Udostępnij za pośrednictwem


Zmienianie ustawień żądania dla pakietu dostępu w zarządzaniu upoważnieniami

Jako menedżer pakietów dostępu możesz zmienić użytkowników, którzy mogą żądać pakietu dostępu w dowolnym momencie, edytując zasady dla żądań przypisania pakietu dostępu lub dodając nowe zasady do pakietu dostępu. W tym artykule opisano sposób zmiany ustawień żądania dla istniejących zasad przypisywania pakietów dostępu.

Wybieranie między jedną lub wieloma zasadami

Sposób określania, kto może zażądać pakietu dostępu, dotyczy zasad. Przed utworzeniem nowych zasad lub edycji istniejących zasad w pakiecie dostępu należy określić, ile zasad wymaga pakiet dostępu.

Podczas tworzenia pakietu dostępu można określić ustawienia żądania, zatwierdzenia i cyklu życia, które są przechowywane w pierwszych zasadach pakietu dostępu. Większość pakietów dostępu ma jedną zasadę, aby użytkownicy żądali dostępu, ale pojedynczy pakiet dostępu może mieć wiele zasad. Można utworzyć wiele zasad dla pakietu dostępu, jeśli chcesz zezwolić różnym zestawom użytkowników na przyznawanie przypisań z różnymi ustawieniami żądania i zatwierdzenia.

Na przykład pojedyncze zasady nie mogą być używane do przypisywania użytkowników wewnętrznych i zewnętrznych do tego samego pakietu dostępu. Można jednak utworzyć dwie zasady w tym samym pakiecie dostępu, jeden dla użytkowników wewnętrznych i jeden dla użytkowników zewnętrznych. Jeśli istnieje wiele zasad, które mają zastosowanie do użytkownika w celu żądania, zostanie wyświetlony monit w momencie żądania wybrania zasad, do których chcesz przypisać. Na poniższym diagramie przedstawiono pakiet dostępu z dwoma zasadami.

Diagram ilustrujący wiele zasad, wraz z wieloma rolami zasobów, może być zawarty w pakiecie dostępu.

Oprócz zasad, które użytkownicy mogą żądać dostępu, można również mieć zasady automatycznego przypisywania oraz zasady dotyczące bezpośredniego przypisywania przez administratorów lub właścicieli wykazu.

Ile zasad będzie potrzebnych?

Scenariusz Liczba zasad
Chcę, aby wszyscy użytkownicy w moim katalogu mieli te same ustawienia żądania i zatwierdzenia dla pakietu dostępu Jeden
Chcę, aby wszyscy użytkownicy w niektórych połączonych organizacjach mogli zażądać pakietu dostępu Jeden
Chcę zezwolić użytkownikom w moim katalogu, a także użytkownikom spoza katalogu na żądanie pakietu dostępu Dwa
Chcę określić różne ustawienia zatwierdzania dla niektórych użytkowników Jeden dla każdej grupy użytkowników
Chcę, aby niektórzy użytkownicy uzyskiwali dostęp do przypisań pakietów do wygaśnięcia, podczas gdy inni użytkownicy mogą rozszerzyć dostęp Jeden dla każdej grupy użytkowników
Chcę, aby niektórzy użytkownicy zażądali dostępu, a inni użytkownicy zostali przypisani przez administratora Dwa
Chcę, aby niektórzy użytkownicy w mojej organizacji otrzymywali dostęp automatycznie, inni użytkownicy w mojej organizacji mogli żądać dostępu, a inni użytkownicy mają mieć przypisany dostęp przez administratora Trzy

Aby uzyskać informacje na temat logiki priorytetu używanej w przypadku zastosowania wielu zasad, zobacz Wiele zasad.

Otwórz istniejący pakiet dostępu i dodaj nowe zasady z różnymi ustawieniami żądania

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Jeśli masz zestaw użytkowników, którzy powinni mieć różne ustawienia żądań i zatwierdzania, prawdopodobnie musisz utworzyć nowe zasady. Wykonaj następujące kroki, aby rozpocząć dodawanie nowych zasad do istniejącego pakietu dostępu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, który chcesz edytować.

