Создание пакета доступа в управлении правами

Пакет для доступа позволяет однократно выполнить настройку ресурсов и политик, которые будут автоматически администрировать доступ в течение всего срока существования пакета для доступа. В этой статье описывается создание пакета доступа.

Обзор

Все пакеты доступа должны находиться в контейнере, называемом каталогом. Каталог определяет, какие ресурсы можно добавить в пакет для доступа. Если каталог не указан, пакет доступа переходит в общий каталог. В настоящее время существующий пакет для доступа нельзя перемещать в другой каталог.

Пакет для доступа можно использовать для назначения доступа к ролям нескольких ресурсов, которые находятся в каталоге. Если вы являетесь администратором или владельцем каталога, вы можете добавить ресурсы в каталог при создании пакета доступа. Вы также можете добавить ресурсы после создания пакета доступа, а пользователи, назначенные пакету доступа, также получат дополнительные ресурсы.

Если вы являетесь диспетчером пакетов доступа, вы не можете добавить ресурсы, принадлежащие каталогу. Вы можете лишь использовать ресурсы, доступные в каталоге. В случае необходимости добавления ресурсов в каталог обратитесь к владельцу каталога.

Все пакеты доступа должны иметь по крайней мере одну политику, чтобы пользователи были назначены им. Политики указывают, кто может запрашивать пакет доступа, а также параметры утверждения и жизненного цикла или автоматическое назначение доступа. При создании пакета доступа можно создать начальную политику для пользователей в каталоге, для пользователей, не входящих в каталог, или только для назначений администратора.

Схема примера маркетингового каталога, включая его ресурсы и пакет доступа.

Ниже приведены общие шаги по созданию пакета доступа с начальной политикой:

  1. В системе управления удостоверениями запустите процесс создания пакета доступа.

  2. Выберите каталог, в который нужно поместить пакет доступа, и убедитесь, что у него есть необходимые ресурсы.

  3. Добавьте роли ресурсов из ресурсов в каталоге в свой пакет для доступа.

  4. Укажите начальную политику для пользователей, которые могут запрашивать доступ.

  5. Укажите параметры утверждения и параметры жизненного цикла в этой политике.

После создания пакета доступа можно изменить скрытый параметр, добавить или удалить роли ресурсов и добавить дополнительные политики.

Запуск процесса создания

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

    Совет

    Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога или диспетчер пакетов доступа.

  2. Перейдите к пакету управления правами управления>удостоверениями>.

  3. Выберите Новый пакет для доступа.

    Снимок экрана: кнопка для создания пакета доступа в Центре администрирования Microsoft Entra.

Настройка основных сведений

На вкладке Основные присвойте пакету для доступа имя и укажите, в каком каталоге следует создать пакет для доступа.

  1. Введите отображаемое имя и описание для пакета для доступа. Пользователи видят эти сведения при отправке запроса на пакет доступа.

  2. В раскрывающемся списке каталога выберите каталог, в котором нужно поместить пакет доступа. Например, у вас может быть владелец каталога, который управляет всеми маркетинговыми ресурсами, которые могут быть запрошены. В этом случае можно выбрать маркетинговый каталог.

    Вы видите только каталоги, в которых есть разрешение на создание пакетов доступа. Чтобы создать пакет доступа в существующем каталоге, необходимо быть по крайней мере администратором управления удостоверениями. Или вы должны быть владельцем каталога или диспетчером пакетов доступа в этом каталоге.

    Снимок экрана: основные сведения о новом пакете доступа.

    Если вы, по крайней мере, администратор управления удостоверениями или создатель каталога, и вы хотите создать пакет доступа в новом каталоге, который не указан, выберите "Создать новый каталог". Введите имя и описание каталога, а затем нажмите кнопку "Создать".

