Tworzenie pakietu dostępu w zarządzaniu upoważnieniami
Pakiet dostępu umożliwia jednorazową konfigurację zasobów i zasad, które automatycznie zarządzają dostępem przez okres życia pakietu dostępu. W tym artykule opisano sposób tworzenia pakietu dostępu.
Omówienie
Wszystkie pakiety dostępu muszą znajdować się w kontenerze nazywanym wykazem. Wykaz definiuje zasoby, które można dodać do pakietu dostępu. Jeśli nie określisz wykazu, pakiet dostępu przejdzie do wykazu ogólnego. Obecnie nie można przenieść istniejącego pakietu dostępu do innego katalogu.
Pakiet dostępu może służyć do przypisywania dostępu do ról wielu zasobów, które znajdują się w wykazie. Jeśli jesteś administratorem lub właścicielem wykazu, możesz dodać zasoby do wykazu podczas tworzenia pakietu dostępu. Możesz również dodać zasoby po utworzeniu pakietu dostępu, a użytkownicy przypisani do pakietu dostępu otrzymają również dodatkowe zasoby.
Jeśli jesteś menedżerem pakietów dostępu, nie możesz dodawać zasobów, które są własnością katalogu. Ograniczasz się do korzystania z zasobów dostępnych w wykazie. Jeśli musisz dodać zasoby do wykazu, możesz poprosić właściciela wykazu.
Wszystkie pakiety dostępu muszą mieć co najmniej jedną zasadę, aby użytkownicy zostali do nich przypisani. Zasady określają, kto może zażądać pakietu dostępu wraz z ustawieniami zatwierdzania i cyklu życia lub jak dostęp jest przypisywany automatycznie. Podczas tworzenia pakietu dostępu można utworzyć początkowe zasady dla użytkowników w katalogu, dla użytkowników, którzy nie znajdują się w katalogu, lub tylko dla przypisań bezpośrednich administratora.
Poniżej przedstawiono ogólne kroki tworzenia pakietu dostępu z początkowymi zasadami:
W obszarze Zarządzanie tożsamościami uruchom proces tworzenia pakietu dostępu.
Wybierz katalog, w którym chcesz umieścić pakiet dostępu i upewnij się, że ma niezbędne zasoby.
Dodaj role zasobów z zasobów w katalogu do pakietu dostępu.
Określ początkowe zasady dla użytkowników, którzy mogą żądać dostępu.
Określ ustawienia zatwierdzania i ustawienia cyklu życia w tych zasadach.
Następnie po utworzeniu pakietu dostępu możesz zmienić ukryte ustawienie, dodać lub usunąć role zasobów i dodać dodatkowe zasady.
Rozpoczynanie procesu tworzenia
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela katalogu lub menedżera pakietów programu Access.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Wybierz pozycję Nowy pakiet dostępu.
Konfigurowanie podstaw
Na karcie Podstawy nadasz pakietowi dostępu nazwę i określ katalog, w którym ma zostać utworzony pakiet dostępu.
Wprowadź nazwę wyświetlaną i opis pakietu dostępu. Użytkownicy widzą te informacje po przesłaniu żądania dotyczącego pakietu dostępu.
Z listy rozwijanej Wykaz wybierz katalog, w którym chcesz umieścić pakiet dostępu. Możesz na przykład mieć właściciela wykazu, który zarządza wszystkimi zasobami marketingowymi, których można zażądać. W takim przypadku możesz wybrać katalog marketingowy.
Widoczne są tylko wykazy, w których masz uprawnienia do tworzenia pakietów dostępu. Aby utworzyć pakiet dostępu w istniejącym wykazie, musisz być co najmniej administratorem ładu tożsamości. Możesz też być właścicielem wykazu lub menedżerem pakietów dostępu w tym wykazie.
Jeśli jesteś co najmniej administratorem ładu tożsamości lub twórcą katalogu i chcesz utworzyć pakiet dostępu w nowym wykazie, który nie jest wymieniony, wybierz pozycję Utwórz nowy wykaz. Wprowadź nazwę katalogu i opis, a następnie wybierz pozycję Utwórz.
Tworzony pakiet dostępu oraz wszystkie zawarte w nim zasoby są dodawane do nowego wykazu. Później możesz dodać więcej właścicieli wykazu lub dodać atrybuty do zasobów umieszczonych w wykazie. Aby dowiedzieć się więcej na temat edytowania listy atrybutów dla określonego zasobu wykazu i ról wymagań wstępnych, przeczytaj Dodawanie atrybutów zasobów w wykazie.
Wybierz pozycję Dalej: Role zasobów.
Wybieranie ról zasobów
Na karcie Role zasobów wybierz zasoby do uwzględnienia w pakiecie dostępu. Użytkownicy, którzy żądają i otrzymują pakiet dostępu, otrzymają wszystkie role zasobów, takie jak członkostwo w grupie w pakiecie dostępu.