  4. Wybierz pozycję Zasady , a następnie pozycję Dodaj zasady.

  5. Na karcie Podstawy wpisz nazwę i opis zasad.

    Tworzenie zasad z nazwą i opisem

  6. Wybierz przycisk Dalej , aby otworzyć kartę Żądania .

  7. Zmień ustawienie Użytkownicy, którzy mogą żądać dostępu. Wykonaj kroki opisane w poniższych sekcjach, aby zmienić ustawienie na jedną z następujących opcji:

Użytkownicy w katalogu

Wykonaj następujące kroki, jeśli chcesz zezwolić użytkownikom w katalogu na żądanie tego pakietu dostępu. Podczas definiowania zasad żądania można określić poszczególnych użytkowników lub częściej grup użytkowników. Na przykład organizacja może mieć już grupę, taką jak Wszyscy pracownicy. Jeśli ta grupa zostanie dodana w zasadach dla użytkowników, którzy mogą zażądać dostępu, każdy członek tej grupy będzie mógł zażądać dostępu.

  1. W sekcji Użytkownicy, którzy mogą zażądać dostępu, wybierz pozycję Dla użytkowników w katalogu.

    Po wybraniu tej opcji pojawiają się nowe opcje umożliwiające dalsze uściślenie, kto w katalogu może zażądać tego pakietu dostępu.

    Pakiet dostępu — żądania — dla użytkowników w katalogu

  2. Wybierz jedną z następujących opcji:

    opis
    Konkretni użytkownicy i grupy Wybierz tę opcję, jeśli chcesz, aby tylko użytkownicy i grupy w katalogu, które określisz, aby móc zażądać tego pakietu dostępu.
    Wszyscy członkowie (z wyłączeniem gości) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami w katalogu mogli zażądać tego pakietu dostępu. Ta opcja nie obejmuje żadnych użytkowników-gości, których możesz zaprosić do katalogu.
    Wszyscy użytkownicy (w tym goście) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami i użytkownicy-goście w katalogu mogli zażądać tego pakietu dostępu.

    Użytkownicy-goście odwołują się do użytkowników zewnętrznych, którzy zostali zaproszeni do katalogu za pomocą usługi Microsoft Entra B2B. Aby uzyskać więcej informacji na temat różnic między użytkownikami członkami a użytkownikami-gośćmi, zobacz Co to są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.

  3. W przypadku wybrania pozycji Konkretni użytkownicy i grupy wybierz pozycję Dodaj użytkowników i grupy.

  4. W okienku Wybieranie użytkowników i grup wybierz użytkowników i grupy, które chcesz dodać.

    Pakiet dostępu — żądania — wybieranie użytkowników i grup

  5. Wybierz pozycję Wybierz, aby dodać użytkowników i grupy.

  6. Jeśli chcesz wymagać zatwierdzenia, wykonaj kroki opisane w temacie Zmienianie ustawień zatwierdzania pakietu dostępu w zarządzaniu upoważnieniami , aby skonfigurować ustawienia zatwierdzania.

  7. Przejdź do sekcji Włączanie żądań .

W przypadku użytkowników, którzy nie znajdują się w katalogu

Użytkownicy, którzy nie znajdują się w twoim katalogu , odnoszą się do użytkowników, którzy znajdują się w innym katalogu lub domenie firmy Microsoft. Ci użytkownicy mogli jeszcze nie zostać zaproszeni do katalogu. Katalogi Firmy Microsoft Entra muszą być skonfigurowane tak, aby zezwalały na zaproszenia w ograniczeniach współpracy. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

Uwaga

Konto użytkownika-gościa zostanie utworzone dla użytkownika, którego żądanie nie zostało jeszcze zatwierdzone lub automatycznie zatwierdzone. Gość zostanie zaproszony, ale nie otrzyma wiadomości e-mail z zaproszeniem. Zamiast tego otrzymają wiadomość e-mail po dostarczeniu przypisania pakietu dostępu. Domyślnie później, gdy ten użytkownik-gość nie ma już żadnych przypisań pakietów dostępu, ponieważ ich ostatnie przypisanie wygasło lub zostało anulowane, konto użytkownika-gościa zostanie zablokowane z logowania, a następnie usunięte. Jeśli chcesz, aby użytkownicy-goście pozostali w katalogu na czas nieokreślony, nawet jeśli nie mają przypisań pakietów dostępu, możesz zmienić ustawienia konfiguracji zarządzania upoważnieniami. Aby uzyskać więcej informacji na temat obiektu użytkownika-gościa, zobacz Właściwości użytkownika współpracy firmy Microsoft Entra B2B.

Wykonaj następujące kroki, jeśli chcesz zezwolić użytkownikom, którzy nie znajdują się w katalogu, aby zażądali tego pakietu dostępu:

  1. W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Dla użytkowników, którzy nie znajdują się w katalogu.

    Po wybraniu tej opcji pojawią się nowe opcje.

