Tworzenie nowego pakietu dostępu w zarządzaniu upoważnieniami Azure AD

Pakiet dostępu umożliwia jednorazową konfigurację zasobów i zasad, które automatycznie zarządzają dostępem przez okres życia pakietu dostępu. W tym artykule opisano sposób tworzenia nowego pakietu dostępu.

Omówienie

Wszystkie pakiety dostępu muszą zostać umieszczone w kontenerze nazywanym wykazem. Katalog definiuje zasoby, które można dodać do pakietu dostępu. Jeśli nie określisz wykazu, pakiet dostępu zostanie umieszczony w wykazie ogólnym. Obecnie nie można przenieść istniejącego pakietu dostępu do innego wykazu.

Pakiet dostępu może służyć do przypisywania dostępu do ról wielu zasobów, które znajdują się w katalogu. Jeśli jesteś administratorem lub właścicielem wykazu, możesz dodać zasoby do wykazu podczas tworzenia pakietu dostępu. Jeśli jesteś menedżerem pakietów dostępu, nie możesz dodać własnych zasobów do katalogu. Ograniczasz się do korzystania z zasobów dostępnych w wykazie. Jeśli musisz dodać zasoby do wykazu, możesz poprosić właściciela wykazu.

Wszystkie pakiety dostępu muszą mieć co najmniej jedną zasadę, aby użytkownicy zostali przypisani do pakietu dostępu. Zasady określają, kto może zażądać pakietu dostępu, a także ustawienia zatwierdzania i cyklu życia. Podczas tworzenia nowego pakietu dostępu można utworzyć początkowe zasady dla użytkowników w katalogu, dla użytkowników, którzy nie znajdują się w katalogu, tylko dla przypisań bezpośrednich administratora lub można utworzyć zasady później.

Tworzenie pakietu dostępu

Poniżej przedstawiono ogólne kroki tworzenia nowego pakietu dostępu.

  1. W obszarze Zarządzanie tożsamościami rozpocznij proces tworzenia nowego pakietu dostępu.

  2. Wybierz katalog, w którym chcesz utworzyć pakiet dostępu.

  3. Dodaj role zasobów z zasobów w katalogu do pakietu dostępu.

  4. Określ początkowe zasady dla użytkowników, którzy mogą żądać dostępu.

  5. Określ ustawienia zatwierdzania.

  6. Określ ustawienia cyklu życia.

Uruchamianie nowego pakietu dostępu

Rola wymagań wstępnych: administrator globalny, administrator zarządzania tożsamościami, administrator użytkowników, właściciel katalogu lub menedżer pakietów programu Access

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Azure Active Directory , a następnie wybierz pozycję Zarządzanie tożsamościami.

  3. W menu po lewej stronie wybierz pozycję Pakiety dostępu.

  4. Wybierz pozycję Nowy pakiet dostępu.

    Zarządzanie upoważnieniami w Azure Portal

Podstawy

Na karcie Podstawy nadasz pakietowi dostępu nazwę i określ katalog, w którym ma zostać utworzony pakiet dostępu.

  1. Wprowadź nazwę wyświetlaną i opis pakietu dostępu. Użytkownicy zobaczą te informacje po przesłaniu żądania dotyczącego pakietu dostępu.

  2. Z listy rozwijanej Katalog wybierz katalog, w którym chcesz utworzyć pakiet dostępu. Na przykład możesz mieć właściciela katalogu, który zarządza wszystkimi zasobami marketingowymi, które mogą być żądane. W takim przypadku możesz wybrać katalog marketingowy.

    Zobaczysz tylko wykazy, w których masz uprawnienia do tworzenia pakietów dostępu. Aby utworzyć pakiet dostępu w istniejącym wykazie, musisz być administratorem administrator globalny, administratorem zarządzania tożsamościami lub administratorem użytkowników albo być właścicielem katalogu lub menedżerem pakietów dostępu w tym wykazie.

    Pakiet dostępu — podstawowe informacje

    Jeśli jesteś administrator globalny, administrator zarządzania tożsamościami, administrator użytkowników lub twórca katalogu i chcesz utworzyć pakiet dostępu w nowym wykazie, który nie znajduje się na liście, wybierz pozycję Utwórz nowy wykaz. Wprowadź nazwę i opis wykazu, a następnie wybierz pozycję Utwórz.