Jeśli nie masz pewności, które role zasobów mają zostać uwzględnione, możesz pominąć dodawanie ich podczas tworzenia pakietu dostępu, a następnie dodać je później.
Wybierz typ zasobu, który chcesz dodać (grupy i zespoły, aplikacje lub witryny programu SharePoint).
Na wyświetlonym panelu Wybieranie aplikacji wybierz co najmniej jeden zasób z listy.
Jeśli tworzysz pakiet dostępu w wykazie ogólnym lub nowym wykazie, możesz wybrać dowolny zasób z katalogu, którego jesteś właścicielem. Musisz być co najmniej administratorem ładu tożsamości lub twórcą katalogu.
Uwaga
Możesz dodać dynamiczne grupy członkostwa do katalogu i do pakietu dostępu. Można jednak wybrać tylko rolę właściciela, gdy zarządzasz zasobem grupy dynamicznej w pakiecie dostępu.
Jeśli tworzysz pakiet dostępu w istniejącym wykazie, możesz wybrać dowolny zasób, który znajduje się już w wykazie bez konieczności posiadania tego zasobu.
Jeśli jesteś co najmniej administratorem ładu tożsamości lub właścicielem wykazu, masz dodatkową opcję wybierania zasobów, które jesteś właścicielem lub administrowaniem, ale które jeszcze nie znajdują się w wykazie. Jeśli wybierzesz zasoby w katalogu, ale nie znajduje się obecnie w wybranym wykazie, te zasoby zostaną również dodane do wykazu dla innych administratorów wykazu w celu skompilowania pakietów dostępu za pomocą. Aby wyświetlić wszystkie zasoby w katalogu, które można dodać do katalogu, zaznacz pole wyboru Zobacz wszystko w górnej części panelu. Jeśli chcesz wybrać tylko zasoby, które znajdują się obecnie w wybranym wykazie, pozostaw wyczyszczone pole wyboru Zobacz wszystko (stan domyślny).
Na liście Rola wybierz rolę, którą użytkownicy mają być przypisani dla zasobu. Aby uzyskać więcej informacji na temat wybierania odpowiednich ról dla zasobu, zobacz , jak określić role zasobów, które mają być uwzględniane w pakiecie dostępu.
Wybierz pozycję Dalej: żądania.
Tworzenie początkowych zasad
Na karcie Żądania utworzysz pierwsze zasady, aby określić, kto może zażądać pakietu dostępu. Można również skonfigurować ustawienia zatwierdzania dla tych zasad. Później po utworzeniu pakietu dostępu przy użyciu tych początkowych zasad można dodać więcej zasad, aby zezwolić dodatkowym grupom użytkowników na żądanie pakietu dostępu z własnymi ustawieniami zatwierdzania lub automatycznie przypisywać dostęp.
W zależności od użytkowników, którzy mają być w stanie zażądać tego pakietu dostępu, wykonaj kroki opisane w jednej z poniższych sekcji Zezwalaj użytkownikom w katalogu na żądanie pakietu dostępu, Zezwalaj użytkownikom nienajmnięci w katalogu na żądanie pakietu dostępu lub Zezwalaj na bezpośrednie przypisania administratora. Jeśli nie masz pewności, które ustawienia żądania lub zatwierdzenia będą potrzebne, planujesz utworzyć przypisania dla użytkowników, którzy mają już dostęp do bazowych zasobów, lub planujesz użyć zasad automatycznego przypisywania pakietu dostępu w celu zautomatyzowania dostępu, a następnie wybierz zasady przypisania bezpośredniego jako początkowe zasady.
Zezwalaj użytkownikom w katalogu na żądanie pakietu dostępu
Wykonaj poniższe kroki, jeśli chcesz zezwolić użytkownikom w katalogu na żądanie tego pakietu dostępu. Podczas definiowania zasad żądania można określić poszczególnych użytkowników lub (częściej) grupy użytkowników. Na przykład Organizacja może już mieć grupę, taką jak Wszyscy pracownicy. Jeśli ta grupa zostanie dodana w zasadach dla użytkowników, którzy mogą żądać dostępu, każdy członek tej grupy będzie mógł zażądać dostępu.
W sekcji Użytkownicy, którzy mogą zażądać dostępu, wybierz pozycję Dla użytkowników w katalogu.
Po wybraniu tej opcji pojawią się nowe opcje umożliwiające uściślić, kto w katalogu może zażądać tego pakietu dostępu.
Wybierz jedną z następujących opcji:
Opcja Opis Konkretni użytkownicy i grupy Wybierz tę opcję, jeśli chcesz, aby tylko użytkownicy i grupy w katalogu, które określisz, aby móc zażądać tego pakietu dostępu. Wszyscy członkowie (z wyłączeniem gości) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami w katalogu mogli zażądać tego pakietu dostępu. Ta opcja nie obejmuje żadnych użytkowników-gości, których możesz zaprosić do katalogu. Wszyscy użytkownicy (w tym goście) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami i użytkownicy-goście w katalogu mogli zażądać tego pakietu dostępu. Użytkownicy-goście są użytkownikami zewnętrznymi, którzy zostali zaproszeni do katalogu za pośrednictwem firmy Microsoft Entra B2B. Aby uzyskać więcej informacji na temat różnic między użytkownikami członkami a użytkownikami-gośćmi, zobacz Co to są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.
