Поделиться через

Настройка политики автоматического назначения для пакета доступа в управлении правами

  • Статья

Правила можно использовать для назначения пакетов доступа на основе свойств пользователей в Microsoft Entra ID, который является частью Microsoft Entra. В службе "Управление правами" пакет доступа может иметь несколько политик, и каждая политика определяет, как пользователи получают назначение для пакета доступа и на какое время. Как администратор, вы можете установить политику для автоматических назначений, указав правило членства, которому управление полномочиями следует для автоматического создания и удаления назначений. Как и для динамических групп, при создании политики автоматического назначения проверяется соответствие атрибутов пользователей правилу членства политики. При изменении атрибута для пользователя эти правила политики автоматического назначения в пакетах доступа обрабатываются в соответствии с изменениями членства. Затем назначения для пользователей добавляются или удаляются в зависимости от того, соответствуют ли они критериям правила.

Вы можете иметь не более одной политики автоматического назначения в пакете доступа, и политика может быть создана только администратором. (Владельцы каталогов и менеджеры пакетов доступа не могут создавать политики автоматического назначения.)

В этой статье описывается создание политики автоматического назначения пакета доступа для существующего пакета доступа.

Перед началом

Атрибуты должны быть заполнены для пользователей, которые будут в пределах области назначения для назначения доступа. В критериях правил для политики назначения пакета доступа можно использовать любые атрибуты, перечисленные в списке поддерживаемых свойств, а также атрибуты расширения и настраиваемые свойства расширения. Эти атрибуты можно перенести в Microsoft Entra ID с помощью патчингапользователя, системы управления персоналом, такой как SuccessFactors, облачной синхронизации Microsoft Entra Connect или Microsoft Entra Connect Sync. Правила могут включать до 15 000 пользователей в рамках одной политики.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Основы лицензирования управления идентификацией Microsoft Entra.

Создание политики автоматического назначения

Чтобы создать политику для пакета доступа, необходимо начать с вкладки политики пакета доступа. Выполните следующие действия, чтобы создать новую политику автоматического назначения для пакета доступа.

  1. Войдите в центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

  2. Перейдите к Управление удостоверениями>Управление правами>Пакет доступа.

  3. На странице пакетов доступа откройте один из пакетов.

  4. Выберите Политики, затем Добавить политику автоматического назначения, чтобы создать новую политику.

  5. На первой вкладке укажите правило. Выберите Изменить.

  6. Укажите правило для динамических групп членства с помощью построителя правил членства или нажмите кнопку "Изменить " в текстовом поле синтаксиса правила.

    Примечание.

    Построитель правил может не отображать некоторые правила, созданные в текстовом поле, и проверка правила в настоящее время требует, чтобы вы были в роли администратора групп. Дополнительные сведения см. в построителе правил в Центре администрирования Microsoft Entra.

    Снимок экрана конфигурации правила автоматического назначения пакетов доступа.

  7. Нажмите кнопку "Сохранить", чтобы закрыть редактор правил для динамических групп членства.

  8. По умолчанию флажки для автоматического создания и удаления назначений должны оставаться проверенными.

  9. Если вы хотите, чтобы пользователи сохраняли доступ в течение ограниченного времени после выхода из области, можно указать длительность в часах или днях. Например, когда сотрудник покидает отдел продаж, вы можете разрешить им продолжать сохранять доступ в течение семи дней, чтобы позволить им использовать приложения продаж и передавать права владения своими ресурсами в этих приложениях другому сотруднику.

  10. Нажмите кнопку "Рядом", чтобы открыть вкладку "Пользовательские расширения".

  11. Если в каталоге есть пользовательские расширения, которые вы хотите запустить, когда политика назначает или удаляет доступ, их можно добавить в эту политику. Затем щелкните рядом с вкладкой "Рецензирование ".

  12. Введите имя и описание политики.

    Скриншот вкладки проверки политики автоматического присвоения пакета доступа.

  13. Нажмите кнопку "Создать", чтобы сохранить политику.

    Примечание.

    В настоящее время управление правами доступа будет автоматически создавать динамическую группу безопасности, соответствующую каждой политике, чтобы оценить пользователей, охваченных этой политикой. Эту группу не следует изменять, кроме как через саму систему "Управление полномочиями". Эту группу также можно изменять или удалять автоматически с помощью управления правами, поэтому не используйте эту группу для других приложений или сценариев.

  14. Идентификатор Microsoft Entra оценивает пользователей в организации, которые находятся в области этого правила, и создает назначения для тех пользователей, у которых еще нет назначений для пакета доступа. Политика может содержать не более 15 000 пользователей в своем правиле. Для выполнения оценки может потребоваться несколько минут, а также некоторое время, чтобы последующие обновления атрибутов пользователя отразились в назначениях пакетов доступа.

Создание политики автоматического назначения программным способом

Существует два способа создания политики назначения пакетов доступа для автоматического назначения с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.

Создание политики назначения пакета доступа с помощью Graph

Вы можете создать политику с помощью Microsoft Graph. Пользователь в подходящей роли с приложением, имеющим делегированное EntitlementManagement.ReadWrite.All разрешение, или приложение в каталожной роли или с EntitlementManagement.ReadWrite.All разрешением, может вызвать API создания assignmentPolicy. В нагрузку запроса включите свойства политики displayName, description, specificAllowedTargets, automaticRequestSettings и accessPackage.

Создание политики назначения пакетов доступа с помощью PowerShell

Вы также можете создать политику в PowerShell, используя командлеты из модуля Microsoft Graph PowerShell командлетов для управления удостоверениями версии 1.16.0 или более поздней.

Следующий скрипт иллюстрирует использование v1.0 профиля для создания политики автоматического назначения пакета доступа. Дополнительные примеры см. в статье о создании политики назначения и создании пакета доступа в управлении полномочиями для приложения с одной ролью с помощью PowerShell.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Следующие шаги