Skapa ett åtkomstpaket i berättigandehantering
Med ett åtkomstpaket kan du göra en engångskonfiguration av resurser och principer som automatiskt administrerar åtkomst under hela åtkomstpaketets livslängd. I den här artikeln beskrivs hur du skapar ett åtkomstpaket.
Översikt
Alla åtkomstpaket måste finnas i en container som kallas katalog. En katalog definierar vilka resurser du kan lägga till i ditt åtkomstpaket. Om du inte anger en katalog hamnar ditt åtkomstpaket i den allmänna katalogen. För närvarande kan du inte flytta ett befintligt åtkomstpaket till en annan katalog.
Ett åtkomstpaket kan användas för att tilldela åtkomst till roller för flera resurser som finns i katalogen. Om du är administratör eller katalogägare kan du lägga till resurser i katalogen när du skapar ett åtkomstpaket. Du kan också lägga till resurser när åtkomstpaketet har skapats och användare som tilldelats åtkomstpaketet får även de extra resurserna.
Om du är en åtkomstpakethanterare kan du inte lägga till resurser som du äger i en katalog. Du är begränsad till att använda de resurser som är tillgängliga i katalogen. Om du behöver lägga till resurser i en katalog kan du fråga katalogägaren.
Alla åtkomstpaket måste ha minst en princip för att användare ska kunna tilldelas till dem. Principer anger vem som kan begära åtkomstpaketet, samt inställningar för godkännande och livscykel, eller hur åtkomst tilldelas automatiskt. När du skapar ett åtkomstpaket kan du skapa en första princip för användare i din katalog, för användare som inte finns i din katalog eller endast för direkttilldelningar för administratörer.
Här följer de övergripande stegen för att skapa ett åtkomstpaket med en inledande princip:
I Identitetsstyrning startar du processen för att skapa ett åtkomstpaket.
Välj den katalog där du vill placera åtkomstpaketet och se till att det har nödvändiga resurser.
Lägg till resursroller från resurser i katalogen i ditt åtkomstpaket.
Ange en inledande princip för användare som kan begära åtkomst.
Ange inställningar för godkännande och livscykelinställningar i den principen.
När du sedan har skapat åtkomstpaketet kan du ändra den dolda inställningen, lägga till eller ta bort resursroller och lägga till ytterligare principer.
Starta skapandeprocessen
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren eller Åtkomstpakethanteraren.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
Välj Nytt åtkomstpaket.
Konfigurera grunderna
På fliken Grundläggande ger du åtkomstpaketet ett namn och anger vilken katalog som åtkomstpaketet ska skapas i.
Ange ett visningsnamn och en beskrivning för åtkomstpaketet. Användarna ser den här informationen när de skickar en begäran om åtkomstpaketet.
I listrutan Katalog väljer du den katalog där du vill placera åtkomstpaketet. Du kan till exempel ha en katalogägare som hanterar alla marknadsföringsresurser som kan begäras. I det här fallet kan du välja marknadsföringskatalogen.
Du ser bara kataloger som du har behörighet att skapa åtkomstpaket i. Om du vill skapa ett åtkomstpaket i en befintlig katalog måste du vara minst identitetsstyrningsadministratör. Eller så måste du vara katalogägare eller åtkomstpakethanterare i katalogen.
Om du åtminstone är administratör för identitetsstyrning eller katalogskapare och vill skapa ditt åtkomstpaket i en ny katalog som inte finns med i listan väljer du Skapa ny katalog. Ange katalognamnet och beskrivningen och välj sedan Skapa.
Åtkomstpaketet som du skapar och alla resurser som ingår i det läggs till i den nya katalogen. Senare kan du lägga till fler katalogägare eller lägga till attribut till de resurser som du lägger till i katalogen. Mer information om hur du redigerar attributlistan för en specifik katalogresurs och de nödvändiga rollerna finns i Lägg till resursattribut i katalogen.
Välj Nästa: Resursroller.