W przypadku wybrania pozycji Konkretni użytkownicy i grupy wybierz pozycję Dodaj użytkowników i grupy.
W okienku Wybieranie użytkowników i grup wybierz użytkowników i grupy, które chcesz dodać.
Wybierz pozycję Wybierz, aby dodać użytkowników i grupy.
Przejdź do sekcji Określanie ustawień zatwierdzania.
Zezwalaj użytkownikom, którzy nie znajdują się w katalogu, aby zażądali pakietu dostępu
Użytkownicy, którzy znajdują się w innym katalogu microsoft Entra lub domenie, mogą nie zostać jeszcze zaproszeni do katalogu. Katalogi Firmy Microsoft Entra muszą być skonfigurowane tak, aby zezwalały na zaproszenia w ograniczeniach współpracy. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.
Konto użytkownika-gościa zostanie utworzone dla użytkownika, którego żądanie nie zostało jeszcze zatwierdzone lub nie wymaga zatwierdzenia. Gość zostanie zaproszony, ale nie otrzyma wiadomości e-mail z zaproszeniem. Zamiast tego otrzymają wiadomość e-mail po dodaniu pakietu dostępu. Później, gdy ten użytkownik-gość nie ma już żadnych przypisań pakietów dostępu, ponieważ ostatnie przypisanie wygasło lub zostało anulowane, konto zostanie zablokowane z logowania, a następnie usunięte. Blokowanie i usuwanie jest wykonywane domyślnie.
Jeśli chcesz, aby użytkownicy-goście pozostawali w katalogu na czas nieokreślony, nawet jeśli nie mają przypisań pakietów dostępu, możesz zmienić ustawienia konfiguracji zarządzania upoważnieniami. Aby uzyskać więcej informacji na temat obiektu użytkownika-gościa, zobacz Właściwości użytkownika współpracy firmy Microsoft Entra B2B.
Wykonaj następujące kroki, jeśli chcesz zezwolić użytkownikom, którzy nie znajdują się w katalogu, aby zażądali pakietu dostępu:
W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Dla użytkowników, którzy nie znajdują się w katalogu.
Po wybraniu tej opcji pojawią się nowe opcje.
Wybierz jedną z następujących opcji:
Opcja Opis Określone połączone organizacje Wybierz tę opcję, jeśli chcesz wybrać z listy organizacji, które wcześniej dodał administrator. Wszyscy użytkownicy z wybranych organizacji mogą zażądać tego pakietu dostępu. Wszystkie połączone organizacje Wybierz tę opcję, jeśli wszyscy użytkownicy ze wszystkich skonfigurowanych połączonych organizacji będą mogli zażądać tego pakietu dostępu. Wszyscy użytkownicy (wszystkie połączone organizacje i nowi użytkownicy zewnętrzni) Wybierz tę opcję, jeśli dowolny użytkownik może zażądać tego pakietu dostępu, a ustawienia listy dozwolonych lub listy zablokowanych B2B powinny mieć pierwszeństwo dla każdego nowego użytkownika zewnętrznego. Połączona organizacja to zewnętrzny katalog firmy Microsoft Entra lub domena, z którą masz relację.
W przypadku wybrania pozycji Określone połączone organizacje wybierz pozycję Dodaj katalogi, aby wybrać z listy połączonych organizacji, które wcześniej dodał administrator.
Wprowadź nazwę lub nazwę domeny, aby wyszukać wcześniej połączoną organizację.
Jeśli organizacja, z którą chcesz współpracować, nie znajduje się na liście, możesz poprosić administratora o dodanie jej jako połączonej organizacji. Aby uzyskać więcej informacji, zobacz Dodawanie połączonej organizacji.
W przypadku wybrania opcji Wszystkie połączone organizacje należy potwierdzić listę połączonych organizacji, które są obecnie skonfigurowane i planowane do bycia w zakresie.
W przypadku wybrania opcji Wszyscy użytkownicy należy skonfigurować zatwierdzenia w sekcji zatwierdzenia, ponieważ ten zakres umożliwi dostępowi dowolną tożsamość w Internecie.
Po wybraniu wszystkich połączonych organizacji wybierz pozycję Wybierz.
Wszyscy użytkownicy z wybranych połączonych organizacji będą mogli zażądać tego pakietu dostępu. Obejmuje to użytkowników w identyfikatorze Entra firmy Microsoft ze wszystkich domen podrzędnych skojarzonych z organizacją, chyba że lista dozwolonych lub lista zablokowanych platformy Azure B2B blokuje te domeny. Jeśli określisz domenę dostawcy tożsamości społecznościowych, taką jak live.com, każdy użytkownik od dostawcy tożsamości społecznościowych będzie mógł zażądać tego pakietu dostępu. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.
