如何将用户和组分配到流量转发配置文件
使用全局安全访问流量转发功能,可以将特定用户和组分配到流量转发配置文件。 用户或组分配会限制流量转发配置文件的范围,因此就有一种机制,可以安全地按可控的速度推出配置文件。
本文介绍如何将特定用户和组分配到流量转发配置文件。
先决条件
若要将流量转发配置文件分配到特定的用户和组,必须具有:
- Microsoft Entra ID 中的全局安全访问管理员角色,可以查看流量转发配置文件。
- 应用程序管理员角色,可以将流量配置文件分配到选定的用户和组。
- 产品需要许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。
- 所需的最低全局安全访问客户端版本为 1.7.376.0。 低于此版本的客户端无法接收分配到用户的流量转发配置文件。
将流量转发配置文件分配到特定的用户和组
如果已启用某个流量转发配置文件,则默认情况下,该流量配置文件将分配到所有用户。 如果尚未启用某个流量转发配置文件,则启用它时,不会将流量分配到任何用户。 用户和组分配设置允许以受控方式向特定的一组用户推出该功能。
屏幕截图演示了该设置。 Microsoft 配置文件已被禁用且未分配到任何用户和组。 专用访问和 Internet 访问配置文件已启用且已分配到所有用户。
可以在启用流量配置文件之前或之后配置用户和组分配。 必须启用流量配置文件才能获取和转发任何流量。 有关详细信息,请参阅关于流量转发配置文件。
如何将用户和组分配到流量配置文件
以全局安全访问管理员和应用程序管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“全球安全访问”>“连接”>“流量转发”。
在“用户和组分配”部分选择“查看”链接。
选择“已分配 0 个用户,0 个组”链接。
选择“添加用户/组”。
选择“未选择”链接,从列表中选择用户和/或组,然后选择“选择”按钮。
- “全部”列表将用户和组分组在一起。 选择“用户”或“组”选项卡来缩小列表范围。
- 还可以使用“搜索”框直接查找用户或组。
选择“分配”按钮。
更改现有的用户和组分配
为已启用的流量配置文件更改用户和组分配的过程非常相似,只不过以下步骤有差别。
在“用户和组分配”部分选择“查看”链接时,需要将“分配到所有用户”设置更改为“否”。
查看确认消息,然后选择“确定”按钮。
继续执行上一部分中所述的步骤。
通过用户属性自动分配
可以创建一个动态用户组,并将其分配到满足特定条件的配置文件。 若要详细了解如何使用用户属性进行自动分配,请参阅“在 Microsoft Entra ID 中创建或更新动态组。
将流量配置文件分配到所有用户
将流量转发配置文件分配到特定的用户或组后,可以快速更改设置以将流量配置文件的范围限定为所有用户。 如果将其再次更改回特定的组,则最初分配到该流量转发配置文件的任何用户和组都将保留,因此无需再次添加。
浏览到“全球安全访问”>“连接”>“流量转发”。
在“用户和组分配”部分选择“查看”链接。
将“分配到所有用户”切换开关更改为“是”,查看确认消息,然后选择“确定”按钮。
选择“完成”按钮。
将所有用户分配还原为特定用户或组
可以将所有用户的分配还原为流量配置文件。 关闭所有用户的分配时,将会还原到打开其时分配的用户和组。
浏览到“全球安全访问”>“连接”>“流量转发”。
在“用户和组分配”部分选择“查看”链接。
将“分配到所有用户”切换开关更改为“否”,查看确认消息,然后选择“确定”按钮。
选择“完成” 。
有关用户标识和组分配的说明
查看以下说明以更好地了解用户和组分配功能。
- 流量配置文件是代表登录到设备的 Microsoft Entra 用户提取的,而不是用户登录到客户端。
- 如果没有任何 Microsoft Entra 用户登录过,则仅当流量配置文件分配到所有用户时,才会提取该配置文件。 例如,如果你以本地管理员身份登录到设备,则你就是所有用户中的一员。
- 不支持同时登录到同一设备的多个用户。
- 安全组和将设置
SecurityEnabled设置为True的 Microsoft 365 组支持基于组的分配。 - 不支持嵌套组成员身份。 用户必须是分配给配置文件的组的直接成员。