Změna nastavení žádosti o přístup pro přístupový balíček ve správě nároků
Jako správce přístupových balíčků můžete kdykoli změnit uživatele, kteří si můžou vyžádat přístupový balíček, úpravou zásad pro žádosti o přiřazení přístupového balíčku nebo přidáním nové zásady do přístupového balíčku. Tento článek popisuje, jak změnit nastavení žádosti pro stávající zásady přiřazení přístupového balíčku.
Volba mezi jednou nebo více zásadami
Způsob, jakým určíte, kdo může požádat o přístupový balíček, je se zásadami. Před vytvořením nové zásady nebo úpravou existujících zásad v přístupovém balíčku je potřeba určit, kolik zásad přístupový balíček potřebuje.
Při vytváření přístupového balíčku můžete zadat nastavení požadavku, schválení a životního cyklu, které jsou uložené v první zásadě přístupového balíčku. Většina přístupových balíčků má jednu zásadu pro uživatele, kteří chtějí požádat o přístup, ale jeden přístupový balíček může mít více zásad. Pokud chcete povolit udělení přiřazení různým skupinám uživatelů s různými nastaveními žádosti a schválení, vytvořte pro přístupový balíček více zásad.
Jednu zásadu například nejde použít k přiřazení interních a externích uživatelů ke stejnému přístupovém balíčku. Ve stejném přístupovém balíčku ale můžete vytvořit dvě zásady, jednu pro interní uživatele a jednu pro externí uživatele. Pokud uživatel požádá o více zásad, zobrazí se mu výzva k výběru zásady, ke které se má přiřadit. Následující diagram znázorňuje přístupový balíček se dvěma zásadami.
Kromě zásad pro uživatele, kteří chtějí požádat o přístup, můžete mít také zásady pro automatické přiřazení a zásady pro přímé přiřazení správci nebo vlastníky katalogu.
Kolik zásad budu potřebovat?
| Scénář | Počet zásad |
|---|---|
| Chci, aby všichni uživatelé v adresáři měli stejné nastavení žádosti a schválení pro přístupový balíček. | Jeden |
| Chci, aby všichni uživatelé v určitých propojených organizacích mohli požádat o přístupový balíček. | Jeden |
| Chci povolit uživatelům v adresáři a také uživatelům mimo adresář požádat o přístupový balíček | Dva |
| Chci pro některé uživatele zadat různá nastavení schválení | Jedna pro každou skupinu uživatelů |
| Chci, aby platnost přiřazení balíčků některým uživatelům vypršela, zatímco jiní uživatelé můžou přístup rozšířit. | Jedna pro každou skupinu uživatelů |
| Chci, aby někteří uživatelé požádali o přístup a jiní uživatelé, kteří mají mít přiřazený přístup správcem | Dva |
| Chci, aby někteří uživatelé v mé organizaci dostávali přístup automaticky, aby ostatní uživatelé v organizaci mohli požádat a jiní uživatelé, kteří mají mít přiřazený přístup správcem | 3 |
Informace o logice priority, která se používá při použití více zásad, najdete v tématu Více zásad.
Otevřete existující přístupový balíček a přidejte novou zásadu s jiným nastavením žádosti.
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Pokud máte sadu uživatelů, kteří by měli mít různá nastavení požadavků a schválení, budete pravděpodobně muset vytvořit novou zásadu. Pokud chcete začít přidávat nové zásady do existujícího přístupového balíčku, postupujte takto:
Požadovaná role: Globální Správa istrator, zásady správného řízení identit Správa istrator, vlastník katalogu nebo Správce balíčků accessu
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.
Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.
Na stránce Přístupové balíčky otevřete přístupový balíček, který chcete upravit.
Vyberte Zásady a pak přidejte zásadu.
Na kartě Základy zadejte název a popis zásady.
Výběrem možnosti Další otevřete kartu Žádosti .
Změňte nastavení přístupu uživatelů, kteří můžou požádat o přístup. Pomocí kroků v následujících částech změňte nastavení na jednu z následujících možností:
Pro uživatele ve vašem adresáři
Pokud chcete uživatelům ve vašem adresáři povolit, aby mohli požádat o tento přístupový balíček, postupujte podle těchto kroků. Při definování zásad žádosti můžete určit jednotlivé uživatele nebo častěji skupiny uživatelů. Vaše organizace už například může mít skupinu, například Všichni zaměstnanci. Pokud je tato skupina přidaná do zásad pro uživatele, kteří můžou požádat o přístup, může o přístup požádat libovolný člen této skupiny.
V části Uživatelé, kteří můžou požádat o přístup, klikněte na Možnost Pro uživatele ve vašem adresáři.
Když vyberete tuto možnost, zobrazí se nové možnosti, které dále upřesní, kdo v adresáři může požádat o tento přístupový balíček.
Vyberte jednu z následujících možností:
Popis Konkrétní uživatelé a skupiny Tuto možnost zvolte, pokud chcete, aby tento přístupový balíček mohli požadovat pouze uživatelé a skupiny ve vašem adresáři, které zadáte. Všichni členové (s výjimkou hostů) Tuto možnost zvolte, pokud chcete, aby všichni členové ve vašem adresáři mohli požádat o tento přístupový balíček. Tato možnost nezahrnuje žádné uživatele typu host, které jste možná pozvali do adresáře. Všichni uživatelé (včetně hostů) Tuto možnost zvolte, pokud chcete, aby tento přístupový balíček mohli požádat všichni členové a uživatele typu host ve vašem adresáři. Uživatelé typu host odkazují na externí uživatele, kteří byli pozváni do vašeho adresáře s Microsoft Entra B2B. Další informace o rozdílech mezi uživateli člena a uživateli typu host naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.
Pokud jste vybrali konkrétní uživatele a skupiny, klikněte na Přidat uživatele a skupiny.
V podokně Vybrat uživatele a skupiny vyberte uživatele a skupiny, které chcete přidat.
Kliknutím na vybrat přidáte uživatele a skupiny.
Pokud chcete vyžadovat schválení, pomocí kroků v nastavení změnit schválení přístupového balíčku ve správě nároků nakonfigurujte nastavení schválení.
Přejděte do části Povolit žádosti .
Pro uživatele, kteří nejsou ve vašem adresáři
Uživatelé, kteří nejsou ve vašem adresáři , odkazují na uživatele, kteří jsou v jiném adresáři nebo doméně Microsoft Entra. Tito uživatelé možná ještě nebyli pozváni do vašeho adresáře. Adresáře Microsoft Entra musí být nakonfigurované tak, aby povolovaly pozvánky v omezeních spolupráce. Další informace najdete v článku Konfigurace nastavení externí spolupráce.
Poznámka:
Uživatelský účet typu host se vytvoří pro uživatele, který ještě není ve vašem adresáři, jehož žádost je schválena nebo automaticky schválena. Host bude pozván, ale neobdrží e-mail s pozvánkou. Místo toho obdrží e-mail při doručení přiřazení přístupového balíčku. Pokud už uživatel typu host nemá přiřazení přístupového balíčku, protože jeho poslední přiřazení vypršelo nebo bylo zrušeno, bude tento uživatelský účet typu host ve výchozím nastavení zablokován v přihlášení a následném odstranění. Pokud chcete, aby uživatelé typu host zůstali ve vašem adresáři neomezeně dlouho, i když nemají přiřazení přístupového balíčku, můžete změnit nastavení konfigurace správy nároků. Další informace o objektu uživatele typu host naleznete v tématu Vlastnosti uživatele spolupráce Microsoft Entra B2B.
Pokud chcete uživatelům, kteří nejsou ve vašem adresáři, povolit, aby požádali o tento přístupový balíček, postupujte takto:
V části Uživatelé, kteří mohou požádat o přístup , klikněte na Možnost Pro uživatele, kteří nejsou ve vašem adresáři.
Když vyberete tuto možnost, zobrazí se nové možnosti.
Vyberte, jestli uživatelé, kteří můžou požádat o přístup, musí být přidruženi k existující připojené organizaci, nebo můžou být všichni na internetu. Propojená organizace je ta, se kterou máte existující vztah, který může mít externí adresář Microsoft Entra nebo jiný zprostředkovatel identity. Vyberte jednu z následujících možností:
Popis Konkrétní propojené organizace Tuto možnost zvolte, pokud chcete vybrat ze seznamu organizací, které správce přidal dříve. O tento přístupový balíček můžou požádat všichni uživatelé z vybraných organizací. Všechny nakonfigurované připojené organizace Tuto možnost zvolte, pokud si můžou tento přístupový balíček vyžádat všichni uživatelé ze všech nakonfigurovaných připojených organizací. Přístupové balíčky můžou požadovat jenom uživatelé z nakonfigurovaných propojených organizací, takže pokud uživatel není z tenanta Microsoft Entra, domény nebo zprostředkovatele identity přidruženého k existující připojené organizaci, nebudou si moct vyžádat. Všichni uživatelé (všechny propojené organizace + všichni noví externí uživatelé) Tuto možnost zvolte, pokud by každý uživatel na internetu měl mít možnost požádat o tento přístupový balíček. Pokud nepatří do připojené organizace ve vašem adresáři, při vyžádání balíčku se pro ně automaticky vytvoří propojená organizace. Automaticky vytvořená propojená organizace bude v navrhovaném stavu. Další informace o navrhovaném stavu naleznete v tématu State property of connected organizations. Pokud jste vybrali konkrétní propojené organizace, klikněte na Přidat adresáře a vyberte ze seznamu propojených organizací, které správce předtím přidal.
Zadejte název nebo název domény, který chcete vyhledat dříve připojenou organizaci.
Pokud organizace, se kterou chcete spolupracovat, není v seznamu, můžete požádat správce, aby ho přidal jako připojenou organizaci. Další informace najdete v tématu Přidání připojené organizace.
Jakmile vyberete všechny připojené organizace, klikněte na Vybrat.
Poznámka:
Tento přístupový balíček můžou požádat všichni uživatelé z vybraných propojených organizací. V případě připojené organizace, která má adresář Microsoft Entra, můžou uživatelé ze všech ověřených domén přidružených k adresáři Microsoft Entra požadovat, pokud nejsou tyto domény blokované seznamem povolených nebo odepřených domén Azure B2B. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.
Potom pomocí kroků v nastavení změnit schválení přístupového balíčku ve správě nároků nakonfigurujte nastavení schválení tak, aby bylo možné určit, kdo by měl schvalovat žádosti od uživatelů, kteří nejsou ve vaší organizaci.
Přejděte do části Povolit žádosti .
Žádné (pouze přímá přiřazení správce)
Pokud chcete obejít žádosti o přístup a povolit správcům přímé přiřazení konkrétních uživatelů k tomuto přístupového balíčku, postupujte podle těchto kroků. Uživatelé nebudou muset požádat o přístupový balíček. Nastavení životního cyklu můžete nastavit i nadále, ale nejsou k dispozici žádná nastavení požadavků.
V části Uživatelé, kteří mohou požádat o přístup, klikněte na možnost Žádné (pouze přímá přiřazení správce).
Po vytvoření přístupového balíčku můžete k přístupovém balíčku přímo přiřadit konkrétní interní a externí uživatele. Pokud zadáte externího uživatele, vytvoří se ve vašem adresáři uživatelský účet typu host. Informace o přímém přiřazování uživatele najdete v tématu Zobrazení, přidání a odebrání přiřazení přístupového balíčku.
Přejděte do části Povolit žádosti .
Poznámka:
Při přiřazování uživatelů k přístupovém balíčku musí správci ověřit, že uživatelé mají na tento přístupový balíček nárok na základě stávajících požadavků zásad. V opačném případě nebudou uživatelé úspěšně přiřazeni k přístupovém balíčku. Pokud přístupový balíček obsahuje zásadu, která vyžaduje schválení uživatelských požadavků, nemůžou být k balíčku přímo přiřazeni bez potřebných schválení od určených schvalovatelů.
Otevření a úprava nastavení žádostí existujících zásad
Pokud chcete změnit nastavení žádosti a schválení přístupového balíčku, musíte otevřít odpovídající zásady s těmito nastaveními. Pokud chcete otevřít a upravit nastavení žádosti pro zásady přiřazení přístupového balíčku, postupujte takto:
Požadovaná role: Globální Správa istrator, zásady správného řízení identit Správa istrator, vlastník katalogu nebo Správce balíčků accessu
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.
Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.
Na stránce Přístupové balíčky otevřete přístupový balíček, jehož nastavení žádosti o zásadu chcete upravit.
Vyberte Zásady a potom klikněte na zásadu, kterou chcete upravit.
V dolní části stránky se otevře podokno Podrobností o zásadách.
Chcete-li zásadu upravit, vyberte Upravit .
Výběrem karty Žádosti otevřete nastavení žádosti.
Podle pokynů v předchozích částech změňte nastavení žádosti podle potřeby.
Přejděte do části Povolit žádosti .
Povolení požadavků
Pokud chcete, aby byl přístupový balíček okamžitě zpřístupněn uživatelům v zásadách žádosti, které chtějí požádat, přesuňte přepínač Povolit na ano.
Jakmile dokončíte vytvoření přístupového balíčku, můžete ho kdykoli v budoucnu povolit.
Pokud jste vybrali možnost Žádné (pouze přímá přiřazení správce) a nastavíte možnost Ne, nebudou moct správci tento přístupový balíček přímo přiřadit.
Vyberte Další.
Pokud chcete požadovat, aby žadateli při žádosti o přístup k přístupovém balíčku poskytli další informace, pomocí kroků v nastavení schválení změn a informací žadatele pro přístupový balíček ve správě nároků nakonfigurujte informace žadatele.
Nakonfigurujte nastavení životního cyklu.
Pokud upravujete zásadu, vyberte Aktualizovat. Pokud přidáváte novou zásadu, vyberte Vytvořit.
Programové vytvoření zásady přiřazení přístupového balíčku
Existují dva způsoby, jak programově vytvořit zásady přiřazení přístupového balíčku prostřednictvím Microsoft Graphu a prostřednictvím rutin PowerShellu pro Microsoft Graph.
Vytvoření zásady přiřazení přístupového balíčku prostřednictvím Graphu
Zásady můžete vytvořit pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, nebo aplikaci v roli katalogu nebo s oprávněním EntitlementManagement.ReadWrite.All , může volat rozhraní API pro vytvoření zásady přiřazení .
Vytvoření zásady přiřazení přístupového balíčku prostřednictvím PowerShellu
V PowerShellu můžete také vytvořit přístupový balíček s rutinami z rutin Prostředí Microsoft Graph PowerShell pro modul zásad správného řízení identit verze 2.1.x nebo novější.
Následující skript znázorňuje vytvoření zásady pro přímé přiřazení přístupového balíčku. V této zásadě může přístup přiřadit jenom správce a neexistují žádná schválení ani kontroly přístupu. Další příklady najdete v tématu Vytvoření zásady automatického přiřazení, například vytvoření zásady automatického přiřazení a vytvoření zásady přiřazení .
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Zabránění žádostem uživatelům s nekompatibilním přístupem
Kromě kontrol zásad, o které může požádat, můžete chtít přístup dále omezit, abyste se vyhnuli uživateli, který už nějaký přístup má – prostřednictvím skupiny nebo jiného přístupového balíčku – od získání nadměrného přístupu.
Pokud chcete nakonfigurovat, že uživatel nemůže požádat o přístupový balíček, pokud už má přiřazení k jinému přístupovém balíčku nebo je členem skupiny, postupujte podle kroků v části Konfigurace oddělení povinností kontroly přístupového balíčku.