Изменение параметров запроса для пакета доступа в управлении правами

Вы управляете пакетами для доступа, а значит можете в любой момент, изменяя или добавляя политики, изменить набор пользователей, которые могут запрашивать пакеты для доступа. В этой статье описывается, как изменить параметры запроса для политики назначения существующего пакета доступа.

Выбор между одной и многими политиками

Указание того, кто может запрашивать пакеты для доступа, осуществляется с помощью политик. Перед созданием новой политики или изменением существующей политики в пакете для доступа необходимо определить, сколько политик должно быть в пакете для доступа.

При создании пакета для доступа вы можете указать параметры запроса, утверждения и жизненного цикла, которые хранятся в первой политике пакета для доступа. Большинство пакетов доступа имеют одну политику для пользователей для запроса доступа, но один пакет доступа может иметь несколько политик. Если вы хотите разрешить различным группам пользователей получать назначения с разными условиями, создайте несколько политик для пакета доступа.

Например, для назначения внутренних и внешних пользователей одному пакету доступа нельзя использовать одну политику. В то же время в одном пакете для доступа можно создать две политики, одна будет предназначена для внутренних пользователей, а другая — для внешних пользователей. Если на пользователя распространяется несколько правил для выполнения запроса, то во время запроса им предлагается выбрать правило, которое они хотят назначить. На следующей схеме показан пакет для доступа с двумя политиками.

Помимо политик, с помощью которых пользователи могут запрашивать доступ, также можно использовать политики для автоматического назначения и политики для прямого назначения администраторами или владельцами каталога.

Сколько политик мне потребуется?

Сценарий	Количество полисов
У всех пользователей в моем каталоге должны быть одинаковые параметры запросов и утверждений для пакета для доступа	Один
У всех пользователей в определенных подключенных организациях должна быть возможность запросить пакет для доступа	Один
Нужно, чтобы пользователи как из моего каталога, так и извне моего каталога могли запросить пакет для доступа	Два
Я хочу задавать отличающиеся параметры утверждения для некоторых пользователей	По одному для каждой группы пользователей
Я хочу, чтобы у одних пользователей срок действия назначений пакетов для доступа истекал, в то время как другие пользователи могли бы продлить свой доступ	По одному для каждой группы пользователей
Я хочу, чтобы некоторые пользователи запрашивали доступ, а другим доступ назначал администратор	Два
Я хочу, чтобы одни пользователи в моей организации получали доступ автоматически, другие пользователи могли запрашивать доступ, а третьи пользователи назначались администратором	Три

Сведения о логике приоритетов, используемой, когда одновременно применимы несколько политик, см. в разделе Несколько политик.

Открытие существующего пакета для доступа и добавление новой политики с другими параметрами запроса

Если существует набор пользователей, для которого необходимы отдельные параметры запросов и утверждения, вероятно, вам понадобится создать новую политику. Выполните следующие шаги, чтобы начать добавление новой политики к существующему пакету для доступа.

1. Войдите в административный центр Microsoft Entra как минимум с правами администратора управления идентификацией.

   Совет

   Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

2. Перейдите к управлению удостоверениями>управлению правами>пакету доступа.

3. На странице пакетов Access откройте пакет доступа, который требуется изменить.

4. Выберите Правила и затем Добавить правило.

5. На вкладке "Основные сведения" введите имя и описание политики.

   

6. Нажмите Далее, чтобы открыть вкладку Запросы.

7. Измените значение параметра Пользователи, которые могут запрашивать доступ. Выполните шаги, описанные в следующих разделах, чтобы изменить этот параметр на один из следующих вариантов значений:

   • для пользователей в вашем каталоге,
   • для пользователей вне вашего каталога,
   • нет (только прямые назначения администратора).

Для пользователей в вашем каталоге

Выполните следующие шаги, если нужно, чтобы пользователи в вашем каталоге могли запрашивать этот пакет для доступа. При определении политики запросов можно указать отдельных пользователей или (что делается чаще) группы пользователей. Например, у вашей организации уже может быть группа, например "Все сотрудники". Если добавить эту группу в политику для пользователей, которые могут запрашивать доступ, то любой участник этой группы сможет запросить доступ.

1. В разделе Пользователи, которые могут запрашивать доступ щелкните Для пользователей в каталоге.

   При выборе этого параметра появляются новые параметры, позволяющие дополнительно уточнить, кто в вашем каталоге может запрашивать этот пакет для доступа.

   

2. Выберите один из следующих параметров.

   	Описание
   Конкретные пользователи и группы	Выберите этот параметр, если нужно, чтобы этот пакет для доступа могли запрашивать только те пользователи и группы в вашем каталоге, которые были указаны.
   Все участники (кроме гостей)	Выберите этот параметр, если нужно, чтобы все пользователи-участники в вашем каталоге могли запрашивать этот пакет для доступа. Этот вариант не включает гостевых пользователей, которые могли быть приглашены в ваш каталог.
   Все пользователи (включая гостей)	Выберите этот параметр, если нужно, чтобы все пользователи-участники и гостевые пользователи в вашем каталоге могли запрашивать этот пакет для доступа.

