Změna nastavení informací o schválení a žadateli pro přístupový balíček ve správě nároků

  • Článek

Aby bylo možné přiřadit přístup, musí mít každý přístupový balíček jednu nebo více zásad přiřazení přístupového balíčku. Když se v Centru pro správu Microsoft Entra vytvoří přístupový balíček, centrum pro správu Microsoft Entra automaticky vytvoří první zásadu přiřazení přístupového balíčku pro tento přístupový balíček. Zásada určuje, kdo může požádat o přístup a kdo, pokud někdo musí schválit přístup.

Jako správce přístupových balíčků můžete kdykoli změnit nastavení informací o schválení a žadateli pro přístupový balíček úpravou existující zásady nebo přidáním nové další zásady pro vyžádání přístupu.

Tento článek popisuje, jak změnit nastavení informací o schválení a žadateli pro existující přístupový balíček prostřednictvím zásad přístupového balíčku.

Schválení

V části Schválení určíte, jestli je vyžadováno schválení, když uživatelé požadují tento přístupový balíček. Nastavení schválení funguje následujícím způsobem:

  • Žádost o schválení s jednou fází musí schválit jenom jeden z vybraných schvalovatelů nebo náhradních schvalovatelů.
  • Žádost o schválení vícefázové žádosti pro žádost o další fázi musí schválit pouze jeden z vybraných schvalovatelů z každé fáze.
  • Pokud některý z vybraných schválených ve fázi odmítne žádost předtím, než ji schválí jiný schvalovatel v této fázi nebo pokud ji nikdo neschválí, žádost se ukončí a uživatel neobdrží přístup.
  • Schvalovatel může být zadaným uživatelem nebo členem skupiny, manažerem žadatele, interním sponzorem nebo externím sponzorem v závislosti na tom, kdo zásady řídí přístup.

Ukázku toho, jak přidat schvalovatele do zásady žádosti, najdete v následujícím videu:

Ukázku toho, jak přidat vícefázové schválení do zásad žádosti, najdete v následujícím videu:

Změna nastavení schválení stávajících zásad přiřazení přístupového balíčku

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pomocí těchto kroků určete nastavení schválení pro žádosti o přístupový balíček prostřednictvím zásad:

Požadovaná role: Globální správce, zásady správného řízení identit Správa istrator, vlastník katalogu nebo Správce balíčků accessu

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. Vyberte zásadu, která chcete upravit, nebo přidejte do přístupového balíčku novou zásadu.

    1. Vyberte Zásady a pak přidejte zásadu , pokud chcete vytvořit novou zásadu.
    2. Vyberte zásadu, kterou chcete upravit, a pak vyberte upravit.

  5. Přejděte na kartu Žádost .

  6. Pokud chcete vyžadovat schválení pro žádosti od vybraných uživatelů, nastavte přepínač Vyžadovat schválení na Ano. Pokud chcete, aby se žádosti automaticky schválily, nastavte přepínač na Ne. Pokud tato zásada umožňuje externím uživatelům mimo vaši organizaci požádat o přístup, měli byste vyžadovat schválení, takže existuje dohled nad tím, kdo se přidává do adresáře vaší organizace.

  7. Pokud chcete, aby uživatelé zadali odůvodnění žádosti o přístupový balíček, nastavte přepínač Vyžadovat odůvodnění žadatele na Ano.

  8. Teď určete, jestli žádosti budou vyžadovat schválení s jednou nebo více fázemi. Nastavte počet fází schválení, které jsou potřeba.

    Access package - Requests - Approval settings

Po výběru požadovaného počtu fází přidejte schvalovatele pomocí následujících kroků:

Jednofázové schválení

  1. Přidejte prvního schvalovatele:

    Pokud je zásada nastavená tak, aby řídila přístup pro uživatele ve vašem adresáři, můžete jako schvalovatele vybrat správce. Nebo můžete přidat konkrétního uživatele tak, že po výběru možnosti Zvolit konkrétní schvalovatele z rozevírací nabídky vyberete Přidat schvalovatele.

    Access package - Requests - For users in directory - First Approver

    Pokud je tato zásada nastavená tak, aby řídila přístup pro uživatele, kteří nejsou ve vašem adresáři, můžete vybrat externího sponzora nebo interního sponzora. Můžete také přidat konkrétního uživatele kliknutím na Přidat schvalovatele nebo skupiny v části Zvolit konkrétní schvalovatele.

    Access package - Requests - For users out of directory - First Approver

  2. Pokud jste jako první schvalovatele vybrali správce , vyberte **Přidat náhradní, pokud chcete vybrat jednoho nebo více uživatelů nebo skupin ve vašem adresáři, kteří mají být náhradním schvalovatelem. Náhradní schvalovatelé obdrží žádost, pokud správa nároků nemůže najít správce pro uživatele, který žádá o přístup.

    Správce je nalezen správou nároků pomocí atributu Manager . Atribut je v profilu uživatele v Microsoft Entra ID. Další informace naleznete v tématu Přidání nebo aktualizace profilové informace uživatele pomocí Microsoft Entra ID.

  3. Pokud jste vybrali možnost Zvolit konkrétní schvalovatele, vyberte Přidat schvalovatele a zvolte jednoho nebo více uživatelů nebo skupin ve vašem adresáři, kteří mají být schvalovateli.

  4. Do pole v části Rozhodnutí musí být provedeno kolik dní?, zadejte počet dní, po které musí schvalovatel zkontrolovat žádost o tento přístupový balíček.

    Pokud žádost není v tomto časovém období schválená, automaticky se odepře. Uživatel bude muset odeslat další žádost o přístupový balíček.

  5. Pokud chcete, aby schvalovatelé zadali odůvodnění svého rozhodnutí, nastavte možnost Vyžadovat odůvodnění schvalovatele na ano.

    Odůvodnění je viditelné ostatním schvalovatelům a žadateli.

Vícefázové schválení

Pokud jste vybrali vícefázové schválení, budete muset přidat schvalovatele pro každou další fázi.

  1. Přidejte druhého schvalovatele:

    Pokud jsou uživatelé ve vašem adresáři, přidejte jako druhého schvalovatele konkrétního uživatele výběrem možnosti Přidat schvalovatele v části Zvolit konkrétní schvalovatele.

    Access package - Requests - For users in directory - Second Approver

    Pokud uživatelé nejsou ve vašem adresáři, vyberte jako druhý schvalovatel interní sponzor nebo externí sponzor . Po výběru schvalovatele přidejte náhradní schvalovatele.

    Access package - Requests - For users out of directory - Second Approver

  2. Zadejte počet dnů, po které musí druhý schvalovatel žádost schválit v poli Rozhodnutí, musí být proveden v kolika dnech?

  3. Nastavte přepínač Vyžadovat odůvodnění schvalovatele na Ano nebo Ne.

    Máte také možnost přidat další fázi pro proces třífázového schvalování. Můžete například chtít, aby manažer zaměstnance byl prvním schvalovatelem přístupového balíčku. Jeden z prostředků v přístupovém balíčku ale obsahuje důvěrné informace. V takovém případě můžete vlastníka prostředku určit jako druhého schvalovatele a kontrolora zabezpečení jako třetího schvalovatele. To umožňuje bezpečnostnímu týmu mít dohled nad procesem a schopnost například odmítnout žádost na základě rizikových kritérií, která nejsou pro vlastníka prostředku známa.

  4. Přidejte třetího schvalovatele:

    Pokud jsou uživatelé ve vašem adresáři, přidejte konkrétního uživatele jako třetího schvalovatele kliknutím na Přidat schvalovatele v části Zvolit konkrétní schvalovatele.

    Pokud uživatelé nejsou ve vašem adresáři, máte také možnost vybrat jako třetího schvalovatele interního sponzora nebo externího sponzora . Po výběru schvalovatele přidejte náhradní schvalovatele.

    Poznámka:

      Podobně jako ve druhé fázi se uživatelům v adresáři vybere **Správce jako schvalovatel** v první nebo druhé fázi schválení, zobrazí se jenom možnost výběru konkrétních schvalovatelů pro třetí fázi schválení.
      Pokud chcete určit vedoucího jako třetího schvalovatele, můžete upravit výběry v předchozích fázích schválení, abyste zajistili, že není vybraný **manažer jako schvalovatel**. Potom byste v rozevíracím seznamu měli vidět **Manažera jako schvalovatele**.
      Pokud uživatelé nejsou ve vašem adresáři a nevybrali jste jako schvalovatele **interního sponzora** nebo **externího sponzora** v předchozích fázích, uvidíte je jako možnosti pro **třetího schvalovatele**. Jinak budete moct vybrat pouze **Zvolit konkrétní schvalovatele**.

  5. Zadejte počet dní, po který třetí schvalovatel musí žádost schválit v poli Rozhodnutí, musí být provedena v kolika dnech?.

  6. Nastavte přepínač Vyžadovat odůvodnění schvalovatele na Ano nebo Ne.

Alternativní schvalovatelé

Můžete zadat alternativní schvalovatele, podobně jako určit primární schvalovatelé, kteří mohou schvalovat žádosti v každé fázi. Alternativní schvalovatelé vám pomůžou zajistit, aby žádosti byly schváleny nebo zamítnuty před vypršením jejich platnosti (vypršení časového limitu). V každé fázi můžete zobrazit seznam alternativních schvalovatelů společně s primárním schvalovatelem.

Zadáním alternativních schvalovatelů ve fázi, pokud primární schvalovatelé nemohli žádost schválit nebo zamítnout, předá se čekající žádost alternativním schvalovatelům podle plánu předávání, který jste zadali během nastavení zásad. Dostanou e-mail ke schválení nebo zamítnutí čekající žádosti.

Jakmile se žádost předá alternativním schvalovatelům, můžou primární schvalovatelé žádost přesto schválit nebo zamítnout. Alternativní schvalovatelé používají ke schválení nebo zamítnutí nevyřízené žádosti stejný osobní web.

Můžete uvést osoby nebo skupiny osob, které mají být schvalovateli a alternativními schvalovateli. Ujistěte se, že uvádíte různé skupiny lidí, které mají být první, druhý a alternativní schvalovatelé. Pokud jste například uvedli Alice a Boba jako schvalovatele první fáze, uveďte jako alternativní schvalovatele Carol a Dave. Pomocí následujícího postupu přidejte alternativní schvalovatele do přístupového balíčku:

  1. V části schvalovatele ve fázi vyberte Zobrazit upřesňující nastavení žádosti.

    Access package - Policy - Show advanced request settings

  2. Nastavte možnost Pokud nebyla provedena žádná akce, přeposlat alternativním schvalovatelům? Přepněte na tlačítko Ano.

  3. Vyberte Přidat alternativní schvalovatele a ze seznamu vyberte alternativní schvalovatele.

    Access package - Policy - Add Alternate Approvers

    Pokud jako schvalovatele vyberete manažera pro prvního schvalovatele, budete mít k dispozici možnost dalšího správce druhé úrovně jako alternativního schvalovatele, který si můžete vybrat v poli alternativního schvalovatele. Pokud vyberete tuto možnost, musíte přidat náhradního schvalovatele, aby žádost předal v případě, že systém nemůže najít správce druhé úrovně.

  4. Do pole Přeposlat alternativním schvalovatelům po kolika dnech zadejte počet dnů, po kterých musí schvalovatelé žádost schválit nebo odepřít. Pokud žádní schvalovatelé žádost neschválili nebo zamítli před dobou trvání žádosti, žádost vyprší (časový limit) a uživatel bude muset odeslat další žádost o přístupový balíček.

    Žádosti je možné předávat pouze alternativním schvalovatelům každý den po zahájení žádosti. Pokud chcete použít alternativní schválení, časový limit žádosti musí být alespoň 4 dny.

Povolení požadavků

  1. Pokud chcete, aby byl přístupový balíček okamžitě zpřístupněn uživatelům v zásadách žádosti, které chtějí požádat, přesuňte přepínač Povolit na ano.

    Jakmile dokončíte vytvoření přístupového balíčku, můžete ho kdykoli v budoucnu povolit.

    Pokud jste vybrali možnost Žádné (pouze přímá přiřazení správce) a nastavíte možnost Ne, nebudou moct správci tento přístupový balíček přímo přiřadit.

    Access package - Policy- Enable policy setting

  2. Vyberte Další.

Shromáždění dalších informací žadatele ke schválení

Abyste měli jistotu, že uživatelé získávají přístup ke správným přístupovým balíčkům, můžete požádat žadatele, aby v době žádosti odpověděli na vlastní textové pole nebo otázky s více volbami. Otázky se pak zobrazí schvalovateli, aby jim pomohly při rozhodování.

  1. Přejděte na kartu Informace o žadateli a vyberte dílčí kartu Otázky .

  2. Do pole Otázka zadejte, co chcete požádat žadatele, označovaného také jako zobrazovaný řetězec.

    Access package - Policy- Enable Requestor information setting

  3. Pokud komunita uživatelů, kteří budou potřebovat přístup k přístupovém balíčku, nemají společný preferovaný jazyk, můžete vylepšit prostředí pro uživatele, kteří požadují přístup na myaccess.microsoft.com. Pokud chcete prostředí vylepšit, můžete poskytnout alternativní zobrazované řetězce pro různé jazyky. Pokud je například webový prohlížeč uživatele nastavený na španělštinu a máte nakonfigurované řetězce pro zobrazení španělštiny, zobrazí se tyto řetězce požadovanému uživateli. Pokud chcete nakonfigurovat lokalizaci požadavků, vyberte přidat lokalizaci.

    1. Jakmile v podokně Přidat lokalizaci pro otázky vyberete kód jazyka pro jazyk, ve kterém otázku lokalizujete.
    2. V jazyce, který jste nakonfigurovali, zadejte otázku do pole Lokalizovaný text .
    3. Po přidání všech potřebných lokalizací vyberte Uložit.

    Access package - Policy- Configure localized text

  4. Vyberte formát odpovědi, ve kterém chcete žadateli odpovědět. Formáty odpovědí zahrnují: krátký text, více voleb a dlouhý text.

    Access package - Policy- Select Edit and localize multiple choice answer format

  5. Pokud vyberete možnost Více voleb, vyberte tlačítko Upravit a lokalizovat a nakonfigurujte možnosti odpovědi.

    1. Po výběru možnosti Upravit a lokalizace podokna pro zobrazení a úpravy se otevře podokno otázek .
    2. Zadejte možnosti odpovědi, které chcete žadateli dát při odpovídání na otázku do polí Hodnoty odpovědi.
    3. Zadejte tolik odpovědí, kolik potřebujete.
    4. Pokud chcete přidat vlastní lokalizaci pro možnosti vícenásobné volby, vyberte volitelný kód jazyka pro jazyk, ve kterém chcete konkrétní možnost lokalizovat.
    5. V jazyce, který jste nakonfigurovali, zadejte možnost do textového pole Lokalizované.
    6. Po přidání všech lokalizací potřebných pro každou možnost vícenásobné volby vyberte Uložit.

    Access package - Policy- Enter multiple choice options

  6. Pokud chcete zahrnout kontrolu syntaxe pro textové odpovědi na otázky, můžete také zadat vlastní vzor regulárních výrazů.
    Screenshot of the add regex localization policy. Pokud chcete zahrnout kontrolu syntaxe pro textové odpovědi na otázky, můžete také zadat vlastní vzor regulárních výrazů.

  7. Pokud chcete požadovat, aby žadatel odpověděl na tuto otázku při žádosti o přístup k přístupovém balíčku, zaškrtněte políčko v části Povinné.

  8. Vyplňte zbývající karty (například životní cyklus) na základě vašich potřeb.

Po nakonfigurování informací žadatele v zásadách přístupového balíčku může zobrazit odpovědi žadatele na otázky. Pokyny k zobrazení informací o žadateli najdete v tématu Zobrazení odpovědí žadatele na otázky.

Další kroky