Устранение неполадок управления правами

  • Статья

В этой статье описываются некоторые элементы, которые следует проверка, чтобы помочь вам устранить неполадки в управлении правами.

Администрирование

  • Если вы получаете сообщение об отказе в доступе при настройке управления правами, а вы являетесь глобальным администратором, убедитесь, что у вашего каталога есть лицензия Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra (или EMS E5). Если вы недавно обновили истекший срок действия подписки Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, это может занять 8 часов для продления лицензии.

  • Если срок действия лицензии Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra истек, вы не сможете обрабатывать новые запросы доступа или выполнять проверки доступа.

  • Если при создании или просмотре пакетов доступа отказано в доступе, и вы являетесь членом группы создателей каталога, необходимо создать каталог перед созданием первого пакета доступа.

Ресурсы

  • Роли для приложений определяются самим приложением и управляются в идентификаторе Microsoft Entra. Если у приложения нет ролей ресурсов, управление правами назначает пользователям роль доступа по умолчанию.

    Центр администрирования Microsoft Entra также может отображать субъекты-службы для служб, которые не могут быть выбраны в качестве приложений. В частности, Exchange Online и SharePoint Online — это службы, а не приложения с ролями ресурсов в каталоге, поэтому они не могут быть включены в пакет доступа. Вместо этого используйте групповое лицензирование и установите подходящую лицензию для пользователей, которым нужен доступ к этим службам.

  • Приложения, поддерживающие только личные пользователи учетной записи Майкрософт для проверки подлинности и не поддерживающие учетные записи организации в каталоге, не имеют ролей приложений и не могут быть добавлены для доступа к каталогам пакетов.

  • Чтобы группа была ресурсом в пакете доступа, она должна быть изменяемой в идентификаторе Microsoft Entra. Группы, поступающие в локальная служба Active Directory, не могут быть назначены в качестве ресурсов, так как их атрибуты владельца или члена не могут быть изменены в идентификаторе Microsoft Entra. Группы, которые возникают в Exchange Online, так как группы рассылки не могут быть изменены в идентификаторе Microsoft Entra ID.

  • Библиотеки документов и отдельные документы SharePoint Online нельзя добавлять в качестве ресурсов. Вместо этого создайте группу безопасности Microsoft Entra, включите ее и роль сайта в пакет доступа, а в SharePoint Online используйте ее для управления доступом к библиотеке документов или документу.

  • Если есть пользователи, которые уже назначены ресурсу, которым вы хотите управлять с помощью пакета для доступа, убедитесь, что пользователи назначены пакету с использованием соответствующей политики. Например, может потребоваться включить группу в пакет для доступа, в котором уже есть пользователи в группе. Если пользователям в группе требуется постоянный доступ, в их отношении должна действовать соответствующая политика для пакетов для доступа, чтобы они не утратили доступ к группе. Чтобы назначить пакет для доступа, можно уведомить пользователей о необходимости запросить пакет, содержащий этот ресурс, или напрямую назначить их пакету. Дополнительные сведения см. в статье Изменение параметров запросов и утверждений для пакета для доступа.

  • При удалении члена команды они также удаляются из группы Microsoft 365. С удалением из чата команды может возникнуть задержка. Для получения дополнительной информации см. раздел Членство в группах.

Пакеты доступа

  • Если при попытке удалить пакет или политику доступа появляется сообщение об ошибке, в котором говорится о наличии активных назначений, то, если вы не видите пользователей с назначениями, проверьте, не назначены ли им недавно удаленные пользователи. Учетную запись пользователя можно восстановить в течение 30-дневного периода после удаления пользователя.

Внешние пользователи

  • Если внешний пользователь хочет запросить доступ к пакету доступа, убедитесь, что он использует ссылку на портал "Мой доступ" для пакета доступа. Дополнительные сведения см. в разделе Ссылка на общий доступ для запроса пакета для доступа. Если внешний пользователь просто посещает myaccess.microsoft.com и не использует полную ссылку портала "Мой доступ", то он увидит пакеты доступа, доступные для них в своей организации, а не в вашей организации.

  • Если внешнему пользователю не удалось запросить доступ к пакету или получить доступ к ресурсам, обязательно проверьте параметры для внешних пользователей.

  • Если новый внешний пользователь, который ранее не вошел в каталог, получает пакет доступа, включая сайт SharePoint Online, его пакет доступа будет отображаться как не полностью доставленный до тех пор, пока их учетная запись не будет подготовлена в SharePoint Online. Дополнительные сведения о параметрах общего доступа см. в разделе Проверьте параметры внешнего общего доступа SharePoint Online.

Запросы

  • Когда пользователь хочет запросить доступ к пакету доступа, убедитесь, что он использует ссылку портала "Мой доступ" для пакета доступа. Дополнительные сведения см. в разделе Ссылка на общий доступ для запроса пакета для доступа.

  • Если открыть портал "Мой доступ" в браузере с настроенным закрытым или анонимным режимом, может возникнуть конфликт при входе. Рекомендуется не использовать режим в частном или инкогнито для браузера при посещении портала My Access.

  • Если пользователь, который еще не входит в каталог, войдите на портал My Access, чтобы запросить пакет доступа, убедитесь, что они проходят проверку подлинности с помощью учетной записи организации. Учетная запись организации может быть в каталоге ресурсов или в каталоге, включенном в одну из политик пакета для доступа. Если учетная запись пользователя не является учетной записью организации или каталогом, в котором они проходят проверку подлинности, не включена в политику, пользователь не увидит пакет доступа. Дополнительные сведения см. в статье Запрос доступа к пакету для доступа.

