Udostępnij za pośrednictwem

Konfigurowanie zasad automatycznego przypisywania dla pakietu dostępu w zarządzaniu upoważnieniami

Za pomocą reguł można określić przypisanie pakietu dostępu na podstawie właściwości użytkownika w usłudze Microsoft Entra ID, będącej częścią Microsoft Entra. W obszarze Zarządzanie upoważnieniami pakiet dostępu może mieć wiele zasad, a każda zasada określa, jak użytkownicy uzyskują przypisanie do pakietu dostępu i jak długo. Jako administrator możesz ustanowić zasady dla automatycznych przypisań, podając regułę członkostwa, którą Zarządzanie Uprawnieniami stosuje do automatycznego tworzenia i usuwania przypisań. Podobnie jak w przypadku grupy dynamicznej, gdy zostanie utworzona zasada automatycznego przypisania, atrybuty użytkownika są oceniane pod kątem zgodności z regułą członkostwa zasady. Gdy atrybut zmieni się dla użytkownika, te reguły zasad automatycznego przypisania w pakietach dostępu są przetwarzane pod kątem zmian członkostwa. Przypisania do użytkowników są następnie dodawane lub usuwane w zależności od tego, czy spełniają kryteria reguły.

Uwaga

Tylko jedna zasada automatycznego przypisania jest dozwolona na pakiet dostępu. Skonfigurowanie więcej niż jednego spowoduje problemy z przetwarzaniem i kolejnymi problemami z dostępem przypisanych osób.

W tym artykule opisano sposób tworzenia zasad automatycznego przypisywania pakietu dostępu dla istniejącego pakietu dostępu.

Zanim rozpoczniesz

Musisz mieć wypełnione atrybuty dla użytkowników, którym przypisany zostanie dostęp. Atrybuty, których można użyć w kryteriach reguł zasad przypisania pakietu dostępu, to te atrybuty wymienione we obsługiwanych właściwościach wraz z atrybutami rozszerzenia i właściwościami rozszerzenia niestandardowego. Te atrybuty można wprowadzić do Microsoft Entra ID, poprzez aktualizację danychużytkownika, systemu HR, takiego jak SuccessFactors, Microsoft Entra Connect cloud sync lub Microsoft Entra Connect Sync. Reguły mogą obejmować maksymalnie 15 000 użytkowników na politykę.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID Governance lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla swoich wymagań, sprawdź Podstawy licencjonowania Microsoft Entra ID Governance.

Utwórz zasadę automatycznego przypisania

Aby utworzyć zasady dla pakietu dostępu, należy rozpocząć od karty zasad pakietu dostępu. Wykonaj następujące kroki, aby utworzyć nowe zasady automatycznego przypisania dla pakietu dostępu.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamością.

    Uwaga

    Właściciele wykazu i menedżerowie pakietów dostępu nie mogą tworzyć zasad automatycznego przypisywania.

  2. Przejdź do zarządzania identyfikacją>zarządzania upoważnieniami>pakietu dostępu.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu.

  4. Wybierz pozycję Zasady, a następnie Dodaj zasadę automatycznego przypisania, aby utworzyć nowe zasady.

  5. Na pierwszej karcie należy określić regułę. Zaznacz Edytuj.

  6. Podaj regułę dla dynamicznych grup członkostwa przy użyciu konstruktora reguł członkostwa lub klikając pozycję Edytuj w polu tekstowym składni reguły.

    Uwaga

    Konstruktor reguł może nie być w stanie wyświetlić niektórych reguł skonstruowanych w polu tekstowym, a walidacja reguły wymaga obecnie, aby być w roli Administrator grup. Aby uzyskać więcej informacji, zobacz Konstruktor reguł w centrum administracyjnym firmy Microsoft Entra.

    Zrzut ekranu przedstawiający konfigurację reguły automatycznego przypisywania pakietu dostępu.