Przejdź do sekcji Określanie ustawień zatwierdzania.
Zezwalaj tylko na przypisania bezpośrednie administratora
Wykonaj następujące kroki, jeśli chcesz pominąć żądania dostępu i zezwolić administratorom na bezpośrednie przypisanie określonych użytkowników do tego pakietu dostępu. Użytkownicy nie będą musieli żądać pakietu dostępu. Nadal można ustawić ustawienia cyklu życia, ale nie ma żadnych ustawień żądania.
W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Brak (tylko przypisania bezpośrednie administratora).
Po utworzeniu pakietu dostępu można bezpośrednio przypisać do niego określonych użytkowników wewnętrznych i zewnętrznych. Jeśli określisz użytkownika zewnętrznego, w katalogu zostanie utworzone konto użytkownika-gościa. Aby uzyskać informacje na temat bezpośredniego przypisywania użytkownika, zobacz Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu.
Przejdź do sekcji Włączanie żądań .
Określanie ustawień zatwierdzania
W sekcji Zatwierdzenie określ, czy jest wymagane zatwierdzenie, gdy użytkownicy żądają tego pakietu dostępu. Ustawienia zatwierdzania działają w następujący sposób:
- Tylko jeden z wybranych osób zatwierdzających lub rezerwowych osób zatwierdzających musi zatwierdzić żądanie zatwierdzenia jednoetapowego.
- Tylko jeden z wybranych osób zatwierdzających z każdego etapu musi zatwierdzić żądanie zatwierdzenia dwuetapowego.
- Osoba zatwierdzająca może być menedżerem, sponsorem użytkownika, sponsorem wewnętrznym lub zewnętrznym sponsorem, w zależności od ładu dostępu dla zasad.
- Zatwierdzenie z każdego wybranego osoby zatwierdzającej nie jest wymagane do zatwierdzania jednoetapowego ani dwuetapowego.
- Decyzja o zatwierdzeniu jest oparta na tym, która osoba zatwierdzająca najpierw przegląda żądanie.
Aby dowiedzieć się, jak dodać osoby zatwierdzające do zasad żądania, obejrzyj następujący film wideo:
Aby dowiedzieć się, jak dodać zatwierdzenie wieloetapowe do zasad żądania, obejrzyj następujący film wideo:
Wykonaj następujące kroki, aby określić ustawienia zatwierdzenia dla żądań pakietu dostępu:
Aby wymagać zatwierdzenia żądań od wybranych użytkowników, ustaw przełącznik Wymagaj zatwierdzenia na Wartość Tak. Ewentualnie aby żądania zostały automatycznie zatwierdzone, ustaw przełącznik na Nie. Jeśli zasady zezwalają zewnętrznym użytkownikom spoza organizacji na żądanie dostępu, należy wymagać zatwierdzenia, dlatego nie ma nadzoru nad tym, kto jest dodawany do katalogu organizacji.
Aby wymagać od użytkowników podania uzasadnienia żądania pakietu dostępu, ustaw przełącznik Wymagaj uzasadnienia osoby żądającej na wartość Tak.
Ustal, czy żądania wymagają zatwierdzenia jednoetapowego lub dwuetapowego. Ustaw przełącznik Ile etapów ma wartość 1 na potrzeby zatwierdzania jednoetapowego, 2 dla zatwierdzania dwuetapowego lub 3 na potrzeby zatwierdzania trzyetapowego.
Wykonaj poniższe kroki, aby dodać osoby zatwierdzające po wybraniu liczby etapów.
Zatwierdzanie jednoetapowe
Dodaj informacje dotyczące pierwszej osoby zatwierdzającej :
Jeśli zasady mają ustawioną wartość Dla użytkowników w katalogu, możesz wybrać pozycję Menedżer jako osoba zatwierdzająca lub Sponsorzy jako osoby zatwierdzające. Możesz też dodać określonego użytkownika, wybierając pozycję Wybierz określone osoby zatwierdzające, a następnie wybierając pozycję Dodaj osoby zatwierdzające.
Aby użyć sponsorów jako osoby zatwierdzające do zatwierdzenia, musisz mieć licencję Zarządzanie tożsamością Microsoft Entra. Aby uzyskać więcej informacji, zobacz Porównanie ogólnie dostępnych funkcji identyfikatora Entra firmy Microsoft.
Jeśli zasady są ustawione na Wartość Dla użytkowników, którzy nie znajdują się w katalogu, możesz wybrać opcję Sponsor zewnętrzny lub Wewnętrzny sponsor. Możesz też dodać określonego użytkownika, wybierając pozycję Wybierz określone osoby zatwierdzające, a następnie wybierając pozycję Dodaj osoby zatwierdzające.