Välj resursroller
På fliken Resursroller väljer du de resurser som ska ingå i åtkomstpaketet. Användare som begär och tar emot åtkomstpaketet får alla resursroller, till exempel gruppmedlemskap i åtkomstpaketet.
Om du inte är säker på vilka resursroller som ska ingå kan du hoppa över att lägga till dem när du skapar åtkomstpaketet och sedan lägga till dem senare.
Välj den resurstyp som du vill lägga till (Grupper och Teams, Program eller SharePoint-webbplatser).
I panelen Välj program som visas väljer du en eller flera resurser i listan.
Om du skapar åtkomstpaketet i den allmänna katalogen eller en ny katalog kan du välja valfri resurs från den katalog som du äger. Du måste vara minst identitetsstyrningsadministratör eller katalogskapare.
Kommentar
Du kan lägga till dynamiska medlemskapsgrupper i en katalog och i ett åtkomstpaket. Du kan dock bara välja ägarrollen när du hanterar en dynamisk gruppresurs i ett åtkomstpaket.
Om du skapar åtkomstpaketet i en befintlig katalog kan du välja alla resurser som redan finns i katalogen utan att behöva vara ägare till den resursen.
Om du åtminstone är identitetsstyrningsadministratör eller katalogägare har du ytterligare möjlighet att välja resurser som du äger eller administrerar, men som ännu inte finns i katalogen. Om du väljer resurser i katalogen men inte för närvarande i den valda katalogen läggs även dessa resurser till i katalogen så att andra katalogadministratörer kan skapa åtkomstpaket med. Om du vill se alla resurser i katalogen som kan läggas till i katalogen markerar du kryssrutan Visa alla överst i panelen. Om du bara vill markera resurser som för närvarande finns i den valda katalogen lämnar du kryssrutan Visa alla avmarkerad (standardtillståndet).
I listan Roll väljer du den roll som du vill att användare ska tilldelas för resursen. Mer information om hur du väljer lämpliga roller för en resurs finns i hur du avgör vilka resursroller som ska ingå i ett åtkomstpaket.
Välj Nästa: Begäranden.
Skapa den inledande principen
På fliken Begäranden skapar du den första principen för att ange vem som kan begära åtkomstpaketet. Du konfigurerar också godkännandeinställningar för den principen. Senare, när du har skapat åtkomstpaketet med den här inledande principen, kan du lägga till fler principer så att ytterligare grupper av användare kan begära åtkomstpaketet med sina egna godkännandeinställningar eller tilldela åtkomst automatiskt.
Beroende på vilka användare du vill kunna begära det här åtkomstpaketet utför du stegen i något av följande avsnitt Tillåt användare i din katalog att begära åtkomstpaketet, Tillåt användare som inte finns i din katalog att begära åtkomstpaketet eller Tillåt endast administratörsdirigeringar. Om du inte är säker på vilka inställningar för begäran eller godkännande du behöver planerar du att skapa tilldelningar för användare som redan har åtkomst till de underliggande resurserna, eller så planerar du att använda principer för automatisk tilldelning av åtkomstpaket för att automatisera åtkomsten och väljer sedan principen för direkt tilldelning som den första principen.
Tillåt användare i din katalog att begära åtkomstpaketet
Använd följande steg om du vill tillåta att användare i din katalog kan begära det här åtkomstpaketet. När du definierar begärandeprincipen kan du ange enskilda användare eller (vanligare) användargrupper. Din organisation kanske till exempel redan har en grupp som Alla anställda. Om den gruppen läggs till i principen för användare som kan begära åtkomst kan alla medlemmar i den gruppen sedan begära åtkomst.
I avsnittet Användare som kan begära åtkomst väljer du För användare i din katalog.
När du väljer det här alternativet visas nya alternativ så att du kan förfina vem i katalogen som kan begära det här åtkomstpaketet.