    Tworzony pakiet dostępu i wszystkie zawarte w nim zasoby zostaną dodane do nowego wykazu. Możesz również dodać kolejnych właścicieli wykazu później i dodać atrybuty do zasobów umieszczonych w wykazie. Przeczytaj artykuł Dodawanie atrybutów zasobów w katalogu , aby dowiedzieć się więcej o sposobie edytowania listy atrybutów dla określonego zasobu wykazu i ról wymagań wstępnych.

  3. Wybierz opcję Dalej.

Role zasobów

Na karcie Role zasobów wybierz zasoby do uwzględnienia w pakiecie dostępu. Użytkownicy, którzy żądają i otrzymują pakiet dostępu, otrzymają wszystkie role zasobów, takie jak członkostwo w grupie, w pakiecie dostępu.

Jeśli nie masz pewności, które role zasobów należy uwzględnić, możesz pominąć dodawanie ról zasobów podczas tworzenia pakietu dostępu, a następnie dodać role zasobów po utworzeniu pakietu dostępu.

  1. Wybierz typ zasobu, który chcesz dodać (grupy i zespoły, aplikacje lub witryny programu SharePoint).

  2. W wyświetlonym okienku Wybierz wybierz co najmniej jeden zasób z listy.

    Pakiet dostępu — role zasobów

    Jeśli tworzysz pakiet dostępu w wykazie ogólnym lub nowym wykazie, możesz wybrać dowolny zasób z katalogu, którego jesteś właścicielem. Musisz być co najmniej administrator globalny, administratorem użytkowników lub twórcą katalogu.

    Jeśli tworzysz pakiet dostępu w istniejącym wykazie, możesz wybrać dowolny zasób, który znajduje się już w wykazie bez jego posiadania.

    Jeśli jesteś właścicielem administrator globalny, administratorem użytkowników lub właścicielem wykazu, możesz wybrać zasoby, które nie znajdują się jeszcze w wykazie. Jeśli wybierzesz zasoby, które nie są obecnie dostępne w wybranym wykazie, te zasoby zostaną również dodane do wykazu dla innych administratorów wykazu w celu utworzenia pakietów dostępu za pomocą polecenia . Aby wyświetlić wszystkie zasoby, które można dodać do wykazu, zaznacz pole wyboru Zobacz wszystko w górnej części okienka Wybierz. Jeśli chcesz wybrać tylko zasoby, które znajdują się obecnie w wybranym wykazie, pozostaw pole wyboru Zobacz wszystkie niezaznaczone (stan domyślny).

  3. Po wybraniu zasobów na liście Rola wybierz rolę, którą użytkownicy mają mieć przypisani do zasobu. Aby uzyskać więcej informacji na temat wybierania odpowiednich ról dla zasobu, przeczytaj dodawanie ról zasobów.

    Pakiet dostępu — wybór roli zasobu

  4. Wybierz opcję Dalej.

Uwaga

Grupy dynamiczne można dodawać do katalogu i do pakietu dostępu. Można jednak wybrać tylko rolę Właściciel podczas zarządzania zasobem grupy dynamicznej w pakiecie dostępu.

Żądania

Na karcie Żądania utworzysz pierwsze zasady, aby określić, kto może zażądać pakietu dostępu, a także ustawienia zatwierdzania. Później możesz utworzyć więcej zasad żądań, aby umożliwić dodatkowym grupom użytkowników żądanie pakietu dostępu z własnymi ustawieniami zatwierdzania.

Pakiet dostępu — karta Żądania

W zależności od tego, kto ma mieć możliwość zażądania tego pakietu dostępu, wykonaj kroki opisane w jednej z poniższych sekcji.

Dla użytkowników w katalogu

Wykonaj następujące kroki, jeśli chcesz zezwolić użytkownikom w katalogu na żądanie tego pakietu dostępu. Podczas definiowania zasad żądania można określić poszczególnych użytkowników lub częściej używane grupy użytkowników. Na przykład organizacja może już mieć grupę, taką jak Wszyscy pracownicy. Jeśli ta grupa zostanie dodana w zasadach dla użytkowników, którzy mogą żądać dostępu, każdy członek tej grupy będzie mógł zażądać dostępu.

