在权利管理中配置访问包的已验证 ID 设置
设置访问包策略时,管理员可以指定它是针对目录中的用户、连接的组织还是任何外部用户。 权利管理确定请求访问包的人员是否在策略范围内。
有时,你可能希望用户在请求过程中提供其他身份证明,例如培训认证、工作授权或公民身份。 作为访问包管理者,你可以要求请求者提供一个包含来自受信任颁发者的那些凭据的已验证 ID。 然后,审批者可以快速查看在用户提供其凭据并提交访问包请求时是否验证了用户的可验证凭据。
作为访问包管理者,你可以随时通过编辑现有策略或添加用于请求访问的新策略来包括访问包的已验证 ID 要求。
本文介绍如何配置访问包的经验证 ID 要求设置。
先决条件
开始之前,必须先将租户设置为使用 Microsoft Entra Verified ID 服务。 可在此处找到有关如何执行此操作的详细说明:为租户配置 Microsoft Entra Verified ID。
许可要求
使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
创建具有经验证 ID 要求的访问包
提示
本文中的步骤可能因开始使用的门户而略有不同。
若要向访问包添加已验证 ID 要求,必须从访问包的“请求”选项卡开始。请按照以下步骤将已验证 ID 要求添加到新的访问包。
必备角色:全局管理员
注意
标识治理管理员、用户管理员、目录所有者或访问包管理者将很快能够向访问包添加经验证 ID 要求。
以全局管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“访问包”。
在“访问包”页上,选择“+ 新建访问包”。
在“请求”选项卡上,滚动到“所需的已验证 ID”部分。
选择“+ 添加颁发者”,然后从 Microsoft Entra 验证 ID 网络中选择一个颁发者。 如果要向用户颁发自己的凭据,请参阅:从应用程序中颁发 Microsoft Entra Verified ID 凭据。
选择希望用户在请求过程中提供的凭据类型。
注意
如果从一个证书颁发者中选择多种凭据类型,则用户将需要提供所有所选类型的凭据。 同样,如果包含多个证书颁发者,用户将需要提供策略中包含的每个证书颁发者的凭据。 若要为用户提供呈现来自不同证书颁发者的不同凭据的选项,请为将要接受的每个证书颁发者/凭据类型配置单独的策略。
选择“添加”,将经验证 ID 要求添加到访问包策略。
完成其余设置的配置后,可以在“查看 + 创建”选项卡上查看选择项。可以在“验证 ID”部分中查看此访问包策略的所有验证 ID 要求。
请求具有经验证 ID 要求的访问包
为访问包配置已验证 ID 要求后,策略范围内的最终用户可以使用 My Access 门户请求访问。 同样,审批者可以在审查待审批请求时查看请求者提供的 VC 声明。
请求者步骤如下:
转到
myaccess.microsoft.com
并登录。搜索要请求访问的访问包(可以浏览列出的包或使用页面顶部的搜索栏)并选择“请求”。
如果访问包要求你提供已验证 ID,你应会看到如下所示的灰色信息横幅:
选择“请求访问”。 你现在应会看到 QR 码。 使用手机扫描 QR 码。 这会启动 Microsoft Authenticator,系统会提示你共享凭据。
共享凭据后,My Access 会自动将你定向到请求过程的下一步。