Välj ett av följande alternativ:
Alternativ Description Specifika användare och grupper Välj det här alternativet om du bara vill att de användare och grupper i din katalog som du anger ska kunna begära det här åtkomstpaketet. Alla medlemmar (exklusive gäster) Välj det här alternativet om du vill att alla medlemsanvändare i katalogen ska kunna begära det här åtkomstpaketet. Det här alternativet innehåller inga gästanvändare som du kanske har bjudit in till din katalog. Alla användare (inklusive gäster) Välj det här alternativet om du vill att alla medlemsanvändare och gästanvändare i din katalog ska kunna begära det här åtkomstpaketet. Gästanvändare är externa användare som har bjudits in till din katalog via Microsoft Entra B2B. Mer information om skillnaderna mellan medlemsanvändare och gästanvändare finns i Vad är standardanvändarbehörigheterna i Microsoft Entra-ID?.
Om du har valt Specifika användare och grupper väljer du Lägg till användare och grupper.
I fönstret Välj användare och grupper väljer du de användare och grupper som du vill lägga till.
Välj Välj för att lägga till användare och grupper.
Hoppa ned till avsnittet Ange godkännandeinställningar .
Tillåt användare som inte finns i din katalog att begära åtkomstpaketet
Användare som finns i en annan Microsoft Entra-katalog eller domän kanske inte har bjudits in till din katalog ännu. Microsoft Entra-kataloger måste konfigureras för att tillåta inbjudningar i samarbetsbegränsningar. Mer information finns i Konfigurera inställningar för externt samarbete.
Ett gästanvändarkonto skapas för en användare som ännu inte finns i din katalog vars begäran har godkänts eller inte behöver godkännande. Gästen bjuds in men får inget e-postmeddelande med inbjudan. I stället får de ett e-postmeddelande när deras åtkomstpakettilldelning levereras. Senare, när gästanvändaren inte längre har några åtkomstpakettilldelningar eftersom den senaste tilldelningen upphörde att gälla eller avbröts, blockeras kontot från inloggningen och tas sedan bort. Blockering och borttagning sker som standard.
Om du vill att gästanvändare ska vara kvar i katalogen på obestämd tid, även om de inte har några tilldelningar av åtkomstpaket, kan du ändra inställningarna för konfigurationen för berättigandehantering. Mer information om gästanvändarobjektet finns i Egenskaper för en Microsoft Entra B2B-samarbetsanvändare.
Följ de här stegen om du vill tillåta att användare som inte finns i katalogen begär åtkomstpaketet:
I avsnittet Användare som kan begära åtkomst väljer du För användare som inte finns i din katalog.
När du väljer det här alternativet visas nya alternativ.
Välj ett av följande alternativ:
Alternativ Description Specifika anslutna organisationer Välj det här alternativet om du vill välja från en lista över organisationer som administratören tidigare har lagt till. Alla användare från de valda organisationerna kan begära det här åtkomstpaketet. Alla anslutna organisationer Välj det här alternativet om alla användare från alla dina konfigurerade anslutna organisationer kan begära det här åtkomstpaketet. Alla användare (Alla anslutna organisationer + alla nya externa användare) Välj det här alternativet om några användare kan begära det här åtkomstpaketet och inställningarna för B2B-listan över tillåtna eller blockerade listor bör ha företräde för alla nya externa användare. En ansluten organisation är en extern Microsoft Entra-katalog eller domän som du har en relation med.
Om du har valt Specifika anslutna organisationer väljer du Lägg till kataloger för att välja från en lista över anslutna organisationer som administratören tidigare har lagt till.
Ange namnet eller domännamnet för att söka efter en tidigare ansluten organisation.
Om den organisation som du vill samarbeta med inte finns med i listan kan du be administratören att lägga till den som en ansluten organisation. Mer information finns i Lägga till en ansluten organisation.
Om du har valt Alla anslutna organisationer bör du bekräfta listan över anslutna organisationer som för närvarande är konfigurerade och planerade att ingå i omfånget.
