Поделиться через


Изменение параметров сведений об утверждении и запросе для пакета доступа в управлении правами

Каждый пакет доступа должен иметь одну или несколько политик назначения пакетов доступа, прежде чем пользователь сможет назначить доступ. При создании пакета доступа в Центре администрирования Microsoft Entra центр администрирования Microsoft Entra автоматически создает первую политику назначения пакетов доступа для этого пакета доступа. Политика определяет, кто может запрашивать доступ и кто должен утвердить доступ.

В качестве диспетчера пакетов доступа можно изменить параметры утверждения и запрашивающего пакета доступа в любое время, изменив существующую политику или добавив новую дополнительную политику для запроса доступа.

В этой статье описывается, как изменить настройки информации об утверждении и о запрашивающей стороне для существующего пакета доступа посредством политики пакета для доступа.

Approval

В разделе «Утверждение» укажите, требуется ли утверждение, когда пользователи запрашивают этот пакет для доступа. Параметры утверждения работают следующим образом:

  • Только один из выбранных утверждающих или резервных утверждающих должен утвердить запрос на одноэтапное утверждение.
  • Только один из выбранных утверждающих на каждом этапе должен утвердить запрос на многоэтапное утверждение с несколькими этапами для перехода запроса на следующий этап.
  • Если один из выбранных утверждающих на этапе отклоняет запрос, прежде чем другой утверждающий на этом же этапе утверждает его, или если запрос никто не утверждает, он завершается и пользователь не получает доступ.
  • Утверждающим может быть указанный пользователь или член группы, менеджер запрашивающей стороны, внутренний или внешний спонсор в зависимости от того, кто управляет доступом согласно политике.

Для демонстрации добавления утверждающих в политику запросов просмотрите следующий видеоролик:

Для демонстрации добавления в политику запросов многоэтапных утверждений просмотрите следующий видеоролик:

Примечание.

Утверждающие не могут утверждать собственные запросы пакета доступа.

Изменение параметров утверждения политики назначения для существующего пакета для доступа

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Выполните следующие действия, чтобы задать политику, определяющую параметры утверждения запросов на получение пакета для доступа:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер назначения пакетов доступа.

  2. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  3. На странице пакетов Access откройте пакет доступа.

  4. Выберите политику для изменения или добавьте новую политику в пакет для доступа

    1. Щелкните Политики, а затем Добавить политику, если нужно создать новую политику.
    2. Выберите политику, которую нужно изменить, и нажмите кнопку Изменить.
  5. Откройте вкладку Запрос.

  6. Чтобы потребовать утверждения запросов от выбранных пользователей, установите переключатель Требовать утверждение в положение Да. Чтобы запросы утверждались автоматически, установите этот переключатель в положение Нет. Если политика позволяет внешним пользователям за пределами организации запрашивать доступ, необходимо утвердить, поэтому в каталог вашей организации добавляется контроль над тем, кто добавляется в каталог вашей организации.

  7. Чтобы потребовать от пользователей предоставления обоснования для запроса пакета для доступа, установите переключатель Требовать обоснование у запрашивающей стороны значение Да.

  8. Теперь определите, требуются ли запросы с одним или несколькими этапами утверждения. Задайте количество этапов, необходимое для выполнения утверждения.

    Пакет для доступа — запросы — параметры утверждения

Чтобы добавить утверждающих после выбора требуемого количества этапов, выполните следующие действия.

Утверждение в один этап

  1. Добавьте утверждающего в поле Первый утверждающий:

    Если в политике определено управление доступом для пользователей из каталога, можно выбрать вариант Менеджер в качестве утверждающего. Также можно добавить конкретного пользователя, щелкнув Добавить утверждающих после выбора пункта Выбрать определенных утверждающих в раскрывающемся меню.

    Пакет для доступа — запросы — для пользователей в каталоге — первый утверждающий

    Если в этой политике определено управление доступом для пользователей, отсутствующих в вашем каталоге, можно выбрать Внешний спонсор или Внутренний спонсор. Либо добавьте конкретного пользователя, щелкнув Добавить утверждающих или группы в разделе «Выбрать конкретных утверждающих».

    Пакет для доступа — запросы — для пользователей вне каталога — первый утверждающий

  2. Если вы выбрали диспетчер в качестве первого утверждающего, выберите "Добавить резервный вариант", чтобы выбрать один или несколько пользователей или групп в каталоге, чтобы быть резервным утверждающий. Резервные утверждающие получают запрос, если в процессе управления правами не удается найти менеджера для пользователя, запросившего доступ.

    Поиск менеджера выполняется при управлении правами с помощью атрибута Менеджер. Атрибут находится в профиле пользователя в идентификаторе Microsoft Entra. Дополнительные сведения см. в разделе "Добавление или обновление сведений профиля пользователя с помощью идентификатора Microsoft Entra".

  3. Если выбран выбор конкретных утверждающих, выберите "Добавить утверждающих", чтобы выбрать один или несколько пользователей или групп в каталоге, чтобы быть утверждающих.

  4. В поле Сколько дней требуется для принятия решения? укажите количество дней, в течение которых утверждающий должен проверить запрос для этого пакета доступа.