  1. W sekcji Użytkownicy, którzy mogą zażądać dostępu , wybierz pozycję Dla użytkowników w katalogu.

    Po wybraniu tej opcji nowe opcje wydają się bardziej uściślić, kto w katalogu może zażądać tego pakietu dostępu.

    Pakiet dostępu — żądania — dla użytkowników w katalogu

  2. Wybierz jedną z następujących opcji:

    Opis
    Konkretni użytkownicy i grupy Wybierz tę opcję, jeśli chcesz, aby tylko użytkownicy i grupy w katalogu, które określisz, aby móc zażądać tego pakietu dostępu.
    Wszyscy członkowie (z wyłączeniem gości) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami w katalogu mogli zażądać tego pakietu dostępu. Ta opcja nie obejmuje żadnych użytkowników-gości, których możesz zaprosić do katalogu.
    Wszyscy użytkownicy (w tym goście) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami i użytkownicy-goście w katalogu mogli zażądać tego pakietu dostępu.

    Użytkownicy-goście odwołują się do użytkowników zewnętrznych, którzy zostali zaproszeni do katalogu przy użyciu Azure AD B2B. Aby uzyskać więcej informacji na temat różnic między użytkownikami członkami a użytkownikami-gośćmi, zobacz Co to są domyślne uprawnienia użytkowników w usłudze Azure Active Directory?.

  3. W przypadku wybrania opcji Konkretni użytkownicy i grupy wybierz pozycję Dodaj użytkowników i grupy.

  4. W okienku Wybieranie użytkowników i grup wybierz użytkowników i grupy, które chcesz dodać.

    Pakiet dostępu — żądania — wybieranie użytkowników i grup

  5. Wybierz pozycję Wybierz , aby dodać użytkowników i grupy.

  6. Przejdź do sekcji Zatwierdzenie .

W przypadku użytkowników, którzy nie znajdują się w katalogu

Użytkownicy, którzy nie znajdują się w katalogu, odnoszą się do użytkowników, którzy znajdują się w innym katalogu Azure AD lub domenie. Ci użytkownicy mogli jeszcze nie zostać zaproszeni do katalogu. Azure AD katalogi muszą być skonfigurowane tak, aby zezwalały na zaproszenia w ograniczeniach współpracy. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

Uwaga

Konto użytkownika-gościa zostanie utworzone dla użytkownika, którego żądanie nie zostało jeszcze zatwierdzone lub zatwierdzone automatycznie. Gość zostanie zaproszony, ale nie otrzyma wiadomości e-mail z zaproszeniem. Zamiast tego otrzymają wiadomość e-mail po dodaniu pakietu dostępu. Domyślnie później, gdy ten użytkownik-gość nie ma już żadnych przypisań pakietu dostępu, ponieważ jego ostatnie przypisanie wygasło lub zostało anulowane, konto użytkownika-gościa zostanie zablokowane przed zalogowaniem się, a następnie usunięte. Jeśli chcesz, aby użytkownicy-goście pozostawali w katalogu na czas nieokreślony, nawet jeśli nie mają przypisań pakietów dostępu, możesz zmienić ustawienia konfiguracji zarządzania upoważnieniami. Aby uzyskać więcej informacji na temat obiektu użytkownika-gościa, zobacz Właściwości użytkownika współpracy B2B usługi Azure Active Directory.

Wykonaj następujące kroki, jeśli chcesz zezwolić użytkownikom, którzy nie znajdują się w katalogu, aby zażądali tego pakietu dostępu:

  1. W sekcji Użytkownicy, którzy mogą żądać dostępu , wybierz pozycję Dla użytkowników, którzy nie znajdują się w katalogu.

    Po wybraniu tej opcji pojawią się nowe opcje.

    Pakiet dostępu — żądania — dla użytkowników, którzy nie znajdują się w katalogu

  2. Wybierz jedną z następujących opcji:

    Opis
    Określone połączone organizacje Wybierz tę opcję, jeśli chcesz wybrać z listy organizacji, które administrator wcześniej dodał. Wszyscy użytkownicy z wybranych organizacji mogą zażądać tego pakietu dostępu.
    Wszystkie połączone organizacje Wybierz tę opcję, jeśli wszyscy użytkownicy ze wszystkich połączonych organizacji mogą zażądać tego pakietu dostępu.
    Wszyscy użytkownicy (wszystkie połączone organizacje i wszyscy nowi użytkownicy zewnętrzni) Wybierz tę opcję, jeśli wszyscy użytkownicy ze wszystkich połączonych organizacji mogą zażądać tego pakietu dostępu i że ustawienia listy dozwolonych lub zablokowanych B2B powinny mieć pierwszeństwo przed każdym nowym użytkownikiem zewnętrznym.