Om du har valt Alla användare måste du konfigurera godkännanden i avsnittet godkännanden, eftersom det här omfånget tillåter att alla identiteter på Internet begär åtkomst.
När du har valt alla anslutna organisationer väljer du Välj.
Alla användare från de valda anslutna organisationerna kommer att kunna begära det här åtkomstpaketet. Detta inkluderar användare i Microsoft Entra-ID från alla underdomäner som är associerade med organisationen, såvida inte Azure B2B-listan över tillåtna eller blockerade listor blockerar dessa domäner. Om du anger en domän för en social identitetsprovider, till exempel live.com, kan alla användare från den sociala identitetsprovidern begära det här åtkomstpaketet. Mer information finns i Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer.
Hoppa ned till avsnittet Ange godkännandeinställningar .
Tillåt endast direkttilldelningar för administratörer
Följ de här stegen om du vill kringgå åtkomstbegäranden och tillåta administratörer att direkt tilldela specifika användare till det här åtkomstpaketet. Användarna behöver inte begära åtkomstpaketet. Du kan fortfarande ange livscykelinställningar, men det finns inga inställningar för begäranden.
I avsnittet Användare som kan begära åtkomst väljer du Ingen (endast administratörsdirigering).
När du har skapat åtkomstpaketet kan du direkt tilldela specifika interna och externa användare till det. Om du anger en extern användare skapas ett gästanvändarkonto i din katalog. Information om hur du direkt tilldelar en användare finns i Visa, lägga till och ta bort tilldelningar för ett åtkomstpaket.
Hoppa ned till avsnittet Aktivera begäranden .
Ange godkännandeinställningar
I avsnittet Godkännande anger du om ett godkännande krävs när användarna begär det här åtkomstpaketet. Godkännandeinställningarna fungerar på följande sätt:
- Endast en av de valda godkännarna eller reservgodkännarna behöver godkänna en begäran om godkännande i en fas.
- Endast en av de valda godkännarna från varje fas behöver godkänna en begäran om godkännande i två steg.
- En godkännare kan vara en chef, en sponsor av en användare, en intern sponsor eller en extern sponsor, beroende på åtkomststyrning för principen.
- Godkännande från varje vald godkännare krävs inte för godkännande i en eller två steg.
- Godkännandebeslutet baseras på den godkännare som granskar begäran först.
En demonstration av hur du lägger till godkännare i en begärandeprincip finns i följande video:
En demonstration av hur du lägger till ett godkännande i flera steg i en begärandeprincip finns i följande video:
Följ de här stegen för att ange godkännandeinställningarna för begäranden för åtkomstpaketet:
Om du vill kräva godkännande för begäranden från de valda användarna anger du växlingsknappen Kräv godkännande till Ja. Om du vill att begäranden ska godkännas automatiskt anger du växlingsknappen till Nej. Om principen tillåter externa användare utanför organisationen att begära åtkomst bör du kräva godkännande, så det finns tillsyn över vem som läggs till i organisationens katalog.
Om du vill kräva att användarna anger en motivering för att begära åtkomstpaketet anger du växlingsknappen Kräv begärandemotivering till Ja.
Kontrollera om begäranden kräver godkännande i en eller två steg. Ange växlingsknappen Hur många steg till 1 för godkännande i en fas, 2 för godkännande i två steg eller 3 för godkännande i tre steg.
Använd följande steg för att lägga till godkännare när du har valt antalet steg.
Godkännande i en fas
Lägg till information om den första godkännaren :
Om principen är inställd på För användare i din katalog kan du välja antingen Chef som godkännare eller Sponsorer som godkännare. Eller så kan du lägga till en specifik användare genom att välja Välj specifika godkännare och sedan välja Lägg till godkännare.
Om du vill använda sponsorer som godkännare för godkännande måste du ha en Licens för Styrning av Microsoft Entra-ID. Mer information finns i Jämför allmänt tillgängliga funktioner i Microsoft Entra-ID.
