通过

教程:使用自定义扩展性和逻辑应用集成 Microsoft Entra 权利管理与 Microsoft Teams

场景:当 Microsoft Teams 上的最终用户被接受或拒绝获取访问包时,使用自定义可扩展性和 Azure 逻辑应用程序自动向最终用户发送通知。

在本教程中,你将了解如何执行以下操作:

  • 将逻辑应用工作流添加到现有目录。
  • 将自定义扩展添加到现有访问包中的策略。
  • 在 Microsoft Entra ID 中注册应用程序以继续执行权利管理工作流
  • 配置 ServiceNow 以进行自动化身份验证。
  • 以最终用户身份请求获取访问包。
  • 以最终用户身份接收对请求的访问包的访问权限。

先决条件

  • 具有活动 Azure 订阅的 Microsoft Entra 用户帐户。 如果还没有帐户,可创建一个帐户
  • 至少为以下角色之一:云应用程序管理员、应用程序管理员或服务主体的所有者。

在目录中创建逻辑应用和自定义扩展

若要在目录中创建逻辑应用和自定义扩展,请执行以下步骤:

  1. 至少以标识治理管理员的角色导航到 Microsoft Entra 管理中心的标识治理 - Microsoft Entra 管理中心

    提示

    可以完成此任务的其他最低特权角色包括目录所有者和资源组所有者。

  2. 在左侧菜单中,选择“目录”。

  3. 选择要为其添加自定义扩展的目录,然后在左侧菜单中选择“自定义扩展”。

  4. 在标题导航栏中,选择“添加自定义扩展”。

  5. 在“基本信息”选项卡中,输入自定义扩展的名称以及工作流的说明。 这些字段将显示在“目录”页面的“自定义扩展”选项卡中。

  6. 选择“扩展类型”作为“请求工作流”,以便与创建请求的访问包的策略阶段、请求被批准的时间、授予分配的时间以及移除分配的时间相对应。

    注意

    可以为“到期前工作流”创建另一个自定义扩展。

    为权利管理创建自定义扩展的屏幕截图。

  7. 在“扩展配置”下,选择“启动并继续”,这将确保在触发此工作流后继续进行权利管理。 权利管理自定义扩展行为操作选项卡的屏幕截图。

  8. 在“详细信息”选项卡中,选择“创建新的逻辑应用”字段中的“是”,并提供 Azure 订阅和资源组详细信息以及逻辑应用名称。 选择“创建逻辑应用”。 展开的自定义扩展详细信息选择的屏幕截图。

  9. 它显示为“正在部署”,完成后,会显示成功消息,例如:成功部署新的逻辑应用的屏幕截图。

  10. 在“审阅并创建”中,查看自定义扩展的摘要,确保逻辑应用标注详细信息正确无误。 然后选择“创建”。

所关联逻辑应用的此自定义扩展现在会显示在“目录”下的“自定义扩展”选项卡中。 你可以在访问包策略中调用该扩展。

配置逻辑应用

  1. 所创建的自定义扩展将显示在“自定义扩展”选项卡下。在自定义扩展中选择“逻辑应用”,这会将你重定向到配置逻辑应用的页面。 “配置逻辑应用”屏幕的屏幕截图。
  2. 在左侧菜单中选择“逻辑应用设计器”。 “逻辑应用设计器”屏幕的屏幕截图。
  3. 通过选择右侧的三点图标删除“条件”,然后依次选择“删除”和“确定”。 删除后,页面会出现添加新步骤的选项。 设置逻辑应用设计器条件的屏幕截图。
  4. 选择“新建步骤”,会打开一个对话框,然后选择“全部”并展开连接器列表。 逻辑应用连接器列表的屏幕截图。
  5. 在出现的列表中,搜索并选择“Microsoft Teams”。 逻辑应用连接器列表中 Microsoft Teams 应用的屏幕截图。
  6. 在操作列表中,选择“在聊天或频道中发布消息”。 逻辑应用设计器中 Teams 操作的屏幕截图。
  7. 为“发布为”选择“流机器人”,为“发布位置”选择“与流机器人聊天”。 设置 Teams 发布消息参数的截图。
  8. 选择“收件人”会弹出一个选择“动态内容”的弹出窗口。 选择“ObjectID -Requestor-Objectid”。 设置 Teams 发布消息的收件人 ID 的屏幕截图。
  9. 在邮件中添加电子邮件内容。 还可以设置纯文本格式,或添加动态内容。 Teams 发布消息设置中的动态内容设置的屏幕截图。
  10. 选择“添加新参数”内部,选中“IsAlert”框,使消息显示在 Microsoft Teams 的活动源上。 在 Teams 发布消息设置中设置 isAlert 的屏幕截图。
  11. 选择“保存”以确保存储更改。 逻辑应用现在已准备好在对其链接的访问包进行更新时发送电子邮件。

将自定义扩展添加到现有访问包中的策略

在目录中设置自定义扩展性后,管理员可以创建一个访问包以及在请求获得批准后触发自定义扩展的策略。 这样管理员可以定义特定的访问要求,并定制访问评审过程以满足其组织的需求。

  1. 在至少以标识治理管理员身份登录的标识治理门户中,选择“访问包”。

    提示

    可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。

  2. 从已创建的访问包列表中选择要为其添加自定义扩展(逻辑应用)的访问包。

  3. 选择“编辑”,在“属性”下将目录更改为之前在在目录中创建逻辑应用和自定义扩展部分中使用的目录,然后选择“保存”。

  4. 切换到“策略”选项卡,选择该策略并选择“编辑”。

  5. 在策略设置中,转到“自定义扩展”选项卡。

  6. 在“阶段”下方的菜单中,选择要用作此自定义扩展(逻辑应用)的触发器的访问包事件。 在本文的场景中,若要在请求、批准、授予或移除访问包时触发自定义扩展逻辑应用工作流,请选择“已创建请求”、“已批准请求”、“已授予分配”和“已删除分配”。 访问包的自定义扩展策略的屏幕截图。

  7. 选择“更新”以将其添加到现有访问包的策略。

将自定义扩展添加到新的访问包

  1. 在 Identity Governance 门户中,选择“访问包”并创建一个新的访问包。

  2. 在“基本信息”选项卡下,添加在目录中创建逻辑应用和自定义扩展部分中使用的策略名称、说明和目录。 创建访问包的屏幕截图。

  3. 添加所需的“资源角色”。

  4. 添加所需的“请求”。

  5. 如有必要,请提供“请求者信息”。

  6. 添加“生命周期”详细信息。

  7. 在“自定义扩展”选项卡下,在“阶段”下方的菜单中,选择要用作此自定义扩展(逻辑应用)的触发器的访问包事件。 在本文的场景中,若要在请求、批准、授予或移除访问包时触发自定义扩展逻辑应用工作流,请选择“已创建请求”、“已批准请求”、“已授予分配”和“已删除分配”。 访问包策略选择的屏幕截图。

  8. 在“审阅并创建”中,查看访问包的摘要,并确保详细信息正确无误,然后选择“创建”。

注意

如果你希望创建新的访问包,请选择“新建访问包”。 有关如何创建访问包的详细信息,请参阅:在权利管理中创建新的访问包。 有关如何编辑现有访问包的详细信息,请参阅:在 Microsoft Entra 权利管理中更改访问包的请求设置

验证

若要验证是否成功集成 Microsoft Teams,需要在将自定义扩展添加到新访问包部分创建的访问包中添加或删除用户。 用户将收到来自 Power Automate 的关 Microsoft Teams 的通知。