    Połączona organizacja to zewnętrzny katalog Azure AD lub domena, z którą masz relację.

  3. W przypadku wybrania pozycji Określone połączone organizacje wybierz pozycję Dodaj katalogi , aby wybrać z listy połączonych organizacji, które wcześniej dodał administrator.

  4. Wpisz nazwę lub nazwę domeny, aby wyszukać wcześniej połączoną organizację.

    Pakiet dostępu — Żądania — Wybieranie katalogów

    Jeśli organizacja, z którą chcesz współpracować, nie znajduje się na liście, możesz poprosić administratora o dodanie jej jako połączonej organizacji. Aby uzyskać więcej informacji, zobacz Dodawanie połączonej organizacji.

  5. Po wybraniu wszystkich połączonych organizacji wybierz pozycję Wybierz.

    Uwaga

    Wszyscy użytkownicy z wybranych połączonych organizacji będą mogli zażądać tego pakietu dostępu. Obejmuje to użytkowników w Azure AD ze wszystkich domen podrzędnych skojarzonych z organizacją, chyba że te domeny są blokowane przez listę dozwolonych lub zablokowanych domen platformy Azure B2B. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.

  6. Przejdź do sekcji Zatwierdzenie .

Brak (tylko przypisania bezpośrednie przez administratora)

Wykonaj następujące kroki, jeśli chcesz pominąć żądania dostępu i zezwolić administratorom na bezpośrednie przypisywanie określonych użytkowników do tego pakietu dostępu. Użytkownicy nie będą musieli żądać pakietu dostępu. Nadal można ustawić ustawienia cyklu życia, ale nie ma żadnych ustawień żądania.

  1. W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Brak (tylko przypisania bezpośrednie administratora).

    Pakiet dostępu — żądania — brak przypisań bezpośrednich przez administratora

    Po utworzeniu pakietu dostępu można bezpośrednio przypisać określonych użytkowników wewnętrznych i zewnętrznych do pakietu dostępu. Jeśli określisz użytkownika zewnętrznego, konto użytkownika-gościa zostanie utworzone w katalogu. Aby uzyskać informacje na temat bezpośredniego przypisywania użytkownika, zobacz Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu.

  2. Przejdź do sekcji Włączanie żądań .

Zatwierdzenie

W sekcji Zatwierdzenie określ, czy zatwierdzenie jest wymagane, gdy użytkownicy żądają tego pakietu dostępu. Ustawienia zatwierdzania działają w następujący sposób:

  • Tylko jeden z wybranych osób zatwierdzających lub rezerwowych osób zatwierdzających musi zatwierdzić żądanie zatwierdzenia jednoetapowego.
  • Tylko jeden z wybranych osób zatwierdzających z każdego etapu musi zatwierdzić żądanie zatwierdzenia dwuetapowego.
  • Osoba zatwierdzająca może być menedżerem, sponsorem wewnętrznym lub sponsorem zewnętrznym w zależności od tego, kto rządzi dostępem.
  • Zatwierdzenie z każdego wybranego osoby zatwierdzającej nie jest wymagane do zatwierdzania pojedynczego lub 2 etapu.
  • Decyzja o zatwierdzeniu zależy od tego, która osoba zatwierdzająca najpierw przegląda żądanie.

Aby dowiedzieć się, jak dodać osoby zatwierdzające do zasad żądania, obejrzyj następujący film wideo:

Aby dowiedzieć się, jak dodać zatwierdzenie wieloetapowe do zasad żądania, obejrzyj następujący film wideo:

Wykonaj następujące kroki, aby określić ustawienia zatwierdzania żądań dla pakietu dostępu:

  1. Aby wymagać zatwierdzenia żądań od wybranych użytkowników, ustaw przełącznik Wymagaj zatwierdzenia na wartość Tak. Możesz też ustawić przełącznik na Nie, aby żądania zostały automatycznie zatwierdzone.