Om principen är inställd på För användare som inte finns i din katalog kan du välja antingen Extern sponsor eller Intern sponsor. Eller så kan du lägga till en specifik användare genom att välja Välj specifika godkännare och sedan välja Lägg till godkännare.
Om du valde Manager som den första godkännaren väljer du Lägg till återställning för att välja en eller flera användare eller grupper i din katalog som reservgodkännare. Reservgodkännare får begäran om rättighetshantering inte kan hitta chefen för den användare som begär åtkomst.
Berättigandehantering hittar chefen med hjälp av attributet Manager . Attributet finns i användarens profil i Microsoft Entra-ID. Mer information finns i Lägga till eller uppdatera en användares profilinformation och inställningar.
Om du har valt Sponsorer som första godkännare väljer du Lägg till återställning för att välja en eller flera användare eller grupper i din katalog som reservgodkännare. Reservgodkännare får begäran om rättighetshantering inte kan hitta sponsorn för den användare som begär åtkomst.
Berättigandehantering hittar sponsorer med hjälp av attributet Sponsorer . Attributet finns i användarens profil i Microsoft Entra-ID. Mer information finns i Lägga till eller uppdatera en användares profilinformation och inställningar.
Om du har valt Välj specifika godkännare väljer du Lägg till godkännare för att välja en eller flera användare eller grupper i din katalog som godkännare.
I Rutan Beslut måste fattas i hur många dagar? anger du antalet dagar som en godkännare måste granska en begäran för det här åtkomstpaketet.
Om en begäran inte godkänns inom den här tidsperioden nekas den automatiskt. Användaren måste sedan skicka en annan begäran för åtkomstpaketet.
Om du vill kräva att godkännare anger en motivering för sitt beslut anger du Kräv godkännarmotivering till Ja.
Motiveringen är synlig för andra godkännare och beställaren.
Godkännande i två steg
Om du har valt ett godkännande i två steg måste du lägga till en andra godkännare:
Lägg till information om den andra godkännaren :
Om användarna finns i din katalog kan du välja Sponsorer som godkännare. Du kan också lägga till en specifik användare genom att välja Välj specifika godkännare på den nedrullningsbara menyn och sedan välja Lägg till godkännare.
Om användarna inte finns i din katalog väljer du Intern sponsor eller Extern sponsor som den andra godkännaren. När du har valt godkännaren lägger du till reservgodkännarna.
I rutan Beslut måste fattas i hur många dagar? anger du antalet dagar som den andra godkännaren måste godkänna begäran.
Ange växlingsknappen Kräv godkännare till Ja eller Nej.
Godkännande i tre steg
Om du har valt ett godkännande i tre steg måste du lägga till en tredje godkännare:
Lägg till information om tredje godkännaren :
Om användarna finns i din katalog lägger du till en specifik användare som tredje godkännare genom att välja Välj specifika godkännare>Lägg till godkännare.
I rutan Beslut måste fattas i hur många dagar? anger du antalet dagar som den andra godkännaren måste godkänna begäran.
Ange växlingsknappen Kräv godkännare till Ja eller Nej.
Alternativa godkännare
Du kan ange alternativa godkännare, ungefär som att ange de första och andra godkännare som kan godkänna begäranden. Att ha alternativa godkännare hjälper till att säkerställa att begäranden godkänns eller nekas innan de upphör att gälla (tidsgräns). Du kan lista alternativa godkännare för den första godkännaren och den andra godkännaren för godkännande i två steg.
När du anger alternativa godkännare, om den första eller andra godkännaren inte kan godkänna eller neka begäran, vidarebefordras den väntande begäran till de alternativa godkännarna. Begäran skickas enligt det vidarebefordrande schema som du angav under principkonfigurationen. Godkännarna får ett e-postmeddelande för att godkänna eller neka den väntande begäran.
När begäran har vidarebefordrats till de alternativa godkännarna kan den första eller andra godkännaren fortfarande godkänna eller neka begäran. Alternativa godkännare använder samma min åtkomstwebbplats för att godkänna eller neka den väntande begäran.
