你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure AD 权利管理中创建新访问包

使用访问包可以一次性设置好用于在访问包的生命周期内自动管理访问权限的资源和策略。 本文介绍如何创建新的访问包。

概述

所有访问包必须放入称作“目录”的容器中。 目录定义可将哪些资源添加到访问包。 如果未指定目录,则访问包将会放入常规目录。 目前,无法将现有的访问包移到其他目录。

访问包可用于分配对目录中多个资源的角色的访问权限。 如果你是管理员或目录所有者,则可以在创建访问包时将资源添加到目录。 如果你是访问包管理者,那么你无法将自己所有的资源添加到目录。 你只能使用目录中提供的资源。 如果需要将资源添加到目录,可请求目录所有者。

所有访问包都必须至少有一个策略,用于将用户分配到访问包。 策略指定谁可以请求该访问包,并指定审批和生命周期设置。 创建新访问包时,可为目录中的用户、不在目录中的用户以及(仅限)管理员直接分配创建一个初始策略,或者,可以选择在以后创建策略。

创建访问包

下面是创建新访问包的概要步骤。

  1. 在 Identity Governance 中,启动创建新访问包的过程。

  2. 选择要在其中创建访问包的目录。

  3. 将目录中资源的资源角色添加到访问包。

  4. 为可以请求访问权限的用户指定初始策略。

  5. 指定任何审批设置。

  6. 指定生命周期设置。

启动新访问包

必备角色: 全局管理员、标识治理管理员、用户管理员、目录所有者或访问包管理员

  1. 登录 Azure 门户

  2. 选择 Azure Active Directory,然后选择 Identity Governance。

  3. 在左侧菜单中,选择“访问包”。

  4. 选择“新建访问包”。

    Azure 门户中的权利管理

基础

在“基本信息”选项卡上指定访问包的名称,并指定要在哪个目录中创建该访问包。

  1. 输入访问包的显示名称和说明。 当用户提交访问包请求时,会看到此信息。

  2. 在“目录”下拉列表中,选择要在其中创建访问包的目录。 例如,你的某个目录所有者需要管理所有可请求的营销资源。 在这种情况下,你可以选择营销目录。

    你只会看到你有权在其中创建访问包的目录。 若要在现有目录中创建访问包,你必须是全局管理员、Identity Governance 管理员或用户管理员,或者必须是该目录中的目录所有者或访问包管理者。

    访问包 - 基本信息

    如果你是全局管理员、Identity Governance 管理员、用户管理员或目录创建者,并且希望在未列出的新目录中创建访问包,请选择“创建新目录”。 输入目录的名称和说明,然后单击“创建”。

    正在创建的访问包以及其中包含的任何资源都将添加到新目录中。 你也可稍后添加其他目录所有者,并为你放在目录中的资源添加属性。 若要详细了解如何为特定目录资源和必备角色编辑属性列表,请参阅在目录中添加资源属性

  3. 选择“下一步”。

资源角色

在“资源角色”选项卡上,选择要包含在访问包中的资源。 请求并接收访问包的用户将接收访问包中的所有资源角色,例如组成员身份。

如果不确定要包含哪些资源角色,可以在创建访问包时跳过添加资源角色,然后在创建访问包后添加资源角色

  1. 选择要添加的资源类型(“组和团队”、“应用程序”或“SharePoint 站点”)。

  2. 在出现的“选择”窗格中,从列表中选择一个或多个资源。

    访问包 - 资源角色

    如果在常规目录或新目录中创建访问包,则可以从你拥有的目录中选择任何资源。 你必须至少是全局管理员、用户管理员或目录创建者。

    如果在现有目录中创建访问包,则可以选择该目录中现有的任何资源,而无需拥有该目录。

    如果你是全局管理员、用户管理员或目录所有者,可通过另外一个选项来选择你拥有的但尚未在该目录中的资源。 如果选择当前不在所选目录中的资源,则这些资源也会添加到该目录,供其他目录管理员用来生成访问包。 若要查看可添加到目录中的所有资源,请选中“选择”窗格顶部的“全部查看”复选框。 如果只想选择目前位于所选目录中的资源,请让“全部查看”复选框处于取消选中状态(默认状态)。

