Změna nastavení žádosti o přístup pro přístupový balíček ve správě nároků

Jako správce přístupových balíčků můžete kdykoli změnit uživatele, kteří si můžou vyžádat přístupový balíček, úpravou zásad pro žádosti o přiřazení přístupového balíčku nebo přidáním nové zásady do přístupového balíčku. Tento článek popisuje, jak změnit nastavení žádosti pro stávající zásady přiřazení přístupového balíčku.

Volba mezi jednou nebo více zásadami

Způsob, jakým určíte, kdo může požádat o přístupový balíček, je se zásadami. Před vytvořením nové zásady nebo úpravou existujících zásad v přístupovém balíčku je potřeba určit, kolik zásad přístupový balíček potřebuje.

Při vytváření přístupového balíčku můžete zadat nastavení požadavku, schválení a životního cyklu, které jsou uložené v první zásadě přístupového balíčku. Většina přístupových balíčků má jednu zásadu pro uživatele, kteří chtějí požádat o přístup, ale jeden přístupový balíček může mít více zásad. Pokud chcete povolit udělení přiřazení různým skupinám uživatelů s různými nastaveními žádosti a schválení, vytvořte pro přístupový balíček více zásad.

Jednu zásadu například nejde použít k přiřazení interních a externích uživatelů ke stejnému přístupovém balíčku. Ve stejném přístupovém balíčku ale můžete vytvořit dvě zásady, jednu pro interní uživatele a jednu pro externí uživatele. Pokud se na uživatele vztahuje více zásad, které se mají požadovat, zobrazí se mu v době žádosti výzva, aby vybrali zásadu, ke které se má přiřadit. Následující diagram znázorňuje přístupový balíček se dvěma zásadami.

Diagram, který znázorňuje více zásad spolu s více rolemi prostředků, může být součástí přístupového balíčku.

Kromě zásad pro uživatele, kteří chtějí požádat o přístup, můžete mít také zásady pro automatické přiřazení a zásady pro přímé přiřazení správci nebo vlastníky katalogu.

Kolik zásad budu potřebovat?

Scénář Počet zásad
Chci, aby všichni uživatelé v adresáři měli stejné nastavení žádosti a schválení pro přístupový balíček. Jeden
Chci, aby všichni uživatelé v určitých propojených organizacích mohli požádat o přístupový balíček. Jeden
Chci povolit uživatelům v adresáři a také uživatelům mimo adresář požádat o přístupový balíček Dva
Chci pro některé uživatele zadat různá nastavení schválení Jedna pro každou skupinu uživatelů
Chci, aby platnost přiřazení balíčků některým uživatelům vypršela, zatímco jiní uživatelé můžou přístup rozšířit. Jedna pro každou skupinu uživatelů
Chci, aby někteří uživatelé požádali o přístup a jiní uživatelé, kteří mají mít přiřazený přístup správcem Dva
Chci, aby někteří uživatelé v mé organizaci dostávali přístup automaticky, aby ostatní uživatelé v organizaci mohli požádat a jiní uživatelé, kteří mají mít přiřazený přístup správcem 3

Informace o logice priority, která se používá při použití více zásad, najdete v tématu Více zásad.

Otevřete existující přístupový balíček a přidejte novou zásadu s jiným nastavením žádosti.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud máte sadu uživatelů, kteří by měli mít různá nastavení požadavků a schválení, budete pravděpodobně muset vytvořit novou zásadu. Pokud chcete začít přidávat nové zásady do existujícího přístupového balíčku, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček, který chcete upravit.

  4. Vyberte Zásady a pak přidejte zásadu.

  5. Na kartě Základy zadejte název a popis zásady.

    Vytvoření zásady s názvem a popisem

  6. Výběrem možnosti Další otevřete kartu Žádosti .

  7. Změňte nastavení přístupu uživatelů, kteří můžou požádat o přístup. Pomocí kroků v následujících částech změňte nastavení na jednu z následujících možností:

Pro uživatele ve vašem adresáři

Pokud chcete uživatelům ve vašem adresáři povolit, aby mohli požádat o tento přístupový balíček, postupujte podle těchto kroků. Při definování zásad žádosti můžete určit jednotlivé uživatele nebo častěji skupiny uživatelů. Vaše organizace už například může mít skupinu, například Všichni zaměstnanci. Pokud je tato skupina přidaná do zásad pro uživatele, kteří můžou požádat o přístup, může o přístup požádat libovolný člen této skupiny.