    Создаваемый пакет доступа и все ресурсы, включенные в него, добавляются в новый каталог. Позже вы можете добавить дополнительные владельцы каталога или добавить атрибуты в ресурсы, которые вы помещаете в каталог. Дополнительные сведения об изменении списка атрибутов для определенного ресурса каталога и ролей предварительных требований см. в статье "Добавление атрибутов ресурсов в каталоге".

  3. Нажмите кнопку "Далее" — роли ресурсов.

Выбор ролей ресурсов

На вкладке Роли ресурса необходимо выбрать ресурсы для включения в пакет для доступа. Пользователи, которые запрашивают и получают пакет доступа, получают все роли ресурсов, например членство в группах в пакете доступа.

Если вы не уверены, какие роли ресурсов следует включить, можно пропустить добавление их при создании пакета доступа, а затем добавить их позже.

  1. Выберите тип ресурса, который требуется добавить (группы и teams, приложения или сайты SharePoint).

  2. На появившемся панели "Выбор приложений" выберите один или несколько ресурсов из списка.

    Снимок экрана: панель выбора приложений для ролей ресурсов в новом пакете доступа.

    Если вы создаете пакет доступа в общем каталоге или новом каталоге, можно выбрать любой ресурс из собственного каталога. Вы должны быть по крайней мере администратором управления удостоверениями или создателем каталога.

    Примечание.

    Вы можете добавить динамические группы членства в каталог и в пакет доступа. Однако вы можете выбрать только роль владельца при управлении ресурсом динамической группы в пакете доступа.

    Если вы создаете пакет доступа в существующем каталоге, можно выбрать любой ресурс, который уже находится в каталоге без необходимости быть владельцем этого ресурса.

    Если вы являетесь по крайней мере администратором управления удостоверениями или владельцем каталога, у вас есть дополнительный параметр выбора ресурсов, принадлежащих или администрируемых, но которые еще не в каталоге. Если вы выбираете ресурсы в каталоге, но не в данный момент в выбранном каталоге, эти ресурсы также добавляются в каталог для других администраторов каталога для создания пакетов доступа. Чтобы просмотреть все ресурсы в каталоге, которые можно добавить в каталог, установите флажок "Просмотреть все " в верхней части панели. Если вы хотите выбрать только ресурсы, находящиеся в выбранном каталоге, оставьте флажок "Просмотреть все " (состояние по умолчанию).

  3. В списке ролей выберите роль, которую нужно назначить пользователям для ресурса. Дополнительные сведения о выборе соответствующих ролей для ресурса см. в статье о том, как определить, какие роли ресурсов следует включить в пакет доступа.

    Снимок экрана: выбор роли ресурса для нового пакета доступа.

  4. Нажмите кнопку "Далее" — запросы.

Создание начальной политики

На вкладке "Запросы" создайте первую политику, чтобы указать, кто может запросить пакет доступа. Вы также настраиваете параметры утверждения для этой политики. Позже после создания пакета доступа с помощью этой начальной политики можно добавить дополнительные политики , чтобы разрешить дополнительным группам пользователей запрашивать пакет доступа с собственными параметрами утверждения или назначать доступ автоматически.

Снимок экрана: вкладка

В зависимости от того, какие пользователи должны иметь возможность запрашивать этот пакет доступа, выполните действия, описанные в одном из следующих разделов, чтобы разрешить пользователям в каталоге запрашивать пакет доступа, разрешать пользователям не в каталоге запрашивать пакет доступа или разрешать только назначения администратора. Если вы не уверены, какие параметры запроса или утверждения вам нужны, вы планируете создавать назначения для пользователей, у которых уже есть доступ к базовым ресурсам, или вы планируете использовать политики автоматического назначения пакетов доступа для автоматизации доступа, а затем выберите политику прямого назначения в качестве начальной политики.

Разрешить пользователям в каталоге запрашивать пакет доступа

Чтобы разрешить пользователям в каталоге запрашивать этот пакет доступа, выполните следующие действия. При определении политики запроса можно указать отдельных пользователей или (чаще всего) групп пользователей. Например, у вашей организации уже может быть группа, например "Все сотрудники". Если эта группа добавляется в политику для пользователей, которые могут запрашивать доступ, любой член этой группы может запросить доступ.