  3. 选择资源后,在“角色”列表中选择要将用户分配到的资源角色。 若要详细了解如何为资源选择适当的角色,请参阅添加资源角色

    访问包 - 资源角色选择

  4. 选择“下一步”。

注意

可以将动态组添加到目录和访问包。 但是,在管理访问包中的动态组资源时,只能选择“所有者”角色。

请求

在“请求”选项卡上,创建第一个策略来指定谁可以请求该访问包,并指定审批设置。 之后,可以创建更多的请求策略,以允许其他用户组使用其自己的审批设置来请求该访问包。

访问包 -“请求”选项卡

根据你希望谁能够请求此访问包,执行以下某一部分中的步骤。

适用于目录中的用户

如果你希望目录中的用户可请求此访问包,请执行以下步骤。 定义请求策略时,可以指定单个用户,也可以指定用户组(通常做法)。 例如,组织可能已经有一个组(例如“所有员工”)。 如果将该组添加到可以请求访问权限的用户的策略中,则该组的任何成员都可以请求访问权限。

  1. 在“可以请求访问权限的用户”部分,选择“你目录中的用户”。

    选择此选项后,会出现新的选项以进一步优化目录中哪些用户可以请求此访问包。

    访问包 - 请求 - 你目录中的用户

  2. 选择以下选项之一:

    说明
    特定用户和组 如果只希望目录中的指定用户和组可以请求此访问包,请选择此选项。
    所有成员(不包括来宾) 如果希望目录中的所有成员用户都可以请求此访问包,请选择此选项。 此选项不包括你可能已邀请到目录中的任何来宾用户。
    所有用户(包括来宾) 如果希望目录中的所有成员用户和来宾用户都可以请求此访问包,请选择此选项。

    来宾用户是指通过 Azure AD B2B 邀请到目录中的外部用户。 有关成员用户和来宾用户之间差异的详细信息,请参阅 Azure Active Directory 中的默认用户权限是什么?

  3. 如果已选择“特定用户和组”,请选择“添加用户和组”。

  4. 在“选择用户和组”窗格中,选择要添加的用户和组。

    访问包 - 请求 - 选择用户和组

  5. 选择“选择”以添加用户和组。

  6. 跳到审批部分。

适用于不在目录中的用户

“不在目录中的用户”是指位于其他 Azure AD 目录或域中的用户。 这些用户可能尚未被邀请到目录中。 必须在“协作限制”中将 Azure AD 目录配置为允许邀请。 有关详细信息,请参阅配置外部协作设置

注意

将为不是目录中的其请求已审批或自动审批的用户创建来宾用户帐户。 将邀请来宾,但他们不会收到邀请电子邮件。 传递其访问包分配时,他们将收到电子邮件。 默认情况下,当来宾用户不再有任何访问包分配时(因为他们的上次分配已过期或已取消),将会阻止该来宾用户帐户登录并随后将其删除。 如果希望无限期地在目录中保留来宾用户(即使他们没有任何访问包分配),可以更改权利管理配置的设置。 有关来宾用户对象的详细信息,请参阅 Azure Active Directory B2B 协作用户的属性

如果要允许不在目录中的用户请求此访问包,请执行以下步骤:

  1. 在“可以请求访问权限的用户”部分,选择“不在你目录中的用户”。

    选择此选项时,将显示新选项。

    访问包 - 请求 - 不在目录中的用户

  2. 选择以下选项之一:

    说明
    特定的已连接的组织 如果要从管理员之前添加的组织列表中选择,请选择此选项。 来自选定组织的所有用户都可以请求此访问包。
    所有已连接的组织 如果所有已连接的组织的用户都可以请求此访问包,请选择此选项。
    所有用户(所有已连接的组织 + 任何新外部用户) 如果来自所有已连接的组织的所有用户都可以请求此访问包,并且 B2B 允许或阻止列表设置应优先于任何新的外部用户,请选择此选项。

