通过

代表其他身份请求访问包的权限

利用权利管理,管理员能够创建访问包来管理其组织的资源。 管理员可以将标识直接分配给访问包,或配置允许用户和组成员请求访问权限的访问包策略。 创建自助服务流程的选项非常有用,尤其是在组织缩放和雇佣更多员工时。 但是,加入组织的新员工可能并不总是知道需要访问哪些内容以及如何请求访问权限。 在这种情况下,新员工可能会依赖管理人员来指导其完成访问权限请求过程。 管理人员可以为员工请求访问包,而不是让新员工浏览请求流程,从而使入职过程更快、更流畅。 若要为管理人员启用此功能,管理员可以在设置访问包策略时选择允许管理人员代表其员工请求访问权限的选项。

扩展自助服务请求流以允许代表身份的请求,可确保身份能及时获得必要的资源,并提高生产力。

管理人员代表员工进行请求的场景

假设组织每年招聘数百名新员工,而你的任务是负责培训新员工 IT 流程,包括如何请求访问“我的访问权限”中的资源。 培训课程只在每月初举行,因此管理人员通常会为月末入职的新员工组织临时培训。 这种情况正变得越来越常见。

可以设置允许管理人员代表员工请求访问权限的访问包策略,而不是组织大量临时培训课程以确保新员工知道如何在加入组织的第一周或几周内请求访问权限。

代表选项请求的屏幕截图。

现在,管理人员有权代表尚未接受 IT 培训的新员工请求访问权限。 这可确保员工拥有从第一天开始工作所需的工具和资源,并提高新员工的满意度,因为他们不需要等待访问权限或自行浏览请求流程。

代表代理标识请求的方案(预览版)

管理员代表他们拥有或赞助的代理标识申请访问包的能力也是代表其他标识申请访问包的另一个关键方案。 借助请求代理身份访问包的功能,这样可以确保代表你在环境中工作的代理可以访问执行其工作所需的内容,但不会访问更多内容。 有关管理代理的详细信息,请参阅:在 Microsoft Entra 中管理代理(预览版)。

先决条件

Microsoft Entra 代理 ID 是 Microsoft Agent 365 的一部分。 这两者都可通过 Microsoft 365 中的 边境计划 获得。 若要访问这些功能,必须拥有 Microsoft 365 Copilot 的许可证,并为用户启用 Frontier。

按照 Frontier 入门指南 进行操作,或使用以下步骤检查是否已启用 Frontier:

  1. 计费管理员身份登录到 Microsoft 365 管理中心
  2. 浏览到 Copilot>设置>用户访问>Copilot Frontier 并确保为用户启用。 如果未看到这些选项,请联系管理员以检查Microsoft 365 Copilot 许可。

配置允许代表请求的访问包策略

按照以下步骤编辑现有访问包的策略,以便允许代表请求:

  1. 至少以身份治理管理员的身份登录到 Microsoft Entra 管理中心。

  2. 浏览到 ID 治理>权限管理>访问包

  3. 选择要为代请求而设置的访问包。

  4. 选择要编辑的策略或创建新策略。

  5. 在“ 请求 ”选项卡上,将 “启用新请求 ”设置为“是”。 这应显示“ 允许经理代表员工请求”选项。 将此选项设置为“是”。
    编辑访问包的屏幕截图;代表策略的请求。

  6. 保存策略。

代表员工请求访问权限包

作为经理,可通过执行以下步骤来为直接下属请求访问包:

  1. https://myaccess.microsoft.com 登录到“我的访问权限”门户。 对于美国政府,“我的访问”门户链接中的域是 myaccess.microsoft.us

  2. 在“我的访问门户”页上,选择 “访问包”。

  3. 在“访问包”页上,找到要请求直接报表的访问包,然后选择“ 请求”。

  4. 请求详细信息 下的面板中,选择代表 其他人请求。 经理请求为直接下属获取访问包的屏幕截图。

  5. 填写请求直属报告访问包所需的其他信息。 请求直接报表访问包的理由问题的屏幕截图。

  6. 选择 “提交请求”。

批准经理代表员工请求的访问权限

若要以经理身份代表员工批准访问包,请执行以下步骤来批准访问权限:

  1. https://myaccess.microsoft.com 登录到“我的访问权限”门户。 对于美国政府,“我的访问权限”门户链接中的域是 myaccess.microsoft.us

  2. 在左侧菜单中,选择“审批”即可看到待审批的访问请求列表。

  3. “挂起 ”选项卡上,找到请求。 我访问权限中挂起的审批请求的屏幕截图。

  4. 代表员工批准或拒绝请求。

使用“我的访问”门户管理团队分配

对于支持代表请求的策略的访问包分配,当管理员选择启用该功能时,经理也可以通过“我的访问”门户管理他们的直接下属的访问包分配。 管理功能包括:

  • 能够查看其所有直接下属的已分配访问包。
  • 如果策略支持代表请求,则可以删除报告的任务分派。

在“我的访问门户”中管理团队之前,请执行以下步骤,确保已配置管理团队设置:

  1. 至少以身份治理管理员的身份登录到 Microsoft Entra 管理中心。

    小窍门

    可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。

  2. 浏览到 ID 治理>权限管理>控制配置

  3. 在“控件配置”页上,选择最终用户卡的“我的访问”设置上的 视图设置 最终用户卡的访问设置的屏幕截图。

  4. 在终端用户设置页上,确保已选中 “查看下属的访问包分配(预览版)” 使用我的访问权限的最终用户设置的屏幕截图。

  5. 选择“保存”

启用此设置后,执行以下步骤,使用“我的访问”门户管理团队分配:

  1. 以团队的直接经理身份登录https://myaccess.microsoft.com“My Access”门户,管理该团队的访问包分配。 美国政府版的“我的访问权限”门户链接中的域是 myaccess.microsoft.us

  2. 在左侧菜单中,选择 “管理团队 ”以查看直接报表的列表。 “管理团队”页上团队成员列表的屏幕截图。

  3. 选择员工以查看其工作分配的列表。

  4. 在分配页上,可以看到其当前访问包分配的列表。 还可以选择删除访问,以终止该用户特定的访问包分配。 我的访问门户中管理团队的屏幕截图。

代表代理标识请求访问包(预览版)

作为代理标识的所有者或发起人,您可以通过执行以下步骤来请求代理标识的访问包:

  1. https://myaccess.microsoft.com 登录到“我的访问权限”门户。

  2. 在“我的访问门户”页上,选择 “访问包”。

  3. 在“访问包”页上,找到要请求代理标识的访问包,然后选择“ 请求”。

  4. 在“请求详细信息”窗格中,选择“赞助代理”或“自有代理”。

  5. 选择代理标识,然后选择 “继续”。

后续步骤

  • Last updated on