Руководство. Подключение внешних пользователей к идентификатору Microsoft Entra с помощью процесса утверждения
Управление правами можно использовать как способ адаптации внешних пользователей. Эта функция позволяет внешним пользователям запрашивать доступ к набору ресурсов и настраивать утверждения до получения доступа к вашему каталогу. Для внешних пользователей, подключенных с помощью прав, можно управлять жизненным циклом с помощью пакетов доступа. По истечении последнего срока действия пакета доступа они удаляются из каталога.
В этом учебнике предполагается, что вы работаете ИТ-администратором в банке WoodGrove Bank. Вам было предложено создать пакет доступа для подключения партнеров из внешней организации, с которой работает бизнес-группа. Им нужен доступ к группе Teams, называемой внешней совместной работой. Для совместной работы организации требуется утверждение внутренним спонсором. Кроме того, вы сообщили, что срок партнера доступа должен истечь через 60 дней. Чтобы использовать управление правами, необходимо иметь одну из следующих лицензий:
- Идентификатор Microsoft Entra P2 или Управление идентификацией Microsoft Entra
- лицензия Enterprise Mobility + Security (EMS) E5.
Дополнительные сведения см. в статье Лицензионные требования.
Шаг 1. Настройка
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога, администратора пользователей и диспетчера пакетов Доступа.
Перейдите к пакету управления правами управления>удостоверениями>.
При выборе страницы пакета доступа, если вы видите отказ в доступе, убедитесь, что в каталоге присутствует лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra.
Выберите Новый пакет для доступа.
На вкладке Основные сведения введите имя Пакет внешнего пользователя и описание Доступа для внешних пользователей, ожидающих утверждения.
В раскрывающемся списке Каталог можно оставить значение Общий.
Шаг 2. Настройка ресурсов
Нажмите кнопку "Рядом", чтобы открыть вкладку "Роли ресурсов".
На этой вкладке выберите ресурсы и роли ресурсов для включения в пакет для доступа.
Выберите группы и Teams и найдите группу внешней совместной работы.
Шаг 3. Настройка запросов
Нажмите кнопку "Рядом ", чтобы открыть вкладку "Запросы ".
На этой вкладке создается политика запросов. Политика определяет правила или ограничения доступа к пакету для доступа. Вы создадите политику, которая позволяет конкретному пользователю в каталоге ресурсов запросить пакет для доступа.
В разделе "Пользователи, которые могут запрашивать доступ", выберите "Для пользователей, не находящихся в каталоге", а затем выберите "Все пользователи" (все подключенные организации и все новые внешние пользователи).
Так как любой пользователь, который еще не находится в каталоге, может просматривать и отправлять запрос на этот пакет доступа, да является обязательным для параметра "Требовать утверждение ".
Следующие параметры позволяют настроить работу утверждений для внешних пользователей.
Для параметра Требовать обоснование от запросившего оставьте значение Да.
Для параметра Число этапов оставьте это значение 1.
Для сценария утверждающего выберите внутренний спонсор. Этот вариант взят из настроенной Подключенной организации, где вы можете выступать спонсором для конкретных организаций, с которыми вы работаете. Это позволяет назначить утверждающим лицо, указанное в подключенной организации, которая находится в вашей компании.
Для параметра В течение скольких дней нужно принять решение? оставьте значение 14.
Для параметра Требовать обоснование утверждающего оставьте значение Да.
Для параметра Enable new requests and assignments (Разрешить новые запросы и назначения) задайте Да, чтобы разрешить запрос этого пакета для доступа сразу после его создания.
Шаг 4. Настройка сведений о запрашивающей стороне
Нажмите кнопку "Рядом", чтобы открыть вкладку сведений о запросе
На этом экране можно задать дополнительные вопросы, чтобы получить дополнительные сведения от запрашивателя. Эти вопросы отображаются в форме запроса и могут быть заданы как обязательные или необязательные. Теперь вы можете оставить эти поля пустыми.
Шаг 5. Настройка жизненного цикла
Нажмите кнопку "Рядом", чтобы открыть вкладку "Жизненный цикл"
В разделе Окончание срока действия задайте для параметра Срок действия назначения пакета для доступа значение Количество дней.
Установите Срок действия назначений истекает через 60 дней. Это поле определяет, когда гостевые пользователи должны продлить доступ.
Можно также настроить проверки доступа, которые позволяют периодически проверять, требуется ли гостевой доступ к пакету для доступа. Проверка может быть самостоятельной, или можно задать конкретные проверки для этой задачи. Дополнительные сведения см. в разделе Проверки доступа.
Шаг 6. Проверка и создание пакета для доступа
Нажмите кнопку Далее, чтобы открыть вкладку Просмотр + создание.
На этом экране можно проверить конфигурацию пакета для доступа перед его созданием. В случае проблем можно воспользоваться вкладками для перехода к определенной точке в интерфейсе создания, чтобы внести изменения.
Когда вы довольны выбранными вариантами, нажмите кнопку "Создать". Через несколько секунд вы увидите уведомление, что пакет для доступа успешно создан.
После создания вы получите страницу обзора пакета доступа. Можно найти ссылку на портал "Мой доступ" и скопировать здесь значение. Поделитесь этой ссылкой с внешними пользователями, и они смогут запросить этот пакет, чтобы начать совместную работу.
Шаг 7. Очистка ресурсов
На этом шаге можно удалить пакет доступа к Пакету внешних пользователей.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут завершить эту задачу, включают диспетчер пакетов Access.
Перейдите к пакету управления правами управления>удостоверениями>.
Откройте пакет доступа к Пакету внешних пользователей.
Выберите Группа ресурсов.
Выберите группу Внешняя совместная работа, добавленную в этот пакет доступа, и в области Сведения выберите Удалить роль ресурса. В появившемся сообщении выберите Да.
Откройте список пакетов для доступа.
Для Пакета внешнего пользователя нажмите кнопку с многоточием (...), а затем выберите команду Удалить. В появившемся сообщении выберите Да.
Следующие шаги
Узнайте больше о создании пакетов для доступа для управления доступом к другим типам ресурсов, таким как приложения и сайты. Руководство. Управление доступом к ресурсам в управлении правами