Řešení potíží se správou nároků
Tento článek popisuje některé položky, které byste měli zkontrolovat, abyste mohli řešit potíže se správou nároků.
Správa
Pokud se při konfiguraci správy nároků zobrazí zpráva o odepření přístupu a jste globálním správcem, ujistěte se, že váš adresář má licenci Microsoft Entra ID P2 nebo Microsoft Entra ID Governance (nebo EMS E5). Pokud jste nedávno obnovili platnost předplatného Zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID, může trvat 8 hodin, než se toto prodloužení licence zobrazí.
Pokud vyprší platnost licence Microsoft Entra ID P2 nebo Microsoft Entra ID Governance vašeho tenanta, nebudete moct zpracovávat nové žádosti o přístup ani provádět kontroly přístupu.
Pokud se při vytváření nebo zobrazování přístupových balíčků zobrazí zpráva o odepření přístupu a jste členem skupiny autorů katalogu, musíte před vytvořením prvního přístupového balíčku vytvořit katalog .
Zdroje informací
Role pro aplikace jsou definovány samotnou aplikací a jsou spravovány v Microsoft Entra ID. Pokud aplikace nemá žádné role prostředků, správa nároků přiřadí uživatele k výchozí roli přístupu .
Centrum pro správu Microsoft Entra může také zobrazovat instanční objekty pro služby, které nejde vybrat jako aplikace. Konkrétně Exchange Online a SharePoint Online jsou služby, ne aplikace, které mají v adresáři role prostředků, takže je není možné zahrnout do přístupového balíčku. Místo toho k zajištění odpovídající licence pro uživatele, který potřebuje přístup k těmto službám, využijte licencování na základě skupin.
Aplikace, které podporují pouze uživatele osobního účtu Microsoft pro ověřování a nepodporují účty organizace ve vašem adresáři, nemají role aplikací a není možné je přidat pro přístup k katalogům balíčků.
Aby skupina byla prostředkem v přístupovém balíčku, musí být možné ji upravit v ID Microsoft Entra. Skupiny pocházející z místní Active Directory nelze přiřadit jako prostředky, protože jejich atributy vlastníka nebo člena nelze změnit v MICROSOFT Entra ID. Skupiny, které pocházejí z Exchange Online jako distribuční skupiny, není možné upravovat ani v ID Microsoft Entra.
Knihovny dokumentů SharePointu Online ani jednotlivé dokumenty nejde přidat jako prostředky. Místo toho vytvořte skupinu zabezpečení Microsoft Entra, zahrňte tuto skupinu a roli webu do přístupového balíčku a v SharePointu Online tuto skupinu použijte k řízení přístupu ke knihovně dokumentů nebo dokumentu.
Pokud jsou k prostředku, který chcete spravovat pomocí přístupového balíčku, již přiřazení uživatelé, ujistěte se, že jsou tito uživatelé přiřazení k přístupovému balíčku pomocí odpovídajících zásad. Do přístupového balíčku byste například měli zahrnout skupiny, které již obsahují některé uživatele. Pokud tito uživatelé ve skupině vyžadují nepřetržitý přístup, musí mít odpovídající zásady pro přístupové balíčky, aby neztratili přístup ke skupině. Přístupový balíček můžete přiřadit tak, že požádáte uživatele, aby si vyžádali přístupový balíček obsahující příslušný prostředek, nebo že uživatele přiřadíte k přístupovému balíčku přímo. Další informace najdete v tématu Změna nastavení žádosti a schválení přístupového balíčku.
Když odeberete člena týmu, odeberou se také ze skupiny Microsoft 365. Odebrání z týmového chatu může trvat o něco déle. Další informace najdete v tématu Členství ve skupině.
Přístupové balíčky
- Pokud se pokusíte odstranit přístupový balíček nebo zásady a zobrazí se chybová zpráva týkající se existujících aktivních přiřazení a pokud nevidíte žádné uživatele s přiřazeními, zkontrolujte, jestli někteří nedávno odstranění uživatelé stále nemají přiřazení. Během 30 dnů od odstranění uživatele je možné uživatelský účet obnovit.
