Udostępnij za pośrednictwem

Zmienianie ustawień żądania dla pakietu dostępu w zarządzaniu upoważnieniami

  • Artykuł

Jako menedżer pakietów dostępu możesz zmienić użytkowników, którzy mogą żądać pakietu dostępu w dowolnym momencie, edytując zasady dla żądań przypisania pakietu dostępu lub dodając nowe zasady do pakietu dostępu. W tym artykule opisano sposób zmiany ustawień żądania dla istniejących zasad przypisywania pakietów dostępu.

Wybieranie między jedną lub wieloma zasadami

Sposób, w jaki określasz, kto może zażądać pakietu dostępu, polega na użyciu zasad. Przed utworzeniem nowych zasad lub edycji istniejących zasad w pakiecie dostępu należy określić, ile zasad wymaga pakiet dostępu.

Podczas tworzenia pakietu dostępu można określić ustawienia żądania, zatwierdzenia i cyklu życia, które są przechowywane w pierwszych zasadach pakietu dostępu. Większość pakietów dostępu ma jedną zasadę, aby użytkownicy żądali dostępu, ale pojedynczy pakiet dostępu może mieć wiele zasad. Można utworzyć wiele zasad dla pakietu dostępu, jeśli chcesz zezwolić różnym zestawom użytkowników na przyznawanie przypisań z różnymi ustawieniami żądania i zatwierdzenia.

Na przykład pojedyncze zasady nie mogą być używane do przypisywania użytkowników wewnętrznych i zewnętrznych do tego samego pakietu dostępu. Można jednak utworzyć dwie zasady w tym samym pakiecie dostępu, jeden dla użytkowników wewnętrznych i jeden dla użytkowników zewnętrznych. Jeśli istnieje kilka zasad, które dotyczą użytkownika i które można zastosować do żądania, użytkownik jest proszony w momencie składania żądania o wybranie zasady, którą chciałby mieć przypisaną. Na poniższym diagramie przedstawiono pakiet dostępu z dwoma zasadami.

Diagram ilustrujący wiele zasad, wraz z wieloma rolami zasobów, może być zawarty w pakiecie dostępu.

pl-PL: Oprócz zasad umożliwiających użytkownikom żądanie dostępu, można również mieć zasady dotyczące automatycznego przypisywania oraz zasady dotyczące bezpośredniego przypisywania przez administratorów lub właścicieli katalogu.

Ile zasad będzie potrzebnych?

Scenariusz Liczba zasad
Chcę, aby wszyscy użytkownicy w moim katalogu mieli te same ustawienia żądania i zatwierdzenia dla pakietu dostępu Jeden
Chcę, aby wszyscy użytkownicy w niektórych połączonych organizacjach mogli zażądać pakietu dostępu Jeden
Chcę zezwolić użytkownikom w moim katalogu, a także użytkownikom spoza katalogu na żądanie pakietu dostępu Dwa
Chcę określić różne ustawienia zatwierdzania dla niektórych użytkowników Jeden dla każdej grupy użytkowników
Chcę, aby niektórym użytkownikom dostęp do przypisań pakietów wygasał, podczas gdy inni użytkownicy mogą przedłużyć swój dostęp. Jeden dla każdej grupy użytkowników
Chcę, aby niektórzy użytkownicy występowali o dostęp, a inni użytkownicy mieli przydzielany dostęp przez administratora. Dwa
Chcę, aby niektórzy użytkownicy w mojej organizacji otrzymywali dostęp automatycznie, inni użytkownicy w mojej organizacji mogli żądać dostępu, a inni użytkownicy mają mieć przypisany dostęp przez administratora Trzy

Aby uzyskać informacje na temat logiki priorytetu używanej w przypadku zastosowania wielu zasad, zobacz Wiele zasad.

Otwórz istniejący pakiet dostępu i dodaj nowe zasady z różnymi ustawieniami żądania

Jeśli masz zestaw użytkowników, którzy powinni mieć różne ustawienia żądań i zatwierdzania, prawdopodobnie musisz utworzyć nowe zasady. Wykonaj następujące kroki, aby rozpocząć dodawanie nowych zasad do istniejącego pakietu dostępu:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zarządzania tożsamością.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do zarządzania tożsamościami>zarządzania upoważnieniami>pakietu dostępu.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, który chcesz edytować.

