Настройка политики автоматического назначения для пакета доступа в управлении правами

Правила можно использовать для назначения пакетов доступа на основе свойств идентификации в Microsoft Entra ID, являющемся частью Microsoft Entra. В управлении правами доступа пакет доступа может иметь несколько политик, и каждая политика устанавливает, как пользователи получают доступ к пакету доступа и на какой срок. Как администратор, вы можете установить политику для автоматических назначений, указав правило членства, которому управление полномочиями следует для автоматического создания и удаления назначений. Аналогично динамической группе, при создании политики автоматического назначения атрибуты идентификации проверяются на соответствие правилу членства политики. При изменении атрибута для идентичности правила автоматического назначения политики в пакетах доступа обрабатываются для изменения статуса членства. Затем назначения для удостоверений добавляются или удаляются в зависимости от того, соответствуют ли они критериям правила.

Примечание.

Разрешена только одна политика автоматического распределения для одного пакета доступа. Настройка нескольких из них приведет к проблемам обработки и последующим проблемам с доступом назначенных лиц.

В этой статье описывается создание политики автоматического назначения пакета доступа для существующего пакета доступа.

Перед началом

Вам необходимо иметь атрибуты, заполненные для учетных записей, которые будут в рамках предоставления доступа. Атрибуты, которые можно использовать в критериях правил политики назначения пакетов доступа, — это атрибуты, перечисленные в поддерживаемых свойствах, а также атрибуты расширения и настраиваемые свойства расширения. Эти атрибуты можно перенести в Microsoft Entra ID, обновивпользователя через такие HR-системы, как SuccessFactors, облачную синхронизацию Microsoft Entra Connect или Microsoft Entra Connect Sync. Правила могут включать до 15 000 пользователей на политику.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с основами лицензирования управления идентификаторами Microsoft Entra ID.

Создание политики автоматического назначения

Чтобы создать политику для пакета доступа, необходимо начать с вкладки политики пакета доступа. Выполните следующие действия, чтобы создать новую политику автоматического назначения для пакета доступа.

1. Войдите в центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

   Примечание.

   Владельцы каталогов и менеджеры пакетов не могут создавать политики автоматического назначения доступа.

2. Перейдите к Управлению идентификацией>Управлению правами>Пакету доступа.

3. На странице пакетов доступа откройте пакет доступа.

4. Выберите политики и добавьте политику автоматического назначения , чтобы создать новую политику.

5. На первой вкладке укажите правило. Выберите "Изменить".

6. Укажите правило для динамических групп членства с помощью построителя правил членства или нажмите кнопку "Изменить " в текстовом поле синтаксиса правила.

   Примечание.

   Построитель правил может не отображать некоторые правила, созданные в текстовом поле, и проверка правила в настоящее время требует, чтобы вы были в роли администратора групп. Дополнительные сведения см. в построителе правил в Центре администрирования Microsoft Entra.

   

7. Нажмите кнопку "Сохранить", чтобы закрыть редактор правил для динамических групп членства.

8. По умолчанию флажки для автоматического создания и удаления назначений должны оставаться проверенными.

9. Если вы хотите, чтобы удостоверения сохраняли доступ в течение ограниченного времени после выхода из контекста, можно указать длительность в часах или днях. Например, когда сотрудник покидает отдел продаж, вы можете разрешить им продолжать сохранять доступ в течение семи дней, чтобы позволить им использовать приложения продаж и передавать права владения своими ресурсами в этих приложениях другому сотруднику.

10. Нажмите кнопку "Рядом", чтобы открыть вкладку "Пользовательские расширения".

11. Если в каталоге есть пользовательские расширения , которые вы хотите запустить при назначении или удалении доступа, вы можете добавить их в эту политику. Затем щелкните рядом с вкладкой "Рецензирование ".

12. Введите имя и описание политики.

    

13. Нажмите кнопку "Создать", чтобы сохранить политику.

    Примечание.

    В настоящее время управление правами доступа автоматически создает динамическую группу безопасности, соответствующую каждой политике, для оценки идентичностей в пределах охвата. Эту группу не следует изменять, кроме как через саму систему "Управление полномочиями". Эту группу также можно изменять или удалять автоматически с помощью управления правами, поэтому не используйте эту группу для других приложений или сценариев.

14. Microsoft Entra ID оценивает удостоверения в организации, которые попадают под действие этого правила, и создает назначения для тех удостоверений, которые еще не имеют назначений к пакету доступа. Политика может содержать не более 15 000 удостоверений в своем правиле. Для выполнения оценки может потребоваться несколько минут, или для обновлений атрибутов удостоверений потребуется больше времени, прежде чем они отразятся в назначениях пакетов доступа.

Создание политики автоматического назначения программным способом

Существует два способа создания политики назначения пакетов доступа для автоматического назначения с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.

Создание политики назначения пакета доступа с помощью Graph

Вы можете создать политику с помощью Microsoft Graph. Удостоверение в соответствующей роли с приложением, которое имеет делегированное EntitlementManagement.ReadWrite.All разрешение, или приложение в роли каталога или с EntitlementManagement.ReadWrite.All разрешением может вызвать API создания политики назначения. В полезные данные запроса включайте displayName, description, specificAllowedTargets, automaticRequestSettings и accessPackage свойства политики.

Создание политики назначения пакетов доступа с помощью PowerShell

Вы также можете создать политику в PowerShell с помощью командлетов из модуля Microsoft Graph PowerShell для управления удостоверениями версии 1.16.0 или более поздней.

Следующий скрипт иллюстрирует использование v1.0 профиля для создания политики автоматического назначения пакета доступа. Дополнительные примеры см. в разделе создание политики назначения и создание пакета доступа в управлении правами для приложения с одной ролью с помощью PowerShell.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
  DisplayName = "Sales department users"
  Description = "All users from sales department"
  AllowedTargetScope = "specificDirectoryUsers"
  SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
  } )
  AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
  }
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Следующие шаги

• Просмотр назначений для пакета доступа