Externí uživatelé
Pokud chce externí uživatel požádat o přístup k přístupovém balíčku, ujistěte se, že pro přístupový balíček používá odkaz Portál Můj přístup. Další informace najdete v tématu Sdílení odkazu pro vyžádání přístupového balíčku. Pokud externí uživatel právě navštíví myaccess.microsoft.com a nepoužije úplný odkaz portálu Můj přístup, zobrazí se jim přístupové balíčky, které mají k dispozici ve své vlastní organizaci, a ne ve vaší organizaci.
Pokud externí uživatel nemůže požádat o přístup k přístupového balíčku nebo nemá přístup k prostředkům, zkontrolujte nastavení externích uživatelů.
Pokud nový externí uživatel, který ještě nebyl přihlášený ve vašem adresáři, obdrží přístupový balíček včetně webu SharePointu Online, zobrazí se jeho přístupový balíček tak, že se plně nedoručí, dokud se jeho účet nezřídí v SharePointu Online. Další informace o nastavení sdílení najdete v tématu Kontrola nastavení externího sdílení SharePointu Online.
Žádosti
Pokud chce uživatel požádat o přístup k přístupovém balíčku, ujistěte se, že pro přístupový balíček používá odkaz Portál Můj přístup. Další informace najdete v tématu Sdílení odkazu pro vyžádání přístupového balíčku.
Pokud portál Můj přístup otevřete v prohlížeči v privátním nebo anonymním režimu, může dojít ke konfliktu s přihlášením. Doporučujeme, abyste při návštěvě portálu Můj přístup nepoužít v privátním nebo anonymním režimu prohlížeče.
Pokud se uživatel, který ještě není ve vašem adresáři, přihlásí k portálu Můj přístup, aby požádal o přístupový balíček, ověřte se pomocí svého účtu organizace. Účtem organizace může být účet v adresáři prostředků nebo v adresáři, který je v některé ze zásad přístupového balíčku. Pokud účet uživatele není účet organizace nebo adresář, ve kterém se ověřuje, není součástí zásad, uživatel přístupový balíček neuvidí. Další informace najdete v tématu Žádost o přístup k přístupového balíčku.
Pokud se uživateli zablokuje přihlášení k adresáři prostředků, nebude moct požádat o přístup na portálu Můj přístup. Aby uživatel mohl požádat o přístup, musíte z jeho profilu odebrat blokování přihlašování. Pokud chcete odebrat přihlašovací blok, vyberte v Centru pro správu Microsoft Entra identitu, vyberte Uživatelé, vyberte uživatele a pak vyberte Profil. Upravte oddíl Nastavení a změňte možnost Blokovat přihlášení na Ne. Další informace naleznete v tématu Přidání nebo aktualizace profilové informace uživatele pomocí Microsoft Entra ID. Můžete také zkontrolovat, jestli byl uživatel zablokovaný kvůli detekci rizik Microsoft Entra ID Protection.
Pokud je uživatel žadatelem i schvalovatelem, na portálu Můj přístup se na stránce Schválení nezobrazí žádost o přístupový balíček. Toto chování je záměrné – uživatel nemůže schválit vlastní žádost. Ujistěte se, že přístupový balíček, který požaduje, má pro zásadu nakonfigurované další schvalovatele. Další informace najdete v tématu Změna nastavení žádosti a schválení přístupového balíčku.
Zobrazení chyb doručení požadavku
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.
Tip
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu, Správce balíčků Accessu a Správce přiřazení balíčků accessu.
Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit.
Vyberte Požadavky.
Vyberte požadavek, který chcete zobrazit.
Pokud má požadavek nějaké chyby doručení, stav žádosti je Nedoručeno nebo Částečně doručeno.