  4. Wybierz pozycję Zasady , a następnie pozycję Dodaj zasady.

  5. Na karcie Podstawy wpisz nazwę i opis zasad.

    Utwórz politykę z nazwą i opisem

  6. Wybierz przycisk Dalej , aby otworzyć kartę Żądania .

  7. Zmień ustawienie osób, które mogą żądać dostępu. Wykonaj kroki opisane w poniższych sekcjach, aby zmienić ustawienie na jedną z następujących opcji:

Użytkownicy w Twoim katalogu

Wykonaj następujące kroki, jeśli chcesz zezwolić użytkownikom w katalogu na żądanie tego pakietu dostępu. Podczas definiowania zasad żądania można określić poszczególnych użytkowników lub częściej grup użytkowników. Na przykład organizacja może mieć już grupę, taką jak Wszyscy pracownicy. Jeśli ta grupa zostanie dodana w zasadach dla użytkowników, którzy mogą zażądać dostępu, każdy członek tej grupy będzie mógł zażądać dostępu.

  1. W sekcji Użytkownicy, którzy mogą zażądać dostępu, wybierz pozycję Dla użytkowników w katalogu.

    Po wybraniu tej opcji pojawiają się nowe opcje umożliwiające dalsze uściślenie, kto w katalogu może zażądać tego pakietu dostępu.

    Pakiet dostępu — żądania — dla użytkowników w twoim katalogu

  2. Wybierz jedną z następujących opcji:

    opis
    Konkretni użytkownicy i grupy Wybierz tę opcję, jeśli chcesz, aby tylko użytkownicy i grupy w twoim katalogu, które określisz, mogli zażądać tego pakietu dostępu.
    Wszyscy członkowie (z wyłączeniem gości) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami w katalogu mogli zażądać tego pakietu dostępu. Ta opcja nie obejmuje żadnych użytkowników-gości, których możesz zaprosić do katalogu.
    Wszyscy użytkownicy (w tym goście) Wybierz tę opcję, jeśli chcesz, aby wszyscy użytkownicy będący członkami i użytkownicy-goście w katalogu mogli zażądać tego pakietu dostępu.

    Użytkownicy-goście odwołują się do użytkowników zewnętrznych, którzy zostali zaproszeni do katalogu za pomocą usługi Microsoft Entra B2B. Aby uzyskać więcej informacji na temat różnic między użytkownikami członkami a użytkownikami-gośćmi, zobacz Co to są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.

  3. W przypadku wybrania pozycji Konkretni użytkownicy i grupy wybierz pozycję Dodaj użytkowników i grupy.

  4. W okienku Wybieranie użytkowników i grup wybierz użytkowników i grupy, które chcesz dodać.

    Pakiet dostępu — żądania — wybieranie użytkowników i grup

  5. Wybierz opcję Select, aby dodać użytkowników i grupy.

  6. Jeśli chcesz wymagać zatwierdzenia, wykonaj kroki opisane w temacie Zmienianie ustawień zatwierdzania pakietu dostępu w zarządzaniu upoważnieniami , aby skonfigurować ustawienia zatwierdzania.

  7. Przejdź do sekcji Włączanie żądań .

W przypadku użytkowników, którzy nie znajdują się w katalogu

Użytkownicy, którzy nie znajdują się w twoim katalogu , odnoszą się do użytkowników, którzy znajdują się w innym katalogu lub domenie firmy Microsoft. Ci użytkownicy mogli jeszcze nie zostać zaproszeni do katalogu. Katalogi Microsoft Entra muszą być skonfigurowane tak, aby zezwalały na zaproszenia w Ograniczeniach współpracy. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

Uwaga

Konto użytkownika-gościa zostanie utworzone dla użytkownika, którego żądanie nie zostało jeszcze zatwierdzone lub automatycznie zatwierdzone. Gość zostanie zaproszony, ale nie otrzyma wiadomości e-mail z zaproszeniem. Zamiast tego otrzymają wiadomość e-mail, gdy ich pakiet dostępu zostanie przydzielony. Domyślnie później, gdy ten użytkownik-gość nie ma już żadnych przypisań pakietów dostępu, ponieważ ich ostatnie przypisanie wygasło lub zostało anulowane, konto użytkownika-gościa zostanie zablokowane z logowania, a następnie usunięte. Jeśli chcesz, aby użytkownicy-goście pozostali w katalogu na czas nieokreślony, nawet jeśli nie mają przypisań pakietów dostępu, możesz zmienić ustawienia konfiguracji zarządzania upoważnieniami. Aby uzyskać więcej informacji na temat obiektu użytkownika-gościa, zobacz Właściwości użytkownika współpracy firmy Microsoft Entra B2B.

Wykonaj następujące kroki, jeśli chcesz zezwolić użytkownikom, którzy nie znajdują się w katalogu, aby zażądali tego pakietu dostępu:

  1. W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Dla użytkowników, którzy nie znajdują się w katalogu.

    Po wybraniu tej opcji pojawią się nowe opcje.