   Гостевыми пользователями являются внешние пользователи, приглашенные в ваш каталог с помощью Microsoft Entra B2B. Дополнительные сведения о различиях между пользователями-участниками и гостевыми пользователями см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra ID?".

3. Если выбран вариант Конкретные пользователи и группы, щелкните Добавить пользователей и группы.

4. На панели "Выбор пользователей и групп" выберите пользователей и группы, которые нужно добавить.

   

5. Нажмите кнопку Выбрать, чтобы добавить пользователей и группы.

6. Если требуется утверждение, выполните действия, описанные в разделе "Изменение параметров утверждения" для пакета доступа в управлении правами, чтобы настроить параметры утверждения.

7. Перейдите в раздел Включение запросов.

Для пользователей вне вашего каталога

Пользователи не в вашем каталоге означает пользователей, которые находятся в другом каталоге или домене Microsoft Entra. Эти пользователи, возможно, еще не были приглашены в каталог. Каталоги Microsoft Entra должны быть настроены так, чтобы разрешить приглашения в ограничениях для совместной работы. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Примечание.

Для пользователя, которого еще нет в вашем каталоге, но запрос которого утвержден или автоматически утвержден, будет создана гостевая учетная запись пользователя. Гостевой пользователь будет приглашен, но ему не отправляется сообщение электронной почты с приглашением. Вместо этого они получат электронное письмо, когда назначение пакета доступа будет доставлено. По умолчанию в дальнейшем, когда у гостевого пользователя уже не останется ни одного назначения пакета для доступа, после отмены его последнего назначения или истечения его срока действия возможность входа для гостевой учетной записи блокируется, а затем эта гостевая учетная запись удаляется. Если нужно, чтобы гостевые пользователи оставались в каталоге без ограничения по времени, даже при отсутствии назначений пакетов для доступа, можно изменить соответствующие параметры в конфигурации управления правами. Дополнительные сведения об объекте гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".

Выполните следующие действия, если нужно разрешить пользователям не из вашего каталога запрашивать этот пакет для доступа:

1. В разделе Пользователи, которые могут запрашивать доступ щелкните Для пользователей, отсутствующих в вашем каталоге.

   При выборе этого параметра появляются новые параметры.

   

2. Выберите, должны ли пользователи, которые могут запрашивать доступ, должны быть связаны с существующей подключенной организацией или могут быть любым пользователем в Интернете. Организация, с которой у вас уже есть связь, — это такая организация, которая может иметь внешний каталог Microsoft Entra или другого поставщика удостоверений. Выберите один из следующих параметров.

   	Описание
   Конкретные подключенные организации	Выберите этот параметр, если нужно выбрать организации в списке организаций, ранее добавленных вашим администратором. Запрашивать этот пакет для доступа смогут все пользователи из выбранных организаций.
   Все настроенные подключенные организации	Выберите этот вариант, если нужно, чтобы все пользователи изо всех настроенных у вас подключенных организаций могли запрашивать этот пакет для доступа. Только пользователи из настроенных подключенных организаций могут запросить пакеты доступа. Таким образом, если пользователь не принадлежит к клиенту Microsoft Entra, домену или поставщику удостоверений, связанному с существующей подключенной организацией, он не сможет сделать запрос.
   Все пользователи (все подключенные организации и все новые внешние пользователи)	Выберите этот вариант, если нужно, чтобы любой пользователь из Интернета мог запросить этот пакет для доступа. Если они не принадлежат к подключенной организации в каталоге, подключенная организация будет автоматически создана для них при запросе пакета. Автоматически созданная подключенная организация находится в предлагаемых состояниях. Дополнительные сведения о предлагаемом состоянии см. в разделе "Состояние" подключенных организаций.

3. Если был выбран вариант Конкретные подключенные организации, щелкните Добавить каталоги, чтобы выбрать их в списке подключенных организаций, ранее добавленных вашим администратором.

4. Введите имя или доменное имя, чтобы выполнить поиск ранее подключенной организации.

   

   Если организации, с которой нужно взаимодействовать, нет в списке, можно обратиться к администратору, чтобы он добавил ее в качестве подключенной организации. Дополнительные сведения см. в статье Добавление подключенной организации.

5. После выбора всех нужных подключенных организаций нажмите кнопку Выбрать.

   Примечание.

   Все пользователи из выбранных подключенных организаций смогут запрашивать этот пакет для доступа. Для подключенной организации с каталогом Microsoft Entra пользователи из всех проверенных доменов, связанных с каталогом Microsoft Entra, могут запрашивать запросы, если только эти домены не заблокированы списком разрешений или запретов Azure B2B. Дополнительные сведения см. в статье Предоставление или отзыв приглашений пользователям B2B из отдельных организаций.