Du kan lista personer eller grupper med personer som godkännare och alternativa godkännare. Se till att du listar olika uppsättningar med personer som är de första, andra och alternativa godkännarna. Om du till exempel angav Alice och Bob som de första godkännarna, listar du Carol och Dave som alternativa godkännare.
Använd följande steg för att lägga till alternativa godkännare i ett åtkomstpaket:
Under Första godkännaren, Andra godkännaren eller båda väljer du Visa inställningar för avancerade begäranden.
Ställ in om ingen åtgärd har vidtagits, vidarebefordra till alternativa godkännare? och växla till Ja.
Välj Lägg till alternativa godkännare och välj sedan de alternativa godkännarna i listan.
Om du väljer Chef som första godkännare visas ett extra alternativ i rutan Alternativ godkännare : Hanteraren på andra nivån som alternativ godkännare. Om du väljer det här alternativet måste du lägga till en reservgodkännare för att vidarebefordra begäran till, om systemet inte kan hitta den andra nivåns chef.
I rutan Vidarebefordra till alternativa godkännare efter hur många dagar anger du antalet dagar som godkännarna måste godkänna eller neka en begäran. Om inga godkännare godkänner eller nekar begäran innan begärans varaktighet upphör begäran att gälla (tidsgränsen uppnås). Användaren måste sedan skicka en annan begäran för åtkomstpaketet.
Begäranden kan bara vidarebefordras till alternativa godkännare en dag efter att varaktigheten för begäran har nått halveringstiden. De viktigaste godkännarnas beslut måste överskrida tidsgränsen efter minst fyra dagar. Om tidsgränsen för begäran är mindre eller lika med tre dagar finns det inte tillräckligt med tid för att vidarebefordra begäran till alternativa godkännare.
I det här exemplet är varaktigheten för begäran 14 dagar. Begärandevaraktigheten når halveringstiden dag 7. Begäran kan därför inte vidarebefordras tidigare än dag 8.
Begäranden kan inte heller vidarebefordras den sista dagen av begärandevaraktigheten. Så i exemplet kan den senaste begäran vidarebefordras dag 13.
Aktivera begäranden
Om du vill att åtkomstpaketet ska göras omedelbart tillgängligt för användare i begärandeprincipen att begära, flyttar du växlingsknappen Aktivera nya begäranden och tilldelningar till Ja.
Du kan alltid aktivera det i framtiden när du har skapat åtkomstpaketet.
Om du väljer Ingen (endast administratörsdirigering) och du anger Aktivera nya begäranden och tilldelningar till Nej, kan administratörer inte tilldela det här åtkomstpaketet direkt.
Gå till nästa avsnitt för att lära dig hur du lägger till ett verifierat ID-krav i ditt åtkomstpaket. Annars väljer du Nästa.
Lägga till ett verifierat ID-krav
Använd följande steg om du vill lägga till ett verifierat ID-krav i din åtkomstpaketprincip. Användare som vill ha åtkomst till åtkomstpaketet måste presentera nödvändiga verifierade ID:n innan de skickar sin begäran. Mer information om hur du konfigurerar din klientorganisation med tjänsten Verifikovan ID za Microsoft Entra finns i Introduktion till Verifikovan ID za Microsoft Entra.
Du behöver en global administratörsroll för att lägga till verifierade ID-krav i ett åtkomstpaket i en begärandeprincip. En identitetsstyrningsadministratör, användaradministratör, katalogägare eller pakethanterare för åtkomst kan ännu inte lägga till verifierade ID-krav.
Välj + Lägg till utfärdare och välj sedan en utfärdare från Verifikovan ID za Microsoft Entra nätverket. Om du vill utfärda dina egna autentiseringsuppgifter till användare kan du hitta instruktioner i Utfärda Verifikovan ID za Microsoft Entra autentiseringsuppgifter från ett program.
Välj de typer av autentiseringsuppgifter som du vill att användarna ska presentera under begärandeprocessen.