  2. Aby wymagać od użytkowników podania uzasadnienia w celu zażądania pakietu dostępu, ustaw przełącznik Wymagaj uzasadnienia osoby żądającej na wartość Tak.

  3. Teraz określ, czy żądania będą wymagały zatwierdzenia pojedynczego lub 2-etapowego. Ustaw przełącznik How many stages toggle to 1 for single stage approval (Ile etapów ma wartość 1) lub ustaw przełącznik na 2 w celu zatwierdzenia na 2 etapy.

    Pakiet dostępu — żądania — ustawienia zatwierdzenia

Wykonaj następujące kroki, aby dodać osoby zatwierdzające po wybraniu wymaganej liczby etapów:

Zatwierdzanie jednoetapowe

  1. Dodaj pierwszą osoba zatwierdzającą:

    Jeśli zasady mają ustawioną wartość Dla użytkowników w katalogu, możesz wybrać pozycję Menedżer jako osoba zatwierdzająca. Możesz też dodać określonego użytkownika, klikając pozycję Dodaj osoby zatwierdzające po wybraniu pozycji Wybierz określone osoby zatwierdzające z menu rozwijanego.

    Pakiet dostępu — żądania — dla użytkowników w katalogu — pierwsza osoba zatwierdzająca

    Jeśli te zasady są ustawione na Wartość Dla użytkowników, którzy nie znajdują się w katalogu, możesz wybrać opcję Sponsor zewnętrzny lub Sponsor wewnętrzny. Możesz też dodać określonego użytkownika, klikając pozycję Dodaj osoby zatwierdzające lub grupy w obszarze Wybierz określonych osób zatwierdzających.

    Pakiet dostępu — żądania — dla użytkowników z katalogu — pierwsza osoba zatwierdzająca

  2. Jeśli jako pierwsza osoba zatwierdzająca została wybrana opcja Menedżer , wybierz pozycję Dodaj rezerwową , aby wybrać jednego lub więcej użytkowników lub grup w katalogu jako rezerwowego osoby zatwierdzającej. Osoby zatwierdzające rezerwowe otrzymują żądanie, jeśli zarządzanie upoważnieniami nie może znaleźć menedżera dla użytkownika żądającego dostępu.

    Menedżer jest znaleziony przez zarządzanie upoważnieniami przy użyciu atrybutu Manager . Atrybut znajduje się w profilu użytkownika w Azure AD. Aby uzyskać więcej informacji, zobacz Dodawanie lub aktualizowanie informacji o profilu użytkownika przy użyciu usługi Azure Active Directory.

  3. W przypadku wybrania opcji Wybierz określone osoby zatwierdzające wybierz pozycję Dodaj osoby zatwierdzające , aby wybrać jednego lub więcej użytkowników lub grup w katalogu, którzy mają być osobami zatwierdzających.

  4. W polu Decyzja musi być podjęta w ciągu ilu dni?, określ liczbę dni, przez które osoba zatwierdzająca musi przejrzeć żądanie dla tego pakietu dostępu.

    Jeśli żądanie nie zostanie zatwierdzone w tym czasie, zostanie ono automatycznie odrzucone. Użytkownik będzie musiał przesłać kolejne żądanie dotyczące pakietu dostępu.

  5. Aby wymagać od osób zatwierdzających podania uzasadnienia swojej decyzji, ustaw opcję Wymagaj uzasadnienia osoby zatwierdzającej na wartość Tak.

    Uzasadnienie jest widoczne dla innych osób zatwierdzających i osoby żądającej.

Zatwierdzenie dwuetapowe

Jeśli wybrano zatwierdzenie dwuetapowe, musisz dodać drugą osoba zatwierdzającą.

  1. Dodaj drugą osoba zatwierdzającą:

    Jeśli użytkownicy znajdują się w katalogu, dodaj określonego użytkownika jako drugiego osoby zatwierdzającej, klikając pozycję Dodaj osoby zatwierdzające w obszarze Wybierz określone osoby zatwierdzające.