    Pakiet dostępu — żądania — dla użytkowników, którzy nie znajdują się w katalogu

  2. Wybierz, czy użytkownicy, którzy mogą żądać dostępu, muszą być powiązani z istniejącą połączoną organizacją, czy mogą być każdą osobami w Internecie. Połączona organizacja to taka, z którą masz już istniejącą relację, która może mieć zewnętrzny katalog Microsoft Entra lub innego dostawcę tożsamości. Wybierz jedną z następujących opcji:

    opis
    Określone połączone organizacje Wybierz tę opcję, jeśli chcesz wybrać z listy organizacji, które wcześniej dodał administrator. Wszyscy użytkownicy z wybranych organizacji mogą zażądać tego pakietu dostępu.
    Wszystkie skonfigurowane połączone organizacje Wybierz tę opcję, jeśli wszyscy użytkownicy ze wszystkich skonfigurowanych połączonych organizacji będą mogli zażądać tego pakietu dostępu. Tylko użytkownicy ze skonfigurowanych połączonych organizacji mogą żądać pakietów dostępu, więc jeśli użytkownik nie pochodzi z dzierżawy Microsoft Entra, domeny lub dostawcy tożsamości skojarzonego z istniejącą połączoną organizacją, nie będzie mógł zażądać pakietów dostępu.
    Wszyscy użytkownicy (wszystkie połączone organizacje i nowi użytkownicy zewnętrzni) Wybierz tę opcję, jeśli jakikolwiek użytkownik w Internecie powinien mieć możliwość żądania tego pakietu dostępu. Jeśli nie należą one do połączonej organizacji w katalogu, połączona organizacja zostanie automatycznie utworzona podczas żądania pakietu. Automatycznie utworzona połączona organizacja jest w proponowanym stanie. Aby uzyskać więcej informacji na temat proponowanego stanu, zobacz State property of connected organizations (Właściwość stanu połączonych organizacji).

  3. W przypadku wybrania pozycji Określone połączone organizacje wybierz pozycję Dodaj katalogi, aby wybrać z listy połączonych organizacji, które wcześniej dodał administrator.

  4. Wpisz nazwę lub nazwę domeny, aby wyszukać wcześniej połączoną organizację.

    Pakiet dostępu — żądania — wybieranie katalogów

    Jeśli organizacja, z którą chcesz współpracować, nie znajduje się na liście, możesz poprosić administratora o dodanie jej jako połączonej organizacji. Aby uzyskać więcej informacji, zobacz Dodawanie połączonej organizacji.

  5. Po wybraniu wszystkich połączonych organizacji wybierz pozycję Wybierz.

    Uwaga

    Wszyscy użytkownicy z wybranych połączonych organizacji mogą zażądać tego pakietu dostępu. W przypadku połączonej organizacji, która ma katalog Microsoft Entra, użytkownicy ze wszystkich zweryfikowanych domen skojarzonych z katalogiem Microsoft Entra mogą żądać, chyba że te domeny są blokowane przez listę dozwolonych lub odmowy usługi Azure B2B. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.

  6. Następnie wykonaj kroki opisane w temacie Zmienianie ustawień zatwierdzania pakietu dostępu w zarządzaniu upoważnieniami , aby skonfigurować ustawienia zatwierdzania, aby określić, kto powinien zatwierdzać żądania od użytkowników, którzy nie są w organizacji.

  7. Przejdź do sekcji Włączanie żądań .

Brak (tylko przypisania bezpośrednie administratora)

Wykonaj następujące kroki, jeśli chcesz pominąć żądania dostępu i zezwolić administratorom na bezpośrednie przypisanie określonych użytkowników do tego pakietu dostępu. Użytkownicy nie będą musieli żądać pakietu dostępu. Nadal możesz ustawić opcje cyklu życia, ale nie ma dostępnych opcji żądania.

  1. W sekcji Użytkownicy, którzy mogą żądać dostępu, wybierz pozycję Brak (tylko przypisania bezpośrednie administratora).

    Pakiet dostępu — żądania — brak przypisań bezpośrednich przez administratora

    Po utworzeniu pakietu dostępu można bezpośrednio przypisać określonych użytkowników wewnętrznych i zewnętrznych do pakietu dostępu. Jeśli określisz użytkownika zewnętrznego, w katalogu zostanie utworzone konto użytkownika-gościa. Aby uzyskać informacje na temat bezpośredniego przypisywania użytkownika, zobacz Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu.