  1. В разделе Пользователи, которые могут запрашивать доступ щелкните Для пользователей в каталоге.

    При выборе этого параметра появятся новые параметры, чтобы можно было уточнить, кто в каталоге может запросить этот пакет доступа.

    Снимок экрана, на котором показано, как разрешить пользователям и группам в каталоге запрашивать пакет доступа.

  2. Выберите один из следующих параметров.

    Вариант Описание
    Конкретные пользователи и группы Выберите этот параметр, если нужно, чтобы этот пакет для доступа могли запрашивать только те пользователи и группы в вашем каталоге, которые были указаны.
    Все участники (кроме гостей) Выберите этот параметр, если нужно, чтобы все пользователи-участники в вашем каталоге могли запрашивать этот пакет для доступа. Этот вариант не включает гостевых пользователей, которые могли быть приглашены в ваш каталог.
    Все пользователи (включая гостей) Выберите этот параметр, если нужно, чтобы все пользователи-участники и гостевые пользователи в вашем каталоге могли запрашивать этот пакет для доступа.

    Гостевые пользователи — это внешние пользователи, приглашенные в каталог через Microsoft Entra B2B. Дополнительные сведения о различиях между пользователями-участниками и гостевыми пользователями см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra ID?".

  3. Если выбран вариант Конкретные пользователи и группы, щелкните Добавить пользователей и группы.

  4. На панели "Выбор пользователей и групп" выберите пользователей и группы, которые требуется добавить.

    Снимок экрана: панель выбора пользователей и групп для пакета доступа.

  5. Выберите "Выбрать ", чтобы добавить пользователей и группы.

  6. Перейдите к разделу "Указание параметров утверждения".

Разрешить пользователям не в каталоге запрашивать пакет доступа

Пользователи, которые находятся в другом каталоге Microsoft Entra или домене, возможно, еще не были приглашены в каталог. Каталоги Microsoft Entra должны быть настроены для разрешения приглашений в ограничениях для совместной работы. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Учетная запись гостевого пользователя будет создана для пользователя, который еще не находится в каталоге, запрос которого утвержден или не требует утверждения. Гость будет приглашен, но не получит электронное письмо приглашения. Вместо этого они получат сообщение электронной почты при доставке назначения пакета доступа. Позже, когда этот гостевой пользователь больше не имеет назначений пакетов доступа, так как срок действия последнего назначения истек или отменен, учетная запись будет заблокирована для входа и последующего удаления. Блокировка и удаление выполняются по умолчанию.

Если вы хотите, чтобы гостевые пользователи оставались в каталоге на неопределенный срок, даже если у них нет назначений пакетов доступа, можно изменить параметры конфигурации управления правами. Дополнительные сведения об объекте гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".

Выполните следующие действия, если вы хотите разрешить пользователям не в каталоге запрашивать пакет доступа:

  1. В разделе Пользователи, которые могут запрашивать доступ щелкните Для пользователей, отсутствующих в вашем каталоге.

    При выборе этого параметра появляются новые параметры.

    Снимок экрана, на котором показано, как разрешить пользователям и группам не в каталоге запрашивать пакет доступа.

  2. Выберите один из следующих параметров.

    Вариант Описание
    Конкретные подключенные организации Выберите этот параметр, если нужно выбрать организации в списке организаций, ранее добавленных вашим администратором. Запрашивать этот пакет для доступа смогут все пользователи из выбранных организаций.
    Все подключенные организации Выберите этот вариант, если нужно, чтобы все пользователи изо всех настроенных у вас подключенных организаций могли запрашивать этот пакет для доступа.
    Все пользователи (все подключенные организации и все новые внешние пользователи) Выберите этот параметр, если любой пользователь может запросить этот пакет доступа, а параметры разрешенного списка или блокировки B2B должны иметь приоритет для любого нового внешнего пользователя.

