在权利管理中更改访问包的审批和请求者信息设置

每个访问包必须具有一个或多个访问包分配策略,然后才能向用户分配访问权限。 在 Microsoft Entra 管理中心内创建访问包时,Microsoft Entra 管理中心会自动为该访问包创建第一个访问包分配策略。 该策略确定谁可以请求访问,以及谁(如果有)必须批准访问。

作为访问包管理者,你可以随时编辑现有策略或额外添加新策略以请求访问,从而更改访问包的审批和请求者信息设置。

本文介绍如何通过某个访问包的策略来更改现有访问包的审批和请求者信息设置。

审批

在“审批”部分中,指定用户请求此访问包时是否需要审批。 审批设置的工作方式如下:

  • 只有一个选定审批者或后备审批者需要批准单阶段审批的请求。
  • 每个阶段中只有一个选定审批者需要批准两阶段审批的请求,使请求能够进入下一阶段。
  • 如果某个阶段中一名选定的审批者拒绝了某个请求,然后该阶段中的另一名审批者批准了该请求,或者没有任何审批者批准该请求,那么,该请求将会终止,而用户不会获得访问权限。
  • 审批者可以是组中的指定用户或成员、请求者的经理、内部发起人或外部发起人,具体取决于策略正在控制谁的访问权限。

有关如何向请求策略添加审批者的演示,请观看以下视频:

有关如何向请求策略添加多阶段审批的演示,请观看以下视频:

更改现有访问包分配策略的审批设置

提示

本文中的步骤可能因开始使用的门户而略有不同。

请按照以下步骤,通过策略来指定请求访问包的审批设置:

必备角色:全局管理员、Identity Governance 管理员、目录所有者或访问包管理员

  1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“权利管理”>“访问包”。

  3. 在“访问包”页上,打开访问包。

  4. 选择要编辑的策略,或向访问包添加新策略

    1. 若要创建新策略,请依次选择“策略”、“添加策略”。
    2. 选择要编辑的策略,然后选择“编辑”。
  5. 转到“请求”选项卡。

  6. 若要要求对所选用户发起的请求进行审批,请将“需要审批”切换开关设置为“是”。 或者,若要自动审批请求,请将切换开关设置为“否”。 如果策略允许贵组织外部的外部用户请求访问,则应要求进行审批,以便监督谁被添加到贵组织的目录。

  7. 如果需要用户提供对请求访问包的论证,请将“需要请求者论证”切换开关设置为“是”。 。

  8. 现在确定请求是否需要单阶段或多阶段审批。 将“阶段数”设置为所需的审批阶段数。

    Access package - Requests - Approval settings

选择所需的阶段数后,使用以下步骤添加审批者:

单阶段审批

  1. 添加“第一位审批者”:

    如果策略设置为管理目录中的用户访问,可以选择“管理员充当审批者”。 或者,在下拉菜单中选择“选择特定审批者”后,选择“添加审批者”,以添加特定用户。

    Access package - Requests - For users in directory - First Approver

    如果将此策略设置为管理不在目录中的用户的访问,则可以选择“外部发起人”或“内部发起人” 。 或者,通过单击“选择特定审批者”下的“添加审批者”或组来添加特定用户。

    Access package - Requests - For users out of directory - First Approver

  2. 如果你选择了“管理员”作为第一位审批者,请选择“添加后备审批者”,以选择目录中的一个或多个用户或组作为后备审批者。 如果权利管理找不到请求访问权限的用户的管理员,后备审批者将收到请求。

    权利管理使用“管理员”属性找到管理员。 该特性位于 Microsoft Entra ID 的用户配置文件中。 有关详细信息,请参阅使用 Microsoft Entra ID 添加或更新用户的配置文件信息

  3. 如果选择了“选择特定审批者”,请选择“添加审批者”以选择目录中的一名或多名用户或组作为审批者。

  4. 在“必须在多少天内作出决定?”框下,指定审批者审阅对此访问包的请求的允许天数。

    如果请求在这段时间内未获批准,将自动被拒绝。 用户必须再提交一个访问包的请求。

  5. 如果需要审批者提供其决策论证,请将“需要审批者论证”设置为“是”。

    其他审批者和请求者都可以看到该论证。

多阶段审批

如果选择了多阶段审批,则需要为每个附加阶段添加一名审批者。

  1. 添加“第二位审批者”:

    如果用户在目录中,可以通过选择“选择特定审批者”下的“添加审批者”来添加特定用户作为第二位审批者。

    Access package - Requests - For users in directory - Second Approver

    如果用户不在目录中,请选择“内部发起人”或“外部发起人”作为第二位审批者 。 选择审批者后,添加后备审批者。

    Access package - Requests - For users out of directory - Second Approver

  2. 在“必须在多少天内做出决策?”下的框中指定第二位审批者审批请求的允许天数。

  3. 将“需要审批者论证”切换开关设置为“是”或“否” 。

    你还可以选择为由三阶段构成的审批过程添加其他阶段。 例如,你可能希望员工的经理成为某个访问包的第一阶段审批者。 不过,该访问包中的某一个资源中包含机密信息。 在这种情况下,可将资源所有者指定为第二位审批者,并将安全评审者指定为第三位审批者。 这样,安全团队就可以监督这一过程,并能够根据资源所有者未知的风险条件拒绝请求。

  4. 添加第三位审批者:

