在权利管理中为访问包配置自动分配策略

  • 项目

在属于 Microsoft Entra 的 Microsoft Entra ID 中,可以使用规则根据用户属性确定访问包分配。 在权利管理中,一个访问包可以有多个策略,每个策略确定用户如何获得访问包的分配,以及持续多长时间。 作为管理员,可以通过提供成员身份规则来建立自动分配策略,权利管理遵循该规则来自动创建和删除分配。 与动态组类似,在创建自动分配政策时,会评估用户属性是否与策略的成员身份规则匹配。 当用户的属性更改时,将处理访问包中的这些自动分配策略规则以更改成员身份。 然后,根据用户是否符合规则标准来添加或删除对用户的分配。

访问包中最多只能有一个自动分配策略,并且该策略只能由管理员创建。 (目录所有者和访问包管理员无法创建自动分配策略。)

本文介绍如何为现有访问包创建访问包自动分配策略。

开始之前

你需要为将在访问权限分配范围内的用户填充属性。 可以在访问包分配策略的规则条件中使用的属性是支持的属性以及扩展属性和自定义扩展属性中列出的那些属性。 可以通过利用 Microsoft Entra Connect Sync 等 HR 系统修补用户来将这些属性引入 Microsoft Entra ID。每个策略最多可涵盖 5000 名用户。

许可要求

使用此功能需要 Microsoft Entra ID Governance 许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

创建自动分配策略

提示

本文中的步骤可能因开始使用的门户而略有不同。

若要为访问包创建策略,需要从访问包的策略选项卡开始。请按照以下步骤为访问包创建新自动分配策略。

必备角色:全局管理员或标识治理管理员

  1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“权利管理”>“访问包”。

  3. 在“访问包”页上,打开访问包。

  4. 依次选择“策略”和“添加自动分配策略”以创建新策略。

  5. 在第一个选项卡中,指定规则。 选择“编辑” 。

  6. 使用成员身份规则生成器或单击规则语法文本框中的“编辑”,提供动态成员身份规则。

    注意

    规则生成器可能无法显示在文本框中构建的某些规则,并且当前验证规则需要你具有“全局管理员”角色。 有关详细信息,请参阅 Microsoft Entra 管理中心中的规则生成器

    访问包自动分配策略规则配置的屏幕截图。

  7. 选择“保存”以关闭动态成员身份规则编辑器。

  8. 默认情况下,自动创建和删除分配的复选框应保持选中状态。

  9. 如果希望用户在超出范围后保留有限时间的访问权限,可以指定以小时或天为单位的持续时间。 例如,当员工离开销售部门时,你可能希望允许他们继续保留七天的访问权限,以允许他们使用销售应用,并将他们在这些应用中资源的所有权转移给另一名员工。

  10. 选择“下一步”以打开“自定义扩展”选项卡。

  11. 如果目录中有自定义扩展,并且希望在策略分配或删除访问权限时运行这些扩展,则可以将它们添加到此策略。 然后选择“下一步”,以打开“评审”选项卡

  12. 键入策略的名称和说明。

    访问包自动分配策略“查看”选项卡的屏幕截图。

  13. 选择“创建”以保存策略。

    注意

    目前,权利管理将自动创建对应于每个策略的动态安全组,以便评估范围内的用户。 除权利管理本身外,不应修改此组。 此组也可能被权利管理自动修改或删除,因此不要将此组用于其他应用程序或场景。

  14. Microsoft Entra ID 会评估组织中属于此规则范围的用户,并将为尚未分配到访问包的用户创建分配。 策略可在其规则中最多涵盖 5,000 名用户。 评估可能需要几分钟时间,或者用户属性的后续更新会反映在访问包分配中。

以编程方式创建自动分配策略

可通过两种方式以编程方式创建访问包分配策略以自动进行分配:Microsoft Graph 和 PowerShell cmdlets for Microsoft Graph。

通过 Graph 创建访问包分配策略

可以使用 Microsoft Graph 创建策略。 如果用户具有某个应用程序的适当角色,且该应用程序具有委托的 EntitlementManagement.ReadWrite.All 权限,或如果用户具有某个应用程序的目录角色或具有 EntitlementManagement.ReadWrite.All 权限,则可调用 create an assignmentPolicy API。 在请求有效负载中,包含策略的 displayNamedescriptionspecificAllowedTargetsautomaticRequestSettingsaccessPackage 属性。

通过 PowerShell 创建访问包分配策略

还可使用 Microsoft Graph PowerShell cmdlet for Identity Governance 模块 1.16.0 或更高版本中的 cmdlet 在 PowerShell 中创建策略。

下面的脚本演示了如何使用 v1.0 配置文件来创建策略,以便自动分配到访问包。 有关更多示例,请参阅创建 assignmentPolicy

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

后续步骤