    Если запрос не утвержден в течение этого периода времени, он автоматически отклоняется. Пользователь должен отправить еще один запрос на пакет доступа.

  5. Чтобы утверждающие обязательно предоставляли обоснование своих решений, установите для параметра «Требовать обоснование утверждающего» значение Да.

    Это обоснование видят другие утверждающие и запрашивающая сторона.

Многоэтапное утверждение

Если вы выбрали многоэтапное утверждение, необходимо добавить утверждающего для каждого дополнительного этапа.

  1. Добавьте значение в поле Второй утверждающий:

    Если пользователи находятся в вашем каталоге, добавьте конкретного пользователя в качестве второго утверждающего, нажав кнопку Добавить утверждающих в разделе "Выбрать определенных утверждающих".

    Пакет для доступа — запросы — для пользователей в каталоге — второй утверждающий

    Если пользователя нет в вашем каталоге, выберите в качестве второго утверждающего вариант Внутренний спонсор или Внешний спонсор. Выбрав утверждающего, добавьте резервных утверждающих.

    Пакет для доступа — запросы — для пользователей вне каталога — второй утверждающий

  2. Укажите количество дней, в течение которых второй утверждающий должен утвердить запрос, в поле Сколько дней нужно для принятия решения?.

  3. Установите переключатель «Требовать обоснование утверждающего» в положение Да или Нет.

    Вы также можете добавить дополнительный этап для трехэтапного процесса утверждения. Например, вы хотите, чтобы руководитель сотрудника выполнял роль утверждающего на первом шаге для пакета для доступа. Но один из ресурсов в пакете для доступа содержит конфиденциальные сведения. В этом случае можно назначить владельца ресурса вторым утверждающим, а проверяющего функции безопасности — третьим утверждающим. Это позволяет специалистам по безопасности получить сведения о процессе и возможности, например, отклонить запрос на основе критериев риска, которые не известны владельцу ресурса.

  4. Добавьте третьего утверждающего:

    Если пользователи находятся в вашем каталоге, добавьте конкретного пользователя в качестве третьего утверждающего, нажав кнопку Добавить утверждающих в разделе "Выбрать конкретных утверждающих".

    Если пользователи не в каталоге, вы также можете выбрать внутреннего спонсора или внешнего спонсора в качестве третьего утверждающего. Выбрав утверждающего, добавьте резервных утверждающих.

    Примечание.

      Как и на втором шаге, если пользователи находятся в вашем каталоге и выбран вариант "Руководитель как утверждающий" для первого или второго шага утверждения, вам будет доступен только вариант для выбора определенных утверждающих для третьего шага.
      Если вы хотите назначить руководителя третьим утверждающим, вы можете изменить свой выбор на предыдущих шагах утверждения, чтобы вариант **Руководитель как утверждающий** не был выбран. После этого в раскрывающемся списке вы увидите вариант "Руководитель как утверждающий".
      Если пользователей нет в вашем каталоге и вы не выбрали варианты **Внутренний спонсор** или **Внешний спонсор** в качестве утверждающих на предыдущих шагах, вы увидите их в качестве вариантов для параметра **Третий утверждающий**. В противном случае вам будет доступно только "Выбрать конкретных утверждающих".
  5. Укажите количество дней, в течение которых третий утверждающий должен утвердить запрос, в поле Сколько дней нужно для принятия решения?.

  6. Установите переключатель «Требовать обоснование утверждающего» в положение Да или Нет.

Альтернативные утверждающие

Аналогично указанию первичных утверждающих, можно указать альтернативных утверждающих, которые могут утверждать запросы на каждом этапе. Наличие альтернативных утверждающих помогает убедиться, что запросы утверждены или отклонены до истечения срока их действия (время ожидания). На каждом этапе можно перечислить альтернативных утверждающих вместе с первичным утверждающим.

При указании альтернативных утверждающих для этапа ожидающий запрос перенаправляется альтернативным утверждающим в соответствии с расписанием переадресации, указанным при настройке политики, если исходные утверждающие не смогли утвердить или отклонить запрос. Они получают сообщение электронной почты о необходимости утвердить или отклонить ожидающий запрос.

После перенаправления запроса к альтернативным утверждающим первичные утверждающие по-прежнему могут утвердить или отклонить запрос. Для утверждения или отклонения ожидающего запроса альтернативные утверждающие также используют веб-сайт «Мой доступ».

В качестве утверждающих и альтернативных утверждающих можно указать людей или группы людей. Убедитесь, что в качестве первого, второго и альтернативных утверждающих указаны разные люди. Например, если Элис и Боб указаны в качестве утверждающих на первом этапе, то в качестве альтернативных утверждающих следует указать Кэрол и Дейва. Чтобы добавить альтернативных утверждающих пакета для доступа, выполните следующие действия.

  1. Под утверждающим на этапе щелкните Показать дополнительные параметры запроса.

    Пакет для доступа — политика — отображение дополнительных параметров запроса

  2. Установите переключатель Перенаправлять другим утверждающим, если действие не предпринято? в положение Да.

  3. Нажмите кнопку Добавить альтернативных утверждающих и выберите альтернативных утверждающих из списка.