Jeśli jako pierwsza osoba zatwierdzająca została wybrana opcja Menedżer , wybierz pozycję Dodaj rezerwowy , aby wybrać co najmniej jednego użytkownika lub grupy w katalogu, aby być rezerwowym zatwierdzającą. Osoby zatwierdzające rezerwowe otrzymują żądanie, jeśli zarządzanie upoważnieniami nie może znaleźć menedżera dla użytkownika, który żąda dostępu.
Zarządzanie upoważnieniami znajduje menedżera przy użyciu atrybutu Menedżer . Atrybut znajduje się w profilu użytkownika w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie lub aktualizowanie informacji i ustawień profilu użytkownika.
Jeśli jako pierwsza osoba zatwierdzająca została wybrana opcja Sponsorzy , wybierz pozycję Dodaj rezerwowy , aby wybrać jednego lub więcej użytkowników lub grup w katalogu, aby być rezerwowym zatwierdzaczem. Osoby zatwierdzające rezerwowe otrzymują żądanie, jeśli zarządzanie upoważnieniami nie może znaleźć sponsora dla użytkownika, który żąda dostępu.
Zarządzanie upoważnieniami znajduje sponsorów przy użyciu atrybutu Sponsors . Atrybut znajduje się w profilu użytkownika w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie lub aktualizowanie informacji i ustawień profilu użytkownika.
W przypadku wybrania opcji Wybierz określone osoby zatwierdzające wybierz pozycję Dodaj osoby zatwierdzające , aby wybrać co najmniej jednego użytkownika lub grupy w katalogu, którzy mają być osobami zatwierdzających.
W polu Decyzja musi zostać podjęta w ciągu ilu dni? określ liczbę dni, przez które osoba zatwierdzająca musi przejrzeć żądanie dla tego pakietu dostępu.
Jeśli żądanie nie zostanie zatwierdzone w tym okresie, zostanie ono automatycznie odrzucone. Następnie użytkownik musi przesłać kolejne żądanie dotyczące pakietu dostępu.
Aby wymagać od osób zatwierdzających podania uzasadnienia swojej decyzji, ustaw opcję Wymagaj uzasadnienia osoby zatwierdzającej na wartość Tak.
Uzasadnienie jest widoczne dla innych osób zatwierdzających i osoby żądającej.
Zatwierdzenie dwuetapowe
Jeśli wybrano zatwierdzenie dwuetapowe, musisz dodać drugi osoba zatwierdzająca:
Dodaj informacje o drugim zatwierdzaniu :
Jeśli użytkownicy znajdują się w katalogu, możesz wybrać pozycję Sponsorzy jako osoby zatwierdzające. Możesz też dodać określonego użytkownika, wybierając pozycję Wybierz określone osoby zatwierdzające z menu rozwijanego, a następnie wybierając pozycję Dodaj osoby zatwierdzające.
Jeśli użytkownicy nie znajdują się w twoim katalogu, wybierz pozycję Wewnętrzny sponsor lub Sponsor zewnętrzny jako drugi osoba zatwierdzająca. Po wybraniu osoby zatwierdzającej dodaj osoby zatwierdzające rezerwowe.
W polu Ile dni należy podjąć decyzję? określ liczbę dni, przez które drugi osoba zatwierdzająca musi zatwierdzić żądanie.
Ustaw przełącznik Wymagaj uzasadnienia osoby zatwierdzającej na wartość Tak lub Nie.
Zatwierdzenie trzyetapowe
Jeśli wybrano zatwierdzenie trzyetapowe, musisz dodać trzeci osoba zatwierdzająca:
Dodaj informacje trzeciej osoby zatwierdzającej :
Jeśli użytkownicy znajdują się w katalogu, dodaj określonego użytkownika jako trzeciego osoby zatwierdzającej, wybierając pozycję Wybierz określone osoby zatwierdzające Dodaj osoby zatwierdzające>.
W polu Ile dni należy podjąć decyzję? określ liczbę dni, przez które drugi osoba zatwierdzająca musi zatwierdzić żądanie.
Ustaw przełącznik Wymagaj uzasadnienia osoby zatwierdzającej na wartość Tak lub Nie.
Alternatywne osoby zatwierdzające
Można określić alternatywne osoby zatwierdzające, podobne do określania pierwszych i drugich osób zatwierdzających, którzy mogą zatwierdzać żądania. Posiadanie alternatywnych osób zatwierdzających pomaga upewnić się, że żądania są zatwierdzane lub odrzucane przed ich wygaśnięciem (przekroczenie limitu czasu). Możesz wyświetlić listę alternatywnych osób zatwierdzających dla pierwszego osoby zatwierdzającej i drugiego osoby zatwierdzającej w celu zatwierdzenia dwuetapowego.
Po określeniu alternatywnych osób zatwierdzających, jeśli pierwsza lub druga osoba zatwierdzająca nie może zatwierdzić lub odrzucić żądania, oczekujące żądanie zostanie przekazane do alternatywnych osób zatwierdzających. Żądanie jest wysyłane zgodnie z harmonogramem przekazywania określonym podczas konfigurowania zasad. Osoby zatwierdzające otrzymują wiadomość e-mail, aby zatwierdzić lub odrzucić oczekujące żądanie.