Pokud dojde k nějakým chybám doručení, zobrazí se v podokně podrobností požadavku počet chyb doručení.
Výběrem počtu zobrazíte všechny chyby doručení žádosti.
Znovu zpracuje požadavek.
Pokud se po aktivaci žádosti o opětovné zpracování přístupového balíčku splní chyba, musíte počkat, než systém požadavek znovu zpracuje. Systém se několikrát pokusí znovu zpracovat několik hodin, takže během této doby nemůžete vynutit opětovné zpracování.
Žádost, která má stav Doručení, je neúspěšná nebo částečně doručená a dokončené datum kratší než jeden týden můžete znovu zpracovat. V opačném případě by se tlačítko pro opětovné zpracování zobrazilo šedě.
Pokud se chyba opraví během okna zkušebních verzí, stav žádosti se změní na Doručení. Požadavek se znovu zpracuje bez dalších akcí od uživatele.
Pokud se chyba během okna zkušebních verzí neopravila, stav žádosti může být doručení neúspěšné nebo částečně doručené. Pak můžete použít tlačítko pro opětovné zpracování . K opětovnému zpracování žádosti máte sedm dní.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.
Tip
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu, Správce balíčků Accessu a Správce přiřazení balíčků accessu.
Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit a otevřete přístupový balíček.
Vyberte Požadavky.
Vyberte požadavek, který chcete znovu zpracovat.
V podokně podrobností žádosti vyberte Žádost Znovu zpracovat.
Zrušení čekající žádosti
Čekající žádost, která ještě nebyla doručena nebo jejíž doručení selhalo, můžete zrušit. V opačném případě by se tlačítko zrušit zobrazilo šedě.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.
Tip
Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu, Správce balíčků Accessu a Správce přiřazení balíčků accessu.
Přejděte k balíčkům přístupu pro správu>nároků zásad správného řízení>identit a otevřete přístupový balíček.
Vyberte Požadavky.
Vyberte žádost, kterou chcete zrušit.
V podokně podrobností žádosti vyberte Zrušit žádost.
Zásady automatického přiřazení
- Každá zásada automatického přiřazení může obsahovat maximálně 15 000 uživatelů v rozsahu pravidla. Jiným uživatelům v oboru pravidla nemusí být přiřazen přístup.
Více zásad
Správa nároků se řídí osvědčenými postupy nejnižších oprávnění. Když uživatel požádá o přístup k přístupovém balíčku, který má více zásad, které platí, zahrnuje správu nároků logiku, která pomáhá zajistit přísnější nebo konkrétnější zásady přednost před obecnými zásadami. Pokud je zásada obecná, správa nároků nemusí zásadu zobrazit žadateli nebo může automaticky vybrat přísnější zásady.
Představte si například přístupový balíček se dvěma zásadami pro uživatele v adresáři, ve kterém se obě zásady vztahují na žadatele. První zásada je určená pro konkrétní uživatele, kteří zahrnují žadatele. Druhá zásada je určená pro všechny uživatele v adresáři. V tomto scénáři se pro žadatele automaticky vybere první zásada, protože je přísnější. Žadatel nemá možnost vybrat druhou zásadu.
Pokud se použije více zásad, zásada, která se automaticky vybere, nebo zásady, které se zobrazí žadateli, jsou založené na následující logice priority:
Priorita zásad Obor O1 Konkrétní uživatelé a skupiny v adresáři NEBO konkrétní propojené organizace P2 Všichni členové ve vašem adresáři (s výjimkou hostů) P3 Všichni uživatelé ve vašem adresáři (včetně hostů) NEBO konkrétní propojené organizace P4 Všechny nakonfigurované propojené organizace NEBO Všichni uživatelé (všechny připojené organizace + všichni noví externí uživatelé) Pokud jsou některé zásady v kategorii s vyšší prioritou, kategorie s nižší prioritou se ignorují. Příklad zobrazení více zásad se stejnou prioritou žadateli najdete v tématu Výběr zásady.