  1. V části Uživatelé, kteří můžou požádat o přístup, vyberte Možnost Pro uživatele ve vašem adresáři.

    Když vyberete tuto možnost, zobrazí se nové možnosti, které dále upřesní, kdo v adresáři může požádat o tento přístupový balíček.

    Přístupový balíček – Žádosti – Pro uživatele ve vašem adresáři

  2. Vyberte jednu z následujících možností:

    Popis
    Konkrétní uživatelé a skupiny Tuto možnost zvolte, pokud chcete, aby tento přístupový balíček mohli požadovat pouze uživatelé a skupiny ve vašem adresáři, které zadáte.
    Všichni členové (s výjimkou hostů) Tuto možnost zvolte, pokud chcete, aby všichni členové ve vašem adresáři mohli požádat o tento přístupový balíček. Tato možnost nezahrnuje žádné uživatele typu host, které jste možná pozvali do adresáře.
    Všichni uživatelé (včetně hostů) Tuto možnost zvolte, pokud chcete, aby tento přístupový balíček mohli požádat všichni členové a uživatele typu host ve vašem adresáři.

    Uživatelé typu host odkazují na externí uživatele, kteří byli pozváni do vašeho adresáře s Microsoft Entra B2B. Další informace o rozdílech mezi uživateli člena a uživateli typu host naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.

  3. Pokud jste vybrali konkrétní uživatele a skupiny, vyberte Přidat uživatele a skupiny.

  4. V podokně Vybrat uživatele a skupiny vyberte uživatele a skupiny, které chcete přidat.

    Přístupový balíček – Žádosti – Výběr uživatelů a skupin

  5. Výběrem možnosti Vybrat přidáte uživatele a skupiny.

  6. Pokud chcete vyžadovat schválení, pomocí kroků v nastavení změnit schválení přístupového balíčku ve správě nároků nakonfigurujte nastavení schválení.

  7. Přejděte do části Povolit žádosti .

Pro uživatele, kteří nejsou ve vašem adresáři

Uživatelé, kteří nejsou ve vašem adresáři , odkazují na uživatele, kteří jsou v jiném adresáři nebo doméně Microsoft Entra. Tito uživatelé možná ještě nebyli pozváni do vašeho adresáře. Adresáře Microsoft Entra musí být nakonfigurované tak, aby povolovaly pozvánky v omezeních spolupráce. Další informace najdete v článku Konfigurace nastavení externí spolupráce.

Poznámka:

Uživatelský účet typu host se vytvoří pro uživatele, který ještě není ve vašem adresáři, jehož žádost je schválena nebo automaticky schválena. Host bude pozván, ale neobdrží e-mail s pozvánkou. Místo toho obdrží e-mail při doručení přiřazení přístupového balíčku. Pokud už uživatel typu host nemá přiřazení přístupového balíčku, protože jeho poslední přiřazení vypršelo nebo bylo zrušeno, bude tento uživatelský účet typu host ve výchozím nastavení zablokován v přihlášení a následném odstranění. Pokud chcete, aby uživatelé typu host zůstali ve vašem adresáři neomezeně dlouho, i když nemají přiřazení přístupového balíčku, můžete změnit nastavení konfigurace správy nároků. Další informace o objektu uživatele typu host naleznete v tématu Vlastnosti uživatele spolupráce Microsoft Entra B2B.

Pokud chcete uživatelům, kteří nejsou ve vašem adresáři, povolit, aby požádali o tento přístupový balíček, postupujte takto:

  1. V části Uživatelé, kteří mohou požádat o přístup, vyberte Možnost Pro uživatele, kteří nejsou ve vašem adresáři.

    Když vyberete tuto možnost, zobrazí se nové možnosti.

