排查权利管理问题
本文介绍应检查哪些项目来帮助排查权利管理问题。
管理
如果你在配置权利管理时收到拒绝访问消息,而你是全局管理员,请确保你的目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance(或 EMS E5)许可证。 如果你最近续订了过期的 Microsoft Entra ID P2 或 Microsoft Entra ID 治理订阅,则可能需要 8 小时才能看到此许可证续订。
如果租户的 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证已过期,则无法处理新的访问请求或执行访问评审。
如果在创建或查看访问包时收到“访问被拒绝”的消息,并且你是目录创建者组的成员,则必须在创建第一个访问包之前创建目录。
资源
应用程序的角色由应用程序自身定义,并在 Microsoft Entra ID 中进行管理。 如果某个应用程序没有任何资源角色,则权利管理会将用户分配到一个默认访问角色。
Microsoft Entra 管理中心可能还会显示不能作为应用程序进行选择的服务的服务主体。 特别是,Exchange Online 和 SharePoint Online 是服务,而不是在目录中具有资源角色的应用程序,因此它们不能包含在访问包中。 相反,使用基于组的许可为需要访问这些服务的用户建立适当的许可。
如果应用程序仅支持个人 Microsoft 帐户用户进行身份验证但不支持目录中的组织帐户,则其没有应用程序角色,无法添加到访问包目录。
要使组成为访问包中的资源,该组必须能够在 Microsoft Entra ID 中可修改。 无法将源自于本地 Active Directory 的组分配为资源,因为无法在 Microsoft Entra ID 中更改其所有者或成员属性。 在 Microsoft Entra ID 中也无法修改作为通讯组源自于 Exchange Online 的组。
无法将 SharePoint 联机文档库和单个文档添加为资源。 改为创建一个 Microsoft Entra 安全组,在访问包中包含该组和站点角色,然后在 SharePoint Online 中使用该组来控制对文档库或文档的访问。
如果有已分配给要使用访问包管理的资源的用户,请确保已使用适当的策略将这些用户分配给访问包。 例如,你可能希望在访问包中包含一个组,该组中已有用户。 如果该组中的这些用户需要继续访问,则他们必须具有访问包的适当策略,以便不会失去对组的访问权限。 你可以通过请求用户请求包含该资源的访问包,或直接将其分配给访问包来分配访问包。 有关详细信息,请参阅访问包的更改请求和审批设置。
删除团队成员时,也会将其从 Microsoft 365 组中删除。 从团队的聊天功能中删除可能会延迟。 有关详细信息,请参阅组成员身份。
访问包
- 如果你在尝试删除访问包或策略时看到一条错误消息,该消息指出存在活动的分配,但你没有看到具有分配的用户,则请检查是否有任何最近删除的用户仍然具有分配。 在用户被删除后的 30 天时段内可以还原该用户帐户。
外部用户
当外部用户想要请求访问访问包时,请确保他们正在使用访问包的“我的访问权限”门户链接。 有关详细信息,请参阅请求访问包的共享链接。 如果外部用户只访问 My Access.microsoft.com 而不使用完整的“我的访问权限”门户链接,则其将在自己的组织(而非你的组织)中看到可用的访问包。
如果外部用户无法请求对访问包的访问权限或无法访问资源,请确保检查外部用户的设置。
如果以前未在目录中登录的新外部用户接收到包含 SharePoint Online 站点的访问包,则其访问包将显示为未完全传递,直到在 SharePoint Online 中预配了其帐户。 有关共享设置的详细信息,请参阅查看 SharePoint Online 外部共享设置。
请求
当用户想要请求访问访问包时,请确保他们正在使用访问包的“我的访问权限”门户链接。 有关详细信息,请参阅共享用来请求访问包的链接。
如果在浏览器设置为“专用”或“匿名”模式时打开“我的访问权限”门户,这可能会与登录行为产生冲突。 建议在访问“我的访问权限”门户时不要在浏览器的“专用”或“匿名”模式下使用。
