Изменение параметров запроса для пакета доступа в управлении правами

Вы управляете пакетами для доступа, а значит можете в любой момент, изменяя или добавляя политики, изменить набор пользователей, которые могут запрашивать пакеты для доступа. В этой статье описывается, как изменить параметры запроса для политики назначения для существующего пакета для доступа.

Выбор между одной и многими политиками

Указание того, кто может запрашивать пакеты для доступа, осуществляется с помощью политик. Перед созданием новой политики или изменением существующей политики в пакете для доступа необходимо определить, сколько политик должно быть в пакете для доступа.

При создании пакета для доступа вы можете указать параметры запроса, утверждения и жизненного цикла, которые хранятся в первой политике пакета для доступа. Большинство пакетов доступа имеют одну политику для пользователей для запроса доступа, но один пакет доступа может иметь несколько политик. Несколько политик в одном пакете для доступа создается, если вы хотите позволить различным наборам пользователей получать назначения с разными параметрами запросов и утверждений.

Например, для назначения внутренних и внешних пользователей одному пакету доступа нельзя использовать одну политику. В то же время в одном пакете для доступа можно создать две политики, одна будет предназначена для внутренних пользователей, а другая — для внешних пользователей. Если есть несколько политик, которые применяются к пользователю для запроса, они будут предложено в момент запроса выбрать политику, которую они хотели бы назначить. На следующей схеме показан пакет для доступа с двумя политиками.

Помимо политик, с помощью которых пользователи могут запрашивать доступ, также можно использовать политики для автоматического назначения и политики для прямого назначения администраторами или владельцами каталога.

Сколько политик мне потребуется?

Сценарий	Количество политик
У всех пользователей в моем каталоге должны быть одинаковые параметры запросов и утверждений для пакета для доступа	Единица
У всех пользователей в определенных подключенных организациях должна быть возможность запросить пакет для доступа	Единица
Нужно, чтобы пользователи как из моего каталога, так и извне моего каталога могли запросить пакет для доступа	Два
Я хочу задавать отличающиеся параметры утверждения для некоторых пользователей	По одному для каждой группы пользователей
Я хочу, чтобы у одних пользователей срок действия назначений пакетов для доступа истекал, в то время как другие пользователи могли бы продлить свой доступ	По одному для каждой группы пользователей
Я хочу, чтобы некоторые пользователи запрашивали доступ, а другим доступ назначал администратор	Два
Я хочу, чтобы одни пользователи в моей организации получали доступ автоматически, другие пользователи могли запрашивать доступ, а третьи пользователи назначались администратором	Три

Сведения о логике приоритетов, используемой, когда одновременно применимы несколько политик, см. в разделе Несколько политик.

Открытие существующего пакета для доступа и добавление новой политики с другими параметрами запроса

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Если существует набор пользователей, для которого необходимы отдельные параметры запросов и утверждения, вероятно, вам понадобится создать новую политику. Выполните следующие шаги, чтобы начать добавление новой политики к существующему пакету для доступа.

Роль предварительных требований: глобальный Администратор istrator, управление удостоверениями Администратор istrator, владелец каталога или диспетчер пакетов Access

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

2. Перейдите к пакету управления правами управления>удостоверениями>.

3. На странице пакетов Access откройте пакет доступа, который требуется изменить.

4. Выберите политики и добавьте политику.

5. На вкладке "Основные сведения" введите имя и описание политики.

   

6. Нажмите кнопку "Рядом ", чтобы открыть вкладку "Запросы ".

7. Измените значение параметра Пользователи, которые могут запрашивать доступ. Выполните шаги, описанные в следующих разделах, чтобы изменить этот параметр на один из следующих вариантов значений:

   • для пользователей в вашем каталоге,
   • для пользователей вне вашего каталога,
   • нет (только прямые назначения администратора).

Для пользователей в вашем каталоге

Выполните следующие шаги, если нужно, чтобы пользователи в вашем каталоге могли запрашивать этот пакет для доступа. При определении политики запросов можно указать отдельных пользователей или (что делается чаще) группы пользователей. Например, в вашей организации может уже существовать такая группа, как Все сотрудники. Если добавить эту группу в политику для пользователей, которые могут запрашивать доступ, то любой участник этой группы сможет запросить доступ.

1. В разделе Пользователи, которые могут запрашивать доступ щелкните Для пользователей в каталоге.

   При выборе этого параметра появляются новые параметры, позволяющие дополнительно уточнить, кто в вашем каталоге может запрашивать этот пакет для доступа.

   

2. Выберите один из следующих параметров.

   	Description
   Конкретные пользователи и группы	Выберите этот параметр, если нужно, чтобы этот пакет для доступа могли запрашивать только те пользователи и группы в вашем каталоге, которые были указаны.
   Все участники (кроме гостей)	Выберите этот параметр, если нужно, чтобы все пользователи-участники в вашем каталоге могли запрашивать этот пакет для доступа. Этот вариант не включает гостевых пользователей, которые могли быть приглашены в ваш каталог.
   Все пользователи (включая гостей)	Выберите этот параметр, если нужно, чтобы все пользователи-участники и гостевые пользователи в вашем каталоге могли запрашивать этот пакет для доступа.