  7. Wybierz pozycję Zapisz , aby zamknąć edytor reguł dla dynamicznych grup członkostwa.

  8. Domyślnie pola wyboru do automatycznego tworzenia i usuwania przypisań powinny pozostać zaznaczone.

  9. Jeśli chcesz, aby użytkownicy zachowali dostęp przez ograniczony czas po przekroczeniu zakresu, możesz określić czas trwania w godzinach lub dniach. Na przykład gdy pracownik opuszcza dział sprzedaży, możesz zezwolić im na dalsze zachowanie dostępu przez siedem dni, aby umożliwić im korzystanie z aplikacji sprzedaży i przenoszenie własności swoich zasobów w tych aplikacjach do innego pracownika.

  10. Wybierz przycisk Dalej , aby otworzyć kartę Rozszerzenia niestandardowe.

  11. Jeśli masz rozszerzenia niestandardowe w katalogu, które chcesz uruchomić, gdy zasady przypisują lub usuwają dostęp, możesz dodać je do tych zasad. Następnie wybierz przycisk obok, aby otworzyć kartę Przegląd .

  12. Wpisz nazwę i opis zasad.

    Zrzut ekranu przedstawiający kartę przeglądu zasad automatycznego przypisywania pakietu dostępu.

  13. Wybierz pozycję Utwórz , aby zapisać zasady.

    Uwaga

    Obecnie Zarządzanie uprawnieniami automatycznie utworzy dynamiczną grupę zabezpieczeń odpowiadającą dla każdej polityki, aby ocenić użytkowników w danym zakresie. Ta grupa nie powinna być modyfikowana z wyjątkiem zarządzania upoważnieniami. Tę grupę można również modyfikować lub usuwać automatycznie przez usługę Zarządzanie upoważnieniami, więc nie używaj tej grupy w innych aplikacjach ani scenariuszach.

  14. Microsoft Entra ID ocenia użytkowników w organizacji, którzy są objęci zakresem tej reguły, i tworzy przypisania dla tych, którzy nie mają jeszcze przypisań do pakietu dostępu. Zasada może zawierać co najwyżej 15 000 użytkowników w regule. Ocena może potrwać kilka minut lub kolejne aktualizacje atrybutów użytkownika, które mają zostać odzwierciedlone w przypisaniach pakietu dostępu.

Programistyczne tworzenie zasad automatycznego przypisania

Istnieją dwa sposoby utworzenia zasad przypisywania pakietów dostępu do automatycznego przypisywania w sposób programowy: za pośrednictwem Microsoft Graph i poleceń cmdlet PowerShell dla Microsoft Graph.

Tworzenie zasad przypisywania pakietów dostępu za pomocą programu Graph

Zasady można utworzyć przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, lub aplikacja z rolą katalogową albo uprawnieniem EntitlementManagement.ReadWrite.All, może wywołać interfejs API tworzenia assignmentPolicy. W ładunku żądania uwzględnij displayName, description, specificAllowedTargets, automaticRequestSettings i accessPackage właściwości zasad.

Tworzenie zasad przypisywania pakietów dostępu za pomocą programu PowerShell

Zasady można również utworzyć w programie PowerShell przy użyciu poleceń cmdlet z modułu Microsoft Graph PowerShell dla zarządzania tożsamością w wersji 1.16.0 lub nowszej.

Poniższy skrypt ilustruje, jak użyć profilu v1.0 do utworzenia polityki automatycznego przypisywania do pakietu dostępu. Aby uzyskać więcej przykładów, zobacz tworzenie polityki przypisania oraz Tworzenie pakietu dostępu w zarządzaniu upoważnieniami dla aplikacji z jedną rolą przy użyciu programu PowerShell.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
  DisplayName = "Sales department users"
  Description = "All users from sales department"
  AllowedTargetScope = "specificDirectoryUsers"
  SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
  } )
  AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
  }
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Następne kroki