Hozzáférési csomag létrehozása a jogosultságkezelésben

  • Cikk

A hozzáférési csomag lehetővé teszi az erőforrások és szabályzatok egyszeri beállítását, amely automatikusan felügyeli a hozzáférést a hozzáférési csomag élettartama során. Ez a cikk bemutatja, hogyan hozhat létre hozzáférési csomagot.

Áttekintés

Minden hozzáférési csomagnak katalógusnak nevezett tárolóban kell lennie. A katalógus meghatározza, hogy milyen erőforrásokat adhat hozzá a hozzáférési csomaghoz. Ha nem ad meg katalógust, a hozzáférési csomag az általános katalógusba kerül. Egy meglévő hozzáférési csomag jelenleg nem helyezhető át másik katalógusba.

A hozzáférési csomagokkal több, a katalógusban található erőforrás szerepköreihez is hozzárendelhetők hozzáférések. Ha Ön rendszergazda vagy katalógustulajdonos, a hozzáférési csomag létrehozásakor erőforrásokat adhat hozzá a katalógushoz. A hozzáférési csomag létrehozása után is hozzáadhat erőforrásokat, és a hozzáférési csomaghoz rendelt felhasználók is megkapják a további erőforrásokat.

Ha Ön hozzáférési csomagkezelő, nem adhat hozzá saját erőforrásokat egy katalógushoz. Csak a katalógusban elérhető erőforrásokat használhatja. Ha erőforrásokat szeretne hozzáadni egy katalógushoz, kérdezze meg a katalógus tulajdonosát.

Minden hozzáférési csomagnak rendelkeznie kell legalább egy szabályzattal ahhoz, hogy a felhasználók hozzájuk legyenek rendelve. A szabályzatok meghatározzák, hogy ki kérheti le a hozzáférési csomagot, valamint a jóváhagyási és életciklus-beállításokat, illetve a hozzáférés automatikus hozzárendelését. Hozzáférési csomag létrehozásakor létrehozhat egy kezdeti házirendet a címtárban lévő felhasználók, a címtárban nem szereplő felhasználók vagy csak a közvetlen rendszergazdai hozzárendelések számára.

Diagram of an example marketing catalog, including its resources and its access package.

Az alábbiakban a kezdeti szabályzattal rendelkező hozzáférési csomag létrehozásának magas szintű lépéseit találja:

  1. Az Identity Governanceben indítsa el a hozzáférési csomag létrehozásának folyamatát.

  2. Válassza ki azt a katalógust, ahová a hozzáférési csomagot el szeretné helyezni, és győződjön meg arról, hogy rendelkezik a szükséges erőforrásokkal.

  3. Erőforrás-szerepkörök hozzáadása a katalógus erőforrásaiból a hozzáférési csomaghoz.

  4. Adjon meg egy kezdeti szabályzatot azoknak a felhasználóknak, akik hozzáférést kérhetnek.

  5. Adja meg a jóváhagyási beállításokat és az életciklus-beállításokat ebben a szabályzatban.

Ezután a hozzáférési csomag létrehozása után módosíthatja a rejtett beállítást, hozzáadhat vagy eltávolíthat erőforrás-szerepköröket, és további szabályzatokat vehet fel.

A létrehozási folyamat elindítása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A következő lépések végrehajtásához globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator, katalógustulajdonos vagy hozzáférési csomagkezelő szerepkörre van szüksége.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

  3. Válassza az Új hozzáférési csomag lehetőséget.

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Alapismeretek konfigurálása

Az Alapszintű beállítások lapon adjon nevet a hozzáférési csomagnak, és adja meg, hogy melyik katalógusban hozza létre a hozzáférési csomagot.

  1. Adja meg a hozzáférési csomag megjelenítendő nevét és leírását. A felhasználók ezt az információt a hozzáférési csomagra vonatkozó kérés elküldésekor fogják látni.

  2. A Katalógus legördülő listában válassza ki azt a katalógust, ahová a hozzáférési csomagot el szeretné helyezni. Előfordulhat például, hogy van egy katalógustulajdonosa, aki kezeli az összes kérhető marketingerőforrást. Ebben az esetben kiválaszthatja a marketingkatalógust.

    Csak azokat a katalógusokat látja, amelyekben hozzáférési csomagok létrehozására jogosult. Ha hozzáférési csomagot szeretne létrehozni egy meglévő katalógusban, globális Rendszergazda istratornak vagy identitásszabályozási Rendszergazda istratornak kell lennie. Vagy katalógustulajdonosnak vagy hozzáférési csomagkezelőnek kell lennie a katalógusban.

    Screenshot that shows basic information for a new access package.

    Ha Ön globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator vagy katalóguskészítő, és a hozzáférési csomagot egy nem listázott új katalógusban szeretné létrehozni, válassza az Új katalógus létrehozása lehetőséget. Adja meg a katalógus nevét és leírását, majd válassza a Létrehozás lehetőséget.

    A létrehozott hozzáférési csomag és a benne található erőforrások bekerülnek az új katalógusba. Később további katalógustulajdonosokat adhat hozzá, vagy attribútumokat adhat hozzá a katalógusban szereplő erőforrásokhoz. Ha többet szeretne megtudni arról, hogyan szerkesztheti egy adott katalógus-erőforrás attribútumlistáját és az előfeltétel-szerepköröket, olvassa el az Erőforrásattribútumok hozzáadása a katalógusban című témakört.

  3. Válassza a Tovább: Erőforrás-szerepkörök lehetőséget.

Erőforrás-szerepkörök kiválasztása

Az Erőforrásszerepkörök lapon válassza ki a hozzáférési csomagba felvenni kívánt erőforrásokat. A hozzáférési csomagot kérő és fogadó felhasználók a hozzáférési csomag összes erőforrásszerepkörét, például csoporttagságát megkapják.

Ha nem tudja biztosan, hogy mely erőforrás-szerepköröket vegye fel, a hozzáférési csomag létrehozásakor kihagyhatja a hozzáadásukat, majd később hozzáadhatja őket .

  1. Válassza ki a hozzáadni kívánt erőforrástípust (Csoportok és Teams, Alkalmazások vagy SharePoint-webhelyek).

  2. A megjelenő Alkalmazások kiválasztása panelen válasszon ki egy vagy több erőforrást a listából.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Ha a hozzáférési csomagot az általános katalógusban vagy egy új katalógusban hozza létre, bármelyik erőforrást kiválaszthatja a saját könyvtárából. Legalább globális rendszergazdának, identitásszabályozási Rendszergazda istratornak vagy katalóguskészítőnek kell lennie.

    Megjegyzés:

    Dinamikus csoportokat adhat hozzá egy katalógushoz és egy hozzáférési csomaghoz. Azonban csak a tulajdonosi szerepkört választhatja ki, ha dinamikus csoporterőforrást kezel egy hozzáférési csomagban.

    Ha egy meglévő katalógusban hozza létre a hozzáférési csomagot, kiválaszthatja a katalógusban már szereplő erőforrásokat anélkül, hogy az erőforrás tulajdonosának kellene lennie.

    Ha Ön globális rendszergazda, identitásszabályozási Rendszergazda istrator vagy katalógustulajdonos, választhatja a tulajdonában vagy felügyeletével rendelkező, de a katalógusban még nem szereplő erőforrásokat. Ha az erőforrásokat a címtárban választja ki, de jelenleg nem a kijelölt katalógusban, akkor ezeket az erőforrásokat más katalógusgazdák is hozzáadják a katalógushoz a hozzáférési csomagok létrehozásához. A katalógushoz hozzáadható összes erőforrás megtekintéséhez jelölje be az Összes megtekintése jelölőnégyzetet a panel tetején. Ha csak azokat az erőforrásokat szeretné kijelölni, amelyek jelenleg a kijelölt katalógusban találhatók, hagyja üresen az Összes megtekintése jelölőnégyzetet (az alapértelmezett állapot).

  3. A Szerepkör listában válassza ki azt a szerepkört, amelyhez a felhasználókat hozzá szeretné rendelni az erőforráshoz. Az erőforrás megfelelő szerepköreinek kiválasztásával kapcsolatos további információkért tekintse meg , hogyan határozhatja meg, hogy mely erőforrás-szerepkörök szerepeljenek egy hozzáférési csomagban.

    Screenshot that shows resource role selection for a new access package.

  4. Válassza a Tovább: Kérések lehetőséget.

Kérelemszabályzatok létrehozása

A Kérések lapon hozza létre az első szabályzatot, amely meghatározza, hogy ki kérheti le a hozzáférési csomagot. A jóváhagyási beállításokat is konfigurálhatja. Később további kérési szabályzatokat hozhat létre, amelyek lehetővé teszik, hogy a felhasználók további csoportjai saját jóváhagyási beállításokkal kérhessék a hozzáférési csomagot.

Screenshot that shows the Requests tab for a new access package.

Attól függően, hogy mely felhasználók igényelhetik ezt a hozzáférési csomagot, hajtsa végre a lépéseket az alábbi szakaszok egyikében.

A hozzáférési csomag kérésének engedélyezése a címtárban lévő felhasználók számára

Ha engedélyezni szeretné, hogy a címtár felhasználói igényelhessék ezt a hozzáférési csomagot, kövesse az alábbi lépéseket. A kérelemházirend meghatározásakor megadhatja az egyes felhasználókat vagy (gyakrabban) felhasználói csoportokat. Előfordulhat például, hogy a szervezetnek már van egy olyan csoportja, mint a Minden alkalmazott. Ha ezt a csoportot hozzáadja a szabályzat azokhoz a felhasználókhoz, akik hozzáférést kérhetnek, a csoport bármely tagja kérheti a hozzáférést.

  1. A Hozzáférés igénylésére jogosult felhasználók szakaszban válassza a Címtárban lévő felhasználók számára lehetőséget.

    Ha ezt a lehetőséget választja, új beállítások jelennek meg, így pontosíthatja, hogy ki kérheti ezt a hozzáférési csomagot a címtárban.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. Válasszon a következő lehetőségek közül:

    Lehetőség Leírás
    Adott felhasználók és csoportok Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy csak a megadott felhasználók és csoportok igényelhessék ezt a hozzáférési csomagot.
    Minden tag (a vendégek kivételével) Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy a címtár összes tagfelhasználója igényelhesse ezt a hozzáférési csomagot. Ez a beállítás nem tartalmaz olyan vendégfelhasználókat, akiket meghívhatott volna a címtárába.
    Minden felhasználó (beleértve a vendégeket is) Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy a címtár összes tag- és vendégfelhasználója igényelhesse ezt a hozzáférési csomagot.

    A vendégfelhasználók olyan külső felhasználók, akiket meghívtak a címtárba a Microsoft Entra B2B-vel. A tagfelhasználók és a vendégfelhasználók közötti különbségekről további információt a Microsoft Entra ID alapértelmezett felhasználói engedélyei című témakörben talál.

  3. Ha az Adott felhasználók és csoportok lehetőséget választotta, válassza a Felhasználók és csoportok hozzáadása lehetőséget.

  4. A Felhasználók és csoportok kijelölése panelen válassza ki a hozzáadni kívánt felhasználókat és csoportokat.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Válassza a Kiválasztás lehetőséget a felhasználók és csoportok hozzáadásához.

  6. Ugorjon le a Jóváhagyási beállítások megadása szakaszra.

A címtárban nem szereplő felhasználók kérhetik a hozzáférési csomagot

Előfordulhat, hogy egy másik Microsoft Entra-címtárban vagy -tartományban lévő felhasználók még nem lettek meghívva a címtárba. A Microsoft Entra-címtárakat úgy kell konfigurálni, hogy engedélyezve legyenek a meghívások együttműködési korlátozásokban. For more information, see Configure external collaboration settings.

Létrejön egy vendégfelhasználói fiók egy olyan felhasználó számára, aki még nem szerepel a címtárában, akinek a kérelmét jóváhagyták, vagy nem igényel jóváhagyást. A vendég meghívásra kerül, de nem kap meghívó e-mailt. Ehelyett e-mailt kapnak a hozzáférési csomag hozzárendelésének kézbesítéséről. Később, amikor a vendégfelhasználó már nem rendelkezik hozzáférési csomag-hozzárendeléssel, mert az utolsó hozzárendelés lejárt vagy megszakadt, a fiók le lesz tiltva a bejelentkezéstől, majd törlődik. A zárolás és a törlés alapértelmezés szerint megtörténik.

Ha azt szeretné, hogy a vendégfelhasználók határozatlan ideig maradjanak a címtárban, még akkor is, ha nem rendelkeznek hozzáférési csomag-hozzárendelésekkel, módosíthatja a jogosultságkezelési konfiguráció beállításait. A vendégfelhasználói objektumról további információt a Microsoft Entra B2B együttműködési felhasználó tulajdonságai című témakörben talál.

Kövesse az alábbi lépéseket, ha engedélyezni szeretné, hogy a címtárban nem szereplő felhasználók igényeljék a hozzáférési csomagot:

  1. A Hozzáférés igénylésére jogosult felhasználók szakaszban válassza a Címtárban nem szereplő felhasználók számára lehetőséget.

    Ha ezt a lehetőséget választja, új beállítások jelennek meg.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. Válasszon a következő lehetőségek közül:

    Lehetőség Leírás
    Meghatározott kapcsolt szervezetek Válassza ezt a lehetőséget, ha a rendszergazda által korábban hozzáadott szervezetek listájából szeretne választani. A kijelölt szervezetek összes felhasználója kérheti ezt a hozzáférési csomagot.
    Minden csatlakoztatott szervezet Akkor válassza ezt a lehetőséget, ha az összes konfigurált csatlakoztatott szervezet összes felhasználója kérheti ezt a hozzáférési csomagot.
    Minden felhasználó (minden csatlakoztatott szervezet + minden új külső felhasználó) Akkor válassza ezt a lehetőséget, ha bármely felhasználó kérheti ezt a hozzáférési csomagot, és a B2B engedélyezési lista vagy a tiltólista beállításai elsőbbséget élveznek az új külső felhasználók számára.

    A csatlakoztatott szervezet egy külső Microsoft Entra-címtár vagy tartomány, amellyel kapcsolatban áll.

  3. Ha kiválasztotta az adott kapcsolt szervezeteket, válassza a Címtárak hozzáadása lehetőséget a rendszergazda által korábban hozzáadott kapcsolt szervezetek listájából való kiválasztáshoz.

  4. Adja meg a korábban csatlakoztatott szervezet kereséséhez használt nevet vagy tartománynevet.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    Ha az a szervezet, akivel együtt szeretne dolgozni, nem szerepel a listában, megkérheti a rendszergazdát, hogy vegye fel kapcsolt szervezetként. További információ: Csatlakoztatott szervezet hozzáadása.

  5. Ha az Összes csatlakoztatott szervezet lehetőséget választotta, akkor a globális rendszergazdával meg kell erősítenie azoknak a csatlakoztatott szervezeteknek a listáját, amelyek jelenleg konfigurálva vannak és a hatókörben vannak tervezve.

  6. Ha a Minden felhasználó lehetőséget választotta, akkor a jóváhagyásokat a jóváhagyások szakaszban kell konfigurálnia, mivel ez a hatókör lehetővé tenné, hogy az interneten található identitások hozzáférést kérjenek.

  7. Miután kiválasztotta az összes csatlakoztatott szervezetet, válassza a Kiválasztás lehetőséget.

    A kiválasztott csatlakoztatott szervezetek összes felhasználója kérheti ezt a hozzáférési csomagot. Ide tartoznak a Microsoft Entra ID-felhasználók a szervezethez társított összes altartományból, kivéve, ha az Azure B2B engedélyezési listája vagy tiltólistája letiltja ezeket a tartományokat. Ha közösségi identitásszolgáltatói tartományt (például live.com) ad meg, akkor a közösségi identitásszolgáltató bármely felhasználója kérheti ezt a hozzáférési csomagot. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.

  8. Ugorjon le a Jóváhagyási beállítások megadása szakaszra.

Csak közvetlen rendszergazdai hozzárendelések engedélyezése

Kövesse ezeket a lépéseket, ha meg szeretné kerülni a hozzáférési kérelmeket, és lehetővé szeretné tenni, hogy a rendszergazdák közvetlenül hozzárendeljenek bizonyos felhasználókat ehhez a hozzáférési csomaghoz. A felhasználóknak nem kell kérniük a hozzáférési csomagot. Az életciklus-beállítások továbbra is beállíthatók, de nincsenek kérésbeállítások.

  1. A Hozzáférés igénylésére jogosult felhasználók szakaszban válassza a Nincs (csak rendszergazdai közvetlen hozzárendelések) lehetőséget.

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    A hozzáférési csomag létrehozása után közvetlenül hozzárendelhet hozzá konkrét belső és külső felhasználókat. Ha külső felhasználót ad meg, a címtárban létrejön egy vendégfelhasználói fiók. A felhasználók közvetlen hozzárendeléséről további információt a hozzáférési csomag hozzárendeléseinek megtekintése, hozzáadása és eltávolítása című témakörben talál.

  2. Ugorjon le a Kérelmek engedélyezése szakaszra .

Jóváhagyási beállítások megadása

A Jóváhagyás szakaszban megadhatja, hogy szükség van-e jóváhagyásra, amikor a felhasználók ezt a hozzáférési csomagot kérik. A jóváhagyási beállítások a következő módon működnek:

  • Csak az egyik kiválasztott jóváhagyónak vagy tartalék jóváhagyónak kell jóváhagynia egy egyfázisú jóváhagyásra vonatkozó kérelmet.
  • Csak az egyes fázisok kiválasztott jóváhagyóinak kell jóváhagynia a kétszakaszos jóváhagyásra vonatkozó kérelmet.
  • A jóváhagyó lehet menedzser, felhasználó szponzora, belső szponzor vagy külső szponzor a szabályzat hozzáférés-szabályozásától függően.
  • Az egy- vagy kétszakaszos jóváhagyáshoz nincs szükség minden kiválasztott jóváhagyó jóváhagyására.
  • A jóváhagyási döntés azon alapul, hogy melyik jóváhagyó bírálja el először a kérelmet.

A jóváhagyók kérelemszabályzathoz való hozzáadásának bemutatásához tekintse meg az alábbi videót:

A többfázisú jóváhagyás kérelemszabályzathoz való hozzáadásának bemutatásához tekintse meg az alábbi videót:

Kövesse az alábbi lépéseket a hozzáférési csomagra vonatkozó kérelmek jóváhagyási beállításainak megadásához:

  1. Ha jóváhagyást szeretne kérni a kiválasztott felhasználóktól érkező kérésekhez, állítsa a Jóváhagyás megkövetelése kapcsolót Igen értékre. Vagy ha a kéréseket automatikusan jóváhagyja, állítsa a kapcsolót Nem értékre. Ha a szabályzat lehetővé teszi, hogy a szervezeten kívüli külső felhasználók hozzáférést kérjenek, jóváhagyást kell kérnie, így a rendszer felügyeli, hogy ki legyen hozzáadva a szervezet címtárához.

  2. Ha meg szeretné követelni a felhasználóktól, hogy indokolják a hozzáférési csomag kérését, állítsa a Kérelmező indoklásának megkövetelése kapcsolót Igen értékre.

  3. Állapítsa meg, hogy a kérelmekhez szükség van-e egy- vagy kétfázisú jóváhagyásra. Állítsa be a Hány fázis váltson 1-esre egyfázisú jóváhagyáshoz, 2-et kétfázisú jóváhagyáshoz, vagy 3-at a háromfázisú jóváhagyáshoz.

    Screenshot that shows approval settings for requests to an access package.

A következő lépésekkel jóváhagyókat adhat hozzá a szakaszok számának kiválasztása után.

Egyfázisú jóváhagyás

  1. Adja hozzá az első jóváhagyó adatait:

    • Ha a szabályzat a címtár felhasználóira van állítva, jóváhagyóként vagy szponzorként választhatja ki a Kezelőt. Vagy hozzáadhat egy adott felhasználót az adott jóváhagyók kiválasztása, majd a Jóváhagyók hozzáadása lehetőség kiválasztásával.

      Ha jóváhagyóként szeretné használni a szponzorokat, Microsoft Entra ID-kezelés licenccel kell rendelkeznie. További információ: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • Ha a szabályzat a címtárban nem szereplő felhasználók számára van beállítva, választhat külső szponzort vagy belső szponzort. Vagy hozzáadhat egy adott felhasználót az adott jóváhagyók kiválasztása, majd a Jóváhagyók hozzáadása lehetőség kiválasztásával.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. Ha a Kezelőt választotta első jóváhagyóként, válassza a Tartalék hozzáadása lehetőséget egy vagy több felhasználó vagy csoport kiválasztásához a címtárban tartalék jóváhagyóként. A tartalék jóváhagyók akkor kapják meg a kérést, ha a jogosultságkezelés nem találja a hozzáférést kérő felhasználó felettesét.

    A jogosultságkezelés a Kezelő attribútummal találja meg a kezelőt. Az attribútum a felhasználó profiljában található a Microsoft Entra-azonosítóban. További információ: Felhasználó profiladatainak és beállításainak hozzáadása vagy frissítése.

  3. Ha a Szponzorok lehetőséget választotta első jóváhagyóként, válassza a Tartalék hozzáadása lehetőséget a címtár egy vagy több felhasználójának vagy csoportjának kiválasztásához tartalék jóváhagyóként. A tartalék jóváhagyók akkor kapják meg a kérést, ha a jogosultságkezelés nem találja a hozzáférést kérő felhasználó szponzorát.

    A jogosultságkezelés a Szponzorok attribútum használatával keresi meg a szponzorokat . Az attribútum a felhasználó profiljában található a Microsoft Entra-azonosítóban. További információ: Felhasználó profiladatainak és beállításainak hozzáadása vagy frissítése.

  4. Ha az Adott jóváhagyók kiválasztása lehetőséget választotta, válassza a Jóváhagyók hozzáadása lehetőséget egy vagy több felhasználó vagy csoport kiválasztásához a címtárban a jóváhagyók kiválasztásához.

  5. A Döntés mezőben adja meg, hogy a jóváhagyónak hány napon belül kell felülvizsgálnia a hozzáférési csomagra vonatkozó kérést.

    Ha egy kérést ebben az időszakban nem hagynak jóvá, a rendszer automatikusan elutasítja. A felhasználónak ezután egy másik kérést kell benyújtania a hozzáférési csomaghoz.

  6. Ha meg szeretné követelni a jóváhagyóktól, hogy indokolják döntésüket, állítsa a jóváhagyó indoklásának megkövetelése igen értékre.

    Az indoklás látható a többi jóváhagyó és a kérelmező számára.

Kétfázisú jóváhagyás

Ha kétfázisú jóváhagyást választott, hozzá kell adnia egy második jóváhagyót:

  1. Adja hozzá a második jóváhagyó adatait:

    • Ha a felhasználók a címtárban vannak, kiválaszthatja a szponzorokat jóváhagyóként. Vagy adjon hozzá egy adott felhasználót a legördülő menü Adott jóváhagyók kiválasztása elemével, majd válassza a Jóváhagyók hozzáadása lehetőséget.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Ha a felhasználók nincsenek a címtárban, második jóváhagyóként válassza a belső szponzort vagy a külső szponzort . A jóváhagyó kiválasztása után adja hozzá a tartalék jóváhagyókat.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. A határozatban hány napon belül kell meghozni? mezőben adja meg, hogy a második jóváhagyó hány napon belül hagyja jóvá a kérelmet.

  3. Állítsa a Jóváhagyó megkövetelése indoklás kapcsolót Igen vagy Nem értékre.

Háromfázisú jóváhagyás

Ha háromfázisú jóváhagyást választott, hozzá kell adnia egy harmadik jóváhagyót:

  1. Adja hozzá a harmadik jóváhagyó adatait:

    Ha a felhasználók a címtárban vannak, adjon hozzá egy adott felhasználót harmadik jóváhagyóként az Adott jóváhagyók kiválasztása jóváhagyók> hozzáadása lehetőség kiválasztásával.

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. A határozatban hány napon belül kell meghozni? mezőben adja meg, hogy a második jóváhagyó hány napon belül hagyja jóvá a kérelmet.

  3. Állítsa a Jóváhagyó megkövetelése indoklás kapcsolót Igen vagy Nem értékre.

Másodlagos jóváhagyók

Alternatív jóváhagyókat is megadhat, hasonlóan az első és a második jóváhagyók megadásához, akik jóváhagyhatják a kéréseket. A másodlagos jóváhagyók gondoskodnak arról, hogy a kérések jóváhagyásra vagy elutasításra kerülnek a lejáratuk előtt (időtúllépés). Az első jóváhagyó és a második jóváhagyó alternatív jóváhagyóinak listáját a kétszakaszos jóváhagyáshoz használhatja.

Ha másodlagos jóváhagyókat ad meg, ha az első vagy a második jóváhagyó nem tudja jóváhagyni vagy elutasítani a kérést, a függőben lévő kérelmet a program továbbítja a másodlagos jóváhagyóknak. A rendszer a kérést a szabályzat beállítása során megadott továbbítási ütemezésnek megfelelően küldi el. A jóváhagyók e-mailt kapnak a függőben lévő kérés jóváhagyásáról vagy elutasítására.

Miután a kérést továbbították a másodlagos jóváhagyóknak, az első vagy a második jóváhagyó továbbra is jóváhagyhatja vagy elutasíthatja a kérelmet. A másodlagos jóváhagyók ugyanazt a Saját hozzáférés webhelyet használják a függőben lévő kérelem jóváhagyásához vagy elutasításához.

A jóváhagyók és a másodlagos jóváhagyók személyek vagy csoportok listázhatók. Győződjön meg arról, hogy az első, a második és a másodlagos jóváhagyók különböző csoportjait sorolja fel. Ha például Alice és Bob szerepel az első jóváhagyók között, akkor Carolt és Dave-t sorolja fel másodlagos jóváhagyóként.

A következő lépésekkel alternatív jóváhagyókat adhat hozzá egy hozzáférési csomaghoz:

  1. Az Első jóváhagyó, a Második jóváhagyó vagy mindkettő csoportban válassza a Speciális kérésbeállítások megjelenítése lehetőséget.

    Screenshot of the selection for showing advanced request settings.

  2. Állítsa be a Ha nem történt műveletet, továbbítja a másik jóváhagyóknak? kapcsolót Igen értékre.

  3. Válassza a Másodlagos jóváhagyók hozzáadása lehetőséget, majd válassza ki a másodlagos jóváhagyókat a listából.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    Ha első jóváhagyóként a Kezelőt választja, egy további lehetőség jelenik meg az Alternatív jóváhagyó mezőben: Másodlagos jóváhagyóként második szintű kezelő. Ha ezt a lehetőséget választja, hozzá kell adnia egy tartalék jóváhagyót a kérés továbbításához, ha a rendszer nem találja a második szintű kezelőt.

  4. A Továbbítás másik jóváhagyó(ka)ba hány nap után mezőben adja meg, hogy hány napig kell jóváhagynia vagy elutasítania a kérelmet a jóváhagyóknak. Ha egyetlen jóváhagyó sem hagyja jóvá vagy tagadja meg a kérést a kérelem időtartama előtt, a kérelem lejár (időtúllépés). A felhasználónak ezután egy másik kérést kell benyújtania a hozzáférési csomaghoz.

A kérelmeket csak egy nappal azután lehet továbbítani a másodlagos jóváhagyóknak, hogy a kérelem időtartama elérte a felezési időt. A fő jóváhagyók döntésének legalább négy nap elteltével időtúllépést kell végrehajtania. Ha a kérelem időtúllépése három napnál rövidebb vagy egyenlő, nincs elég idő a kérés alternatív jóváhagyóknak való továbbítására.

Ebben a példában a kérés időtartama 14 nap. A kérelem időtartama a 7. napon eléri a felezési időt. A kérés tehát nem továbbítható a 8. napnál korábban.

A kérések nem továbbíthatók a kérelem időtartamának utolsó napján. A példában tehát a kérelem legkésőbb a 13. napon továbbítható.

Kérelmek engedélyezése

  1. Ha azt szeretné, hogy a hozzáférési csomag azonnal elérhetővé váljon a kérési szabályzatban szereplő felhasználók számára, állítsa az Új kérések és hozzárendelések engedélyezése kapcsolót Igen értékre.

    A hozzáférési csomag létrehozása után a jövőben bármikor engedélyezheti.

    Ha a Nincs (csak rendszergazdai közvetlen hozzárendelések) lehetőséget választja, és az Új kérések és hozzárendelések engedélyezése nem értékre van állítva, a rendszergazdák nem rendelhetik hozzá közvetlenül ezt a hozzáférési csomagot.

    Screenshot that shows the option for enabling new requests and assignments.

  2. A következő szakaszból megtudhatja, hogyan adhat hozzá ellenőrzött azonosítóra vonatkozó követelményt a hozzáférési csomaghoz. Ellenkező esetben válassza a Tovább gombot.

Ellenőrzött azonosítóra vonatkozó követelmény hozzáadása

Ha ellenőrzött azonosítóra vonatkozó követelményt szeretne hozzáadni a hozzáférési csomag szabályzatához, kövesse az alábbi lépéseket. A hozzáférési csomaghoz hozzáférést igénylő felhasználóknak a kérés sikeres elküldése előtt be kell mutatniuk a szükséges ellenőrzött azonosítókat. A bérlő Microsoft Entra Ellenőrzött azonosító szolgáltatással való konfigurálásáról további információt a Microsoft Entra Ellenőrzött azonosító bemutatása című témakörben talál.

Globális rendszergazdai szerepkörre van szüksége ahhoz, hogy ellenőrzött azonosító követelményeket adjon hozzá egy hozzáférési csomaghoz. Az identitásszabályozási rendszergazda, a felhasználói rendszergazda, a katalógus tulajdonosa vagy a hozzáférési csomagkezelő még nem tud hitelesített azonosító követelményeket hozzáadni.

  1. Válassza a + Kiállító hozzáadása lehetőséget, majd válasszon ki egy kiállítót a Microsoft Entra Ellenőrzött azonosító hálózatból. Ha saját hitelesítő adatokat szeretne kibocsátani a felhasználóknak, a Microsoft Entra Ellenőrzött azonosító-hitelesítő adatokkal kapcsolatos utasításokat talál egy alkalmazásból.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. Válassza ki azokat a hitelesítőadat-típusokat, amelyeket a kérési folyamat során meg szeretne jeleníteni a felhasználóknak.

    Screenshot that shows the area for selecting credential types for an access package.

    Ha több hitelesítőadat-típust választ ki egy kiállítótól, a felhasználóknak az összes kiválasztott típus hitelesítő adatait kell bemutatniuk. Hasonlóképpen, ha több kiállítót is tartalmaz, a felhasználóknak meg kell adniuk a hitelesítő adatokat a szabályzatban szereplő kiállítóktól. Ha lehetővé szeretné tenni a felhasználóknak, hogy különböző hitelesítő adatokat mutassanak be a különböző kiállítóktól, konfiguráljon külön szabályzatokat minden elfogadandó kiállítóhoz vagy hitelesítő adattípushoz.

  3. Válassza a Hozzáadás lehetőséget az ellenőrzött azonosító követelményének a hozzáférési csomag szabályzatához való hozzáadásához.

Kérelmező adatainak hozzáadása hozzáférési csomaghoz

  1. Lépjen a Kérelmező adatai lapra, majd válassza a Kérdések lapot.

  2. A Kérdés mezőbe írjon be egy kérdést, amelyet fel szeretne tenni a kérelmezőnek. Ezt a kérdést megjelenítési sztringnek is nevezik.

  3. Ha saját honosítási beállításokat szeretne hozzáadni, válassza a honosítás hozzáadása lehetőséget.

    Screenshot that shows the box for entering a question for a requestor.

    Az Add localizations for question pane:/> (Területi beállítások hozzáadása a kérdéshez ) panelen:

    1. Nyelvi kód esetén válassza ki annak a nyelvnek a nyelvi kódját, amelyben a kérdést honosítja.
    2. A Honosított szöveg mezőben adja meg a kérdést a konfigurált nyelven.
    3. Amikor befejezte az összes szükséges honosítás hozzáadását, válassza a Mentés lehetőséget.

    Screenshot that shows localization selections for a question.

  4. Válaszformátum esetén válassza ki azt a formátumot, amelyben a kérelmezők válaszolnak. A válaszformátumok közé tartozik a rövid szöveg, a több választási lehetőség és a hosszú szöveg.

  5. Ha több lehetőséget választott, válassza a Szerkesztés és honosítás gombot a válaszbeállítások konfigurálásához.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    A Kérdés megtekintése/szerkesztése panelen:

    1. A Válaszértékek mezőben adja meg azokat a válaszbeállításokat, amelyeket meg szeretne adni, amikor a kérelmező válaszol a kérdésre.
    2. A Nyelvi mezőkben válassza ki a válaszbeállítások nyelvét. Ha további nyelveket választ, honosíthatja a válaszbeállításokat.
    3. Válassza a Mentés parancsot.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. Ha azt szeretné, hogy a kérelmezők válaszoljanak erre a kérdésre, amikor hozzáférést kérnek egy hozzáférési csomaghoz, jelölje be a Kötelező jelölőnégyzetet.

  7. Az Attribútumok lapon megtekintheti a hozzáférési csomaghoz hozzáadott erőforrásokhoz társított attribútumokat.

    Megjegyzés:

    A hozzáférési csomag erőforrásaihoz tartozó attribútumok hozzáadásához vagy frissítéséhez keresse meg a katalógusokat , és keresse meg a hozzáférési csomaghoz társított katalógust. Ha többet szeretne megtudni arról, hogyan szerkesztheti egy adott katalógus-erőforrás attribútumlistáját és az előfeltétel-szerepköröket, olvassa el az Erőforrásattribútumok hozzáadása a katalógusban című témakört.

  8. Válassza a Következő lehetőséget.

Életciklus megadása

Az Életciklus lapon megadhatja, hogy mikor jár le egy felhasználó hozzáférési csomaghoz való hozzárendelése. Azt is megadhatja, hogy a felhasználók kiterjeszthetik-e a feladataikat.

  1. A Lejárat szakaszban állítsa be az Access-csomag-hozzárendelések lejáratidátumát, a napok számát, az órák számát vagy a Soha értéket.

    • A Dátum mezőben válassza ki a lejárati dátumot a jövőben.
    • A Napok száma mezőben adjon meg egy 0 és 3660 nap közötti számot.
    • Az órák száma mezőben adja meg, hogy hány óra.

    A kijelölés alapján a felhasználó hozzáférési csomaghoz való hozzárendelése egy bizonyos napon, néhány nappal a jóváhagyásuk után lejár, vagy soha.

  2. Ha azt szeretné, hogy a felhasználó egy adott kezdési és befejezési dátumot kérjen a hozzáféréshez, válassza az Igen lehetőséget, amelynél a Felhasználók adott idővonal-váltást kérhetnek.

  3. További beállítások megjelenítéséhez válassza a Speciális lejárati beállítások megjelenítése lehetőséget.

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Ha engedélyezni szeretné a felhasználó számára a hozzárendelések kiterjesztését, állítsa be a Felhasználók számára az Igen hozzáférés kiterjesztését.

    Ha a szabályzatban engedélyezve vannak a bővítmények, a felhasználó 14 nappal korábban e-mailt kap, majd egy nappal korábban a hozzáférési csomag hozzárendelése lejár. Az e-mail rákérdez a felhasználóra, hogy hosszabbítsa meg a hozzárendelést. A felhasználónak továbbra is a szabályzat hatókörébe kell tartoznia a bővítmény kérésének időpontjában.

    Ha a szabályzat explicit befejezési dátummal rendelkezik a hozzárendelésekhez, és a felhasználó a hozzáférés meghosszabbítására vonatkozó kérelmet küld, a kérelemben szereplő bővítménydátumnak a hozzárendelések lejártakor vagy előtt kell lennie. A hozzáférési csomaghoz való hozzáférés biztosításához használt szabályzat határozza meg, hogy a bővítmény dátuma a hozzárendelés lejárata előtt vagy előtt van-e. Ha például a szabályzat azt jelzi, hogy a hozzárendelések június 30-án lejárnak, a felhasználó által igényelhető maximális bővítmény június 30.

    Ha egy felhasználó hozzáférése meghosszabbodik, a hozzáférési csomagot a megadott kiterjesztési dátum után (a szabályzatot létrehozó felhasználó időzónájában megadott dátum) nem kérheti le.

  5. Ha jóváhagyást szeretne kérni a bővítmény megadásához, állítsa be a Jóváhagyás megkövetelése lehetőséget, hogy a bővítményt Igen értékre adja meg.

    Ez a jóváhagyás ugyanazokat a jóváhagyási beállításokat fogja használni, amelyeket a Kérések lapon megadott.

  6. Válassza a Tovább vagy a Frissítés lehetőséget.

A hozzáférési csomag áttekintése és létrehozása

A Véleményezés + létrehozás lapon áttekintheti a beállításokat, és ellenőrizheti az érvényesítési hibákat.

  1. Tekintse át a hozzáférési csomag beállításait.

    Screenshot that shows a summary of access package configuration.

  2. Válassza a Létrehozás lehetőséget a hozzáférési csomag létrehozásához.

    Az új hozzáférési csomag megjelenik a hozzáférési csomagok listájában.

  3. Ha a hozzáférési csomagnak a szabályzatok hatókörében lévő összes felhasználó számára láthatónak kell lennie, akkor hagyja meg a hozzáférési csomag rejtett beállítását Nem értéken. Ha azt szeretné, hogy csak a közvetlen hivatkozással rendelkező felhasználók igényeljék a hozzáférési csomagot, szerkessze a hozzáférési csomagot, és módosítsa a Rejtett beállítást Igen értékre. Ezután másolja a hivatkozást a hozzáférési csomag igényléséhez, és ossza meg a hozzáférésre szoruló felhasználókkal.

Hozzáférési csomag létrehozása programozott módon

A hozzáférési csomagokat kétféleképpen hozhatja létre programozott módon: a Microsoft Graphon és a Microsoft Graph PowerShell-parancsmagjain keresztül.

Hozzáférési csomag létrehozása a Microsoft Graph használatával

Hozzáférési csomagot a Microsoft Graph használatával hozhat létre. A delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező felhasználók meghívhatják az API-t a következőkre:

  1. Listázhatja a katalógus erőforrásait, és létrehozhat egy accessPackageResourceRequest objektumot a katalógusban még nem szereplő erőforrásokhoz.
  2. Kérje le az egyes erőforrások szerepköreit és hatóköreit a katalógusban. Ezt a szerepkörlistát fogja használni egy szerepkör kiválasztásához, amikor később létrehoz egy resourceRoleScope-t.
  3. AccessPackage létrehozása.
  4. Hozzon létre egy resourceRoleScope-t a hozzáférési csomagban szükséges egyes erőforrás-szerepkörökhöz.
  5. Hozzon létre egy assignmentPolicy-t a hozzáférési csomagban szükséges összes szabályzathoz.

Hozzáférési csomag létrehozása a Microsoft PowerShell használatával

Hozzáférési csomagot is létrehozhat a PowerShellben a Microsoft Graph PowerShell Identity Governance modul parancsmagjaival.

Először kérje le a katalógus és a katalógusban található erőforrás azonosítóját, valamint a hozzáférési csomagban felvenni kívánt hatóköröket és szerepköröket. Használjon az alábbi példához hasonló szkriptet:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Ezután hozza létre a hozzáférési csomagot:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

A hozzáférési csomag létrehozása után rendelje hozzá az erőforrás-szerepköröket. Ha például a korábban visszaadott erőforrás első erőforrásszerepkörét szeretné belefoglalni az új hozzáférési csomag erőforrásszerepköreként, az ehhez hasonló szkriptet használhatja:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Végül hozza létre a szabályzatokat. Ebben a szabályzatban csak a rendszergazdák vagy a hozzáférési csomag-hozzárendelés-kezelők rendelhetnek hozzá hozzáférést, és nincsenek hozzáférési felülvizsgálatok. További példákért tekintse meg a Hozzárendelési szabályzat létrehozása a PowerShell-lel és a Hozzárendeléspolicy létrehozása című témakört.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

További lépések