    Pakiet dostępu — żądania — dla użytkowników w katalogu — osoba zatwierdzająca druga

    Jeśli użytkownicy nie znajdują się w katalogu, wybierz pozycję Wewnętrzny sponsor lub Sponsor zewnętrzny jako drugi osoba zatwierdzająca. Po wybraniu osoby zatwierdzającej dodaj osoby zatwierdzające rezerwowe.

    Pakiet dostępu — żądania — dla użytkowników z katalogu — druga osoba zatwierdzająca

  2. Określ liczbę dni, przez jaką druga osoba zatwierdzająca musi zatwierdzić żądanie w polu w obszarze Decyzja musi zostać podjęta w ciągu ilu dni?.

  3. Ustaw przełącznik Wymagaj uzasadnienia osoby zatwierdzającej na wartość Tak lub Nie.

Osoby zatwierdzające alternatywne

Można określić alternatywne osoby zatwierdzające, podobne do określania pierwszych i drugich osób zatwierdzających, którzy mogą zatwierdzać żądania. Posiadanie alternatywnych osób zatwierdzających pomoże zagwarantować, że żądania zostaną zatwierdzone lub odrzucone przed ich wygaśnięciem (przekroczenie limitu czasu). Można wyświetlić listę alternatywnych osób zatwierdzających pierwszy osoba zatwierdzająca i drugi osoba zatwierdzająca w celu zatwierdzenia 2-etapowego.

Po określeniu alternatywnych osób zatwierdzających, jeśli pierwsza lub druga osoba zatwierdzająca nie mogła zatwierdzić lub odrzucić żądania, oczekujące żądanie zostanie przekazane do alternatywnych osób zatwierdzających. Żądanie jest wysyłane zgodnie z harmonogramem przekazywania określonym podczas konfigurowania zasad. Otrzymują wiadomość e-mail z prośbą o zatwierdzenie lub odmowę oczekującego żądania.

Po przesłaniu żądania do alternatywnych osób zatwierdzających pierwsze lub drugie osoby zatwierdzające mogą nadal zatwierdzać lub odrzucać żądanie. Alternatywne osoby zatwierdzające używają tej samej witryny Mój dostęp, aby zatwierdzić lub odrzucić oczekujące żądanie.

Możemy wyświetlić listę osób lub grup osób, które mają być osobami zatwierdzaymi i alternatywnymi osobami zatwierdzających. Upewnij się, że wymieniono różne zestawy osób jako pierwsze, drugie i alternatywne osoby zatwierdzające. Jeśli na przykład wymieniono Alicję i Boba jako osoby zatwierdzające, wyświetl listę Carol i Dave jako alternatywne osoby zatwierdzające. Aby dodać alternatywne osoby zatwierdzające do pakietu dostępu, wykonaj następujące kroki:

  1. W obszarze Pierwszy osoba zatwierdzająca, Drugi osoba zatwierdzająca lub obie opcje wybierz pozycję Pokaż ustawienia żądań zaawansowanych.

    Pakiet dostępu — zasady — wyświetlanie ustawień żądań zaawansowanych

  2. Ustaw opcję Jeśli nie podjęto żadnej akcji, przejdź do alternatywnych osób zatwierdzających? przełącz się na tak.

  3. Wybierz pozycję Dodaj alternatywne osoby zatwierdzające i wybierz alternatywne osoby zatwierdzające z listy.

    Pakiet dostępu — zasady — dodawanie alternatywnych osób zatwierdzających

    Jeśli wybierzesz pozycję Menedżer jako osoba zatwierdzająca dla pierwszego osoby zatwierdzającej, będziesz mieć dodatkową opcję Menedżer drugiego poziomu jako alternatywny osoba zatwierdzająca, która będzie dostępna do wybrania w alternatywnym polu osoby zatwierdzającej. Jeśli wybierzesz tę opcję, musisz dodać rezerwowego osoby zatwierdzającej, aby przekazać żądanie do adresu w przypadku, gdy system nie może znaleźć menedżera drugiego poziomu.

  4. W polu Prześlij dalej do alternatywnych osób zatwierdzających po upływie ilu dni należy umieścić osoby zatwierdzające w ciągu kilku dni, przez które osoby zatwierdzające muszą zatwierdzić lub odrzucić żądanie. Jeśli żadne osoby zatwierdzające nie zatwierdziły ani nie zaprzeczyły żądaniu przed czasem trwania żądania, żądanie wygaśnie (limit czasu). Następnie użytkownik będzie musiał przesłać kolejne żądanie dla pakietu dostępu.