6. Затем выполните действия, описанные в разделе "Изменение параметров утверждения" для пакета доступа в управлении правами, чтобы настроить параметры утверждения, чтобы указать, кто должен утверждать запросы от пользователей, не входящих в вашу организацию.

7. Перейдите в раздел Включение запросов.

Нет (только прямые назначения администратора)

Выполните следующие действия, если нужно обойти запросы на доступ и разрешить администраторам напрямую назначать конкретных пользователей этого пакета для доступа. Пользователям не придется запрашивать пакет для доступа. По-прежнему можно задать параметры жизненного цикла, но параметры запроса в этом варианте отсутствуют.

1. В разделе Пользователи, которые могут запросить доступ выберите Нет (только прямые назначения администратора).

   

   После создания пакета для доступа можно напрямую назначить конкретных внутренних и внешних пользователей этому пакету для доступа. Если указать внешнего пользователя, в каталоге создается учетная запись гостевого пользователя. Сведения о непосредственном назначении пользователей см. в разделе Просмотр, добавление и удаление назначений для пакета для доступа.

2. Перейдите к разделу Включение запросов.

Примечание.

При назначении пользователей для пакета доступа администраторам необходимо будет убедиться, что пользователи имеют право на этот пакет доступа в соответствии с существующими требованиями политики. В противном случае пользователи не будут успешно назначены для пакета доступа. Если пакет для доступа содержит политику, требующую утверждения запросов пользователей, пользователи не могут быть непосредственно назначены для пакета без необходимости утверждения от назначенных утверждающих лиц.

Открытие и изменение параметров запроса для существующей политики

Чтобы изменить параметры запроса и утверждения для пакета для доступа, необходимо открыть соответствующую политику с этими параметрами. Выполните следующие действия, чтобы открыть и изменить параметры запроса для политики назначения пакетов для доступа.

1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

   Совет

   Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.

2. Перейдите к Управление удостоверениями>Управление правами>Пакет доступа.

3. На странице пакетов Access откройте пакет доступа, параметры запроса политики которого необходимо изменить.

4. Выберите политики и выберите политику, которую вы хотите изменить.

   В нижней части страницы откроется панель сведений о политике.

   

5. Выберите "Изменить", чтобы изменить политику.

   

6. Перейдите на вкладку "Запросы", чтобы открыть параметры запроса.

7. Выполните действия, описанные в предыдущих разделах, чтобы внести необходимые изменения в параметры запроса.

8. Перейдите в раздел Включение запросов.

Активировать запросы

1. Если необходимо, чтобы пакет для доступа стал немедленно доступен для запросов пользователей в политике запросов, переведите переключатель «Включить» в положение Да.

   Его можно активировать в любой момент после создания пакета для доступа.

   Если выбран вариант Нет (только прямые назначения администратора), а переключатель включения установлен в положение Нет, то администраторы не смогут напрямую назначать этот пакет для доступа.

   

2. Выберите Далее.

3. Если требуется, чтобы запрашивающие пользователи предоставили дополнительные сведения при запросе доступа к пакету доступа, выполните действия, описанные в разделе "Изменение параметров сведений об утверждении и запросе" для пакета доступа в управлении правами для настройки сведений о запросе.

4. Настройте параметры жизненного цикла.

5. Если вы изменяете политику, выберите "Обновить". Если вы добавляете новую политику, нажмите кнопку "Создать".

Создание политики назначения пакетов доступа программным способом

Можно программным способом создать политику назначения для пакета доступа двумя способами: с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.

Создание политики назначения пакета доступа с помощью Graph

Вы можете создать политику с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением, которое имеет делегированное EntitlementManagement.ReadWrite.All разрешение, или приложение в роли каталога или с EntitlementManagement.ReadWrite.All разрешением может вызывать API создания политики назначения.

Создание политики назначения пакетов доступа с помощью PowerShell

Вы также можете создать пакет доступа в PowerShell с помощью командлетов модуля Microsoft Graph PowerShell для управления удостоверениями версии 2.1.x или более поздней версии модуля.

В следующем скрипте показано, как создается политика для непосредственного назначения пакету доступа. В этой политике только администратор может назначить доступ, и нет утверждений или проверок доступа. Дополнительные примеры см. в разделе "Создание политики автоматического назначения" и "создание политики назначения" для примеров.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Запрет запросов от пользователей с несовместимым доступом

Помимо проверок политики о том, кто может подавать запросы, вы можете пожелать дополнительно ограничить доступ, чтобы предотвратить получение чрезмерного доступа пользователем, который уже имеет некоторый доступ через группу или другой пакет доступа.

Если вы хотите настроить так, чтобы пользователь не мог запросить пакет доступа, если у него уже есть назначение к другому пакету доступа или он является членом группы, выполните шаги по настройке разделения обязанностей для пакета доступа.

Следующие шаги

• Изменение параметров утверждения для пакета для доступа
• Изменение параметров жизненного цикла пакета для доступа
• Просмотр запросов на доступ к пакету