在权利管理中更改访问包的请求设置

作为访问包管理员,你可以通过编辑访问包分配请求的策略或向访问包添加新策略,随时更改可以请求访问包的用户。 本文介绍如何更改现有访问包分配策略的请求设置。

在一种或多种策略之间进行选择

指定谁可以请求访问包的方式是使用策略。 在创建新策略或编辑访问包中的现有策略之前,需要确定访问包需要多少个策略。

创建访问包时,可以指定存储在访问包的第一个策略上的请求、审批和生命周期设置。 大多数访问包具有针对用户申请访问权限的单个策略,但单个访问包可以具有多个策略。 如果希望允许使用不同的请求和审批设置为不同的用户组授予分配,可为单个访问包创建多个策略。

例如,单个策略不可用于将内部和外部用户分配到同一个访问包。 但是,可在同一个访问包中创建两个策略,一个用于内部用户,一个用于外部用户。 如果对某个用户应用了多个请求的策略,当用户请求选择要分配到的策略时,系统会提示他们。 下图显示了具有两个策略的访问包。

说明多个策略以及多个资源角色可以包含在访问包中的图表。

除用户请求访问权限的策略外,还可包含自动分配的策略,以及由管理员或目录所有者直接分配的策略。

我将需要多少个策略?

方案 策略数
我希望目录中的所有用户对访问包具有相同的请求和审批设置 一个
我希望某些已连接组织中的所有用户能够请求访问包 一个
我希望允许目录中的用户以及目录外的用户请求访问包 两个
我希望为某些用户指定不同的审批设置 每个用户组一个
我希望某些用户访问包分配过期,而其他用户可以延长访问权限 每个用户组一个
我希望一些用户请求访问权限,其他用户由管理员分配访问权限 两个
我希望组织中的一些用户自动接收访问权限,组织中的其他用户能够请求访问权限,而其他用户由管理员分配访问权限 三级

有关多个策略适用时使用的优先级逻辑的信息,请参阅多个策略

打开现有的访问包,添加具有不同请求设置的新策略

提示

本文中的步骤可能因开始使用的门户而略有不同。

如果有一组用户应具有不同的请求和审批设置,则可能需要创建新策略。 按照以下步骤开始向现有访问包添加新策略:

  1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心

    提示

    可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。

  2. 浏览到“标识治理”>“权利管理”>“访问包”。

  3. 在“访问包”页上,打开要编辑的访问包。

  4. 选择“策略”,然后选择“添加策略”。

  5. 在“基本信息”选项卡上,键入策略的名称和说明。

    创建策略并输入名称和说明

  6. 选择“下一步”,打开“请求”选项卡。

  7. 更改“可请求访问的用户”设置。 按照以下部分中的步骤将设置更改为以下选项之一:

适用于目录中的用户

如果你希望目录中的用户可请求此访问包,请执行以下步骤。 定义请求策略时,可以指定单个用户,也可以指定用户组(通常做法)。 例如,组织可能已经有一个组(例如“所有员工”)。 如果将该组添加到可以请求访问权限的用户的策略中,则该组的任何成员都可以请求访问权限。

  1. 在“可以请求访问权限的用户”部分,选择“你目录中的用户”。

    选择此选项后,会出现新的选项以进一步优化目录中哪些用户可以请求此访问包。

    访问包 - 请求 - 你目录中的用户

  2. 选择以下选项之一:

    说明
    特定用户和组 如果只希望目录中的指定用户和组可以请求此访问包,请选择此选项。
    所有成员(不包括来宾) 如果希望目录中的所有成员用户都可以请求此访问包,请选择此选项。 此选项不包括你可能已邀请到目录中的任何来宾用户。
    所有用户(包括来宾) 如果希望目录中的所有成员用户和来宾用户都可以请求此访问包,请选择此选项。

    来宾用户是指通过 Microsoft Entra B2B 邀请到目录中的外部用户。 有关成员用户和来宾用户之间差异的详细信息,请参阅 Microsoft Entra ID 中的默认用户权限是什么?

  3. 如果已选择“特定用户和组”,请选择“添加用户和组”。

  4. 在“选择用户和组”窗格中,选择要添加的用户和组。

    访问包 - 请求 - 选择用户和组

  5. 选择“选择”以添加用户和组。

  6. 如果需要审批,请按照在权利管理中更改访问包的审批设置中的步骤来配置审批设置。

  7. 转到启用请求部分。

适用于不在目录中的用户

“不在目录中的用户”是指位于其他 Microsoft Entra 目录或域中的用户。 这些用户可能尚未被邀请到目录中。 必须在“协作限制”中将 Microsoft Entra 目录配置为允许邀请。 有关详细信息,请参阅配置外部协作设置

注意

将为不是目录中的其请求已审批或自动审批的用户创建来宾用户帐户。 将邀请来宾,但他们不会收到邀请电子邮件。 传递其访问包分配时,他们将收到电子邮件。 默认情况下,当来宾用户不再有任何访问包分配时(因为他们的上次分配已过期或已取消),将会阻止该来宾用户帐户登录并随后将其删除。 如果希望无限期地在目录中保留来宾用户(即使他们没有任何访问包分配),可以更改权利管理配置的设置。 有关来宾用户对象的详细信息,请参阅Microsoft Entra B2B 协作用户的属性

如果要允许不在目录中的用户请求此访问包,请执行以下步骤:

  1. 在“可以请求访问权限的用户”部分,选择“不在你目录中的用户”。

    选择此选项时,将显示新选项。

    访问包 - 请求 - 不在目录中的用户

  2. 选择请求访问权限的用户是需要隶属于现有的已连接组织,还是可以是 Internet 上的任何人。 已连接组织是指与你有预先存在的关系的组织,该组织可能具有外部 Microsoft Entra 目录或其他标识提供者。 选择以下选项之一:

    说明
    特定的已连接的组织 如果要从管理员之前添加的组织列表中选择,请选择此选项。 来自选定组织的所有用户都可以请求此访问包。
    所有配置的已连接组织 如果所有配置的已连接组织中的用户都可以请求此访问包,请选择此选项。 只有已配置的已连接组织中的用户才可请求访问包,因此,如果用户并非来自与现有已连接组织关联的 Microsoft Entra 租户、域或标识提供者,则其无法请求访问包。
    所有用户(所有已连接的组织 + 任何新外部用户) 如果 Internet 上的任何用户都应该能够请求此访问包,请选择此选项。 如果他们不属于目录中的已连接组织,则在请求包时将自动为其创建连接的组织。 自动创建的已连接组织将处于“建议”状态。 有关建议状态的详细信息,请参阅连接的组织的状态属性
  3. 如果选择了“特定的已连接的组织”,请选择“添加目录”,从管理员之前添加的已连接的组织列表中进行选择。

  4. 键入要搜索的之前已连接的组织的名称或域名。

    访问包 - 请求 - 选择目录

    如果要与之协作的组织不在列表中,则可以要求管理员将其添加为已连接的组织。 有关详细信息,请参阅添加已连接的组织

  5. 选择所有已连接的组织后,选择“选择”。

    注意

    来自选定连接组织的所有用户都可以请求此访问包。 对于具有 Microsoft Entra 目录的连接组织,与 Microsoft Entra 目录关联的所有已验证域的用户都可以请求,除非这些域被 Azure B2B 允许或拒绝列表阻止。 有关详细信息,请参阅允许或阻止向特定组织中的 B2B 用户发送邀请

  6. 接下来,请按照在权利管理中更改访问包的审批设置中的步骤来配置审批设置,以指定应由谁来批准组织外部用户的请求。

  7. 转到启用请求部分。

无(仅限管理员直接分配)

如果希望绕过访问请求,并允许管理员直接将特定用户分配到访问包,请执行这些步骤。 用户无需请求访问包。 仍可以设置生命周期设置,但没有请求设置。

  1. 在“可请求访问的用户”部分,选择“无(仅限管理员直接分配)”。

    访问包 - 请求 - 无(仅限管理员直接分配)

    创建访问包后,可以直接将特定的内部和外部用户分配到该访问包。 如果指定外部用户,会在目录中创建来宾用户帐户。 有关直接分配用户的详细信息,请参阅查看、添加和删除访问包的分配

  2. 跳到启用请求部分。

注意

将用户分配到访问包时,管理员需要根据现有策略要求验证用户是否有资格获得该访问包。 否则,用户将无法成功分配到该访问包。 如果访问包包含要求批准用户请求的策略,则未经指定审批者的必要批准,无法将用户直接分配到该包。

打开和编辑现有策略的请求设置

若要更改访问包的请求和审批设置,需要打开包含这些设置的相应策略。 按照以下步骤打开并编辑访问包分配策略的请求设置:

  1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心

    提示

    可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。

  2. 浏览到“标识治理”>“权利管理”>“访问包”。

  3. 在“访问包”页上,打开要编辑其策略请求设置的访问包。

  4. 选择“策略”,然后选择要编辑的策略。

    页面底部会打开“策略详细信息”窗格。

    访问包 -“策略详细信息”窗格

  5. 选择“编辑”以编辑策略。

    访问包 - 编辑策略

  6. 选择“请求”选项卡,打开请求设置。

  7. 按照前面部分中的步骤,根据需要更改请求设置。

  8. 转到启用请求部分。

启用请求

  1. 如果希望访问包立即可供请求策略中的用户使用以进行请求,请将“启用”切换开关移动到“是”。

    创建完访问包后,将来始终可以启用该策略。

    如果选择了“无(仅限管理员直接分配)”,并且将“启用”设置为“否”,则管理员无法直接分配此访问包 。

    访问包 - 策略 - 启用策略设置

  2. 选择下一步

  3. 如果希望要求请求者在请求访问访问包时提供额外信息,请使用在权利管理中更改访问包的审批和请求者信息设置中的步骤来配置请求者信息。

  4. 配置生命周期设置。

  5. 如果要编辑策略,请选择“更新”。 如果要添加新策略,请选择“创建”

以编程方式创建访问包分配策略

可通过两种方式以编程方式创建访问包分配策略:Microsoft Graph 和 PowerShell cmdlets for Microsoft Graph。

通过 Graph 创建访问包分配策略

可以使用 Microsoft Graph 创建策略。 如果用户具有某个应用程序的适当角色,且该应用程序具有委托的 EntitlementManagement.ReadWrite.All 权限,或如果用户具有某个应用程序的目录角色或具有 EntitlementManagement.ReadWrite.All 权限,则可调用 create an assignmentPolicy API。

通过 PowerShell 创建访问包分配策略

还可以通过适用于 Identity Governance 的 Microsoft Graph PowerShell cmdlet 模块 2.1.x 或更高模块版本中的 cmdlet 在 PowerShell 中创建访问包。

以下脚本演示如何创建直接分配到访问包的策略。 在此策略中,只有管理员可以分配访问权限,但没有审批或访问评审。 有关如何创建自动分配策略的示例,请参阅创建自动分配策略;有关更多示例,请参阅创建 assignmentPolicy

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

防止来自具有不兼容访问权限的用户的请求

除了对谁可以请求进行策略检查之外,你可能还希望进一步限制访问,以避免已经拥有某些访问权限的用户(通过组或其他访问包)获得过多访问权限。

如果你希望将用户配置为不能请求访问包,如果他们已经分配到另一个访问包或是组的成员,请使用为访问包配置职责分离检查中的步骤。

后续步骤