    Żądania mogą być przekazywane do alternatywnych osób zatwierdzających dzień po osiągnięciu połowy okresu żądania, a decyzja głównych osób zatwierdzających musi upłynął limit czasu po co najmniej czterech dniach. Jeśli limit czasu żądania jest mniejszy lub równy 3, nie ma wystarczającego czasu, aby przekazać żądanie do alternatywnych osób zatwierdzanych. W tym przykładzie czas trwania żądania wynosi 14 dni. W związku z tym czas trwania żądania osiąga połowę życia w dniu 7. Dlatego żądanie nie może być przekazywane wcześniej niż dzień 8. Ponadto żądania nie mogą być przekazywane w ostatnim dniu trwania żądania. W tym przykładzie najnowsze żądanie może zostać przekazane w dniu 13.

Włączanie żądań

  1. Jeśli chcesz, aby pakiet dostępu był natychmiast dostępny dla użytkowników w zasadach żądania do żądania, przenieś przełącznik Włącz do pozycji Tak.

    Zawsze możesz ją włączyć w przyszłości po zakończeniu tworzenia pakietu dostępu.

    Jeśli wybrano opcję Brak (tylko przypisania bezpośrednie przez administratora) i ustawisz opcję Nie, administratorzy nie mogą bezpośrednio przypisać tego pakietu dostępu.

    Zrzut ekranu przedstawiający opcję włączania nowych żądań i przypisań.

  2. Wybierz opcję Dalej.

Dodawanie informacji o żądaniu do pakietu dostępu

  1. Przejdź do karty Informacje o żądaniu i wybierz kartę Pytania podrzędne.

  2. Wpisz, co chcesz zadać żądającego, nazywanego również ciągiem wyświetlania, dla pytania w polu Pytanie .

    Pakiet dostępu — zasady — włączanie ustawienia informacji o żądaniu

  3. Jeśli chcesz dodać własne opcje lokalizacji, wybierz pozycję Dodaj lokalizację.

    1. W okienku Dodawanie lokalizacji pytań wybierz kod języka dla języka, w którym lokalizujesz pytanie.
    2. W skonfigurowanym języku wpisz pytanie w polu Tekst zlokalizowany .
    3. Po dodaniu wszystkich wymaganych lokalizacji wybierz pozycję Zapisz.

    Pakiet dostępu — zasady — konfigurowanie zlokalizowanego tekstu

  4. Wybierz format odpowiedzi , w którym chcesz, aby żądający odpowiadali. Formaty odpowiedzi obejmują: krótki tekst, wybór wielokrotny i długi tekst.

    Pakiet dostępu — zasady — wybieranie widoku i edytowanie formatu odpowiedzi wielokrotnego wyboru

  5. W przypadku wybrania wielu opcji wybierz przycisk edytuj i lokalizuj , aby skonfigurować opcje odpowiedzi.

    1. Po wybraniu opcji edytuj i zlokalizowanie zostanie otwarte okienko Wyświetl/edytuj pytanie .
    2. Wpisz opcje odpowiedzi, które chcesz nadać żądającemu podczas odpowiadania na pytanie w polach Wartości odpowiedzi .
    3. Wybierz język dla opcji odpowiedzi. Opcje odpowiedzi można lokalizować, jeśli wybierzesz dodatkowe języki.
    4. Wpisz dowolną liczbę odpowiedzi, a następnie wybierz pozycję Zapisz.

    Pakiet dostępu — zasady — wprowadź wiele opcji wyboru

  6. Aby wymagać od żądających odpowiedzi na to pytanie podczas żądania dostępu do pakietu dostępu, zaznacz pole wyboru w obszarze Wymagane.

  7. Wybierz kartę Podrzędne Atrybuty , aby wyświetlić atrybuty skojarzone z zasobami dodanymi do pakietu dostępu.

    Uwaga

    Aby dodać lub zaktualizować atrybuty dla zasobów pakietu dostępu, przejdź do katalogu i znajdź wykaz skojarzony z pakietem dostępu. Przeczytaj artykuł Dodawanie atrybutów zasobów w wykazie, aby dowiedzieć się więcej na temat edytowania listy atrybutów dla określonego zasobu wykazu i ról wymagań wstępnych.

