Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В качестве менеджера пакетов доступа, вы можете изменить идентичности, которые могут запрашивать пакет доступа в любое время, отредактировав политику для запросов на назначение пакетов доступа или добавив в пакет новую политику. В этой статье описывается, как изменить параметры запроса для политики назначения существующего пакета доступа.
Выбор между одной и многими политиками
Указание того, кто может запрашивать пакеты для доступа, осуществляется с помощью политик. Перед созданием новой политики или изменением существующей политики в пакете для доступа необходимо определить, сколько политик должно быть в пакете для доступа.
При создании пакета для доступа вы можете указать параметры запроса, утверждения и жизненного цикла, которые хранятся в первой политике пакета для доступа. Большинство пакетов доступа имеют одну политику для идентификаций, чтобы запрашивать доступ, но один пакет доступа может иметь несколько политик. Вы создадите несколько политик для пакета доступа, если вы хотите разрешить различным наборам идентификаций предоставлять назначения с разными настройками запроса и утверждения.
Например, нельзя использовать одну политику для назначения внутренних и внешних удостоверений одному пакету доступа. Однако можно создать две политики в одном пакете доступа: одна для внутренних удостоверений и одна для внешних удостоверений. Если у пользователя есть несколько политик, которые применяются к запросу, в момент запроса им будет предложено выбрать политику, которую они хотели бы назначить. На следующей схеме показан пакет для доступа с двумя политиками.
Помимо политик удостоверений для запроса доступа, вы также можете иметь политики автоматического назначения, а также политики прямого назначения администраторами или владельцами каталога.
Сколько политик мне потребуется?
| Сценарий | Количество полисов |
|---|---|
| Я хочу, чтобы все учетные записи в моем каталоге имели одинаковые параметры запроса и утверждения для пакета доступа. | Один |
| Я хочу, чтобы все идентичности в определенных подключенных организациях могли запрашивать пакет доступа. | Один |
| Я хочу разрешить удостоверениям как в моем каталоге, так и за его пределами запрашивать пакет доступа. | Два |
| Я хочу указать различные параметры утверждения для некоторых идентификаторов | По одному для каждой группы удостоверений |
| Я хочу, чтобы некоторые удостоверения доступа к назначениям пакетов истекли, а другие удостоверения могут расширить их доступ | По одному для каждой группы удостоверений |
| Я хочу, чтобы некоторые учетные записи запрашивали доступ, а другим учетным записям доступ назначался администратором. | Два |
| Я хочу, чтобы некоторые идентификаторы в моей организации получали доступ автоматически, другие идентификаторы могли запрашивать доступ, а третьи назначались администратором. | Три |
Сведения о логике приоритетов, используемой, когда одновременно применимы несколько политик, см. в разделе Несколько политик.
Открытие существующего пакета для доступа и добавление новой политики с другими параметрами запроса
Если у вас есть набор идентификаторов, которые должны иметь разные настройки запросов и утверждений, скорее всего, вам нужно будет создать новую политику. Выполните следующие шаги, чтобы начать добавление новой политики к существующему пакету для доступа.
Войдите в административный центр Microsoft Entra как минимум с правами администратора управления идентификацией.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
На странице пакетов Access откройте пакет доступа, который требуется изменить.
Выберите Правила и затем Добавить правило.
На вкладке "Основные сведения" введите имя и описание политики.
Нажмите Далее, чтобы открыть вкладку Запросы.
Измените значение параметра Пользователи, которые могут запрашивать доступ. Выполните шаги, описанные в следующих разделах, чтобы изменить этот параметр на один из следующих вариантов значений:
Для пользователей, учетных записей службы и агентских удостоверений в каталоге
Выполните следующие действия, если вы хотите предоставить возможность идентификаторам в каталоге запросить этот пакет доступа. При определении политики запроса можно указать отдельные удостоверения или более распространенные группы удостоверений. Например, у вашей организации уже может быть группа, например "Все сотрудники". Если эта группа добавляется в политику для удостоверений, которые могут запрашивать доступ, то любой член этой группы может запросить доступ.
В разделе Пользователи, которые могут запрашивать доступ выберите Для пользователей, учетных записей служб и идентификаторов агентов в вашем каталоге.
При выборе этого параметра появляются новые параметры, позволяющие дополнительно уточнить, кто в вашем каталоге может запрашивать этот пакет для доступа.
Выберите один из следующих параметров.
Описание Конкретные пользователи и группы Выберите этот параметр, если нужно, чтобы этот пакет для доступа могли запрашивать только те пользователи и группы в вашем каталоге, которые были указаны. Все участники (кроме гостей) Выберите этот параметр, если нужно, чтобы все пользователи-участники в вашем каталоге могли запрашивать этот пакет для доступа. Этот вариант не включает гостевых пользователей, которые могли быть приглашены в ваш каталог. Все пользователи (включая гостей) Выберите этот параметр, если нужно, чтобы все пользователи-участники и гостевые пользователи в вашем каталоге могли запрашивать этот пакет для доступа. Все представители службы (предварительная версия) Выберите этот параметр, если вы хотите, чтобы все субъекты-службы в каталоге могли запрашивать этот пакет доступа. Все агенты (предварительная версия) Выберите этот параметр, если вы хотите, чтобы все агенты в каталоге могли иметь доступ к ним. Гостевыми пользователями являются внешние пользователи, приглашенные в ваш каталог с помощью Microsoft Entra B2B. Дополнительные сведения о различиях между пользователями-участниками и гостевыми пользователями см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra ID?".
