Felsöka berättigandehantering
I den här artikeln beskrivs några objekt som du bör kontrollera för att felsöka berättigandehantering.
Administration
Om du får ett meddelande om nekad åtkomst när du konfigurerar berättigandehantering och du är global administratör kontrollerar du att din katalog har en Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicens (eller EMS E5). Om du nyligen har förnyat en microsoft entra-ID P2- eller Microsoft Entra ID-styrningsprenumeration kan det ta 8 timmar innan licensförnyelsen visas.
Om klientorganisationens Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicens upphör att gälla kan du inte bearbeta nya åtkomstbegäranden eller utföra åtkomstgranskningar.
Om du får ett meddelande om nekad åtkomst när du skapar eller visar åtkomstpaket och du är medlem i en katalogskapargrupp måste du skapa en katalog innan du skapar ditt första åtkomstpaket.
Resurser
Roller för program definieras av själva programmet och hanteras i Microsoft Entra-ID. Om ett program inte har några resursroller tilldelar berättigandehantering användare till en standardåtkomstroll .
Administrationscentret för Microsoft Entra kan också visa tjänstens huvudnamn för tjänster som inte kan väljas som program. I synnerhet Är Exchange Online och SharePoint Online tjänster, inte program som har resursroller i katalogen, så de kan inte ingå i ett åtkomstpaket. Använd i stället gruppbaserad licensiering för att upprätta en lämplig licens för en användare som behöver åtkomst till dessa tjänster.
Program som endast stöder personliga Microsoft-kontoanvändare för autentisering och inte stöder organisationskonton i din katalog, inte har programroller och som inte kan läggas till i paketkataloger.
För att en grupp ska vara en resurs i ett åtkomstpaket måste den kunna ändras i Microsoft Entra-ID. Grupper som har sitt ursprung i en lokal Active Directory kan inte tilldelas som resurser eftersom deras ägar- eller medlemsattribut inte kan ändras i Microsoft Entra-ID. Grupper som har sitt ursprung i Exchange Online som distributionsgrupper kan inte heller ändras i Microsoft Entra-ID.
SharePoint Online-dokumentbibliotek och enskilda dokument kan inte läggas till som resurser. Skapa i stället en Microsoft Entra-säkerhetsgrupp, inkludera den gruppen och en webbplatsroll i åtkomstpaketet, och i SharePoint Online använder du den gruppen för att styra åtkomsten till dokumentbiblioteket eller dokumentet.
Om det finns användare som redan har tilldelats till en resurs som du vill hantera med ett åtkomstpaket, måste du se till att användarna har tilldelats till åtkomstpaketet med en lämplig princip. Du kanske till exempel vill inkludera en grupp i ett åtkomstpaket som redan har användare i gruppen. Om användarna i gruppen behöver fortsatt åtkomst, måste de ha en lämplig princip för åtkomstpaketen så att de inte förlorar åtkomsten till gruppen. Du kan tilldela åtkomstpaketet genom att antingen be användarna att begära åtkomstpaketet som innehåller resursen, eller genom att tilldela dem direkt till åtkomstpaketet. Mer information finns i Ändra inställningar för begäran och godkännande för ett åtkomstpaket.
När du tar bort en medlem i ett team tas de också bort från Microsoft 365-gruppen. Borttagningen från teamets chattfunktioner kan vara fördröjd. Mer information finns i Gruppmedlemskap.
Åtkomstpaket
- Om du försöker ta bort ett åtkomstpaket eller en princip och ser ett felmeddelande om att det finns aktiva tilldelningar, eller om du inte ser några användare med tilldelningar, så kontrollera om någon nyligen borttagen användare fortfarande har tilldelningar. Under 30-dagarsfönstret efter det att en användare har tagits bort kan användarkontot återställas.
Externa användare
När en extern användare vill begära åtkomst till ett åtkomstpaket kontrollerar du att de använder länken i Min åtkomstportal för åtkomstpaketet. Mer information finns i Dela länk för att begära ett åtkomstpaket. Om en extern användare bara besöker myaccess.microsoft.com och inte använder den fullständiga länken i Min åtkomstportal ser de åtkomstpaketen som är tillgängliga för dem i deras egen organisation och inte i din organisation.
Om en extern användare inte kan begära åtkomst till ett åtkomstpaket eller inte kan komma åt resurser kontrollerar du inställningarna för externa användare.
Om en ny extern användare som inte tidigare har loggat in i katalogen tar emot ett åtkomstpaket inklusive en SharePoint Online-webbplats visas deras åtkomstpaket som inte helt levererat förrän deras konto har etablerats i SharePoint Online. Mer information om delningsinställningar finns i Granska dina externa delningsinställningar för SharePoint Online.
begäranden
När en användare vill begära åtkomst till ett åtkomstpaket ska du se till att de använder portallänken Min åtkomst för åtkomstpaketet. Mer information finns i Dela länk för att begära ett åtkomstpaket.
Om du öppnar Min åtkomst-portalen med din webbläsare inställd på privat läge eller inkognitoläge kan detta orsaka en konflikt med inloggningen. Vi rekommenderar att du inte använder privat läge eller inkognitoläge för webbläsaren när du besöker My Access-portalen.