  8. Wybierz pozycję Dalej

Cykl życia

Na karcie Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Można również określić, czy użytkownicy mogą rozszerzyć swoje przypisania.

  1. W sekcji Wygaśnięcie ustaw opcję Przypisania pakietów programu Access wygasają na Wartość Data, Liczba dni, Liczba godzin lub Nigdy.

    • W obszarze Data wybierz datę wygaśnięcia w przyszłości.
    • W polu Liczba dni określ liczbę z zakresu od 0 do 3660 dni.
    • W polu Liczba godzin określ liczbę godzin.

    Na podstawie wybranego wyboru przypisanie użytkownika do pakietu dostępu wygasa w określonym dniu, określoną liczbę dni po ich zatwierdzeniu lub nigdy.

  2. Jeśli chcesz, aby użytkownik zażądał określonej daty rozpoczęcia i zakończenia dostępu, kliknij przycisk Tak obok przełącznika Użytkownicy mogą zażądać określonego przełącznika osi czasu .

  3. Kliknij pozycję Pokaż zaawansowane ustawienia wygasania , aby wyświetlić dodatkowe ustawienia.

    Pakiet dostępu — ustawienia wygasania cyklu życia

  4. Aby zezwolić użytkownikowi na rozszerzenie swoich przypisań, ustaw opcję Zezwalaj użytkownikom na rozszerzanie dostępu na wartość Tak.

    Jeśli rozszerzenia są dozwolone w zasadach, użytkownik otrzyma wiadomość e-mail 14 dni, a także dzień przed wygaśnięciem przypisania pakietu dostępu, monitując o przedłużenie przypisania. Użytkownik musi nadal znajdować się w zakresie zasad w momencie żądania rozszerzenia. Ponadto jeśli zasady mają jawną datę zakończenia przypisań, a użytkownik przesyła żądanie rozszerzenia w celu rozszerzenia dostępu, data rozszerzenia w żądaniu musi być na lub przed wygaśnięciem przydziałów, zgodnie z definicją w zasadach, które zostały użyte do udzielenia użytkownikowi dostępu do pakietu dostępu. Jeśli na przykład zasady wskazują, że przypisania mają wygasać 30 czerwca, maksymalne rozszerzenie, którego użytkownik może zażądać, wynosi 30 czerwca.

    Jeśli dostęp użytkownika zostanie rozszerzony, nie będzie mógł zażądać pakietu dostępu po określonej dacie rozszerzenia (data ustawiona w strefie czasowej użytkownika, który utworzył zasady).

  5. Aby wymagać zatwierdzenia udzielenia rozszerzenia, ustaw opcję Wymagaj zatwierdzenia, aby przyznać rozszerzenietak.

    Zostaną użyte te same ustawienia zatwierdzania, które zostały określone na karcie Żądania .

  6. Kliknij przycisk Dalej lub Zaktualizuj.

Przeglądanie i tworzenie

Na karcie Przeglądanie i tworzenie możesz przejrzeć ustawienia i sprawdzić błędy weryfikacji.

  1. Przeglądanie ustawień pakietu dostępu

    Pakiet dostępu — włączanie ustawienia zasad

  2. Wybierz pozycję Utwórz , aby utworzyć pakiet dostępu.

    Nowy pakiet dostępu zostanie wyświetlony na liście pakietów dostępu.

Programowe tworzenie pakietu dostępu

Możesz również utworzyć pakiet dostępu przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API do

  1. Wyświetl listę accessPackageResources w katalogu i utwórz element accessPackageResourceRequest dla wszystkich zasobów, które jeszcze nie znajdują się w wykazie.
  2. Wyświetl listę accessPackageResourceRoles każdego elementu accessPackageResource w pliku accessPackageCatalog. Ta lista ról będzie następnie używana do wybierania roli podczas późniejszego tworzenia elementu accessPackageResourceRoleScope.
  3. Utwórz pakiet accessPackage.
  4. Utwórz element accessPackageAssignmentPolicy dla każdej zasady wymaganej w pakiecie dostępu.
  5. Utwórz element accessPackageResourceRoleScope dla każdej roli zasobu wymaganej w pakiecie dostępu.

Następne kroki