Для всех принципалов служб и всех агентов в предварительном просмотре требуется идентификатор агента Microsoft Entra. Дополнительные сведения см. в разделе "Управление удостоверениями агента ( предварительная версия)".
Если выбран вариант Конкретные пользователи и группы, щелкните Добавить пользователей и группы.
На панели "Выбор пользователей и групп" выберите пользователей и группы, которые нужно добавить.
Нажмите кнопку Выбрать, чтобы добавить пользователей и группы.
Если требуется утверждение, выполните действия, описанные в разделе "Изменение параметров утверждения" для пакета доступа в управлении правами, чтобы настроить параметры утверждения.
Перейдите к разделу "Кто может запросить доступ ".
Для пользователей вне вашего каталога
Пользователи не в вашем каталоге означает пользователей, которые находятся в другом каталоге или домене Microsoft Entra. Эти пользователи, возможно, еще не были приглашены в каталог. Каталоги Microsoft Entra должны быть настроены так, чтобы разрешить приглашения в ограничениях для совместной работы. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.
Примечание.
Для пользователя, которого еще нет в вашем каталоге, но запрос которого утвержден или автоматически утвержден, будет создана гостевая учетная запись пользователя. Гостевой пользователь будет приглашен, но ему не отправляется сообщение электронной почты с приглашением. Вместо этого они получат электронное письмо, когда их пакет доступа будет доставлен. По умолчанию, когда гостевой пользователь больше не имеет назначений пакетов доступа, поскольку срок их последнего назначения истек или был отменен, учетная запись этого гостевого пользователя будет заблокирована при попытке входа и впоследствии удалена. Если нужно, чтобы гостевые пользователи оставались в каталоге без ограничения по времени, даже при отсутствии назначений пакетов для доступа, можно изменить соответствующие параметры в конфигурации управления правами. Дополнительные сведения об объекте гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".
Выполните следующие действия, если нужно разрешить пользователям не из вашего каталога запрашивать этот пакет для доступа:
В разделе Пользователи, которые могут запрашивать доступ щелкните Для пользователей, отсутствующих в вашем каталоге.
При выборе этого параметра появляются новые параметры.
Выберите, должны ли пользователи, которые могут запрашивать доступ, должны быть связаны с существующей подключенной организацией или могут быть любым пользователем в Интернете. Подключенная организация — это та, с которой у вас уже есть установленная связь, и которая может иметь внешний каталог Microsoft Entra или другого поставщика удостоверений. Выберите один из следующих параметров.
Описание Конкретные подключенные организации Выберите этот параметр, если нужно выбрать организации в списке организаций, ранее добавленных вашим администратором. Запрашивать этот пакет для доступа смогут все пользователи из выбранных организаций. Все настроенные подключенные организации Выберите этот вариант, если нужно, чтобы все пользователи изо всех настроенных у вас подключенных организаций могли запрашивать этот пакет для доступа. Только пользователи из настроенных подключенных организаций могут запросить пакеты доступа. Таким образом, если пользователь не принадлежит к клиенту Microsoft Entra, домену или поставщику удостоверений, связанному с существующей подключенной организацией, он не сможет сделать запрос. Все пользователи (все подключенные организации и все новые внешние пользователи) Выберите этот вариант, если нужно, чтобы любой пользователь из Интернета мог запросить этот пакет для доступа. Если они не принадлежат к подключенной организации в каталоге, подключенная организация будет автоматически создана для них при запросе пакета. Автоматически созданная подключенная организация находится в предлагаемых состояниях. Дополнительные сведения о предлагаемом состоянии см. в разделе "Состояние" подключенных организаций. Если был выбран вариант Конкретные подключенные организации, щелкните Добавить каталоги, чтобы выбрать их в списке подключенных организаций, ранее добавленных вашим администратором.
Введите имя или доменное имя, чтобы выполнить поиск ранее подключенной организации.
Если организации, с которой нужно взаимодействовать, нет в списке, можно обратиться к администратору, чтобы он добавил ее в качестве подключенной организации. Дополнительные сведения см. в статье Добавление подключенной организации.
После выбора всех нужных подключенных организаций нажмите кнопку Выбрать.
Примечание.
Все пользователи из выбранных подключенных организаций смогут запрашивать этот пакет для доступа. Для подключенной организации с каталогом Microsoft Entra пользователи из всех проверенных доменов, связанных с каталогом Microsoft Entra, могут запрашивать запросы, если только эти домены не заблокированы разрешенным или блокируемым списком Azure B2B. Дополнительные сведения см. в статье Предоставление или отзыв приглашений пользователям B2B из отдельных организаций.