    Přístupový balíček – Žádosti – Pro uživatele, kteří nejsou ve vašem adresáři

  2. Vyberte, jestli uživatelé, kteří můžou požádat o přístup, musí být přidruženi k existující připojené organizaci, nebo můžou být všichni na internetu. Propojená organizace je ta, se kterou máte existující vztah, který může mít externí adresář Microsoft Entra nebo jiný zprostředkovatel identity. Vyberte jednu z následujících možností:

    Popis
    Konkrétní propojené organizace Tuto možnost zvolte, pokud chcete vybrat ze seznamu organizací, které správce přidal dříve. O tento přístupový balíček můžou požádat všichni uživatelé z vybraných organizací.
    Všechny nakonfigurované připojené organizace Tuto možnost zvolte, pokud si můžou tento přístupový balíček vyžádat všichni uživatelé ze všech nakonfigurovaných připojených organizací. Přístupové balíčky můžou požadovat jenom uživatelé z nakonfigurovaných propojených organizací, takže pokud uživatel není z tenanta Microsoft Entra, domény nebo zprostředkovatele identity přidruženého k existující připojené organizaci, nebudou si moct vyžádat.
    Všichni uživatelé (všechny propojené organizace + všichni noví externí uživatelé) Tuto možnost zvolte, pokud by každý uživatel na internetu měl mít možnost požádat o tento přístupový balíček. Pokud nepatří do připojené organizace ve vašem adresáři, při vyžádání balíčku se pro ně automaticky vytvoří propojená organizace. Automaticky vytvořená propojená organizace je v navrhovaném stavu. Další informace o navrhovaném stavu naleznete v tématu State property of connected organizations.
  3. Pokud jste vybrali konkrétní propojené organizace, vyberte Přidat adresáře a vyberte ze seznamu propojených organizací, které správce předtím přidal.

  4. Zadejte název nebo název domény, který chcete vyhledat dříve připojenou organizaci.

    Přístupový balíček – Žádosti – Výběr adresářů

    Pokud organizace, se kterou chcete spolupracovat, není v seznamu, můžete požádat správce, aby ho přidal jako připojenou organizaci. Další informace najdete v tématu Přidání připojené organizace.

  5. Jakmile vyberete všechny připojené organizace, vyberte Vybrat.

    Poznámka:

    Tento přístupový balíček můžou požádat všichni uživatelé z vybraných propojených organizací. V případě připojené organizace, která má adresář Microsoft Entra, můžou uživatelé ze všech ověřených domén přidružených k adresáři Microsoft Entra požadovat, pokud nejsou tyto domény blokované seznamem povolených nebo odepřených domén Azure B2B. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.

  6. Potom pomocí kroků v nastavení změnit schválení přístupového balíčku ve správě nároků nakonfigurujte nastavení schválení tak, aby bylo možné určit, kdo by měl schvalovat žádosti od uživatelů, kteří nejsou ve vaší organizaci.

  7. Přejděte do části Povolit žádosti .

Žádné (pouze přímá přiřazení správce)

Pokud chcete obejít žádosti o přístup a povolit správcům přímé přiřazení konkrétních uživatelů k tomuto přístupového balíčku, postupujte podle těchto kroků. Uživatelé nebudou muset požádat o přístupový balíček. Nastavení životního cyklu můžete nastavit i nadále, ale nejsou k dispozici žádná nastavení požadavků.

  1. V části Uživatelé, kteří mohou požádat o přístup, vyberte Možnost Žádné (pouze přímá přiřazení správce).

    Přístupový balíček – Žádosti – Pouze přímá přiřazení žádného správce

    Po vytvoření přístupového balíčku můžete k přístupovém balíčku přímo přiřadit konkrétní interní a externí uživatele. Pokud zadáte externího uživatele, vytvoří se ve vašem adresáři uživatelský účet typu host. Informace o přímém přiřazování uživatele najdete v tématu Zobrazení, přidání a odebrání přiřazení přístupového balíčku.