Om du väljer flera typer av autentiseringsuppgifter från en utfärdare måste användarna presentera autentiseringsuppgifter för alla valda typer. Om du inkluderar flera utfärdare måste användarna på samma sätt presentera autentiseringsuppgifter från var och en av de utfärdare som du inkluderar i principen. Om du vill ge användarna möjlighet att presentera olika autentiseringsuppgifter från olika utfärdare konfigurerar du separata principer för varje utfärdare eller typ av autentiseringsuppgifter som du accepterar.
Välj Lägg till för att lägga till det verifierade ID-kravet i principen för åtkomstpaket.
Lägga till information om begäranden i ett åtkomstpaket
Gå till fliken Begärandeinformation och välj sedan fliken Frågor .
I rutan Fråga anger du en fråga som du vill ställa till frågeställaren. Den här frågan kallas även för visningssträngen.
Om du vill lägga till egna lokaliseringsalternativ väljer du Lägg till lokalisering.
I fönstret Lägg till lokaliseringar för frågor :
- För Språkkod väljer du språkkoden för det språk där du lokaliserar frågan.
- I rutan Lokaliserad text anger du frågan på det språk som du har konfigurerat.
- När du har lagt till alla lokaliseringar som du behöver väljer du Spara.
För Svarsformat väljer du det format där du vill att begärande ska svara. Svarsformaten innehåller kort text, flera val och lång text.
Om du har valt flera alternativ väljer du knappen Redigera och lokalisera för att konfigurera svarsalternativen.
I fönstret Visa/redigera fråga :
- I rutorna Svarsvärden anger du de svarsalternativ som du vill ge när frågeställaren svarar på frågan.
- I rutorna Språk väljer du språket för svarsalternativen. Du kan lokalisera svarsalternativ om du väljer extra språk.
- Välj Spara.
Om du vill kräva att beställare besvarar den här frågan när de begär åtkomst till ett åtkomstpaket markerar du kryssrutan Obligatorisk .
Välj fliken Attribut för att visa attribut som är associerade med resurser som du har lagt till i åtkomstpaketet.
Kommentar
Om du vill lägga till eller uppdatera attribut för ett åtkomstpakets resurser går du till Kataloger och letar reda på katalogen som är associerad med åtkomstpaketet. Mer information om hur du redigerar attributlistan för en specifik katalogresurs och de nödvändiga rollerna finns i Lägg till resursattribut i katalogen.
Välj Nästa.
Ange en livscykel
På fliken Livscykel anger du när en användares tilldelning till åtkomstpaketet upphör att gälla. Du kan också ange om användare kan utöka sina tilldelningar.
I avsnittet Förfallodatum anger du Access-pakettilldelningar som På datum, Antal dagar, Antal timmar eller Aldrig.
- För På-datum väljer du ett förfallodatum i framtiden.
- För Antal dagar anger du ett tal från 0 till 3 660 dagar.
- För Antal timmar anger du hur många timmar.
Baserat på ditt val upphör en användares tilldelning till åtkomstpaketet att gälla ett visst datum, vissa dagar efter att de har godkänts eller aldrig.
Om du vill att användaren ska begära ett specifikt start- och slutdatum för sin åtkomst väljer du Ja för växlingsknappen Användare kan begära en specifik tidslinje .
Välj Visa avancerade förfalloinställningar för att visa fler inställningar.
Om du vill tillåta att användaren utökar sina tilldelningar anger du Tillåt användare att utöka åtkomsten till Ja.
Om tillägg tillåts i principen får användaren ett e-postmeddelande 14 dagar innan, och en dag innan kommer tilldelningen av åtkomstpaket att upphöra att gälla. E-postmeddelandet uppmanar användaren att utöka tilldelningen. Användaren måste fortfarande vara i omfånget för principen när de begär ett tillägg.