Po przesłaniu żądania do alternatywnych osób zatwierdzających pierwsze lub drugie osoby zatwierdzające mogą nadal zatwierdzać lub odrzucać żądanie. Alternatywne osoby zatwierdzające używają tej samej witryny Mój dostęp , aby zatwierdzić lub odrzucić oczekujące żądanie.
Możesz wyświetlić listę osób lub grup osób do zatwierdzenia i alternatywnych osób zatwierdzających. Upewnij się, że wymieniono różne zestawy osób jako pierwsze, drugie i alternatywne osoby zatwierdzające. Jeśli na przykład wymieniono Alice i Boba jako pierwszą osoby zatwierdzające, należy wymienić Carol i Dave jako alternatywne osoby zatwierdzające.
Aby dodać alternatywne osoby zatwierdzające do pakietu dostępu, wykonaj następujące czynności:
W obszarze Pierwsza osoba zatwierdzająca druga osoba zatwierdzająca lub obie wybierz pozycję Pokaż zaawansowane ustawienia żądania.
Ustaw przełącznik Jeśli nie podjęto żadnej akcji, prześlij dalej do alternatywnych osób zatwierdzających? wybierz pozycję Tak.
Wybierz pozycję Dodaj alternatywne osoby zatwierdzające, a następnie z listy wybierz alternatywne osoby zatwierdzające.
Jeśli wybierzesz pozycję Menedżer jako pierwszy osoba zatwierdzająca, w polu Alternatywny osoba zatwierdzająca zostanie wyświetlona dodatkowa opcja: Menedżer drugiego poziomu jako osoba zatwierdzająca alternatywna. Jeśli wybierzesz tę opcję, musisz dodać rezerwową osoba zatwierdzającą, aby przekazać żądanie dalej, na wypadek gdyby system nie mógł odnaleźć menedżera drugiego poziomu.
W polu Prześlij dalej do alternatywnych osób zatwierdzających po liczbie dni wprowadź liczbę dni , przez które osoby zatwierdzające muszą zatwierdzić lub odrzucić żądanie. Jeśli osoby zatwierdzające nie zatwierdzają ani nie odrzucają żądania przed czasem trwania żądania, żądanie wygaśnie (limit czasu). Następnie użytkownik musi przesłać kolejne żądanie dotyczące pakietu dostępu.
Żądania mogą być przekazywane tylko do alternatywnych osób zatwierdzających dziennie po upływie połowy okresu trwania żądania. Decyzja głównych osób zatwierdzających musi upłynął limit czasu po co najmniej czterech dniach. Jeśli limit czasu żądania jest krótszy lub równy trzy dni, nie ma wystarczająco dużo czasu, aby przekazać żądanie do alternatywnych osób zatwierdzających.
W tym przykładzie czas trwania żądania wynosi 14 dni. Czas trwania żądania osiągnie połowę życia w dniu 7. Dlatego żądanie nie może być przekazywane wcześniej niż dzień 8.
Ponadto żądania nie mogą być przekazywane w ostatnim dniu trwania żądania. W tym przykładzie najnowsze żądanie może zostać przesłane dalej, to dzień 13.
Włączanie żądań
Jeśli chcesz, aby pakiet dostępu był natychmiast dostępny dla użytkowników w zasadach żądania, aby zażądać, przenieś przełącznik Włącz nowe żądania i przypisania na wartość Tak.
Zawsze możesz ją włączyć w przyszłości, po zakończeniu tworzenia pakietu dostępu.
Jeśli wybierzesz opcję Brak (tylko przypisania bezpośrednie przez administratora) i ustawisz opcję Włącz nowe żądania i przypisania na Nie, administratorzy nie będą mogli bezpośrednio przypisać tego pakietu dostępu.
Przejdź do następnej sekcji , aby dowiedzieć się, jak dodać zweryfikowany identyfikator wymagany do pakietu dostępu. W przeciwnym razie wybierz pozycję Dalej.
Dodawanie zweryfikowanego wymagania dotyczącego identyfikatora
Wykonaj poniższe kroki, jeśli chcesz dodać zweryfikowane wymaganie dotyczące identyfikatora do zasad pakietu dostępu. Użytkownicy, którzy chcą uzyskać dostęp do pakietu dostępu, muszą przedstawić wymagane zweryfikowane identyfikatory przed pomyślnym przesłaniem żądania. Aby dowiedzieć się, jak skonfigurować dzierżawę za pomocą usługi Zweryfikowany identyfikator Microsoft Entra, zobacz Wprowadzenie do Zweryfikowany identyfikator Microsoft Entra.
Do dodania zweryfikowanych wymagań dotyczących identyfikatorów do pakietu dostępu w zasadach żądania potrzebna jest rola administratora globalnego. Administrator ładu tożsamości, administrator użytkowników, właściciel katalogu lub menedżer pakietów dostępu nie może jeszcze dodać zweryfikowanych wymagań dotyczących identyfikatorów.
Wybierz pozycję + Dodaj wystawcę, a następnie wybierz wystawcę z sieci Zweryfikowany identyfikator Microsoft Entra. Jeśli chcesz wydać własne poświadczenia użytkownikom, możesz znaleźć instrukcje w temacie Problem Zweryfikowany identyfikator Microsoft Entra poświadczeń z aplikacji.
Wybierz typy poświadczeń, które mają być wyświetlane użytkownikom podczas procesu żądania.
W przypadku wybrania wielu typów poświadczeń z jednego wystawcy użytkownicy będą musieli przedstawić poświadczenia wszystkich wybranych typów. Podobnie, jeśli uwzględnisz wielu wystawców, użytkownicy będą musieli przedstawić poświadczenia od każdego wystawcy uwzględnionego w zasadach. Aby umożliwić użytkownikom prezentowanie różnych poświadczeń od różnych wystawców, skonfiguruj oddzielne zasady dla każdego wystawcy lub typu poświadczeń, które zaakceptujesz.
Wybierz pozycję Dodaj , aby dodać zweryfikowane wymaganie dotyczące identyfikatora do zasad pakietu dostępu.
Dodawanie informacji osoby żądającej do pakietu dostępu
Przejdź do karty Informacje o żądaniu, a następnie wybierz kartę Pytania .
W polu Pytanie wprowadź pytanie, które chcesz zadać żądającemu. To pytanie jest również nazywane ciągiem wyświetlania.
Jeśli chcesz dodać własne opcje lokalizacji, wybierz pozycję Dodaj lokalizację.
W okienku Dodawanie lokalizacji dla pytania :
- W polu Kod języka wybierz kod języka dla języka, w którym lokalizujesz pytanie.
- W zlokalizowanym polu Tekst wprowadź pytanie w skonfigurowanym języku.
- Po zakończeniu dodawania wszystkich potrzebnych lokalizacji wybierz pozycję Zapisz.
W polu Format odpowiedzi wybierz format, w którym żądający mają odpowiadać. Formaty odpowiedzi obejmują krótki tekst, wybór wielokrotny i długi tekst.
W przypadku wybrania wielokrotnego wyboru wybierz przycisk Edytuj i lokalizuj , aby skonfigurować opcje odpowiedzi.
W okienku Wyświetl/edytuj pytanie :
- W polach Wartości odpowiedzi wprowadź opcje odpowiedzi, które chcesz nadać, gdy żądający odpowiada na pytanie.
- W polach Język wybierz język opcji odpowiedzi. Opcje odpowiedzi można lokalizować, jeśli wybierzesz dodatkowe języki.
- Wybierz pozycję Zapisz.
Aby wymagać od żądających odpowiedzi na to pytanie, gdy żądają dostępu do pakietu dostępu, zaznacz pole wyboru Wymagane .
Wybierz kartę Atrybuty, aby wyświetlić atrybuty skojarzone z zasobami dodanymi do pakietu dostępu.
Uwaga
Aby dodać lub zaktualizować atrybuty dla zasobów pakietu dostępu, przejdź do katalogu i znajdź wykaz skojarzony z pakietem dostępu. Aby dowiedzieć się więcej na temat edytowania listy atrybutów dla określonego zasobu wykazu i ról wymagań wstępnych, przeczytaj Dodawanie atrybutów zasobów w wykazie.
Wybierz Dalej.
Określanie cyklu życia
Na karcie Cykl życia określ, kiedy wygasa przypisanie użytkownika do pakietu dostępu. Możesz również określić, czy użytkownicy mogą rozszerzać swoje przypisania.
W sekcji Wygaśnięcie ustaw opcję Przydziały pakietów programu Access wygasają na Data, Liczba dni, Liczba godzin lub Nigdy.
- W obszarze Data wybierz datę wygaśnięcia w przyszłości.
- W polu Liczba dni określ liczbę z zakresu od 0 do 3660 dni.
- W polu Liczba godzin określ liczbę godzin.
Na podstawie wybranego wyboru przypisanie użytkownika do pakietu dostępu wygasa w określonym dniu, kilka dni po ich zatwierdzeniu lub nigdy.
Jeśli chcesz, aby użytkownik zażądał określonej daty rozpoczęcia i zakończenia dostępu, wybierz pozycję Tak dla pozycji Użytkownicy mogą zażądać przełącznika określonej osi czasu .
Wybierz pozycję Pokaż zaawansowane ustawienia wygasania, aby wyświetlić więcej ustawień.
Aby zezwolić użytkownikowi na rozszerzenie swoich przypisań, ustaw opcję Zezwalaj użytkownikom na rozszerzenie dostępu na wartość Tak.
Jeśli rozszerzenia są dozwolone w zasadach, użytkownik otrzyma wiadomość e-mail 14 dni wcześniej, a następnie jeden dzień wcześniej zostanie ustawiony na wygaśnięcie przypisania pakietu dostępu. Wiadomość e-mail monituje użytkownika o rozszerzenie przypisania. Użytkownik musi nadal znajdować się w zakresie zasad w momencie żądania rozszerzenia.
Ponadto jeśli zasady mają jawną datę zakończenia przypisań, a użytkownik przesyła żądanie rozszerzenia dostępu, data rozszerzenia w żądaniu musi przypadać na lub przed wygaśnięciem przydziałów. Zasady, które były używane do udzielenia użytkownikowi dostępu do pakietu dostępu, określają, czy data rozszerzenia przypada na lub przed wygaśnięciem przypisania. Jeśli na przykład zasady wskazują, że przypisania mają wygasnąć 30 czerwca, maksymalne rozszerzenie, którego użytkownik może zażądać, to 30 czerwca.
Jeśli dostęp użytkownika zostanie rozszerzony, nie będzie mógł zażądać pakietu dostępu po określonej dacie rozszerzenia (data ustawiona w strefie czasowej użytkownika, który utworzył zasady).
Aby wymagać zatwierdzenia w celu udzielenia rozszerzenia, ustaw opcję Wymagaj zatwierdzenia, aby udzielić rozszerzenia na wartość Tak.
To zatwierdzenie będzie używać tych samych ustawień zatwierdzania określonych na karcie Żądania .
Wybierz pozycję Dalej lub Aktualizuj.
Przeglądanie i tworzenie pakietu dostępu
Na karcie Przeglądanie + tworzenie możesz przejrzeć ustawienia i sprawdzić, czy nie występują błędy walidacji.
Przejrzyj ustawienia pakietu dostępu.
Wybierz pozycję Utwórz , aby utworzyć pakiet dostępu i jego początkowe zasady.
Nowy pakiet dostępu zostanie wyświetlony na liście pakietów dostępu.
Jeśli pakiet dostępu ma być widoczny dla wszystkich użytkowników w zakresie zasad, pozostaw ustawienie Ukryte pakietu dostępu na wartość Nie. Opcjonalnie, jeśli zamierzasz zezwolić tylko użytkownikom z bezpośrednim linkiem na żądanie pakietu dostępu, zmodyfikuj pakiet dostępu, aby zmienić ustawienie Ukryte na Tak. Następnie skopiuj link, aby zażądać pakietu dostępu i udostępnić go użytkownikom, którzy potrzebują dostępu.
Następnie możesz dodać więcej zasad do pakietu dostępu, skonfigurować rozdzielenie kontroli obowiązków lub bezpośrednio przypisać użytkownika.
Programowe tworzenie pakietu dostępu
Istnieją dwa sposoby programowego tworzenia pakietu dostępu: za pośrednictwem programu Microsoft Graph i poleceń cmdlet programu PowerShell dla programu Microsoft Graph.
Tworzenie pakietu dostępu przy użyciu programu Microsoft Graph
Pakiet dostępu można utworzyć przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All
uprawnienia, może wywołać interfejs API do:
- Wyświetl listę zasobów w wykazie i utwórz element accessPackageResourceRequest dla wszystkich zasobów, które nie znajdują się jeszcze w wykazie.
- Pobierz role i zakresy każdego zasobu w wykazie. Ta lista ról będzie następnie używana do wybierania roli podczas tworzenia zasobuRoleScope.
- Utwórz pakiet accessPackage.
- Utwórz zasóbRoleScope dla każdej roli zasobu wymaganej w pakiecie dostępu.
- Utwórz przypisaniePolicy dla każdej zasady wymaganej w pakiecie dostępu.
Tworzenie pakietu dostępu przy użyciu programu Microsoft PowerShell
Pakiet dostępu można również utworzyć w programie PowerShell przy użyciu poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance .
Najpierw pobierz identyfikator wykazu i zasobu w tym wykazie oraz jego zakresy i role, które mają zostać uwzględnione w pakiecie dostępu. Użyj skryptu podobnego do następującego przykładu:
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Następnie utwórz pakiet dostępu:
$params = @{
displayName = "sales reps"
description = "outside sales representatives"
catalog = @{
id = $catalog.id
}
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params
Po utworzeniu pakietu dostępu przypisz do niego role zasobów. Jeśli na przykład chcesz uwzględnić pierwszą rolę zasobu zwróconą wcześniej jako rolę zasobu nowego pakietu dostępu, możesz użyć skryptu podobnego do następującego:
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams
Na koniec utwórz zasady. W tych zasadach tylko administratorzy lub menedżerowie przypisań pakietów dostępu mogą przypisywać dostęp i nie ma żadnych przeglądów dostępu. Aby uzyskać więcej przykładów, zobacz Tworzenie zasad przypisania za pomocą programu PowerShell i Tworzenie przypisaniaZasady.
$pparams = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $ap.Id
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams
Aby uzyskać więcej informacji, zobacz Tworzenie pakietu dostępu w zarządzaniu upoważnieniami dla aplikacji z jedną rolą przy użyciu programu PowerShell.