   Гостевые пользователи ссылаются на внешних пользователей, приглашенных в каталог с помощью Microsoft Entra B2B. Дополнительные сведения о различиях между пользователями-участниками и гостевыми пользователями см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra ID?".

3. Если выбран вариант Конкретные пользователи и группы, щелкните Добавить пользователей и группы.

4. На панели "Выбор пользователей и групп" выберите пользователей и группы, которые нужно добавить.

   

5. Нажмите кнопку Выбрать, чтобы добавить пользователей и группы.

6. Если требуется утверждение, выполните действия, описанные в разделе "Изменение параметров утверждения" для пакета доступа в управлении правами, чтобы настроить параметры утверждения.

7. Перейдите в раздел Включение запросов.

Для пользователей вне вашего каталога

Пользователи не в каталоге ссылаются на пользователей, которые находятся в другом каталоге Или домене Microsoft Entra. Возможно, эти пользователи еще не были приглашены в ваш каталог. Каталоги Microsoft Entra должны быть настроены для разрешения приглашений в ограничениях для совместной работы. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Примечание.

Для пользователя, которого еще нет в вашем каталоге, но запрос которого утвержден или автоматически утвержден, будет создана гостевая учетная запись пользователя. Гостевой пользователь будет приглашен, но ему не отправляется сообщение электронной почты с приглашением. Вместо этого он получит сообщение электронной почты, когда будет доставлено назначение пакета для доступа. По умолчанию в дальнейшем, когда у гостевого пользователя уже не останется ни одного назначения пакета для доступа, после отмены его последнего назначения или истечения его срока действия возможность входа для гостевой учетной записи блокируется, а затем эта гостевая учетная запись удаляется. Если нужно, чтобы гостевые пользователи оставались в каталоге без ограничения по времени, даже при отсутствии назначений пакетов для доступа, можно изменить соответствующие параметры в конфигурации управления правами. Дополнительные сведения об объекте гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".

Выполните следующие действия, если нужно разрешить пользователям не из вашего каталога запрашивать этот пакет для доступа:

1. В разделе Пользователи, которые могут запрашивать доступ выберите Для пользователей вне вашего каталога.

   При выборе этого параметра появляются новые параметры.

   

2. Выберите, должны ли пользователи, которые могут запрашивать доступ, должны быть связаны с существующей подключенной организацией или могут быть любым пользователем в Интернете. Подключенная организация — это одна из существующих связей, с которой может быть внешний каталог Microsoft Entra или другой поставщик удостоверений. Выберите один из следующих параметров.

   	Description
   Конкретные подключенные организации	Выберите этот параметр, если нужно выбрать организации в списке организаций, ранее добавленных вашим администратором. Запрашивать этот пакет для доступа смогут все пользователи из выбранных организаций.
   Все настроенные подключенные организации	Выберите этот вариант, если нужно, чтобы все пользователи изо всех настроенных у вас подключенных организаций могли запрашивать этот пакет для доступа. Только пользователи из настроенных подключенных организаций могут запрашивать пакеты доступа, поэтому если пользователь не является клиентом Microsoft Entra, доменом или поставщиком удостоверений, связанным с существующей подключенной организацией, они не смогут запрашивать.
   Все пользователи (все подключенные организации и все новые внешние пользователи)	Выберите этот вариант, если нужно, чтобы любой пользователь из Интернета мог запросить этот пакет для доступа. Если они не принадлежат к подключенной организации в каталоге, подключенная организация будет автоматически создана для них при запросе пакета. Автоматически созданная организация будет находиться в предложенном состоянии. Дополнительные сведения о предлагаемом состоянии см. в разделе "Состояние" подключенных организаций.

3. Если был выбран вариант Конкретные подключенные организации, щелкните Добавить каталоги, чтобы выбрать их в списке подключенных организаций, ранее добавленных вашим администратором.

4. Введите имя или доменное имя, чтобы выполнить поиск ранее подключенной организации.

   

   Если организации, с которой нужно взаимодействовать, нет в списке, можно обратиться к администратору, чтобы он добавил ее в качестве подключенной организации. Дополнительные сведения см. в статье Добавление подключенной организации.

5. После выбора всех нужных подключенных организаций нажмите кнопку Выбрать.

   Примечание.

   Все пользователи из выбранных подключенных организаций смогут запрашивать этот пакет для доступа. Для подключенной организации с каталогом Microsoft Entra пользователи из всех проверенных доменов, связанных с каталогом Microsoft Entra, могут запрашивать запросы, если только эти домены не заблокированы списком разрешений или запретов Azure B2B. Дополнительные сведения см. в статье Предоставление или отзыв приглашений пользователям B2B из отдельных организаций.

6. Затем выполните действия, описанные в разделе "Изменение параметров утверждения" для пакета доступа в управлении правами, чтобы настроить параметры утверждения, чтобы указать, кто должен утверждать запросы от пользователей, не входящих в вашу организацию.