Затем выполните действия, описанные в разделе "Изменение параметров утверждения" для пакета доступа в управлении правами, чтобы настроить параметры утверждения, чтобы указать, кто должен утверждать запросы от пользователей, не входящих в вашу организацию.
Перейдите к разделу "Кто может запросить доступ ".
Нет (только прямые назначения администратора)
Выполните следующие действия, если нужно обойти запросы на доступ и разрешить администраторам напрямую назначать конкретных пользователей этого пакета для доступа. Пользователям не придется запрашивать пакет для доступа. По-прежнему можно задать параметры жизненного цикла, но параметры запроса в этом варианте отсутствуют.
В разделе Пользователи, которые могут запросить доступ выберите Нет (только прямые назначения администратора).
После создания пакета для доступа можно напрямую назначить конкретных внутренних и внешних пользователей этому пакету для доступа. Если указать внешнего пользователя, в каталоге создается учетная запись гостевого пользователя. Сведения о непосредственном назначении пользователей см. в разделе Просмотр, добавление и удаление назначений для пакета для доступа.
Перейдите к разделу "Кто может запросить доступ ".
Примечание.
При назначении пользователей для пакета доступа администраторам необходимо будет убедиться, что пользователи имеют право на этот пакет доступа в соответствии с существующими требованиями политики. В противном случае пользователи не будут успешно назначены для пакета доступа. Если пакет для доступа содержит политику, требующую утверждения запросов пользователей, пользователи не могут быть непосредственно назначены для пакета без необходимости утверждения от назначенных утверждающих лиц.
Открытие и изменение параметров запроса для существующей политики
Чтобы изменить параметры запроса и утверждения для пакета для доступа, необходимо открыть соответствующую политику с этими параметрами. Выполните следующие действия, чтобы открыть и изменить параметры запроса для политики назначения пакетов для доступа.
Войдите в административный центр Microsoft Entra как минимум с правами администратора управления идентификацией.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
На странице пакетов Access откройте пакет доступа, параметры запроса политики которого необходимо изменить.
Выберите политики и выберите политику, которую вы хотите изменить.
В нижней части страницы откроется панель сведений о политике.
Выберите "Изменить", чтобы изменить политику.
Перейдите на вкладку "Запросы", чтобы открыть параметры запроса.
Выполните действия, описанные в предыдущих разделах, чтобы внести необходимые изменения в параметры запроса.
Перейдите к разделу "Кто может запросить доступ ".
Кто может запросить доступ
Примечание.
Ранее параметр "Включить новые запросы и назначения" управлял запросами на самостоятельный доступ. Эта возможность теперь более точно отражается параметром "Self".
Выбрав, кто может получить доступ и область, можно указать, кто может запросить доступ к пакету доступа. Здесь можно предоставить Пользователю, Администратору или Руководителю возможность запрашивать доступ к комплекту доступа.
Его можно активировать в любой момент после создания пакета для доступа.
Если выбран параметр None (только для прямых назначений администратора), поля разделов "кто может запросить доступ" становятся недоступными для выбора.
Выберите Далее.
Если требуется, чтобы запрашивающие пользователи предоставили дополнительные сведения при запросе доступа к пакету доступа, выполните действия, описанные в разделе "Изменение параметров сведений об утверждении и запросе" для пакета доступа в управлении правами для настройки сведений о запросе.
Настройте параметры жизненного цикла.
Если вы изменяете политику, выберите "Обновить". Если вы добавляете новую политику, нажмите кнопку "Создать".
Создание политики назначения пакетов доступа программным способом
Можно программным способом создать политику назначения для пакета доступа двумя способами: с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.
Создание политики назначения пакета доступа с помощью Graph
Вы можете создать политику с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением, имеющим делегированное разрешение EntitlementManagement.ReadWrite.All, приложением в роли каталога или приложением с разрешением EntitlementManagement.ReadWrite.All приложения, может вызвать API создать политику назначения.
Создание политики назначения пакетов доступа с помощью PowerShell
Вы также можете создать пакет доступа в PowerShell с помощью командлетов модуля Microsoft Graph PowerShell для управления удостоверениями версии 2.1.x или более поздней версии модуля.
В следующем скрипте показано, как создается политика для непосредственного назначения пакету доступа. В этой политике только администратор может назначить доступ, и нет утверждений или проверок доступа. Дополнительные примеры см. в разделе "Создание политики автоматического назначения" и "создание политики назначения" для примеров.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Запрет запросов от идентичностей с несовместимым доступом
Помимо проверок политики относительно того, кто может запрашивать доступ, вы можете пожелать дополнительно ограничить доступ, чтобы избежать ситуации, когда учетная запись, которая уже имеет некоторый доступ через группу или другой пакет доступа, получает чрезмерный доступ.
Если вы хотите настроить так, чтобы удостоверение не могло запросить пакет доступа, если у него уже есть назначение в другой пакет доступа или если он является членом группы, выполните действия по настройке разделения обязанностей для пакета доступа.