    Pakiet dostępu — żądania — dla użytkowników, którzy nie znajdują się w katalogu

  2. Wybierz, czy użytkownicy, którzy mogą żądać dostępu, muszą być powiązani z istniejącą połączoną organizacją, czy mogą być każdą osobami w Internecie. Połączona organizacja to taka, z którą masz wcześniej istniejącą relację, która może mieć zewnętrzny katalog Firmy Microsoft Entra lub innego dostawcę tożsamości. Wybierz jedną z następujących opcji:

    opis
    Określone połączone organizacje Wybierz tę opcję, jeśli chcesz wybrać z listy organizacji, które wcześniej dodał administrator. Wszyscy użytkownicy z wybranych organizacji mogą zażądać tego pakietu dostępu.
    Wszystkie skonfigurowane połączone organizacje Wybierz tę opcję, jeśli wszyscy użytkownicy ze wszystkich skonfigurowanych połączonych organizacji będą mogli zażądać tego pakietu dostępu. Tylko użytkownicy ze skonfigurowanych połączonych organizacji mogą żądać pakietów dostępu, więc jeśli użytkownik nie pochodzi z dzierżawy firmy Microsoft, domeny lub dostawcy tożsamości skojarzonego z istniejącą połączoną organizacją, nie będzie mógł zażądać.
    Wszyscy użytkownicy (wszystkie połączone organizacje i nowi użytkownicy zewnętrzni) Wybierz tę opcję, jeśli jakikolwiek użytkownik w Internecie powinien mieć możliwość żądania tego pakietu dostępu. Jeśli nie należą one do połączonej organizacji w katalogu, połączona organizacja zostanie automatycznie utworzona podczas żądania pakietu. Automatycznie utworzona połączona organizacja jest w stanie proponowanym. Aby uzyskać więcej informacji na temat proponowanego stanu, zobacz State property of connected organizations (Właściwość stanu połączonych organizacji).
  3. W przypadku wybrania pozycji Określone połączone organizacje wybierz pozycję Dodaj katalogi, aby wybrać z listy połączonych organizacji, które wcześniej dodał administrator.

  4. Wpisz nazwę lub nazwę domeny, aby wyszukać wcześniej połączoną organizację.

    Pakiet dostępu — żądania — wybieranie katalogów

    Jeśli organizacja, z którą chcesz współpracować, nie znajduje się na liście, możesz poprosić administratora o dodanie jej jako połączonej organizacji. Aby uzyskać więcej informacji, zobacz Dodawanie połączonej organizacji.

  5. Po wybraniu wszystkich połączonych organizacji wybierz pozycję Wybierz.

    Uwaga

    Wszyscy użytkownicy z wybranych połączonych organizacji mogą zażądać tego pakietu dostępu. W przypadku połączonej organizacji, która ma katalog Microsoft Entra, użytkownicy ze wszystkich zweryfikowanych domen skojarzonych z katalogiem Microsoft Entra mogą żądać, chyba że te domeny są blokowane przez listę dozwolonych lub odmowy usługi Azure B2B. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.

  6. Następnie wykonaj kroki opisane w temacie Zmienianie ustawień zatwierdzania pakietu dostępu w zarządzaniu upoważnieniami , aby skonfigurować ustawienia zatwierdzania, aby określić, kto powinien zatwierdzać żądania od użytkowników, którzy nie są w organizacji.

  7. Przejdź do sekcji Włączanie żądań .

Brak (tylko przypisania bezpośrednie administratora)

Wykonaj następujące kroki, jeśli chcesz pominąć żądania dostępu i zezwolić administratorom na bezpośrednie przypisanie określonych użytkowników do tego pakietu dostępu. Użytkownicy nie będą musieli żądać pakietu dostępu. Nadal można ustawić ustawienia cyklu życia, ale nie ma żadnych ustawień żądania.

  1. W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Brak (tylko przypisania bezpośrednie administratora).

    Pakiet dostępu — żądania — brak przypisań bezpośrednich przez administratora

    Po utworzeniu pakietu dostępu można bezpośrednio przypisać określonych użytkowników wewnętrznych i zewnętrznych do pakietu dostępu. Jeśli określisz użytkownika zewnętrznego, w katalogu zostanie utworzone konto użytkownika-gościa. Aby uzyskać informacje na temat bezpośredniego przypisywania użytkownika, zobacz Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu.

