Rozwiązywanie problemów z zarządzaniem upoważnieniami

  • Artykuł

W tym artykule opisano niektóre elementy, które należy sprawdzić, aby ułatwić rozwiązywanie problemów z zarządzaniem upoważnieniami.

Administracja

  • Jeśli podczas konfigurowania zarządzania upoważnieniami otrzymasz komunikat o odmowie dostępu i jesteś administratorem globalnym, upewnij się, że katalog ma licencję Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra (lub EMS E5). Jeśli niedawno odnowiono wygasłą subskrypcję Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra, może upłynąć 8 godzin, aby odnowienie tej licencji było widoczne.

  • Jeśli licencja microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra dzierżawy wygasła, nie będzie można przetwarzać nowych żądań dostępu ani wykonywać przeglądów dostępu.

  • Jeśli podczas tworzenia lub wyświetlania pakietów dostępu otrzymasz komunikat o odmowie dostępu i jesteś członkiem grupy twórców wykazu, musisz utworzyć wykaz przed utworzeniem pierwszego pakietu dostępu.

Zasoby

  • Role dla aplikacji są definiowane przez samą aplikację i są zarządzane w identyfikatorze Entra firmy Microsoft. Jeśli aplikacja nie ma żadnych ról zasobów, zarządzanie upoważnieniami przypisuje użytkowników do domyślnej roli dostępu .

    Centrum administracyjne firmy Microsoft Entra może również wyświetlać jednostki usługi dla usług, których nie można wybrać jako aplikacji. W szczególności usługi Exchange Online i SharePoint Online to usługi, a nie aplikacje, które mają role zasobów w katalogu, więc nie mogą być uwzględnione w pakiecie dostępu. Zamiast tego użyj licencjonowania opartego na grupach w celu uzyskania odpowiedniej licencji dla użytkownika, który potrzebuje dostępu do tych usług.

  • Aplikacje, które obsługują tylko użytkowników osobistych kont Microsoft na potrzeby uwierzytelniania i nie obsługują kont organizacyjnych w katalogu, nie mają ról aplikacji i nie można ich dodać do katalogów pakietów dostępu.

  • Aby grupa była zasobem w pakiecie dostępu, musi mieć możliwość modyfikacji w identyfikatorze Entra firmy Microsoft. Grupy pochodzące z lokalna usługa Active Directory nie mogą być przypisane jako zasoby, ponieważ nie można zmienić ich atrybutów właściciela lub członka w identyfikatorze Entra firmy Microsoft. Grupy pochodzące z usługi Exchange Online jako grupy dystrybucyjne nie mogą być modyfikowane w identyfikatorze Entra firmy Microsoft.

  • Biblioteki dokumentów usługi SharePoint Online i poszczególne dokumenty nie mogą być dodawane jako zasoby. Zamiast tego utwórz grupę zabezpieczeń Entra firmy Microsoft, uwzględnij tę grupę i rolę witryny w pakiecie dostępu, a w usłudze SharePoint Online użyj tej grupy do kontrolowania dostępu do biblioteki dokumentów lub dokumentu.

  • Jeśli istnieją użytkownicy, którzy zostali już przypisani do zasobu, którym chcesz zarządzać za pomocą pakietu dostępu, upewnij się, że użytkownicy są przypisani do pakietu dostępu przy użyciu odpowiednich zasad. Na przykład możesz uwzględnić grupę w pakiecie dostępu, który ma już użytkowników w grupie. Jeśli Ci użytkownicy w grupie wymagają ciągłego dostępu, muszą mieć odpowiednie zasady dla pakietów dostępu, aby nie utracić dostępu do grupy. Pakiet dostępu można przypisać, prosząc użytkowników o zażądanie pakietu dostępu zawierającego ten zasób lub przez bezpośrednie przypisanie ich do pakietu dostępu. Aby uzyskać więcej informacji, zobacz Zmienianie ustawień żądania i zatwierdzenia dla pakietu dostępu.

  • Usunięcie członka zespołu spowoduje również usunięcie ich z grupy platformy Microsoft 365. Usunięcie z funkcji czatu zespołu może być opóźnione. Aby uzyskać więcej informacji, zobacz Członkostwo w grupie.

Pakiety dostępu

  • Jeśli próbujesz usunąć pakiet dostępu lub zasady i zostanie wyświetlony komunikat o błędzie z komunikatem o aktywnych przypisaniach, gdy nie widzisz żadnych użytkowników z przypisaniami, sprawdź, czy ostatnio usunięci użytkownicy nadal mają przypisania. W okresie 30 dni po usunięciu użytkownika można przywrócić konto użytkownika.