    已连接的组织是与你有关系的外部 Azure AD 目录或域。

  3. 如果选择了“特定的已连接的组织”,请选择“添加目录”,从管理员之前添加的已连接的组织列表中进行选择。

  4. 键入要搜索的之前已连接的组织的名称或域名。

    访问包 - 请求 - 选择目录

    如果要与之协作的组织不在列表中,则可以要求管理员将其添加为已连接的组织。 有关详细信息,请参阅添加已连接的组织

  5. 选择所有已连接的组织后,选择“选择”。

    注意

    来自选定已连接的组织的所有用户都将可以请求此访问包。 这包括来自与组织关联的所有子域的 Azure AD 中的用户,除非这些域被 Azure B2B 允许或阻止列表阻止。 有关详细信息,请参阅允许或阻止向特定组织中的 B2B 用户发送邀请

  6. 跳到审批部分。

无(仅限管理员直接分配)

如果希望绕过访问请求,并允许管理员直接将特定用户分配到访问包,请执行这些步骤。 用户无需请求访问包。 仍可以设置生命周期设置,但没有请求设置。

  1. 在“可请求访问的用户”部分,选择“无(仅限管理员直接分配)”。

    访问包 - 请求 - 无(仅限管理员直接分配)

    创建访问包后,可以直接将特定的内部和外部用户分配到该访问包。 如果指定外部用户,将在目录中创建来宾用户帐户。 有关直接分配用户的详细信息,请参阅查看、添加和删除访问包的分配

  2. 跳到启用请求部分。

审批

在“审批”部分中,指定用户请求此访问包时是否需要审批。 审批设置的工作方式如下:

  • 只有一个选定审批者或后备审批者需要批准单阶段审批的请求。
  • 每个阶段中只有一个选定审批者需要批准两阶段审批的请求。
  • 审批者可以是管理员、内部发起人或外部发起人,具体取决于策略管理谁的访问权限。
  • 单阶段或两阶段审批不需要每个选定审批者的批准。
  • 审批决定以第一个评审请求的审批者为准。

有关如何向请求策略添加审批者的演示,请观看以下视频:

有关如何向请求策略添加多阶段审批的演示,请观看以下视频:

请按照以下步骤指定请求访问包的审批设置:

  1. 若要要求对所选用户发起的请求进行审批,请将“需要审批”切换开关设置为“是”。 或者,若要自动审批请求,请将切换开关设置为“否”。

  2. 如果需要用户提供对请求访问包的论证,请将“需要请求者论证”切换开关设置为“是”。 。

  3. 现在确定请求是否需要单阶段或两阶段审批。 对于单阶段审批,将”阶段数“切换开关设置为“1”,或者对于两阶段审批,将切换开关设置为“2” 。

    访问包 - 请求 - 审批设置

选择所需的阶段数后,使用以下步骤添加审批者:

单阶段审批

  1. 添加“第一位审批者”:

    如果策略设置为“适用于目录中的用户”,可以选择“管理员充当审批者”。 或者,在下拉菜单中选择“选择特定审批者”后,单击“添加审批者”,以添加特定用户。

    访问包 - 请求 - 目录中的用户 - 第一位审批者

    如果此策略设置为“适用于不在目录中的用户”,可以选择“外部发起人”或“内部发起人”。 或者,通过单击“选择特定审批者”下的“添加审批者”或组来添加特定用户。

    访问包 - 请求 - 目录外的用户 - 第一位审批者

  2. 如果你选择了“管理员”作为第一位审批者,请选择“添加后备审批者”,以选择目录中的一个或多个用户或组作为后备审批者。 如果权利管理找不到请求访问权限的用户的管理员,后备审批者将收到请求。

    权利管理使用“管理员”属性找到管理员。 该属性位于 Azure AD 中的用户配置文件中。 有关详细信息,请参阅使用 Azure Active Directory 添加或更新用户的配置文件信息

  3. 如果选择了“选择特定审批者”,请选择“添加审批者”以选择目录中的一个或多个用户或组作为审批者。

  4. 在“必须在多少天内作出决定?”框下,指定审批者审阅对此访问包的请求的允许天数。

    如果请求在这段时间内未获批准,将自动被拒绝。 用户必须再提交一个访问包的请求。

  5. 如果需要审批者提供其决策论证,请将“需要审批者论证”设置为“是”。

    其他审批者和请求者都可以看到该论证。

两阶段审批

如果选择了两阶段审批,则需要添加第二位审批者。

  1. 添加“第二位审批者”:

    如果用户在目录中,可以通过单击“选择特定审批者”下的“添加审批者”添加特定用户作为第二位审批者。

    访问包 - 请求 - 目录中的用户 - 第二位审批者

    如果用户不在目录中,请选择“内部发起人”或“外部发起人”作为第二位审批者 。 选择审批者后,添加后备审批者。

    访问包 - 请求 - 目录外的用户 - 第二位审批者

  2. 在“必须在多少天内做出决策?”下的框中指定第二位审批者审批请求的允许天数。

  3. 将“需要审批者论证”切换开关设置为“是”或“否” 。

后备审批者

可以指定后备审批者,类似于指定可以审批请求的第一位和第二位审批者。 指定后备审批者将有助于确保请求在到期(超时)之前被批准或拒绝。 针对两阶段审批,可以为后备审批者列出第一位审批者和第二位审批者。

指定后备审批者后,如果第一位或第二位审批者无法批准或拒绝请求,待处理的请求将转发给后备审批者。 请求将根据你在策略设置期间指定的转发计划进行发送。 他们会收到一封批准或拒绝待处理请求的电子邮件。

请求被转发给后备审批者后,第一位或第二位审批者仍可批准或拒绝该请求。 后备审批者使用同一个“我的访问权限”网站来批准或拒绝待处理的请求。

我们可以列出要成为审批者和后备审批者的人员或组。 确保列出不同的人员集作为第一位、第二位和后备审批者。 例如,如果将 Alice 和 Bob 列为第一位审批者,则将 Carol 和 Dave 列为后备审批者。 通过以下步骤将后备审批者添加到访问包中:

  1. 在“第一位审批者”和/或“第二位审批者”下,选择“显示高级请求设置”。

    访问包 - 策略 - 显示高级请求设置

  2. 将“若没有采取任何行动,转发给后备审批者们?”切换开关设置为“是” 。

  3. 选择“添加后备审批者”,然后从列表中选择后备审批者。

    访问包 - 策略 - 添加后备审批者

    如果对于“第一位审批者”选择“管理员作为审批者”,“备用审批者”字段中将提供另一个选项“将二级管理员作为备用审批者”供你选择。 如果选择此选项,则需要添加后备审批者,以便在系统找不到二级管理员的情况下将请求转发给该审批者。

  4. 在“多少天后转发给后备审批者?”框中,输入审批者批准或拒绝请求的允许天数。 如果在请求持续时间内没有审批者批准或拒绝请求,请求将过期(超时)。 然后,用户必须对访问包再次提交请求。

    只有在请求持续时间过半后,请求才会被转发给后备审批者,主审批者的决策必须在至少 4 天后超时。 如果请求超时小于或等于 3,则没有足够的时间将请求转发给后备审批者。 在本例中,请求的持续时间为 14 天。 因此,请求持续时间在第 7 天已达到一半。 所以请求不能早于第 8 天转发。 此外,请求不能在请求持续时间的最后一天转发。 因此,在本例中,可以转发请求的最晚时间是第 13 天。

启用请求

  1. 如果希望访问包立即可供请求策略中的用户使用以进行请求,请将“启用”切换开关移动到“是”。

    创建完访问包后,将来始终可以启用该策略。

    如果选择了“无(仅限管理员直接分配)”,并且将“启用”设置为“否”,则管理员无法直接分配此访问包 。

    此屏幕截图显示了用于启用新请求和分配的选项。

  2. 选择“下一页”。

将请求者信息添加到访问包

  1. 转到“请求者信息”选项卡并选择“问题”子选项卡。

  2. 在“问题”框中键入要向请求者提问的内容,也称为“显示字符串”。

    访问包 - 策略 - 启用请求者信息设置

  3. 如果要添加自己的本地化选项,请选择“添加本地化”。

    1. 进入“添加问题的本地化文本”窗格后,为用于将问题本地化的语言选择“语言代码”。
    2. 使用配置的语言,在“本地化文本”框中键入问题。
    3. 添加所有所需的本地化文本后,选择“保存”。