Om principen har ett uttryckligt slutdatum för tilldelningar och en användare skickar en begäran om att utöka åtkomsten, måste tilläggsdatumet i begäran vara vid eller före när tilldelningarna upphör att gälla. Principen som du använde för att ge användaren åtkomst till åtkomstpaketet definierar om tilläggsdatumet är vid eller innan tilldelningen upphör att gälla. Om principen till exempel anger att tilldelningarna ska upphöra att gälla den 30 juni är det maximala tillägg som en användare kan begära den 30 juni.
Om en användares åtkomst utökas kan de inte begära åtkomstpaketet efter det angivna tilläggsdatumet (det datum som anges i tidszonen för den användare som skapade principen).
Om du vill kräva godkännande för att bevilja ett tillägg anger du Kräv godkännande för att bevilja tillägget till Ja.
Det här godkännandet använder samma godkännandeinställningar som du angav på fliken Begäranden .
Välj Nästa eller Uppdatera.
Granska och skapa åtkomstpaketet
På fliken Granska + skapa kan du granska inställningarna och söka efter eventuella valideringsfel.
Granska inställningarna för åtkomstpaketet.
Välj Skapa för att skapa åtkomstpaketet och dess ursprungliga princip.
Det nya åtkomstpaketet visas i listan över åtkomstpaket.
Om åtkomstpaketet är avsett att vara synligt för alla i omfånget för principerna lämnar du inställningen Dold för åtkomstpaketet på Nej. Om du endast vill tillåta användare med direktlänken att begära åtkomstpaketet kan du också redigera åtkomstpaketet för att ändra inställningen Dold till Ja. Kopiera sedan länken för att begära åtkomstpaketet och dela det med användare som behöver åtkomst.
Du kan sedan lägga till fler principer i åtkomstpaketet, konfigurera separation av ansvarskontroller eller tilldela en användare direkt.
Skapa ett åtkomstpaket programmatiskt
Det finns två sätt att skapa ett åtkomstpaket programmatiskt: via Microsoft Graph och via PowerShell-cmdletarna för Microsoft Graph.
Skapa ett åtkomstpaket med hjälp av Microsoft Graph
Du kan skapa ett åtkomstpaket med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All
behörighet kan anropa API:et för att:
- Visa en lista över resurserna i katalogen och skapa en accessPackageResourceRequest för alla resurser som ännu inte finns i katalogen.
- Hämta rollerna och omfången för varje resurs i katalogen. Den här listan över roller används sedan för att välja en roll när du sedan skapar ett resourceRoleScope.
- Skapa en accessPackage.
- Skapa ett resourceRoleScope för varje resursroll som behövs i åtkomstpaketet.
- Skapa en assignmentPolicy för varje princip som behövs i åtkomstpaketet.
Skapa ett åtkomstpaket med hjälp av Microsoft PowerShell
Du kan också skapa ett åtkomstpaket i PowerShell med hjälp av cmdletarna från Microsoft Graph PowerShell-cmdletarna för modulen Identitetsstyrning .
Hämta först katalogens ID och resursen i katalogen och dess omfång och roller som du vill inkludera i åtkomstpaketet. Använd ett skript som liknar följande exempel:
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Skapa sedan åtkomstpaketet:
$params = @{
displayName = "sales reps"
description = "outside sales representatives"
catalog = @{
id = $catalog.id
}
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params
När du har skapat åtkomstpaketet tilldelar du resursrollerna till det. Om du till exempel vill ta med den första resursrollen för resursen som returnerades tidigare som en resursroll för det nya åtkomstpaketet kan du använda ett skript som liknar det här:
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams
Skapa slutligen principerna. I den här principen kan endast administratörer eller åtkomstpakettilldelningshanterare tilldela åtkomst och det finns inga åtkomstgranskningar. Fler exempel finns i Skapa en tilldelningsprincip via PowerShell och Skapa en tilldelningPolicy.
$pparams = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $ap.Id
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams
Mer information finns i Skapa ett åtkomstpaket i berättigandehantering för ett program med en enda roll med hjälp av PowerShell.