  2. Przejdź do sekcji Włączanie żądań.

Uwaga

Podczas przypisywania użytkowników do pakietu dostępu administratorzy muszą sprawdzić, czy użytkownicy kwalifikują się do tego pakietu dostępu na podstawie istniejących wymagań zasad. W przeciwnym razie użytkownicy nie zostaną pomyślnie przypisani do pakietu dostępu. Jeśli pakiet dostępu zawiera zasady, które wymagają zatwierdzenia żądań użytkowników, użytkownicy nie mogą być bezpośrednio przypisani do pakietu bez niezbędnych zatwierdzeń od wyznaczonych osób zatwierdzających.

Otwórz i edytuj ustawienia dotyczące żądań istniejącej polityki

Aby zmienić ustawienia żądania i zatwierdzenia dla pakietu dostępu, należy otworzyć odpowiednią politykę, w której znajdują się te ustawienia. Wykonaj następujące kroki, aby otworzyć i edytować ustawienia żądania dla zasad przypisywania pakietu dostępu:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator zarządzania tożsamością.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do zarządzania tożsamościami>zarządzania uprawnieniami>pakietu dostępu.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, którego ustawienia żądania zasad chcesz edytować.

  4. Wybierz pozycję Zasady , a następnie wybierz zasady, które chcesz edytować.

    W dolnej części strony zostanie otwarte okienko Szczegóły zasad.

    Pakiet dostępu — okienko szczegółów zasad

  5. Wybierz pozycję Edytuj , aby edytować zasady.

    Pakiet dostępu — edytowanie zasad

  6. Wybierz kartę Żądania , aby otworzyć ustawienia żądania.

  7. Wykonaj kroki opisane w poprzednich sekcjach, aby zmienić ustawienia żądania zgodnie z potrzebami.

  8. Przejdź do sekcji Włączanie żądań .

Włącz żądania

  1. Jeśli chcesz, aby pakiet dostępu był natychmiast dostępny dla użytkowników w zasadach żądań, przenieś przełącznik Włącz na wartość Tak.

    Zawsze możesz ją włączyć w przyszłości po zakończeniu tworzenia pakietu dostępu.

    Jeśli wybrano opcję Brak (tylko przypisanie bezpośrednie przez administratora) i ustawiono opcję Nie, administratorzy nie będą mogli bezpośrednio przypisać tego pakietu dostępu.

    Pakiet dostępu — zasady — włączanie ustawienia zasad

  2. Wybierz Dalej.

  3. Jeśli chcesz wymagać od osób żądających podania dodatkowych informacji podczas żądania dostępu do pakietu dostępu, wykonaj kroki opisane w temacie Zmienianie ustawień zatwierdzenia i informacji osoby żądającej dla pakietu dostępu w zarządzaniu upoważnieniami w celu skonfigurowania informacji o żądaniu.

  4. Konfigurowanie ustawień cyklu życia.

  5. Jeśli edytujesz zasady, wybierz pozycję Aktualizuj. Jeśli dodasz nowe zasady, wybierz pozycję Utwórz.

Programowe tworzenie zasad przypisywania pakietów dostępu

Istnieją dwa sposoby programowego tworzenia zasad przypisywania pakietów dostępu za pośrednictwem programu Microsoft Graph i poleceń cmdlet programu PowerShell dla programu Microsoft Graph.

Tworzenie zasad przypisywania pakietów dostępu za pomocą programu Graph

Zasady można utworzyć przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, lub aplikacja w roli katalogu lub z EntitlementManagement.ReadWrite.All uprawnieniem, może wywołać interfejs API utwórz assignmentPolicy.

Tworzenie zasad przypisywania pakietów dostępu za pomocą programu PowerShell

Pakiet dostępu można również utworzyć w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.x lub nowszej.

Ten poniższy skrypt ilustruje tworzenie zasad dla bezpośredniego przypisania do pakietu dostępu. W tych zasadach tylko administrator może przypisać dostęp i nie ma zatwierdzeń ani przeglądów dostępu. Zobacz Utwórz automatyczną politykę przypisania, aby zapoznać się z przykładem tworzenia automatycznej polityki przypisania, oraz utwórz politykę przypisania, aby uzyskać więcej przykładów.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Zapobieganie żądaniom użytkowników z niezgodnym dostępem

Oprócz sprawdzenia zasad, kto może zażądać, możesz jeszcze bardziej ograniczyć dostęp, aby uniknąć sytuacji, w której użytkownik, który ma już dostęp — za pośrednictwem grupy lub innego pakietu dostępu — uzyska nadmierny dostęp.

Jeśli chcesz skonfigurować, że użytkownik nie może zażądać pakietu dostępu, jeśli ma już przypisanie do innego pakietu dostępu lub jest członkiem grupy, wykonaj kroki opisane w temacie Konfigurowanie rozdzielania obowiązków sprawdzania pakietu dostępu.

Następne kroki