重要
2025 年 7 月,我们宣布将更改范围限定为“特定用户和组”的访问包的可见性行为。 先前宣布的访问包可见性更改已取消。 目前无需执行任何作。
“我的访问”门户是用户在 Microsoft Entra 中请求、批准和审核其资源访问的中央位置。 对于管理员,Microsoft Entra 管理中心提供了额外的功能,能够配置访问包,并进行访问评审。
在 Microsoft Entra 中管理对资源的访问时,了解访问包在 “我的访问”门户中 向用户显示的方式至关重要。 访问包可见性确定哪些包用户可以发现和请求,并受多个配置设置和计划更改的影响。 本文详细概述了在“我的访问”门户中控制访问包可见性的因素,介绍了它当前的工作原理,并重点介绍了 2025 年 10 月 10 日生效的重要更改。
发现可请求的访问包
当用户登陆“可用”选项卡上时,搜索可请求的包,或选择“查看所有”,Microsoft Entra 将评估他们应该能够查看哪些访问包并可能请求。 此可见性由特定检查序列确定。
以下流程图在选择时可放大,其中展示了用于确定特定用户的浏览/搜索视图中是否会显示访问包的当前逻辑。
说明当前可视化流程
此图的逻辑如下所示:
是否已启用目录? 系统首先检查是否启用了包含访问包的目录。 如果禁用了整个目录,则其包无法被查找。
最终用户是外部用户吗? 系统检查用户是外部用户还是内部用户。 这会影响下一步。
- (如果外部用户)是否为外部用户启用了目录? 对于外部用户,还必须在设置中为外部用户启用目录。 否则,外部用户看不到此目录中的包。 内部用户跳过此检查。
访问包是否隐藏? 这会直接检查访问包属性中的特定“隐藏”设置(在“编辑”下)。 如果设置为“是”,则无论策略如何,包都会隐藏在浏览/搜索视图中。
访问包是否至少存在一个“谁可以请求”与最终用户匹配的已启用策略? 这是最终的关键策略检查。 系统查找与满足以下所有条件的访问包关联的 至少一个策略 :
策略本身已启用(在策略 UI 中,“启用新请求”设置已开启)。
策略的“谁可以请求”设置在逻辑上包括当前用户,其依据是用户的标识、组成员身份或连接的组织附属关系。
设置为“无(仅限管理员直接分配)”的策略不会使包在浏览或搜索功能中可见。
如果 所有这些 检查都通过,则访问包在用户的浏览/搜索视图中可见。 否则,它不可见。