    访问包 - 策略 - 配置本地化文本

  4. 选择你希望请求者回答时使用的“答案格式”。 答案格式包括:“短文本”、“多选”和“长文本”。

    访问包 - 策略 - 选择“查看和编辑多选答案格式”

  5. 如果选择“多选”,请选择“编辑和本地化”按钮来配置答案选项。

    1. 在选择“编辑和本地化”后,“查看/编辑问题”窗格会打开。
    2. 在“答案值”框中键入你希望在请求者回答问题时向请求者提供的响应选项。
    3. 选择响应选项的语言。 如果选择其他语言,可将响应选项本地化。
    4. 键入所需的任意数量的响应,然后选择“保存”。

    访问包 - 策略 - 输入多选选项

  6. 若要要求请求者在请求访问某个访问包时回答此问题,请选中“必需”下的复选框。

  7. 选择“属性”子选项卡,查看与添加到访问包的资源相关联的属性。

    注意

    若要添加或更新访问包资源的属性,请转到“目录”并查找与访问包相关联的目录。 若要详细了解如何为特定目录资源和必备角色编辑属性列表,请参阅在目录中添加资源属性

  8. 选择“下一步”

生命周期

在“生命周期”选项卡上,指定用户的访问包分配何时过期。 还可以指定是否允许用户将其分配延期。

  1. 在“过期时间”部分,将“访问包分配过期时间”设置为“日期”、“天数”、“小时数”或“永不过期”。

    • 对于“日期”,请选择将来的过期日期。
    • 对于“天数”,请指定 0 到 3660 天的数字。
    • 对于“小时数”,请指定小时数。

    根据所做的选择,用户的访问包分配将在特定的日期过期、审批后经过特定的天数之后过期,或者永不过期。

  2. 如果希望用户为其访问请求一个特定的开始和结束日期,请单击“用户可以请求特定的时间线”切换开关旁边的“是”。

  3. 单击“显示高级过期时间设置”以显示其他设置。

    访问包 - 生命周期过期时间设置

  4. 若要允许用户延期其分配,请将“允许用户延期访问权限”设置为“是”。

    如果策略中允许延期,在将用户的访问包分配设置为过期之前的 14 天以及 1 天,用户会收到一封电子邮件,其中提示他们是否要延期分配。 用户在请求扩展时必须仍在策略范围内。 如果策略有明确的分配结束日期,且用户提交将访问权限延期的请求,则请求中的延期日期不得迟于分配过期日期,如用于向用户授予访问包访问权限的策略中定义的那样。 例如,如果策略指示分配设置为在 6 月 30 日过期,则用户最多可以请求延期到 6 月 30 日。

    如果用户的访问延期,则用户将无法在指定的延期日期(在创建了策略的用户的时区中设置的日期)之后请求访问包。

  5. 如果要求在获批后才能延迟,则请将“要求获批才能延期”设置为“是”。

    将使用已在“请求”选项卡上指定的审批设置。

  6. 单击“下一步”或“更新”。

查看 + 创建

在“查看 + 创建”选项卡上,可以查看设置并检查是否存在任何验证错误。

  1. 查看访问包的设置

    访问包 - 启用策略设置

  2. 选择“创建”以创建访问包。

    新访问包将显示在访问包列表中。

以编程方式创建访问包

你也可以使用 Microsoft Graph 创建访问包。 通过具有委托的 EntitlementManagement.ReadWrite.All 权限的应用程序,相应角色中的用户可以调用 API 来

  1. 列出目录中的 accessPackageResources 并为目录中尚未包含的任何资源创建 accessPackageResourceRequest
  2. 列出 accessPackageCatalog 中每个 accessPackageResource 的 accessPackageResourceRoles。 然后,在接下来创建 accessPackageResourceRoleScope 时,将使用此角色列表来选择角色。
  3. 创建访问包
  4. 为该访问包中所需的每个策略创建 accessPackageAssignmentPolicy
  5. 为该访问包中所需的每个资源角色创建 accessPackageResourceRoleScope

后续步骤