  2. Przejdź do sekcji Włączanie żądań .

Uwaga

Podczas przypisywania użytkowników do pakietu dostępu administratorzy muszą sprawdzić, czy użytkownicy kwalifikują się do tego pakietu dostępu na podstawie istniejących wymagań zasad. W przeciwnym razie użytkownicy nie zostaną pomyślnie przypisani do pakietu dostępu. Jeśli pakiet dostępu zawiera zasady, które wymagają zatwierdzenia żądań użytkowników, użytkownicy nie mogą być bezpośrednio przypisani do pakietu bez niezbędnych zatwierdzeń od wyznaczonych osób zatwierdzających.

Otwieranie i edytowanie ustawień żądań istniejących zasad

Aby zmienić ustawienia żądania i zatwierdzenia dla pakietu dostępu, należy otworzyć odpowiednie zasady przy użyciu tych ustawień. Wykonaj następujące kroki, aby otworzyć i edytować ustawienia żądania dla zasad przypisywania pakietu dostępu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, którego ustawienia żądania zasad chcesz edytować.

  4. Wybierz pozycję Zasady , a następnie wybierz zasady, które chcesz edytować.

    W dolnej części strony zostanie otwarte okienko Szczegóły zasad.

    Pakiet dostępu — okienko szczegółów zasad

  5. Wybierz pozycję Edytuj , aby edytować zasady.

    Pakiet dostępu — edytowanie zasad

  6. Wybierz kartę Żądania , aby otworzyć ustawienia żądania.

  7. Wykonaj kroki opisane w poprzednich sekcjach, aby zmienić ustawienia żądania zgodnie z potrzebami.

  8. Przejdź do sekcji Włączanie żądań .

Włączanie żądań

  1. Jeśli chcesz, aby pakiet dostępu był natychmiast dostępny dla użytkowników w zasadach żądań, przenieś przełącznik Włącz na wartość Tak.

    Zawsze możesz ją włączyć w przyszłości po zakończeniu tworzenia pakietu dostępu.

    Jeśli wybrano opcję Brak (tylko przypisanie bezpośrednie przez administratora) i ustawiono opcję Nie, administratorzy nie będą mogli bezpośrednio przypisać tego pakietu dostępu.

    Pakiet dostępu — zasady — włączanie ustawienia zasad

  2. Wybierz Dalej.

  3. Jeśli chcesz wymagać od osób żądających podania dodatkowych informacji podczas żądania dostępu do pakietu dostępu, wykonaj kroki opisane w temacie Zmienianie ustawień zatwierdzenia i informacji osoby żądającej dla pakietu dostępu w zarządzaniu upoważnieniami w celu skonfigurowania informacji o żądaniu.

  4. Konfigurowanie ustawień cyklu życia.

  5. Jeśli edytujesz zasady, wybierz pozycję Aktualizuj. Jeśli dodasz nowe zasady, wybierz pozycję Utwórz.

Programowe tworzenie zasad przypisywania pakietów dostępu

Istnieją dwa sposoby programowego tworzenia zasad przypisywania pakietów dostępu za pośrednictwem programu Microsoft Graph i poleceń cmdlet programu PowerShell dla programu Microsoft Graph.

Tworzenie zasad przypisywania pakietów dostępu za pomocą programu Graph

Zasady można utworzyć przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, lub aplikację w roli katalogu lub z EntitlementManagement.ReadWrite.All uprawnieniem, może wywołać interfejs API tworzenia przypisaniaPolicy .

Tworzenie zasad przypisywania pakietów dostępu za pomocą programu PowerShell

Pakiet dostępu można również utworzyć w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.x lub nowszej.

Ten poniższy skrypt ilustruje tworzenie zasad dla bezpośredniego przypisania do pakietu dostępu. W tych zasadach tylko administrator może przypisać dostęp i nie ma zatwierdzeń ani przeglądów dostępu. Zobacz Tworzenie zasad automatycznego przypisania, aby zapoznać się z przykładem tworzenia zasad automatycznego przypisania i utworzyć zasady przypisaniaPolicy , aby uzyskać więcej przykładów.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Zapobieganie żądaniom użytkowników z niezgodnym dostępem

Oprócz kontroli zasad, kto może zażądać, możesz jeszcze bardziej ograniczyć dostęp, aby uniknąć użytkownika, który ma już dostęp — za pośrednictwem grupy lub innego pakietu dostępu — od uzyskania nadmiernego dostępu.

Jeśli chcesz skonfigurować, że użytkownik nie może zażądać pakietu dostępu, jeśli ma już przypisanie do innego pakietu dostępu lub jest członkiem grupy, wykonaj kroki opisane w temacie Konfigurowanie rozdzielania obowiązków sprawdzania pakietu dostępu.

Następne kroki