När en användare som ännu inte är i din katalog loggar in på portalen Min åtkomst för att begära ett åtkomstpaket kontrollerar du att de autentiserar med sitt organisationskonto. Organisationskontot kan antingen vara ett konto i resurskatalogen, eller i en katalog som ingår i någon av åtkomstpaketets principer. Om användarens konto inte är ett organisationskonto eller katalogen där de autentiserar inte ingår i principen visas inte åtkomstpaketet. Mer information finns i Begär åtkomst till ett åtkomstpaket.
Om en användare blockeras från att logga in på resurskatalogen kommer de inte att kunna begära åtkomst i Min åtkomst-portalen. Innan användaren kan begära åtkomst måste du ta bort inloggningsblockeringen från användarens profil. Om du vill ta bort inloggningsblocket går du till administrationscentret för Microsoft Entra, väljer Identitet, väljer Användare, väljer användaren och sedan Profil. Redigera avsnittet Inställningar och ändra Blockera inloggning till Nej. Mer information finns i Lägga till eller uppdatera en användares profilinformation med hjälp av Microsoft Entra-ID. Du kan också kontrollera om användaren har blockerats på grund av en Microsoft Entra ID Protection-riskidentifiering.
Om en användare både är en beställare och godkännare i My Access-portalen ser de inte sin begäran om ett åtkomstpaket på sidan Godkännanden. Det här beteendet är avsiktligt – en användare kan inte godkänna sin egen begäran. Se till att det åtkomstpaket som de begär har ytterligare godkännare konfigurerade för principen. Mer information finns i Ändra inställningar för begäran och godkännande för ett åtkomstpaket.
Visa leveransfel för en begäran
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren, Pakethanteraren för Åtkomst och Tilldelningshanteraren för Access-paket.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
Välj Begäranden.
Välj den begäran som du vill visa.
Om begäran har några leveransfel är begärandestatusen Ej levererad eller Delvis levererad.
Om det finns leveransfel visas antalet leveransfel i informationsfönstret för begäran.
Välj antalet för att se alla leveransfel för begäran.
Bearbeta en begäran igen
Om ett fel uppfylls efter att en begäran om bearbetning av åtkomstpaket har utlösts måste du vänta medan systemet bearbetar begäran igen. Systemet försöker flera gånger att bearbeta i flera timmar, så du kan inte framtvinga ombearbetning under den här tiden.
Du kan bara bearbeta en begäran som har statusen Leverans misslyckades eller Delvis levererad och ett slutfört datum på mindre än en vecka. Ombearbetningsknappen skulle vara nedtonad annars.
Om felet åtgärdas under utvärderingsfönstret ändras begärandestatusen till Leverans. Begäran bearbetas utan ytterligare åtgärder från användaren.
Om felet inte har åtgärdats under utvärderingsfönstret kan begärandestatusen vara Leverans misslyckades eller levererades delvis. Du kan sedan använda ombearbetningsknappen. Du har sju dagar på dig att bearbeta begäran.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren, Pakethanteraren för Åtkomst och Tilldelningshanteraren för Access-paket.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning>för att öppna ett åtkomstpaket.
Välj Begäranden.
Välj den begäran som du vill bearbeta igen.
I fönstret Förfrågningsinformation väljer du Bearbeta begäran.
Avbryt en väntande begäran
Du kan bara avbryta en väntande begäran som ännu inte har levererats eller vars leverans har misslyckats. Avbryt-knappen skulle vara nedtonad annars.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren, Pakethanteraren för Åtkomst och Tilldelningshanteraren för Access-paket.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning>för att öppna ett åtkomstpaket.
Välj Begäranden.
Välj den begäran som du vill avbryta.
I fönstret Förfrågningsinformation väljer du Avbryt begäran.
Principer för automatisk tilldelning
- Varje automatisk tilldelningsprincip kan innehålla högst 15 000 användare i omfånget för regeln. Andra användare i regelns omfång kanske inte tilldelas åtkomst.
Flera principer
Berättigandehantering följer bästa praxis för lägsta behörighet. När en användare begär åtkomst till ett åtkomstpaket som har flera principer som gäller, innehåller berättigandehantering logik för att säkerställa att strängare eller mer specifika principer prioriteras framför allmänna principer. Om en princip är allmän kanske berättigandehantering inte visar principen för begärandegivaren eller så kanske du automatiskt väljer en striktare princip.
Överväg till exempel ett åtkomstpaket med två principer för användare i katalogen, där båda principerna gäller för beställaren. Den första principen är för specifika användare som inkluderar beställaren. Den andra principen gäller för alla användare i katalogen. I det här scenariot väljs den första principen automatiskt för beställaren eftersom den är striktare. Beställaren har inte möjlighet att välja den andra principen.
När flera principer tillämpas baseras principen som väljs automatiskt eller de principer som visas för beställaren på följande prioritetslogik:
Principprioritet Omfattning P1 Specifika användare och grupper i din katalog ELLER specifika anslutna organisationer P2 Alla medlemmar i din katalog (exklusive gäster) P3 Alla användare i din katalog (inklusive gäster) ELLER specifika anslutna organisationer P4 Alla konfigurerade anslutna organisationer ELLER Alla användare (alla anslutna organisationer + eventuella nya externa användare) Om någon princip finns i en kategori med högre prioritet ignoreras de lägre prioritetskategorierna. Ett exempel på hur flera principer med samma prioritet visas för beställaren finns i Välj en princip.