Настройка политики автоматического назначения для пакета доступа в управлении правами

Правила можно использовать для определения назначения пакетов доступа на основе свойств пользователей в идентификаторе Microsoft Entra, части Microsoft Entra. В службе "Управление правами" пакет доступа может иметь несколько политик, и каждая политика определяет, как пользователи получают назначение для пакета доступа и на какое время. Как администратор, вы можете установить политику для автоматических назначений, указав правило членства, которое управление правами следует для автоматического создания и удаления назначений. Как и для динамических групп, при создании политики автоматического назначения проверяется соответствие атрибутов пользователей правилу членства политики. При изменении атрибута для пользователя эти правила политики автоматического назначения в пакетах доступа обрабатываются в соответствии с изменениями членства. Затем назначения для пользователей добавляются или удаляются в зависимости от того, соответствуют ли они критериям правила.

Вы можете иметь не более одной политики автоматического назначения в пакете доступа, и политика может быть создана только администратором. (Владельцы каталогов и диспетчеры пакетов доступа не могут создавать политики автоматического назначения.)

В этой статье описывается создание политики автоматического назначения пакета доступа для существующего пакета доступа.

Подготовка к работе

Атрибуты должны быть заполнены пользователями, которые будут находиться в область для назначения доступа. В критериях правил для политики назначения пакета доступа можно использовать любые атрибуты, перечисленные в списке поддерживаемых свойств, а также атрибуты расширения и настраиваемые свойства расширения. Эти атрибуты можно использовать в идентификатор Microsoft Entra, исправив пользователя, систему кадров, например SuccessFactors, Microsoft Entra Подключение облачную синхронизацию или microsoft Entra Подключение Sync. Правила могут включать до 5000 пользователей на политику.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

Создание политики автоматического назначения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы создать политику для пакета доступа, необходимо начать с вкладки политики пакета доступа. Выполните следующие действия, чтобы создать новую политику автоматического назначения для пакета доступа.

Необходимая роль: глобальный администратор или администратор управления удостоверениями

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакету управления правами управления>удостоверениями>.

  3. На странице пакетов Access откройте пакет доступа.

  4. Выберите политики и добавьте политику автоматического назначения, чтобы создать новую политику.

  5. На первой вкладке укажите правило. Выберите Изменить.

  6. Укажите правило динамического членства, используя построитель правил членства или щелкнув Изменить в текстовом поле синтаксиса правила.

    Примечание.

    Построитель правил может не отображать некоторые правила, созданные в текстовом поле, а для проверки правила в настоящее время требуется роль глобального администратора. Дополнительные сведения см . в построителе правил в Центре администрирования Microsoft Entra.

    Screenshot of an access package automatic assignment policy rule configuration.

  7. Нажмите кнопку "Сохранить", чтобы закрыть редактор правил динамического членства.

  8. По умолчанию проверка boxes для автоматического создания и удаления назначений должны оставаться проверка.

  9. Если вы хотите, чтобы пользователи сохраняли доступ в течение ограниченного времени после выхода из область, можно указать длительность в часах или днях. Например, когда сотрудник покидает отдел продаж, вы можете разрешить им продолжать сохранять доступ в течение семи дней, чтобы позволить им использовать приложения продаж и передавать права владения своими ресурсами в этих приложениях другому сотруднику.

  10. Нажмите кнопку "Рядом", чтобы открыть вкладку "Пользовательские расширения".

  11. Если в каталоге есть пользовательские расширения, которые вы хотите запустить, когда политика назначает или удаляет доступ, их можно добавить в эту политику. Затем щелкните рядом с вкладкой "Рецензирование ".

  12. Введите имя и описание политики.

    Screenshot of an access package automatic assignment policy review tab.

  13. Нажмите кнопку "Создать", чтобы сохранить политику.

    Примечание.

    В настоящее время управление правами автоматически создает динамическую группу безопасности, соответствующую каждой политике, чтобы оценить пользователей в область. Эту группу может изменять только сама служба "Управление правами". Эту группу также можно изменять или удалять автоматически с помощью управления правами, поэтому не используйте эту группу для других приложений или сценариев.

  14. Идентификатор Microsoft Entra оценивает пользователей в организации, которые находятся в область этого правила, и создает назначения для тех пользователей, которые еще не имеют назначений пакету доступа. Политика может содержать не более 5 000 пользователей в своем правиле. Для выполнения оценки может потребоваться несколько минут или последующие обновления атрибутов пользователя, которые будут отражены в назначениях пакетов доступа.

Создание политики автоматического назначения программным способом

Существует два способа создания политики назначения пакетов доступа для автоматического назначения с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.

Создание политики назначения пакета доступа с помощью Graph

Вы можете создать политику с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением, которое имеет делегированное EntitlementManagement.ReadWrite.All разрешение, или приложение в роли каталога или с EntitlementManagement.ReadWrite.All разрешением, может вызывать API назначенияPolicy . В полезные данные запроса включите свойства политики displayName, description, specificAllowedTargets, automaticRequestSettings и accessPackage.

Создание политики назначения пакетов доступа с помощью PowerShell

Вы также можете создать политику в PowerShell с командлетами из командлетов Microsoft Graph PowerShell для модуля управления удостоверениями версии 1.16.0 или более поздней.

Приведенный ниже скрипт иллюстрирует использование v1.0 профиля для создания политики автоматического назначения пакета доступа. Дополнительные примеры см. в статье о создании назначенияPolicy .

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Следующие шаги