  • Если пользователь заблокирован для входа в каталог ресурсов, он не сможет запросить доступ на портале "Мой доступ". Чтобы пользователь мог запросить доступ, необходимо удалить блокировку входа из его профиля. Чтобы удалить блок входа, в Центре администрирования Microsoft Entra выберите удостоверение, выберите "Пользователи", выберите пользователя, а затем выберите "Профиль". Внесите изменения в разделе Параметры и измените значение параметра Блокировки входа на Нет. Дополнительные сведения см. в разделе "Добавление или обновление сведений профиля пользователя с помощью идентификатора Microsoft Entra". Вы также можете проверить, заблокирован ли пользователь согласно политике защиты удостоверения.

  • На портале "Мой доступ", если пользователь является запрашивателем и утверждателем, он не увидит свой запрос на пакет доступа на странице Утверждения. Это поведение намеренно. Пользователь не может утвердить свой собственный запрос. Убедитесь, что пакет доступа, который запрашивает, имеет дополнительные утверждающие параметры, настроенные в политике. Дополнительные сведения см. в статье Изменение параметров запросов и утверждений для пакета для доступа.

Просмотр ошибок доставки запроса

Необходимая роль: глобальный администратор, администратор управления удостоверениями, владелец каталога, диспетчер пакетов Access или диспетчер назначения пакетов Access

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  3. Выберите запросы.

  4. Выберите запрос для просмотра.

    Если запрос содержит ошибки доставки, состояние запроса будет Не доставлен или Частично доставлен.

    При возникновении ошибок доставки в области сведений о запросе отобразится количество ошибок доставки.

  5. Выберите количество, чтобы просмотреть все ошибки доставки запроса.

Повторная обработка запроса

Если после запуска запроса на повторную обработку пакета для доступа возникла ошибка, необходимо подождать, пока система обработает запрос повторно. Система несколько раз пытается выполнить повторную обработку в течение нескольких часов, поэтому в течение этого времени невозможно выполнить принудительную обработку.

Повторную обработку можно выполнить только для запроса со статусом Сбой доставки или Частично доставлено, и датой завершения — менее одной недели. В противном случае кнопка Повторная обработка будет неактивна.

Reprocess button grayed out

  • Если ошибка исправлена в течение пробного периода, состояние запроса изменится на Доставка. Запрос будет повторно обработан без дополнительных действий пользователя.

  • Если ошибка не исправлена в течение пробного периода, состояние запроса может быть Сбой доставки или Частично доставлено. Затем можно нажать кнопку Повторная обработка. Повторная обработка запроса будет продолжена через семь дней.

Необходимая роль: глобальный администратор, администратор управления удостоверениями, владелец каталога, диспетчер пакетов Access или диспетчер назначения пакетов Access

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакетам управления правами управления>удостоверениями>, чтобы открыть пакет доступа.

  3. Выберите запросы.

  4. Выберите запрос, который требуется повторно обработать.

  5. В области сведений о запросе выберите запрос повторной обработки.

    Reprocess a failed request

Отмена ожидающего запроса

Вы можете отменить только ожидающий запрос, который еще не доставлен или сбой доставки. В противном случае кнопка отмены будет серым.

Необходимая роль: глобальный администратор, администратор управления удостоверениями, владелец каталога, диспетчер пакетов Access или диспетчер назначения пакетов Access

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакетам управления правами управления>удостоверениями>, чтобы открыть пакет доступа.

  3. Выберите запросы.

  4. Выберите запрос, который нужно отменить.

  5. В области сведений о запросе выберите "Отмена запроса".

Политики автоматического назначения

  • Каждая политика автоматического назначения может содержать не более 5000 пользователей в область его правила. Дополнительные пользователи в область правила могут не назначаться.

Несколько политик

  • Управление правами соответствует минимальным рекомендациям по обеспечению привилегий. Когда пользователь запрашивает доступ к пакету для доступа, имеющему несколько применяемых политик, управление правами включает логику, чтобы обеспечить более высокий приоритет или более конкретные политики на основе универсальных политик. Если политика является универсальной, управление правами может не отображать политику для запрашивающей стороны или автоматически выбирать более ограниченную политику.

  • Например, рассмотрим пакет доступа с двумя политиками для пользователей в каталоге, в котором обе политики применяются к запрашивателю. Первая политика предназначена для конкретных пользователей, к которым относится запрашивающее лицо. Вторая политика — для всех пользователей в каталоге. В этом сценарии первая политика автоматически выбирается для запрашивателя, так как она более строгая. Запрашиватель не получает возможность выбрать вторую политику.

  • Если применяются несколько политик, то политика, которая выбирается автоматически, или политики, отображаемые запрашивающему лицу, основаны на следующей логике приоритета.

    Приоритет политики Область
    P1 Определенные пользователи и группы в каталоге ИЛИ в конкретных подключенных организациях
    P2 Все члены в каталоге (кроме гостей)
    P3 Все пользователи в вашем каталоге (включая гостей) ИЛИ определенные подключенные организации
    P4 Все настроенные подключенные организации ИЛИ все пользователи (все подключенные организации + все новые внешние пользователи)

    Если какая-либо политика находится в каталоге с более высоким приоритетом, каталоги с низким приоритетом не учитываются. Пример отображения для запрашивающего лица нескольких политик с одинаковым приоритетом см. в разделе Выбор политики.

Следующие шаги