Użytkownicy zewnętrzni

  • Gdy użytkownik zewnętrzny chce zażądać dostępu do pakietu dostępu, upewnij się, że używa linku Portalu Mój dostęp dla pakietu dostępu. Aby uzyskać więcej informacji, zobacz Udostępnianie linku w celu żądania pakietu dostępu. Jeśli użytkownik zewnętrzny po prostu odwiedza myaccess.microsoft.com i nie korzysta z pełnego linku Portalu Mój dostęp, zobaczy pakiety dostępu dostępne dla nich we własnej organizacji, a nie w organizacji.

  • Jeśli użytkownik zewnętrzny nie może zażądać dostępu do pakietu dostępu lub nie może uzyskać dostępu do zasobów, sprawdź ustawienia dla użytkowników zewnętrznych.

  • Jeśli nowy użytkownik zewnętrzny, który nie zalogował się wcześniej w twoim katalogu, otrzyma pakiet dostępu, w tym witrynę usługi SharePoint Online, jego pakiet dostępu będzie wyświetlany jako nie w pełni dostarczony do momentu aprowizacji konta w usłudze SharePoint Online. Aby uzyskać więcej informacji na temat ustawień udostępniania, zobacz Przeglądanie ustawień udostępniania zewnętrznego usługi SharePoint Online.

Żądania

  • Gdy użytkownik chce zażądać dostępu do pakietu dostępu, upewnij się, że używa linku Portalu Mój dostęp dla pakietu dostępu. Aby uzyskać więcej informacji, zobacz Udostępnianie linku w celu żądania pakietu dostępu.

  • Jeśli otworzysz portal Mój dostęp przy użyciu przeglądarki w trybie prywatnym lub incognito, może to spowodować konflikt z zachowaniem logowania. Zalecamy, aby nie używać trybu w trybie prywatnym ani incognito w przeglądarce podczas odwiedzania portalu Mój dostęp.

  • Jeśli użytkownik, który nie znajduje się jeszcze w katalogu, zaloguj się do portalu Mój dostęp, aby zażądać pakietu dostępu, upewnij się, że uwierzytelnia się przy użyciu konta organizacyjnego. Konto organizacyjne może być kontem w katalogu zasobów lub w katalogu, który znajduje się w jednej z zasad pakietu dostępu. Jeśli konto użytkownika nie jest kontem organizacyjnym lub katalogiem, w którym się uwierzytelniają, nie znajduje się w zasadach, użytkownik nie zobaczy pakietu dostępu. Aby uzyskać więcej informacji, zobacz Żądanie dostępu do pakietu dostępu.

  • Jeśli użytkownik nie może zalogować się do katalogu zasobów, nie będzie mógł zażądać dostępu w portalu Mój dostęp. Aby użytkownik mógł zażądać dostępu, musisz usunąć blokadę logowania z profilu użytkownika. Aby usunąć blok logowania, w centrum administracyjnym firmy Microsoft Entra wybierz pozycję Tożsamość, wybierz pozycję Użytkownicy, wybierz użytkownika, a następnie wybierz pozycję Profil. Edytuj sekcję Ustawienia i zmień pozycję Blokuj logowanie na Nie. Aby uzyskać więcej informacji, zobacz Dodawanie lub aktualizowanie informacji o profilu użytkownika przy użyciu identyfikatora Entra firmy Microsoft. Możesz również sprawdzić, czy użytkownik został zablokowany z powodu zasad usługi Identity Protection.

  • W portalu Mój dostęp, jeśli użytkownik jest zarówno osoba żądająca, jak i osoba zatwierdzająca, nie będzie widzieć żądania pakietu dostępu na stronie Zatwierdzenia. To zachowanie jest zamierzone — użytkownik nie może zatwierdzić własnego żądania. Upewnij się, że żądany pakiet dostępu ma dodatkowe osoby zatwierdzające skonfigurowane w zasadach. Aby uzyskać więcej informacji, zobacz Zmienianie ustawień żądania i zatwierdzenia dla pakietu dostępu.

Wyświetlanie błędów dostarczania żądania

Rola wymagań wstępnych: administrator globalny, administrator zarządzania tożsamościami, właściciel wykazu, menedżer pakietów programu Access lub menedżer przypisań pakietów programu Access

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  3. Wybierz pozycję Żądania.

  4. Wybierz żądanie, które chcesz wyświetlić.

    Jeśli żądanie zawiera jakiekolwiek błędy dostarczania, stan żądania będzie nieuprawniony lub częściowo dostarczony.

    Jeśli wystąpią jakiekolwiek błędy dostarczania, liczba błędów dostarczania zostanie wyświetlona w okienku szczegółów żądania.

  5. Wybierz liczbę, aby wyświetlić wszystkie błędy dostarczania żądania.

Ponowne przetwarzanie żądania

Jeśli błąd zostanie spełniony po wyzwoleniu żądania ponownego przetwarzania pakietu dostępu, musisz poczekać, aż system ponownie przetworzy żądanie. System próbuje wiele razy ponownie przetworzyć przez kilka godzin, więc nie można wymusić ponownego przetwarzania w tym czasie.

Można ponownie przetworzyć żądanie, które ma stan Dostarczanie nie powiodło się lub zostało dostarczone częściowo i datę ukończenia krótszą niż jeden tydzień. Przycisk ponownego przetwarzania będzie wyszaryzowany w przeciwnym razie.

Reprocess button grayed out

  • Jeśli błąd zostanie naprawiony w oknie prób, stan żądania zmieni się na Dostarczanie. Żądanie zostanie ponownie przetworzone bez dodatkowych akcji od użytkownika.

  • Jeśli błąd nie został naprawiony w oknie próbnym, stan żądania może być niepowodzeniem lubczęściowo dostarczonym. Następnie możesz użyć przycisku ponownego przetwarzania. Aby ponownie przetworzyć żądanie, będziesz mieć siedem dni.

Rola wymagań wstępnych: administrator globalny, administrator zarządzania tożsamościami, właściciel wykazu, menedżer pakietów programu Access lub menedżer przypisań pakietów programu Access

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do sekcji Zarządzanie tożsamościami>Pakiety dostępu do zarządzania upoważnieniami>, aby otworzyć pakiet dostępu.

  3. Wybierz pozycję Żądania.

  4. Wybierz żądanie, które chcesz ponownie przetworzyć.

  5. W okienku szczegółów żądania wybierz pozycję Żądanie ponownego przetwarzania.

    Reprocess a failed request

Anulowanie oczekującego żądania

Możesz anulować oczekujące żądanie, które nie zostało jeszcze dostarczone lub którego dostarczanie nie powiodło się. Przycisk anuluj będzie wyszaryzowany w przeciwnym razie.

Rola wymagań wstępnych: administrator globalny, administrator zarządzania tożsamościami, właściciel wykazu, menedżer pakietów programu Access lub menedżer przypisań pakietów programu Access

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

  2. Przejdź do sekcji Zarządzanie tożsamościami>Pakiety dostępu do zarządzania upoważnieniami>, aby otworzyć pakiet dostępu.

  3. Wybierz pozycję Żądania.

  4. Wybierz żądanie, które chcesz anulować.

  5. W okienku szczegółów żądania wybierz pozycję Anuluj żądanie.

Zasady automatycznego przypisywania

  • Każda zasada automatycznego przypisania może obejmować co najwyżej 5000 użytkowników w zakresie jego reguły. Dodatkowi użytkownicy w zakresie reguły mogą nie mieć przypisanego dostępu.

Wiele zasad

  • Zarządzanie upoważnieniami jest zgodne z najlepszymi rozwiązaniami dotyczącymi najniższych uprawnień. Gdy użytkownik żąda dostępu do pakietu dostępu, który ma wiele zasad, które mają zastosowanie, zarządzanie upoważnieniami obejmuje logikę, aby zapewnić bardziej rygorystyczne lub bardziej szczegółowe zasady są priorytetowe w odniesieniu do zasad ogólnych. Jeśli zasady są ogólne, zarządzanie upoważnieniami może nie wyświetlać zasad do osoby żądającej lub może automatycznie wybrać bardziej rygorystyczne zasady.

  • Rozważmy na przykład pakiet dostępu z dwoma zasadami dla użytkowników w katalogu, w którym obie zasady mają zastosowanie do osoby żądającej. Pierwsze zasady dotyczą konkretnych użytkowników, którzy obejmują osoby żądające. Druga zasada dotyczy wszystkich użytkowników w katalogu. W tym scenariuszu pierwsze zasady są automatycznie wybierane dla osoby żądającej, ponieważ są bardziej rygorystyczne. Żądającego nie podano opcji wybrania drugiej zasady.

  • Po zastosowaniu wielu zasad zasady, które są automatycznie wybrane lub zasady wyświetlane dla osoby żądającej są oparte na następującej logice priorytetu:

    Priorytet zasad Scope
    P1 Określonych użytkowników i grup w katalogu LUB określonych połączonych organizacjach
    P2 Wszyscy członkowie w katalogu (z wyłączeniem gości)
    P3 Wszyscy użytkownicy w katalogu (w tym goście) lub określone połączone organizacje
    P4 Wszystkie skonfigurowane połączone organizacje LUB Wszyscy użytkownicy (wszystkie połączone organizacje + wszyscy nowi użytkownicy zewnętrzni)

    Jeśli jakiekolwiek zasady znajdują się w kategorii o wyższym priorytcie, kategorie o niższym priorytcie są ignorowane. Aby zapoznać się z przykładem wyświetlania wielu zasad z tym samym priorytetem dla osoby żądającej, zobacz Wybieranie zasad.

Następne kroki