.
Selecione Selecionar.
Selecione Guardar.
Permitir que funções delegadas acessem o centro de administração do Microsoft Entra
Para permitir que funções delegadas, como criadores de catálogos e gerenciadores de pacotes de acesso, acessem o centro de administração do Microsoft Entra para gerenciar pacotes de acesso, verifique a configuração do portal de administração.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Entra ID>Utilizadores>Configurações de utilizador.
Certifique-se de que Restringir acesso ao portal de administração do Microsoft Entra está definido como Não.
Gerenciar atribuições de função programaticamente
Você também pode exibir e atualizar criadores de catálogo e atribuições de função específicas do catálogo de gerenciamento de direitos usando o Microsoft Graph. Um utilizador numa função apropriada com uma aplicação que tenha a permissão delegada EntitlementManagement.ReadWrite.All pode chamar a API do Graph para listar as definições de funções da gestão de direitos e listar as atribuições de funções para essas definições.
Para recuperar uma lista dos utilizadores e grupos atribuídos à função de criadores de catálogo, a função com ID de definição ba92d953-d8e0-4e39-a797-0cbedb0a89e8, use a consulta Graph:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal