делегирование прав доступа используется
Делегирование и роли в управлении правами Azure AD
По умолчанию глобальные администраторы и администраторы управления удостоверениями могут создавать и администрировать все аспекты управления правами Azure AD. Однако пользователи этих ролей могут не учитывать все тонкости, когда требуются пакеты для доступа. Обычно это пользователи в соответствующих отделах, командах или проектах, которые осведомлены о совместной работе с использованием ресурсов и времени. Вместо того чтобы предоставлять неограниченные разрешения для пользователей, не являющихся администраторами, вы можете предоставить пользователям минимальные разрешения, необходимые для выполнения их работы, и избежать создания конфликтующих или неприемлемых прав доступа.
В этом видео содержатся общие сведения о делегировании управления доступом от ИТ-администратора пользователям, которые не являются администраторами.
Пример делегата
Чтобы разобраться с делегированием управления доступом в управлении правами, рассмотрим пример. Предположим, что организация имеет следующих администратора и руководителей.
Как ИТ-администратор, Хана взаимодействует с каждым отделом — Мамта в отделе маркетинга, Марк в финансовом отделе и Джо в юридическом отделе, которые отвечают за ресурсы отдела и критически важное для бизнеса содержание.
С помощью управления правами можно делегировать управление доступом этим пользователям, не являющимся администраторами, которые знают, какой доступ нужен каждому пользователю, сколько времени и какие ресурсы необходимы. Делегирование пользователям, не являющимся администраторами, позволяет сотрудникам управлять доступом в пределах своего отдела.
Вот один из способов, которым Хана могла бы делегировать управление доступом отделам маркетинга, финансовому и юридическому отделу.
Хана создает новую группу безопасности Azure AD и добавляет в нее Мамту, Марка и Джо.
Хана добавляет эту группу к роли создателей каталога.
Мамта, Марк и Джо теперь могут создавать каталоги, добавлять ресурсы для своих отделов и выполнять дальнейшие делегирования в каталоге. Они не видят каталоги друг друга.
Мамта создает каталог Marketing, который представляет собой контейнер ресурсов.
Мамта добавляет в этот каталог ресурсы, которыми владеет отдел маркетинга.
Мамта может добавить других пользователей из своего отдела в качестве владельцев каталога для этого каталога. Это позволит совместно использовать обязанности по управлению каталогом.
Мамта может дополнительно делегировать создание пакетов для доступа и управление ими в каталоге Marketing для руководителей проектов в отделе маркетинга. Она может сделать это, назначив им роль диспетчера пакетов для доступа. Диспетчер пакетов для доступа может создавать пакеты для доступа и управлять ими.
На следующей диаграмме показаны каталоги с ресурсами для отдела маркетинга, финансового и юридического отделов. С помощью этих каталогов руководители проектов могут создавать пакеты для доступа своих команд или проектов.
После делегирования отдел маркетинга может иметь роли, аналогичные ролям, приведенным в следующей таблице.
| Пользователь | Должностные роли | Роль Azure AD | Роль управления правами |
|---|---|---|---|
| Хана | ИТ-администратор | Глобальный администратор или администратор управления удостоверениями | |
| Мамта | Руководитель отдела маркетинга | Пользователь | Создатель и владелец каталогов |
| Владимир | Потенциальный клиент отдела маркетинга | Пользователь | Владелец каталогов |
| Джесика | Руководитель проекта отдела маркетинга | Пользователь | Диспетчер пакетов для доступа |
Роли управления правами
Управление правами имеет следующие роли, которые относятся к специальному управлению правами.
| Роль управления правами | Идентификатор определения роли | Описание |
|---|---|---|
| Создатель каталогов | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 | Создает каталоги и управляет ими. Как правило, это ИТ-администратор, не являющийся глобальным администратором, или владельцем ресурса для коллекции ресурсов. Пользователь, который создает каталог, автоматически становится первым владельцем каталога и может добавлять дополнительных владельцев. Создатель каталога не может управлять каталогами, которыми он не владеет, и добавлять ресурсы, не принадлежащие каталогу. Если создателю каталога необходимо управлять другим каталогом или добавить ресурсы, которыми он не владеет, он может запросить совладельца этого каталога или ресурса. |
| Владелец каталогов | ae79f266-94d4-4dab-b730-feca7e132178 | Изменяет существующие каталоги и управляет ими. Как правило, это ИТ-администратор, или владельцы ресурсов, или пользователь, которого выбрал владелец каталога. |
| Средство чтения каталога | 44272f93-9762-48e8-af59-1b5351b1d6b3 | Просмотр существующих пакетов для доступа в каталоге. |
| Диспетчер пакетов для доступа | 7f480852-ebdc-47d4-87de-0d8498384a83 | Изменяет любые существующие пакеты для доступа в каталоге и для управляет пакетами. |
| Диспетчер назначения пакетов для доступа | e2182095-804a-4656-ae11-64734e9b7ae5 | Изменяет любые назначения существующих пакетов для доступа и для управляет назначениями. |
Кроме того, выбранному пользователю, утверждающему и запрашивающему пакет для доступа, назначены права, которые не являются ролями.
| Правый | Описание |
|---|---|
| Утверждающий | Пользователь, которому политикой предоставлены полномочия для разрешения или запрета запросов на пакеты для доступа, однако он не может изменять определения пакетов для доступа. |
| Requestor | Пользователь, которому политикой предоставлены полномочия на запросы пакетов для доступа. |
В следующей таблице перечислены задачи, которые могут выполнять роли управления правами.
| Задача | Административный | Создатель каталогов | Владелец каталогов | Диспетчер пакетов для доступа | Диспетчер назначения пакетов для доступа |
|---|---|---|---|---|---|
| Делегировать создателю каталогов | ✔️ | ||||
| Добавление подключенной организации | ✔️ | ||||
| Создать новый каталог | ✔️ | ✔️ | |||
| Добавить ресурс к каталогу | ✔️ | ✔️ | |||
| Добавить владельца каталога | ✔️ | ✔️ | |||
| Редактирование каталога | ✔️ | ✔️ | |||
| Удаление каталога | ✔️ | ✔️ | |||
| Делегировать диспетчеру пакетов для доступа | ✔️ | ✔️ | |||
| Удалить диспетчера пакетов для доступа | ✔️ | ✔️ | |||
| Создать в каталоге новый пакет для доступа | ✔️ | ✔️ | ✔️ | ||
| Изменить роли ресурсов в пакете для доступа | ✔️ | ✔️ | ✔️ | ||
| Создать и редактировать политики | ✔️ | ✔️ | ✔️ | ||
| Непосредственно назначить пользователя пакету для доступа | ✔️ | ✔️ | ✔️ | ✔️ | |
| Непосредственно удалить пользователя из пакета для доступа | ✔️ | ✔️ | ✔️ | ✔️ | |
| Просмотр пользователей, которым назначен пакет для доступа | ✔️ | ✔️ | ✔️ | ✔️ | |
| Просмотр запросов пакета для доступа | ✔️ | ✔️ | ✔️ | ✔️ | |
| Просмотр ошибок доставки запроса | ✔️ | ✔️ | ✔️ | ✔️ | |
| Повторная обработка запроса | ✔️ | ✔️ | ✔️ | ✔️ | |
| Отмена ожидающего запроса | ✔️ | ✔️ | ✔️ | ✔️ | |
| Скрыть пакет для доступа | ✔️ | ✔️ | ✔️ | ||
| Удалить пакет для доступа | ✔️ | ✔️ | ✔️ |
Роли, необходимые для добавления ресурсов в каталог
Глобальный администратор может добавлять или удалять любые группы (созданные в облаке группы безопасности или облачные группы Microsoft 365), приложения или сайты SharePoint Online в каталоге. Администратор пользователей может добавлять или удалять любые группы или приложения в каталоге, кроме группы, назначенной для роли каталога. Дополнительные сведения о группах, назначаемых для роли каталога, см. в статье Создание группы, назначаемой для роли каталога, в Azure Active Directory.
Пользователи, которым назначена роль администратора пользователей, больше не смогут создавать каталоги и управлять пакетами для доступа в каталогах, которыми они не владеют. Если пользователям в организации назначена роль администратора пользователей, то для настройки каталогов, пакетов для доступа и политик в управлении правами следует назначить этим пользователям роль администратора управления удостоверениями.
Для пользователя, который не является глобальным администратором: чтобы добавлять группы, приложения или сайты SharePoint Online в каталог, этот пользователь должен иметь как роль каталога Azure AD или владельца ресурса, так и роль управления правами владельца каталога. В следующей таблице перечислены сочетания ролей, необходимые для добавления ресурсов в каталог. Чтобы удалить ресурсы из каталога, необходимо иметь одни и те же роли.
| Роль каталога Azure AD | Роль управления правами | Может добавить группу безопасности | Может добавить группу Microsoft 365 | Может добавить приложение | Может добавить сайт SharePoint Online |
|---|---|---|---|---|---|
| Глобальный администратор | Недоступно | ✔️ | ✔️ | ✔️ | ✔️ |
| Администратор пользователей | Недоступно | ✔️ | ✔️ | ✔️ | |
| Администратор Intune | Владелец каталогов | ✔️ | ✔️ | ||
| Администратор Exchange | Владелец каталогов | ✔️ | |||
| Администратор службы Teams | Владелец каталогов | ✔️ | |||
| Администратор SharePoint | Владелец каталогов | ✔️ | ✔️ | ||
| администратор приложения; | Владелец каталогов | ✔️ | |||
| администратор облачных приложений. | Владелец каталогов | ✔️ | |||
| Пользователь | Владелец каталогов | Только для владельца группы | Только для владельца группы | Только для владельца приложения |
Чтобы определить минимально привилегированную роль для задачи, можно ссылаться на роли администратора по задаче администрирования в Azure Active Directory.
Программное управление назначениями ролей (предварительная версия)
Вы также можете просматривать и обновлять назначения ролей создателей каталога и ролей управления правами в каталоге, используя Microsoft Graph. Пользователь с соответствующей ролью в приложении с делегированным разрешением EntitlementManagement.ReadWrite.All может вызвать API Graph, чтобы получить список определений ролей управления правами и список назначений ролей для этих определений ролей.
Например, чтобы просмотреть роли управления правами, которые назначены определенному пользователю или группе, используйте запрос Graph, чтобы вывести список назначений ролей, и укажите идентификатор пользователя или группы в качестве значения фильтра запроса principalId :
Для роли, относящейся к каталогу, appScopeId в ответе указывает каталог, в котором пользователю назначена роль. Обратите внимание, что в этом ответе возвращаются только явные назначения роли управления правами субъекту. Права, полученные пользователем посредством роли каталога или членства в группе с ролью, не возвращаются.
Принцип делегирования полномочий
Делегирование – это передача определенных задач от сотрудника сотруднику. Это неотъемлемая часть деятельности любой компании. Метод делегирования используется в любом коллективе, даже если сам этот термин не используется. Однако эффективность передачи полномочий зависит от правильности проведения этого мероприятия.
Вопрос: Когда возникает право подписи документов ООО у управляющего — индивидуального предпринимателя, которому переданы полномочия единоличного исполнительного органа: после принятия решения общим собранием участников о передаче ему полномочий или после внесения соответствующих изменений в ЕГРЮЛ?
Посмотреть ответ
Понятие делегирования
Делегирование – это мероприятие по передачи функций от управляющего лица другим работникам. Руководитель ставит перед сотрудником определенные задачи, наделяет его полномочиями для их решения. Самый распространенный пример делегирования – работа по должностной инструкции. Принцип передачи полномочий позволяет руководителю избавиться от самой рутинной работы и заняться только решением приоритетных задач. Если в малой компании управленец еще может справляться со всеми своими функциями самостоятельно, то на большом предприятии это – невыполнимая задача.
Цели делегирования
Такой инструмент, как делегирование, используется для следующих целей:
Как составить договор о передаче полномочий единоличного исполнительного органа АО управляющему (управляющей организации)?
Это основные цели. Каждая из них влечет за собой выполнение побочных целей. К примеру, руководитель с уменьшенной нагрузкой может решать больше творческих задач, которые позволяют не просто сохранять, но и повышать статус предприятия. Второстепенные задачи могут снизить эффективность деятельности руководителя. Делегирование увеличивает качественную занятость нижних звеньев. То есть сотрудники, не являющиеся руководителями, получают доступ к более сложным и творческим задачам. Это увеличивает заинтересованность в работе, повышает производительность.
Принципы эффективного делегирования
Делегирование осуществляется в соответствии с рядом принципов. Если передача полномочий выполняется правильно, это увеличивает эффективность работы компании на 30-40%. Рассмотрим базовые принципы делегирования:
Соблюдение перечисленных принципов позволяет избежать замедление работы на предприятии.
Разновидности полномочий
При использовании инструмента нужно понять особенности полномочий, которые передаются. Под полномочиями понимаются ресурсы для исполнения поставленной задачи. Рассмотрим основные формы полномочий:
Существует две формы управления: централизованная и децентрализованная. В первом случае большая часть решений принимается высшим руководством. Во втором случае решение важных задач может быть доверено сотрудникам, не относящимся к высшему звену. В последнем варианте сотрудники получают доступ к решению более творческих задач.
Базовые правила передачи полномочий
Делегирование осуществляется в соответствии с правилами, которые были сформированы опытным путем:
К СВЕДЕНИЮ! Большинство руководителей опасаются делегирования из-за страха того, что сотрудник не справится с задачей. Поэтому именно управленец должен «думать» за работника, предотвращать риск провала проекта. Наиболее простой инструмент – контроль выполнения задачи на каждом этапе ее исполнения.
Что не стоит доверять своим подчиненным?
При делегировании наблюдается две ошибки: страх передачи полномочий сотрудникам или неограниченное делегирование. Не все задачи можно и нужно передавать. Неправильное исполнение ключевых задач может привести к снижению эффективности предприятия. Ошибки в части работы могут быть действительно фатальными. Рассмотрим задачи, которые нежелательно делегировать:
Сотрудникам передаются задачи с поставленными сроками и инструкциями к выполнению. Работникам передается только то, что возможно проконтролировать. Это поможет снизить риски, сопряженные с делегированием. В обратном случае могут возникнуть проблемы.
К примеру, руководитель доверил подчиненному задачу со сжатыми сроками выполнения. Сотрудник плохо справился с заданием, а времени для проверки и для исправления работы не осталось. Работник, которому передаются полномочия, должен обладать соответствующими знаниями. Сотрудник должен понимать, как решать поставленную задачу.
Не рекомендуется передавать те задания, которые должен выполнять непосредственно сам руководитель. Существует работа, которая предполагает высочайший уровень знаний и опыта. К примеру, это следующие задачи:
Если руководитель будет брать на себя полную ответственность за делегированные задачи, никаких проблем не возникнет. Сотрудникам поручается задание с поставленными сроками. Предлагаются рекомендации по выполнению. Сотруднику устанавливается промежуточный срок выполнения. После руководитель проверяет результаты работы, исправляет ошибки работника.
Что такое делегирование: основные принципы и секреты эффективности
Содержание
Что такое делегирование
Делегирование — это передача задач или компетенций от руководителя к подчиненному. Делегирование отличается от обычного распределения обязанностей тем, что здесь передают задачи из «мира» руководителя.
Например, у руководителя назначена встреча с потенциальными партнерами. Он знает, что им важно наглядно увидеть показатели будущего проекта. Чтобы проиллюстрировать питч, эффективный руководитель придумает содержание презентации, а оформление делегирует сотруднику. Пока работник ее оформляет, менеджер сможет подготовиться к переговорам.
Что подойдет для делегирования:
Простые задачи, которые отнимают время и отвлекают от стратегической работы: регистрация на мероприятия, бронирование билетов и жилья для командировки, ручной перенос списка в Excel-таблицу.
Задачи, выполнять которые можно научить сотрудника, чтобы не заниматься ими самостоятельно: подготовка официальных запросов в госорганы, сбор информации о заказчике или конкурентах.
Задачи, в которых руководителю может не хватать компетенций: ведение личных страниц в соцсетях, разработка сайта-визитки, data-анализ.
Задачи, которые накладываются на другие важные процессы, но должны быть выполнены в любом случае: представительство компании, когда руководитель в командировке, простая коммуникация с подрядчиками.
В чем преимущества делегирования
Если управленец снимает с себя часть рутины, он освобождает время для работы над задачами более высокого уровня: планирования развития компании, анализа отчетов, переговоров с новыми партнерами. Делегирование помогает снизить риск срыва дедлайнов, а это повышает эффективность компании в целом.
Исследование Gallup показало, что средняя выручка компаний из списка Inc.500, чьи руководители владеют навыком делегирования на высоком уровне, в 2013 году оказалась на 33% выше, чем у фирм, чьи руководители имеют низкий уровень делегирования [1].
Кроме того, когда вы передаете часть своих дел сотрудникам, то даете им возможность перенять те навыки и знания, которые помогают принимать важные решения. Такой рост сотрудников ускоряет общий темп работы, а также защищает коллектив в экстренных ситуациях. Команда будет знать, что делать, если руководитель заболеет или уйдет в отпуск.
Когда начать делегировать
Ориентируйтесь на свое расписание. Если работа начала отнимать слишком много времени и личных ресурсов и крадет отпускные дни, стоит перераспределить нагрузку. Можно отдать часть задач текущим сотрудникам или нанять личного ассистента, в том числе удаленного.
Определить количество нагрузки поможет закон Миллера. В своей статье «Магическое число семь плюс-минус два» американский психолог Джордж Миллер отмечал, что человек может удерживать в кратковременной памяти не больше 7 ± 2 элемента [2]. Если в течение дня количество дел, о которых нужно постоянно помнить, приближается к этому значению или превышает его, это сигнал к изменению расписания.
Почему делегировать получается не у всех
Есть шесть основных причин, почему руководители отказываются передавать часть своих задач подчиненным или перестают это делать, столкнувшись с проблемами.
Выбирают не того сотрудника. Прежде чем отдать задачу, нужно понять, есть ли у подчиненного знания и навыки для ее выполнения, как задача от руководства соотносится с его карьерными интересами и целями и какая у сотрудника нагрузка. Лучше делегировать работникам, которые максимально близки к «операционке»: именно они знают все детали ежедневных задач.
Не хотят объяснять. Управленцам кажется, что они впустую тратят время на объяснения, хотя могли бы заниматься делом. Но если не давать четких инструкций, сотрудник ничему не научится и не сможет облегчить нагрузку руководителя. Чем конкретнее и понятнее вы объясните, что хотите от коллеги, зачем, когда и в каком виде это нужно, тем вероятнее он сделает все правильно.
Делегируют группе. Сотрудник должен понимать, за что именно и в какой срок он отвечает. Стоит отдавать работнику всю задачу сразу, чтобы он видел свою зону ответственности.
Поручают неверные задачи. Людям свойственно передавать решения, от которых зависят другие, чтобы избежать ответственности или осуждения [3]. Но руководитель не имеет права передавать некоторые дела сотрудникам, если это не их уровень принятия решений. К таким делам относят:
Вмешиваются в уже переданные задачи. Страх потерять контроль и перфекционизм заставляют некоторых руководителей встревать в работу и забирать у сотрудников задачи обратно со словами «я сам». Важно помнить, что работники, которые впервые занимаются порученным делом, могут выполнять его медленнее, чем хочется. Но это нормально — это часть их обучения.
Компетентный сотрудник научится и будет работать быстрее. Если у него возникают вопросы во время работы, стоит ответить на них и дать рекомендации, но не делать их вместо работника. А замечания полезнее давать к результату.
Не оставляют время на проверку. Для делегированной задачи нужно заложить время на обратную связь и доработку. Обратная связь — ключевой фактор успеха в делегировании. Она помогает повысить как уверенность работника в собственных силах, так и авторитет руководителя. Поэтому если отчет нужно сдать в следующий понедельник, стоит ставить дедлайн на пятницу, чтобы остался день на доработку.
При этом если принимать работу, которая не устраивает по качеству, сотрудник не научится выполнять задачи как нужно. А руководитель будет постоянно исправлять ошибки.
Как научиться делегировать
Необходимо разобраться, почему вы этого еще не делаете и где могут быть трудности. Например, перфекционизм, страх потери контроля или авторитета могут потребовать работы с психологом. Нехватка времени, боязнь ошибиться в сотруднике решаются через развитие soft skills и внедрение принципов тайм-менеджмента.
Чтобы эффективно делегировать: