Jogosultságkezelés hibaelhárítása
Ez a cikk néhány olyan elemet ismertet, amelyek a jogosultságkezelés hibaelhárításához ajánlottak.
Felügyelet
Ha hozzáférés-megtagadási üzenetet kap a jogosultságkezelés konfigurálásakor, és Ön globális rendszergazda, győződjön meg arról, hogy a címtár microsoft Entra-azonosítójú P2 vagy Microsoft Entra ID-kezelés (vagy EMS E5) licenccel rendelkezik. Ha nemrég megújított egy lejárt Microsoft Entra-azonosítójú P2- vagy Microsoft Entra ID-kezelés-előfizetést, akkor a licenc megújítása 8 órát is igénybe vehet.
Ha a bérlő P2 azonosítójú Microsoft Entra-azonosítója vagy Microsoft Entra ID-kezelés licence lejár, akkor nem fogja tudni feldolgozni az új hozzáférési kérelmeket, és nem végezhet hozzáférési felülvizsgálatokat.
Ha hozzáférés-megtagadott üzenetet kap a hozzáférési csomagok létrehozásakor vagy megtekintésekor, és Ön egy katalóguskészítő csoport tagja, az első hozzáférési csomag létrehozása előtt létre kell hoznia egy katalógust .
Források
Az alkalmazások szerepkörét maga az alkalmazás határozza meg, és a Microsoft Entra ID-ban kezelik. Ha egy alkalmazás nem rendelkezik erőforrás-szerepkörrel, a jogosultságkezelés hozzárendeli a felhasználókat egy alapértelmezett hozzáférési szerepkörhöz.
Előfordulhat, hogy a Microsoft Entra felügyeleti központ olyan szolgáltatások szolgáltatásneveit is megjeleníti, amelyek nem választhatók alkalmazásként. Az Exchange Online és a SharePoint Online különösen olyan szolgáltatások, nem pedig olyan alkalmazások, amelyek erőforrás-szerepkörrel rendelkeznek a címtárban, ezért nem vehetők fel hozzáférési csomagokba. Ehelyett csoportalapú licencelés használatával hozzon létre egy megfelelő licencet azon felhasználók számára, akiknek hozzáférésre van szükségük a kérdéses szolgáltatásokhoz.
Azok az alkalmazások, amelyek csak a személyes Microsoft-fiók felhasználóit támogatják a hitelesítéshez, és nem támogatják a címtárban lévő szervezeti fiókokat, nem rendelkeznek alkalmazásszerepkörrel, és nem vehetők fel a csomagkatalógusokhoz.
Ahhoz, hogy egy csoport erőforrás lehessen egy hozzáférési csomagban, a Microsoft Entra-azonosítóban módosíthatónak kell lennie. A helyi Active Directory származó csoportok nem rendelhetők erőforrásokhoz, mert a tulajdonosi vagy tagattribútumok nem módosíthatók a Microsoft Entra-azonosítóban. Az Exchange Online-ból terjesztési csoportként származó csoportok sem módosíthatók a Microsoft Entra-azonosítóban.
A SharePoint Online-dokumentumtárak és az egyes dokumentumok nem vehetők fel erőforrásként. Ehelyett hozzon létre egy Microsoft Entra biztonsági csoportot, vegye fel ezt a csoportot és egy webhelyszerepkört a hozzáférési csomagba, és a SharePoint Online-ban ezzel a csoporttal szabályozhatja a dokumentumtárhoz vagy dokumentumhoz való hozzáférést.
Ha vannak olyan felhasználók, amelyek már hozzá lettek rendelve egy hozzáférési csomaggal felügyelni kívánt erőforráshoz, akkor meg kell győződni arról, hogy a felhasználók megfelelő szabályzat használatával lettek-e hozzárendelve a hozzáférési csomaghoz. Például előfordulhat, hogy a hozzáférési csomagba belefoglalni kívánt csoportban már találhatók felhasználók. Ha az adott csoportban lévő felhasználók folyamatos hozzáférést igényelnek, akkor megfelelő szabályzattal kell rendelkezniük a hozzáférési csomagok esetében, hogy ne veszítsék el a csoporthoz való hozzáférésüket. A hozzáférési csomagok hozzárendeléséhez megkérheti a felhasználókat, hogy kérelmezzék az adott erőforrást tartalmazó hozzáférési csomagot, vagy közvetlenül hozzárendelheti őket a hozzáférési csomaghoz. További információ: Hozzáférési csomag kérési és jóváhagyási beállításainak módosítása.
Ha eltávolít egy csapattagot, azokat is eltávolítja a Microsoft 365-csoportból. Előfordulhat, hogy a csapat csevegési funkciójából való eltávolítás késleltetve történik meg. További információ: Csoporttagság.
Hozzáférési csomagok
- He egy hozzáférési csomag vagy szabályzat törlésére tett kísérletkor hibaüzenet jelenik meg, amely szerint vannak aktív hozzárendelések, és nem lát hozzárendelt felhasználókat, ellenőrizze a közelmúltban törölt felhasználókat, akiknek még lehetnek hozzárendeléseik. A felhasználó törlése után a felhasználói fiók még 30 napig visszaállítható.
Külső felhasználók
Ha egy külső felhasználó hozzáférést szeretne kérni egy hozzáférési csomaghoz, győződjön meg arról, hogy a Hozzáférési portál hivatkozását használja a hozzáférési csomaghoz. További információ: Share link to request an access package. Ha egy külső felhasználó csak felkeresi myaccess.microsoft.com , és nem használja a Teljes Hozzáférés portál hivatkozását, akkor a saját szervezetében, és nem a szervezetében látja a számukra elérhető hozzáférési csomagokat.
Ha egy külső felhasználó nem tud hozzáférést kérni egy hozzáférési csomaghoz, vagy nem tud hozzáférni az erőforrásokhoz, ellenőrizze a külső felhasználók beállításait.
Ha egy új külső felhasználó, aki korábban még nem jelentkezett be a címtárába, kap egy hozzáférési csomagot, beleértve egy SharePoint Online-webhelyet is, akkor a hozzáférési csomag nem jelenik meg teljesen kézbesítve, amíg a fiókja ki nem van építve a SharePoint Online-ban. A megosztási beállításokról további információt a SharePoint Online külső megosztási beállításainak áttekintése című témakörben talál.
Kérelmek
Ha egy felhasználó hozzáférést szeretne kérni egy hozzáférési csomaghoz, győződjön meg arról, hogy a Hozzáférési portál hivatkozását használja a hozzáférési csomaghoz. További információ: Share link to request an access package.
Ha privát/inkognitó módba állított böngészőből nyitja meg a Saját hozzáférés portált, a beállítás problémát okozhat a bejelentkezési viselkedés esetében. Javasoljuk, hogy a Saját hozzáférés portál megnyitásakor ne használjon privát vagy inkognitó módot a böngészőhöz.
Ha egy felhasználó, aki még nem szerepel a címtárában, jelentkezzen be a Saját hozzáférési portálra, hogy hozzáférési csomagot kérjen, győződjön meg arról, hogy a szervezeti fiókjával hitelesíti magát. A szervezeti fiók lehet egy fiók az erőforráskönyvtárban vagy egy olyan könyvtárban, amely a hozzáférési csomag valamelyik szabályzatában szerepel. Ha a felhasználó fiókja nem szervezeti fiók, vagy a hitelesítést végző címtár nem szerepel a szabályzatban, akkor a felhasználó nem fogja látni a hozzáférési csomagot. További információ: Hozzáférés kérése hozzáférési csomaghoz.
Ha egy felhasználó nem tud bejelentkezni az erőforráskönyvtárba, nem tud hozzáférést kérni a Saját hozzáférés portálon. Ahhoz, hogy a felhasználó hozzáférést igényelhessen, el kell távolítani a bejelentkezés letiltását a felhasználó profiljából. A bejelentkezési blokk eltávolításához a Microsoft Entra Felügyeleti központban válassza az Identitás, a Felhasználók, a Felhasználó, majd a Profil lehetőséget. Szerkessze a Beállítások szakaszt, és módosítsa a Blokkolási bejelentkezést Nem értékre. További információ: Felhasználói profiladatok hozzáadása vagy frissítése a Microsoft Entra ID használatával. Azt is ellenőrizheti, hogy a felhasználót Microsoft Entra ID-védelem kockázatészlelések miatt blokkolták-e.
A Saját hozzáférés portálon, ha egy felhasználó egyszerre kérelmező és jóváhagyó is, akkor nem fogja látni a hozzáférési csomagra vonatkozó kérését a Jóváhagyások lapon. Ez a viselkedés szándékos – a felhasználó nem hagyhatja jóvá a saját kérését. Győződjön meg arról, hogy a kért hozzáférési csomaghoz további jóváhagyók vannak konfigurálva a szabályzatban. További információ: Hozzáférési csomag kérési és jóváhagyási beállításainak módosítása.
Kérés kézbesítési hibáinak megtekintése
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Tipp.
A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa, az Access csomagkezelője és az Access-csomag hozzárendelés-kezelője.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagokat.
Válassza a Kérések lehetőséget.
Válassza ki a megtekinteni kívánt kérést.
Ha a kérés kézbesítési hibákba ütközik, a kérés állapota nem kézbesítve vagy részben kézbesítve.
Kézbesítési hibák esetén a kérés részletes ablaktábláján megjelenik a kézbesítési hibák száma.
Válassza ki a darabszámot a kérés összes kézbesítési hibájának megtekintéséhez.
Kérés újrafeldolgozása
Ha a hozzáférési csomag újrafeldolgozási kérésének aktiválása után hibaüzenet jelenik meg, várnia kell, amíg a rendszer újra feldolgozza a kérést. A rendszer több órán keresztül többször is megpróbál újrafeldolgozni, így ez idő alatt nem kényszerítheti az újrafeldolgozást.
Csak olyan kéréseket lehet újra feldolgozni, amelyek kézbesítési állapota sikertelen vagy részlegesen kézbesítve van, és egy hétnél rövidebb befejezett dátummal rendelkezik. Az újrafeldolgozás gomb egyébként szürkítve jelenik meg.
Ha a hiba javításra kerül a próbaidőszak során, a kérés állapota kézbesítésre változik. A kérelem a felhasználó további műveletei nélkül újra feldolgozva lesz.
Ha a hiba nem lett javítva a próbaidőszak során, a kérés állapota lehet, hogy a kézbesítés sikertelen vagy részben kézbesítve. Ezután használhatja az újrafeldolgozás gombot. Hét napja van a kérés újrafeldolgozására.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Tipp.
A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa, az Access csomagkezelője és az Access-csomag hozzárendelés-kezelője.
A hozzáférési csomag megnyitásához keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagokat.
Válassza a Kérések lehetőséget.
Válassza ki az újra feldolgozni kívánt kérést.
A kérelem részletei panelen válassza az Újrafeldolgozási kérés lehetőséget.
Függőben lévő kérés lemondása
Csak olyan függőben lévő kérelmet mondhat le, amely még nem lett kézbesítve, vagy amelynek kézbesítése sikertelen volt. A mégse gomb egyébként szürkítve jelenik meg.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Tipp.
A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa, az Access csomagkezelője és az Access-csomag hozzárendelés-kezelője.
A hozzáférési csomag megnyitásához keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagokat.
Válassza a Kérések lehetőséget.
Válassza ki a visszavonni kívánt kérést.
A kérelem részletei panelen válassza a Kérelem megszakítása lehetőséget.
Automatikus hozzárendelési szabályzatok
- Minden automatikus hozzárendelési szabályzat legfeljebb 15 000 felhasználót tartalmazhat a szabály hatókörében. Előfordulhat, hogy a szabály hatókörében lévő többi felhasználóhoz nincs hozzáférés hozzárendelve.
Több szabályzat
A jogosultságkezelés a legkevésbé ajánlott jogosultsági eljárásokat követi. Ha egy felhasználó hozzáférést kér egy olyan hozzáférési csomaghoz, amely több szabályzatot is alkalmaz, a jogosultságkezelés logikát tartalmaz annak biztosítására, hogy a szigorúbb vagy több konkrét szabályzatok elsőbbséget biztosítsanak az általános szabályzatokkal szemben. Ha egy szabályzat általános, előfordulhat, hogy a jogosultságkezelés nem jeleníti meg a házirendet a kérelmezőnek, vagy automatikusan szigorúbb szabályzatot választ.
Vegyük például azt a hozzáférési csomagot, amely két házirendet biztosít a címtárban lévő felhasználók számára, amelyekben mindkét házirend érvényes a kérelmezőre. Az első szabályzat azokra a felhasználókra vonatkozik, amelyek tartalmazzák a kérelmezőt. A második szabályzat a címtárban lévő összes felhasználóra érvényes. Ebben a forgatókönyvben a rendszer automatikusan kiválasztja az első szabályzatot a kérelmező számára, mert szigorúbb. A kérelmező nem választhatja ki a második szabályzatot.
Több szabályzat alkalmazása esetén a rendszer automatikusan kiválasztja a házirendet, vagy a kérelmező számára megjelenített szabályzatok a következő prioritási logikán alapulnak:
Szabályzat prioritása Hatókör P1 Adott felhasználók és csoportok a címtárban VAGY adott kapcsolt szervezetek P2 A címtár minden tagja (kivéve a vendégeket) P3 A címtár minden felhasználója (a vendégeket is beleértve) VAGY adott kapcsolt szervezetek P4 Minden konfigurált csatlakoztatott szervezet VAGY Minden felhasználó (minden csatlakoztatott szervezet + minden új külső felhasználó) Ha valamelyik szabályzat magasabb prioritású kategóriába tartozik, a rendszer figyelmen kívül hagyja az alacsonyabb prioritású kategóriákat. Példa arra, hogy több azonos prioritású szabályzat hogyan jelenik meg a kérelmező számára, lásd a Szabályzat kiválasztása című témakört.