利用权利管理,管理员能够创建访问包来管理其组织的资源。 管理员可以将标识直接分配给访问包,或配置允许用户和组成员请求访问权限的访问包策略。 创建自助服务流程的选项非常有用,尤其是在组织缩放和雇佣更多员工时。 但是,加入组织的新员工可能并不总是知道需要访问哪些内容以及如何请求访问权限。 在这种情况下,新员工可能会依赖管理人员来指导其完成访问权限请求过程。 管理人员可以为员工请求访问包,而不是让新员工浏览请求流程,从而使入职过程更快、更流畅。 若要为管理人员启用此功能,管理员可以在设置访问包策略时选择允许管理人员代表其员工请求访问权限的选项。
扩展自助服务请求流以允许代表身份的请求,可确保身份能及时获得必要的资源,并提高生产力。
管理人员代表员工进行请求的场景
假设组织每年招聘数百名新员工,而你的任务是负责培训新员工 IT 流程,包括如何请求访问“我的访问权限”中的资源。 培训课程只在每月初举行,因此管理人员通常会为月末入职的新员工组织临时培训。 这种情况正变得越来越常见。
可以设置允许管理人员代表员工请求访问权限的访问包策略,而不是组织大量临时培训课程以确保新员工知道如何在加入组织的第一周或几周内请求访问权限。
现在,管理人员有权代表尚未接受 IT 培训的新员工请求访问权限。 这可确保员工拥有从第一天开始工作所需的工具和资源,并提高新员工的满意度,因为他们不需要等待访问权限或自行浏览请求流程。
先决条件
配置允许代表请求的访问包策略
按照以下步骤编辑现有访问包的策略(允许代表请求):
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>访问包。
选择要代表请求设置的访问包。
选择要编辑的策略或创建新策略。
在“请求”选项卡上,将“启用新请求”设置为“是”。 这应显示“ 允许经理代表员工请求”选项。 将此选项设置为“是”。
保存策略。
代表员工请求访问包
作为经理,可通过执行以下步骤来为直接下属请求访问包:
在 https://myaccess.microsoftonline.cn 登录到“我的访问权限”门户。
在“我的访问权限”门户页上,选择“访问包”。
在“访问包”页上,找到要为直接下属请求的访问包,然后选择“请求”。
在 请求详细信息 下的面板中,选择代表 其他人请求。
填写为直接下属请求访问包所需的其他信息。
选择“提交请求”。
代表经理请求的员工批准访问权限
若要以经理身份代表员工批准访问包,请执行以下步骤来批准访问权限:
在 https://myaccess.microsoftonline.cn 登录到“我的访问权限”门户。
在左侧菜单中,选择“审批”即可看到待审批的访问请求列表。
在“挂起”选项卡上找到请求。
代表员工批准或拒绝请求。
使用“我的访问”门户管理团队分配
对于支持代表请求的策略的访问包分配,当管理员选择启用该功能时,经理也可以通过“我的访问”门户管理他们的直接下属的访问包分配。 管理功能包括:
- 能够查看其所有直接下属的已分配访问包。
- 如果策略支持代表请求,则可以删除报告的任务分派。
在“我的访问门户”中管理团队之前,请执行以下步骤,确保已配置管理团队设置:
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
小窍门
可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。
浏览到 ID 治理>权限管理>控制配置。
在“控件配置”页上,选择最终用户卡的“我的访问”设置上的 视图设置 。
在终端用户设置页上,确保已选中 “查看下属的访问包分配(预览版)”。
选择“保存”。
启用此设置后,执行以下步骤,使用“我的访问”门户管理团队分配:
以团队的直接经理身份登录https://myaccess.microsoftonline.cn“My Access”门户,管理该团队的访问包分配。
在左侧菜单中,选择 “管理团队 ”以查看直接报表的列表。
选择员工以查看其工作分配的列表。
在分配页上,可以看到其当前访问包分配的列表。 还可以选择删除访问,以终止该用户特定的访问包分配。