当尚未在你的目录中的用户登录到“我的访问权限”门户以请求访问包时,请确保他们使用其组织帐户进行身份验证。 组织帐户可以是资源目录中的帐户,也可以是其他目录中的帐户,该目录包含在访问包的其中一个策略中。 如果用户的帐户不是组织帐户,或者策略中不包含他们验证的目录,那么用户将看不到访问包。 有关详细信息,请参阅请求访问访问包。
如果阻止用户登录到资源目录,则他们将无法在“我的访问权限”门户中请求访问。 必须从用户配置文件中删除登录块,用户才可以请求访问。 若要删除登录块,请在 Microsoft Entra 管理中心中依次选择“标识”和“用户”,选择用户,然后选择“配置文件”。 编辑“设置”部分,将“阻止登录”更改为“否”。 有关详细信息,请参阅使用 Microsoft Entra ID 添加或更新用户的配置文件信息。 还可以检查用户是否因Microsoft Entra ID 保护风险检测而被阻止。
在“我的访问权限”门户中,如果某个用户既是请求者又是审批者,该用户不会在“审批”页上看到自己对访问包的请求。 此行为是有意行为 - 用户无法批准自己的请求。 确保他们请求的访问包在策略上配置了其他审批者。 有关详细信息,请参阅访问包的更改请求和审批设置。
查看请求的传递错误
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者、访问包管理者和访问包分配管理者。
浏览到“标识治理”>“权利管理”>“访问包”。
选择“请求”。
选择要查看的请求。
如果该请求发生了任何传递错误,则请求状态将是“未传递”或“已部分传递”。
如果发生了任何传递错误,则请求的详细信息窗格中会显示传递错误计数。
通过选择计数,可查看该请求的所有传递错误。
重新处理请求
如果在触发访问包重新处理请求后遇到错误,则必须等待系统重新处理请求。 系统会在几小时内多次尝试重新处理,因此你不能在这段时间内强制重新处理。
你只能重新处理状态为“传递失败”或“已部分传递”且完成日期不到一周的请求。 否则,“重新处理”按钮会灰显。
如果在试用时段内修复了错误,则请求状态将更改为“正在传递”。 请求无需用户采取进一步操作即可重新处理。
如果在试用时段内未修复错误,则请求状态可能为“传递失败”或“已部分传递”。 然后,你可以使用“重新处理”按钮。 你有 7 天时间来重新处理请求。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者、访问包管理者和访问包分配管理者。
浏览到“标识治理”>“权利管理”>“访问包”,打开访问包。
选择“请求”。
选择要重新处理的请求。
在请求详细信息窗格中,选择“重新处理请求”。
取消挂起的请求
只能取消尚未传递或传递已失败的挂起请求。 否则,“取消”按钮将灰显。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者、访问包管理者和访问包分配管理者。
浏览到“标识治理”>“权利管理”>“访问包”,打开访问包。
选择“请求”。
选择要取消的请求。
在请求详细信息窗格中,选择“取消请求”。
自动分配策略
- 每个自动分配策略都可以在其规则范围内最多包含 15,000 个用户。 可能无法为规则范围内的其他用户分配访问权限。
多个策略
权利管理遵循最小特权最佳做法。 当用户请求访问应用了多个策略的访问包时,权利管理会包括相关逻辑,以便确保更严格或更具体的策略优先于通用策略。 如果策略是通用的,则权利管理可能不会向请求者显示该策略,也可能会自动选择更严格的策略。
例如,假设有一个访问包,其中有两个适用于目录中的用户的策略,这两个策略都应用于请求者。 第一个策略适用于包括请求者在内的特定用户。 第二个策略适用于目录中的所有用户。 在这种情况下,会自动为请求者选择第一个策略,因为这是更严格的策略。 不会为请求者提供选择第二个策略的选项。
如果应用了多个策略,则自动选择的策略或向请求者显示的策略将基于以下优先级逻辑:
策略优先级 作用域 P1 你的目录中的或特定的连接组织中的特定用户和组 P2 你的目录中的所有成员(不包括来宾) P3 你的目录中的或特定的连接组织中的所有用户(包括来宾) P4 所有配置的已连接组织或所有用户(所有连接的组织 + 任何新的外部用户) 如果有任何策略具有较高的优先级类别,则会忽略较低的优先级类别。 若要通过示例来了解如何将优先级相同的多个策略显示给请求者,请参阅选择策略。