    Пакет для доступа — политика — добавление альтернативных утверждающих

    Если выбрать диспетчер в качестве утверждающего для первого утверждающего, у вас есть дополнительный параметр , диспетчер второго уровня в качестве альтернативного утверждающего, доступный для выбора в поле альтернативного утверждающего. Если этот параметр выбран, необходимо добавить резервного утверждающего для перенаправления запроса, если системе не удается найти менеджера второго уровня.

  4. В поле Через сколько дней нужно передать запрос другим утверждающим? введите количество дней, в течение которых утверждающие должны утвердить или отклонить запрос. Если утверждающие не одобрили или отклонили запрос до длительности запроса, срок действия запроса истекает (время ожидания), а пользователь должен отправить другой запрос для пакета доступа.

    Запросы можно перенаправить только альтернативным утверждателям через день после того, как запрос был инициирован. Чтобы использовать альтернативное утверждение, время ожидания запроса должно быть не менее четырех дней.

Включение запросов

  1. Если необходимо, чтобы пакет для доступа стал немедленно доступен для запросов пользователей в политике запросов, переведите переключатель «Включить» в положение Да.

    Его можно активировать в любой момент после создания пакета для доступа.

    Если выбран вариант Нет (только прямые назначения администратора), а переключатель включения установлен в положение Нет, то администраторы не смогут напрямую назначать этот пакет для доступа.

    Пакет для доступа — Политика — Параметр включения политики

  2. При включении новых запросов можно указать, следует ли разрешить менеджерам запрашивать от имени своих сотрудников (предварительная версия). Снимок экрана: утверждение диспетчера параметров запроса.

  3. Выберите Далее.

Получение дополнительной информации о запросившей стороне для утверждения

Чтобы убедиться, что пользователи получают доступ к правильным пакетам доступа, вы можете требовать от запрашивателей ответить на настраиваемые текстовые поля или вопросы о нескольких выборах во время запроса. Эти вопросы будут доступны утверждающим и помогут им принять решение.

  1. Перейдите на вкладку Информация о запрашивающей стороне и откройте вложенную вкладку Вопросы.

  2. Введите вопрос, который нужно задать запрашивающей стороне, также называемый отображаемой строкой, в поле Вопрос.

    Пакет для доступа — политика — включение сведений о запрашивающей стороне

  3. Если сообщество пользователей, которым требуется доступ к пакету доступа, не все имеют общий предпочтительный язык, вы можете улучшить взаимодействие с пользователями, запрашивающими доступ на myaccess.microsoft.com. Чтобы упростить работу, можно указать альтернативные отображаемые строки для разных языков. Например, если для веб-браузера пользователя задано значение "Испанский", а у вас настроены испанские отображаемые строки, эти строки отображаются запрашивающим пользователю. Чтобы настроить локализацию для запросов, нажмите кнопку добавить локализацию.

    1. В области Добавить локализацию для вопроса выберите код языка для языка, на который локализуется вопрос.
    2. Введите вопрос на выбранном языке в поле Локализованный текст.
    3. Добавив все необходимые локализации, нажмите кнопку Сохранить.

    Пакет для доступа — политика — настройка локализованного текста

  4. Выберите Формат ответа, который должна использовать запрашивающая сторона для ответа. Форматы ответов: короткий текст, несколько вариантов и длинный текст.

    Пакет для доступа — политика — выбор пункта Edit and localize (Изменить и локализовать) для формата ответа с несколькими вариантами

  5. Если выбрать несколько вариантов, нажмите кнопку "Изменить" и "Локализовать ", чтобы настроить параметры ответа.

    1. После нажатия кнопки "Изменить" и "Локализовать" откроется область вопросов представления и редактирования.
    2. Введите варианты ответа, которые будут доступны запрашивающей стороне при ответе на вопрос, в полях Значения ответов.
    3. Введите нужное количество ответов.
    4. Если вы хотите добавить собственную локализацию для параметров "Несколько вариантов", выберите дополнительный языковой код для языка, в котором требуется локализовать определенный параметр.
    5. В поле локализованного текста введите вариант на выбранном языке.
    6. После добавления всех локализаций, необходимых для каждого варианта выбора нескольких вариантов, нажмите кнопку "Сохранить".

    Пакет для доступа — политика — ввод нескольких вариантов выбора

  6. Если вы хотите включить проверку синтаксиса на текстовые ответы на вопросы, можно также указать пользовательский шаблон регулярных выражений.
    Снимок экрана: политика локализации regex. Если вы хотите включить проверку синтаксиса на текстовые ответы на вопросы, можно также указать пользовательский шаблон регулярных выражений.

  7. Чтобы запросить у запрашивающей стороны ответ на этот вопрос при запросе доступа к пакету для доступа, установите флажок Обязательно.

  8. Укажите нужные данные на остальных вкладках (например, "Жизненный цикл").

После настройки сведений о запросе в политике пакета доступа вы можете просмотреть ответы запрашивателя на вопросы. Рекомендации по просмотру информации о запрашивающей стороне см.в статье о просмотре ответов запрашивающей стороны на вопросы.

Следующие шаги