    如果用户在目录中,请通过单击“选择特定审批者”下的“添加审批者”将某个特定用户添加为第二审批者。

    如果用户不在你的目录中,还可以选择“内部发起人”或“外部发起人”作为第三位审批者。 选择审批者后,添加后备审批者。

    注意

      与第二阶段一样,如果用户在你的目录中,并且在第一或第二个审批阶段选择了“经理为审批者”,则你只会看到一个用来为第三个审批阶段选择特定审批者的选项。
      若要将经理指定为第三位审批者,可以调整在前面的审批阶段所做的选择,确保不要选择“经理为审批者”。 然后,应会在下拉列表中看到“经理为审批者”选项。
      如果用户不在你的目录中,并且你在前面的阶段未选择“内部发起人”或“外部发起人”作为审批者,则你会看到用于将这些发起人指定为“第三位审批者”的选项。 否则,只能选择“选择特定审批者”。
  5. 在“必须在多少天内做出决策?”下的框中指定第三位审批者审批请求的允许天数。

  6. 将“需要审批者论证”切换开关设置为“是”或“否” 。

后备审批者

可以指定后备审批者,类似于指定可以在每个阶段中审批请求的主要审批者。 指定后备审批者将有助于确保请求在到期(超时)之前被批准或拒绝。 可将每个阶段中的后备审批者和主要审批者一同列出。

指定阶段中的后备审批者后,如果主要审批者无法批准或拒绝请求,待处理的请求将根据你在策略设置期间指定的转发计划转发给后备审批者。 他们会收到一封批准或拒绝待处理请求的电子邮件。

请求被转发给后备审批者后,主要审批者仍可批准或拒绝该请求。 后备审批者使用同一个“我的访问权限”网站来批准或拒绝待处理的请求。

可以列出要担任审批者和后备审批者的人员或组。 确保列出不同的人员集作为第一位、第二位和后备审批者。 例如,如果将 Alice 和 Bob 列为第一阶段的审批者,则将 Carol 和 Dave 列为后备审批者。 通过以下步骤将后备审批者添加到访问包中:

  1. 在阶段中的审批者下,选择“显示高级请求设置”。

    Access package - Policy - Show advanced request settings

  2. 将“若没有采取任何行动,转发给后备审批者们?”切换开关设置为“是” 。

  3. 选择“添加后备审批者”,然后从列表中选择后备审批者。

    Access package - Policy - Add Alternate Approvers

    如果对于“第一位审批者”选择“管理员作为审批者”,“备用审批者”字段中将提供另一个选项“将二级管理员作为备用审批者”供你选择。 如果选择此选项,则需要添加后备审批者,以便在系统找不到二级管理员的情况下将请求转发给该审批者。

  4. 在“多少天后转发给后备审批者?”框中,输入审批者批准或拒绝请求的允许天数。 如果在请求持续期间没有审批者批准或拒绝请求,则请求将过期(超时),用户必须再提交一个访问包请求。

    请求只能在发起的一天后转发给备用审批者。 若要使用备用审批,请求超时至少需要为 4 天。

启用请求

  1. 如果希望访问包立即可供请求策略中的用户使用以进行请求,请将“启用”切换开关移动到“是”。

    创建完访问包后,将来始终可以启用该策略。

    如果选择了“无(仅限管理员直接分配)”,并且将“启用”设置为“否”,则管理员无法直接分配此访问包 。

    Access package - Policy- Enable policy setting

  2. 选择下一步

收集要审批的其他请求者信息

为了确保用户能够访问正确的访问包,你可以要求请求者在请求时回答自定义文本字段或多选题。 然后,会向审批者显示这些问题,让他们做出决定。

  1. 转到“请求者信息”选项卡并选择“问题”子选项卡。

  2. 在“问题”框中键入要向请求者提问的内容,也称为“显示字符串”。

    Access package - Policy- Enable Requestor information setting

  3. 如果需要访问该访问包的用户的社区没有共同的首选语言,则你可以改善在 myaccess.microsoft.com 上请求访问权限的用户的体验。 若要改善体验,可以为不同的语言提供备用的显示字符串。 例如,如果用户的 Web 浏览器设置为西班牙语,而你配置了西班牙语显示字符串,则会向发出请求的用户显示这些字符串。 若要为请求配置本地化,请选择“添加本地化文本”。

    1. 进入“添加问题的本地化文本”窗格后,为用于将问题本地化的语言选择“语言代码”。
    2. 使用配置的语言,在“本地化文本”框中键入问题。
    3. 添加所有所需的本地化文本后,选择“保存”。

    Access package - Policy- Configure localized text

  4. 选择你希望请求者回答时使用的“答案格式”。 答案格式包括:“短文本”、“多选”和“长文本”。

    Access package - Policy- Select Edit and localize multiple choice answer format

  5. 如果选择“多选”,请选择“编辑和本地化”按钮来配置答案选项。

    1. 在选择“编辑和本地化”后,“查看/编辑问题”窗格将会打开。
    2. 在“答案值”框中键入你希望在请求者回答问题时向请求者提供的响应选项。
    3. 请根据需要键入任意数量的响应。
    4. 如果要为多选选项添加你自己的本地化内容,请为本地化某个特定选项时要采用的语言选择“可选语言代码”。
    5. 在配置的语言的“本地化”文本框中键入该选项。
    6. 在为每个多选选项添加了所需的全部本地化内容后,请选择“保存”。

    Access package - Policy- Enter multiple choice options

  6. 如果你想对问题的文本答案进行语法检查,你还可以指定自定义正则表达式模式。
    Screenshot of the add regex localization policy.如果你想对问题的文本答案进行语法检查,你还可以指定自定义正则表达式模式。

  7. 若要要求请求者在请求访问某个访问包时回答此问题,请选中“必需”下的复选框。

  8. 根据需要填写剩余的选项卡(例如“生命周期”)。

在访问包的策略中配置请求者信息后,可以查看请求者对问题的响应。 有关查看请求者信息的指导,请参阅查看请求者的问题答案

后续步骤