Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
作为访问包管理器,你可以通过编辑访问包分配请求的策略或向访问包添加新策略来更改可以随时请求访问包的标识。 本文介绍如何更改现有访问包分配策略的请求设置。
在一种或多种策略之间进行选择
指定谁可以请求访问包的方式是通过使用策略。 在创建新策略或编辑访问包中的现有策略之前,需要确定访问包需要多少个策略。
创建访问包时,可以指定存储在访问包的第一个策略上的请求、审批和生命周期设置。 大多数访问包都有一个用于请求访问权限的标识策略,但单个访问包可以有多个策略。 如果要允许使用不同的请求和审批设置为不同的标识集授予分配,则可以为访问包创建多个策略。
例如,单个策略不能用于将内部和外部标识分配给同一访问包。 但是,可以在同一访问包中创建两个策略,一个用于内部标识,一个用于外部标识。 如果有多个策略适用于用户请求,则会在请求时提示他们选择要分配到的策略。 下图显示了具有两个策略的访问包。
除了用于身份请求访问的策略外,还可以制定用于自动分配的策略,以及管理员或目录所有者直接分配的策略。
我将需要多少个策略?
| 场景 | 策略数 |
|---|---|
| 我希望目录中的所有身份对访问包具有相同的请求和审批设置 | 一个 |
| 我希望特定已连接组织中的所有身份都能请求访问包 | 一个 |
| 我想允许目录中的标识以及目录外部的标识请求访问包 | 两个 |
| 我想为某些标识指定不同的审批设置 | 每个身份组对应一个 |
| 我希望某些身份的访问包分配过期,而其他身份可以延长他们的访问权限。 | 每个身份组对应一个 |
| 我希望某些标识请求访问权限和其他标识由管理员分配访问权限 | 两个 |
| 我希望组织中的某些标识能够自动获得访问权限,另外一些标识可以请求访问权限,而其他标识则由管理员分配访问权限。 | 三 |
有关多个策略应用时使用的优先级逻辑的信息,请参阅 “多个策略”。
打开现有的访问包,添加具有不同请求设置的新策略
如果你有一组应具有不同请求和审批设置的标识,则可能需要创建新的策略。 按照以下步骤开始向现有访问包添加新策略:
以至少身份治理管理员的身份登录到Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。
浏览到 ID 治理>权限管理>访问权限包。
在“访问包”页上,打开要编辑的访问包。
选择“策略”,然后选择“添加策略”。
在“基本信息”选项卡上,键入策略的名称和说明。
选择“下一步”,打开“请求”选项卡。
更改“可请求访问的用户”设置。 按照以下部分中的步骤将设置更改为以下选项之一:
适用于目录中的用户
要想允许目录中的身份可以请求此访问包,请按照以下步骤操作。 定义请求策略时,可以指定单个标识或更常见的标识组。 例如,组织可能已经有一个组(例如“所有员工”)。 如果该组添加到可以请求访问权限的标识的策略中,则该组的任何成员都可以请求访问权限。
在“可以请求访问权限的用户”部分,选择“你目录中的用户”。
选择此选项后,会出现新的选项以进一步优化目录中哪些用户可以请求此访问包。
选择以下选项之一:
说明 特定用户和组 如果只希望目录中的指定用户和组可以请求此访问包,请选择此选项。 所有成员(不包括来宾) 如果希望目录中的所有成员用户都可以请求此访问包,请选择此选项。 此选项不包括你可能已邀请到目录中的任何来宾用户。 所有用户(包括来宾) 如果希望目录中的所有成员用户和来宾用户都可以请求此访问包,请选择此选项。 来宾用户是指已使用 Microsoft Entra B2B 邀请到您目录中的外部用户。 有关成员用户与来宾用户之间的差异的详细信息,请参阅
Microsoft Entra ID? 。如果已选择“特定用户和组”,请选择“添加用户和组”。
在“选择用户和组”窗格中,选择要添加的用户和组。
选择“选择”以添加用户和组。
如果要要求审批,请使用 权利管理中访问包的更改审批设置中的 步骤来配置审批设置。
转到 “谁可以请求访问 ”部分。
对于不在您目录中的用户
不在目录中的用户是指位于其他Microsoft Entra目录或域中的用户。 这些用户可能尚未被邀请到目录中。 必须将 Microsoft Entra 目录配置为允许在 协作限制 中发出邀请。 有关详细信息,请参阅 “配置外部协作设置”。
注意事项
将为尚未在目录中的、其请求已获批准或自动批准的用户创建来宾用户帐户。 将邀请来宾,但他们不会收到邀请电子邮件。 相反,传递其访问包分配时,他们将收到电子邮件。 默认情况下,当该来宾用户不再具有任何访问包分配时,由于其上次分配已过期或已取消,该来宾用户帐户将被阻止登录并随后删除。 如果希望无限期地在目录中保留来宾用户(即使他们没有任何访问包分配),可以更改权利管理配置的设置。 有关来宾用户对象的详细信息,请参阅 Microsoft Entra B2B 协作用户的 Properties。
如果要允许不在目录中的用户请求此访问包,请执行以下步骤:
在“可以请求访问权限的用户”部分,选择“不在你目录中的用户”。
选择此选项时,将显示新选项。
选择请求访问权限的用户是需要隶属于现有的已连接组织,还是可以是 Internet 上的任何人。 连接的组织是指与你已有关系的组织,该关系可能拥有外部的 Microsoft Entra 目录或其他身份提供者。 选择以下选项之一:
说明 特定的已连接的组织 如果要从管理员之前添加的组织列表中选择,请选择此选项。 来自选定组织的所有用户都可以请求此访问包。 所有配置的关联组织 如果所有配置的已连接组织中的用户都可以请求此访问包,请选择此选项。 只有已配置连接的组织的用户可以请求访问包,因此,如果用户不是来自与现有连接组织关联的Microsoft Entra租户、域或标识提供者,他们将无法请求。 所有用户(所有连接的组织 + 任何新的外部用户) 如果 Internet 上的任何用户都应该能够请求此访问包,请选择此选项。 如果他们不属于目录中的已连接组织,则在请求包时将自动为其创建连接的组织。 自动创建的已连接组织将处于“建议”状态。 有关建议状态的详细信息,请参阅 连接的组织的 State 属性。 如果选择了“特定的已连接的组织”,请选择“添加目录”,从管理员之前添加的已连接的组织列表中进行选择。
键入名称或域名以搜索之前连接的组织。
如果要与之协作的组织不在列表中,则可以要求管理员将其添加为已连接的组织。 有关详细信息,请参阅 “添加连接的组织”。
选择所有已连接的组织后,选择“选择”。
注意事项
来自选定连接组织的所有用户都可以请求此访问包。 对于具有 Microsoft Entra 目录的连接组织,所有与 Microsoft Entra 目录相关联的已验证域中的用户都可以发出请求,除非这些域被 Azure B2B 的允许或阻止名单所限制。 有关详细信息,请参阅 允许或阻止来自特定组织的 B2B 用户的邀请。
接下来,使用 权利管理中访问包的更改审批设置 中的步骤来配置审批设置,以指定谁应该批准来自组织外用户的请求。
转到 “谁可以请求访问 ”部分。
无(仅限管理员直接分配)
如果希望绕过访问请求,并允许管理员直接将特定用户分配到访问包,请执行这些步骤。 用户无需请求访问包。 仍可以设置生命周期设置,但没有请求设置。
在“可请求访问的用户”部分,选择“无(仅限管理员直接分配)”。
创建访问包后,可以直接将特定的内部和外部用户分配到该访问包。 如果指定外部用户,会在目录中创建来宾用户帐户。 有关直接分配用户的信息,请参阅 查看、添加和删除访问包的分配。
跳到 “谁可以请求访问 ”部分。
注意事项
将用户分配到访问包时,管理员需要根据现有策略要求验证用户是否有资格获得该访问包。 否则,用户将无法成功分配到该访问包。 如果访问包包含要求批准用户请求的策略,则未经指定审批者的必要批准,无法将用户直接分配到该包。
打开和编辑现有策略的请求设置
若要更改访问包的请求和审批设置,需要打开包含这些设置的相应策略。 按照以下步骤打开并编辑访问包分配策略的请求设置:
以至少身份治理管理员的身份登录到Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。
浏览到 ID 治理>权限管理>访问权限包。
在“访问包”页上,打开要编辑其策略请求设置的访问包。
选择“策略”,然后选择要编辑的策略。
页面底部会打开“策略详细信息”窗格。
选择“编辑”以编辑策略。
选择“请求”选项卡,打开请求设置。
按照前面部分中的步骤,根据需要更改请求设置。
转到 “谁可以请求访问 ”部分。
谁可以请求访问权限
注意事项
以前,名为“启用新请求和分配”的设置控制了自助访问请求。 此功能现在更准确地反映在“自我”选项中。
选择谁可以获取访问权限和范围后,可以指定谁可以请求访问包的访问权限。 在这里,你可以授予“自我”、“管理员”或“经理”请求访问包的权限。
创建完访问包后,将来始终可以启用该策略。
如果选择了 “无”(仅管理员直接分配), 则无法选择可以请求访问分区框的人员。
选择“下一步”。
如果要要求请求者在请求访问包时提供其他信息,请使用 权利管理中访问包的更改审批和请求者信息设置 中的步骤来配置请求者信息。
配置生命周期设置。
如果要编辑策略,请选择“更新”。 如果要添加新策略,请选择“创建”。
以编程方式创建访问包分配策略
可通过 Microsoft Graph 和用于 Microsoft Graph 的 PowerShell cmdlet 以编程方式创建访问包分配策略。
通过 Graph 创建访问包分配策略
可以使用Microsoft Graph创建策略。 具有委派 EntitlementManagement.ReadWrite.All 权限的应用程序、目录角色中的应用程序或具有 EntitlementManagement.ReadWrite.All 应用程序权限的应用程序的相应角色的用户可以调用 创建 assignmentPolicy API。
通过 PowerShell 创建访问包分配策略
还可以在 PowerShell 中使用标识治理的 Microsoft Graph PowerShell cmdlet 模块版本 2.1.x 或更高版本的 cmdlet 创建访问包。
以下脚本演示如何创建直接分配到访问包的策略。 在此策略中,只有管理员可以分配访问权限,但没有审批或访问评审。 有关如何创建自动分配策略的示例,请参阅创建自动分配策略,有关更多示例,请参阅创建 assignmentPolicy。
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
阻止来自具有不兼容访问权限的标识的请求
除了策略检查谁可以请求,你可能还希望进一步限制访问,以避免已通过组或其他访问包拥有某些访问权限的标识获取过多的访问权限。
如果要配置一个标识不允许请求访问包,如果他们已经被分配了其他访问包或者是组成员,请使用配置访问包的职责分离检查的步骤。