7. Перейдите в раздел Включение запросов.

Нет (только прямые назначения администратора)

Выполните следующие действия, если нужно обойти запросы на доступ и разрешить администраторам напрямую назначать конкретных пользователей этого пакета для доступа. Пользователям не придется запрашивать пакет для доступа. По-прежнему можно задать параметры жизненного цикла, но параметры запроса в этом варианте отсутствуют.

1. В разделе Пользователи, которые могут запросить доступ выберите Нет (только прямые назначения администратора).

   

   После создания пакета для доступа можно напрямую назначить конкретных внутренних и внешних пользователей этому пакету для доступа. Если указать внешнего пользователя, в каталоге будет создана учетная запись гостевого пользователя. Сведения о непосредственном назначении пользователей см. в разделе Просмотр, добавление и удаление назначений для пакета для доступа.

2. Перейдите к разделу Включение запросов.

Примечание.

При назначении пользователей для пакета доступа администраторам необходимо будет убедиться, что пользователи имеют право на этот пакет доступа в соответствии с существующими требованиями политики. В противном случае пользователи не будут успешно назначены для пакета доступа. Если пакет для доступа содержит политику, требующую утверждения запросов пользователей, пользователи не могут быть непосредственно назначены для пакета без необходимости утверждения от назначенных утверждающих лиц.

Открытие и изменение параметров запроса для существующей политики

Чтобы изменить параметры запроса и утверждения для пакета для доступа, необходимо открыть соответствующую политику с этими параметрами. Выполните следующие действия, чтобы открыть и изменить параметры запроса для политики назначения пакетов для доступа.

Роль предварительных требований: глобальный Администратор istrator, управление удостоверениями Администратор istrator, владелец каталога или диспетчер пакетов Access

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

2. Перейдите к пакету управления правами управления>удостоверениями>.

3. На странице пакетов Access откройте пакет доступа, параметры запроса политики которого необходимо изменить.

4. Выберите политики и выберите политику, которую вы хотите изменить.

   В нижней части страницы откроется область подробных данных Политики Azure.

   

5. Выберите "Изменить", чтобы изменить политику.

   

6. Перейдите на вкладку "Запросы", чтобы открыть параметры запроса.

7. Выполните действия, описанные в предыдущих разделах, чтобы внести необходимые изменения в параметры запроса.

8. Перейдите в раздел Включение запросов.

Включение запросов

1. Если необходимо, чтобы пакет для доступа стал немедленно доступен для запросов пользователей в политике запросов, переведите переключатель «Включить» в положение Да.

   Его можно активировать в любой момент после создания пакета для доступа.

   Если выбран вариант Нет (только прямые назначения администратора), а переключатель включения установлен в положение Нет, то администраторы не смогут напрямую назначать этот пакет для доступа.

   

2. Выберите Далее.

3. Если требуется, чтобы запрашивающие пользователи предоставили дополнительные сведения при запросе доступа к пакету доступа, выполните действия, описанные в разделе "Изменение параметров сведений об утверждении и запросе" для пакета доступа в управлении правами для настройки сведений о запросе.

4. Настройте параметры жизненного цикла.

5. Если вы редактируют политику, выберите "Обновить". Если вы добавляете новую политику, нажмите кнопку "Создать".

Создание политики назначения пакетов доступа программным способом

Существует два способа программного создания политики назначения пакетов доступа с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.

Создание политики назначения пакета доступа с помощью Graph

Вы можете создать политику с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением, которое имеет делегированное EntitlementManagement.ReadWrite.All разрешение, или приложение в роли каталога или с EntitlementManagement.ReadWrite.All разрешением, может вызывать API назначенияPolicy .

Создание политики назначения пакетов доступа с помощью PowerShell

Вы также можете создать пакет доступа в PowerShell с помощью командлетов Microsoft Graph PowerShell для модуля управления удостоверениями версии 2.1.x или более поздней версии модуля.

Приведенный ниже сценарий иллюстрирует создание политики прямого назначения пакету доступа. В этой политике только администратор может назначить доступ, и нет утверждений или проверок доступа. Дополнительные примеры см. в статье "Создание политики автоматического назначения" в статье "Создание политики автоматического назначения" и создание политики назначения .

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Запрет запросов от пользователей с несовместимым доступом

Помимо проверок политики в отношении того, какие пользователи могут отправлять запросы, вы можете еще больше ограничить доступ, чтобы не допустить получения расширенных прав пользователем с некоторым уровнем доступа (через группу или другой пакет доступа).

Если вы хотите настроить доступ так, чтобы пользователь не мог запросить пакет доступа при наличии назначения на другой пакет доступа или при участии в группе, воспользуйтесь инструкциями из статьи Настройка проверок разделения обязанностей для пакета доступа.

Следующие шаги

• Изменение параметров утверждения для пакета для доступа
• Изменение параметров жизненного цикла пакета для доступа
• Просмотр запросов пакета для доступа