  2. Přejděte do části Povolit žádosti .

Poznámka:

Při přiřazování uživatelů k přístupovém balíčku musí správci ověřit, že uživatelé mají na tento přístupový balíček nárok na základě stávajících požadavků zásad. V opačném případě nebudou uživatelé úspěšně přiřazeni k přístupovém balíčku. Pokud přístupový balíček obsahuje zásadu, která vyžaduje schválení uživatelských požadavků, nemůžou být k balíčku přímo přiřazeni bez potřebných schválení od určených schvalovatelů.

Otevření a úprava nastavení žádostí existujících zásad

Pokud chcete změnit nastavení žádosti a schválení přístupového balíčku, musíte otevřít odpovídající zásady s těmito nastaveními. Pokud chcete otevřít a upravit nastavení žádosti pro zásady přiřazení přístupového balíčku, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu a správce balíčků Accessu.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček, jehož nastavení žádosti o zásadu chcete upravit.

  4. Vyberte Zásady a pak vyberte zásadu, kterou chcete upravit.

    V dolní části stránky se otevře podokno Podrobností o zásadách.

    Přístupový balíček – podokno podrobností o zásadách

  5. Chcete-li zásadu upravit, vyberte Upravit .

    Přístupový balíček – Úprava zásad

  6. Výběrem karty Žádosti otevřete nastavení žádosti.

  7. Podle pokynů v předchozích částech změňte nastavení žádosti podle potřeby.

  8. Přejděte do části Povolit žádosti .

Povolení požadavků

  1. Pokud chcete, aby byl přístupový balíček okamžitě zpřístupněn uživatelům v zásadách žádosti, které chtějí požádat, přesuňte přepínač Povolit na ano.

    Jakmile dokončíte vytvoření přístupového balíčku, můžete ho kdykoli v budoucnu povolit.

    Pokud jste vybrali možnost Žádné (pouze přímá přiřazení správce) a nastavíte možnost Ne, nebudou moct správci tento přístupový balíček přímo přiřadit.

    Přístupový balíček – Zásady – Povolení nastavení zásad

  2. Vyberte Další.

  3. Pokud chcete požadovat, aby žadateli při žádosti o přístup k přístupovém balíčku poskytli další informace, pomocí kroků v nastavení schválení změn a informací žadatele pro přístupový balíček ve správě nároků nakonfigurujte informace žadatele.

  4. Nakonfigurujte nastavení životního cyklu.

  5. Pokud upravujete zásadu, vyberte Aktualizovat. Pokud přidáváte novou zásadu, vyberte Vytvořit.

Programové vytvoření zásady přiřazení přístupového balíčku

Existují dva způsoby, jak programově vytvořit zásady přiřazení přístupového balíčku prostřednictvím Microsoft Graphu a prostřednictvím rutin PowerShellu pro Microsoft Graph.

Vytvoření zásady přiřazení přístupového balíčku prostřednictvím Graphu

Zásady můžete vytvořit pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, nebo aplikaci v roli katalogu nebo s oprávněním EntitlementManagement.ReadWrite.All , může volat rozhraní API pro vytvoření zásady přiřazení .

Vytvoření zásady přiřazení přístupového balíčku prostřednictvím PowerShellu

V PowerShellu můžete také vytvořit přístupový balíček s rutinami z rutin Prostředí Microsoft Graph PowerShell pro modul zásad správného řízení identit verze 2.1.x nebo novější.

Následující skript znázorňuje vytvoření zásady pro přímé přiřazení přístupového balíčku. V této zásadě může přístup přiřadit jenom správce a neexistují žádná schválení ani kontroly přístupu. Další příklady najdete v tématu Vytvoření zásady automatického přiřazení, například vytvoření zásady automatického přiřazení a vytvoření zásady přiřazení .

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Zabránění žádostem uživatelům s nekompatibilním přístupem

Kromě kontrol zásad, kdo může požadovat, můžete chtít dále omezit přístup, abyste se vyhnuli uživateli, který už nějaký přístup má – prostřednictvím skupiny nebo jiného přístupového balíčku – od získání nadměrného přístupu.

Pokud chcete nakonfigurovat, že uživatel nemůže požádat o přístupový balíček, pokud už má přiřazení k jinému přístupovém balíčku nebo je členem skupiny, použijte postup při konfiguraci oddělení povinností kontroly přístupového balíčku.

Další kroky