    Подключенная организация — это внешний каталог Microsoft Entra или домен, с которым у вас есть связь.

  3. Если был выбран вариант Конкретные подключенные организации, щелкните Добавить каталоги, чтобы выбрать их в списке подключенных организаций, ранее добавленных вашим администратором.

  4. Введите имя или доменное имя для поиска ранее подключенной организации.

    Снимок экрана: поле поиска для выбора каталога для запросов к пакету доступа.

    Если организация, с которой вы хотите сотрудничать, отсутствует в списке, вы можете попросить администратора добавить ее в качестве подключенной организации. Дополнительные сведения см. в статье Добавление подключенной организации.

  5. Если выбраны все подключенные организации, необходимо подтвердить список подключенных организаций, настроенных и запланированных в области.

  6. Если выбраны все пользователи, вам потребуется настроить утверждения в разделе утверждений, так как эта область позволит любому удостоверению в Интернете запрашивать доступ.

  7. Выбрав все подключенные организации, нажмите кнопку "Выбрать".

    Запрашивать этот пакет для доступа смогут все пользователи из выбранных подключенных организаций. Это включает пользователей в идентификатор Microsoft Entra из всех поддоменов, связанных с организацией, если только список разрешений Azure B2B или список блокировок не блокирует эти домены. Если указать домен поставщика удостоверений социальных удостоверений, например live.com, любой пользователь из поставщика удостоверений социальных сетей сможет запросить этот пакет доступа. Дополнительные сведения см. в статье Предоставление или отзыв приглашений пользователям B2B из отдельных организаций.

  8. Перейдите к разделу "Указание параметров утверждения".

Разрешить только прямые назначения администратора

Выполните следующие действия, если нужно обойти запросы на доступ и разрешить администраторам напрямую назначать конкретных пользователей этого пакета для доступа. Пользователям не придется запрашивать пакет для доступа. По-прежнему можно задать параметры жизненного цикла, но параметры запроса в этом варианте отсутствуют.

  1. В разделе Пользователи, которые могут запросить доступ выберите Нет (только прямые назначения администратора).

    Снимок экрана, на котором показан параметр разрешения только назначений администратора для пакета доступа.

    После создания пакета доступа вы можете напрямую назначить ему конкретных внутренних и внешних пользователей. Если указать внешнего пользователя, в каталоге создается учетная запись гостевого пользователя. Сведения о непосредственном назначении пользователей см. в разделе Просмотр, добавление и удаление назначений для пакета для доступа.

  2. Перейдите к разделу Включение запросов.

Указание параметров утверждения

В разделе "Утверждение" укажите, требуется ли утверждение при запросе этого пакета доступа пользователями. Параметры утверждения работают следующим образом:

  • Только один из выбранных утверждающих или резервных утверждающих должен утвердить запрос на одноэтапное утверждение.
  • Только один из выбранных утверждающих на каждом этапе должен утвердить запрос на двухэтапное утверждение.
  • Утверждающий может быть менеджером, спонсором пользователя, внутреннего спонсора или внешнего спонсора в зависимости от управления доступом для политики.
  • Утверждение от каждого выбранного утверждающего не требуется для одноэтапного или двухэтапного утверждения.
  • Решение об утверждении зависит от того, кто из утверждающих первым просматривает запрос.

Для демонстрации добавления утверждающих в политику запросов просмотрите следующий видеоролик:

Чтобы провести демонстрацию добавления многоэтапного утверждения в политику запроса, просмотрите следующее видео:

Выполните следующие действия, чтобы задать параметры утверждения для запросов пакета для доступа:

  1. Чтобы потребовать утверждения запросов от выбранных пользователей, установите переключатель Требовать утверждение в положение Да. Чтобы запросы утверждались автоматически, установите этот переключатель в положение Нет. Если политика позволяет внешним пользователям извне организации запрашивать доступ, необходимо требовать утверждения, поэтому в каталог вашей организации добавляется контроль над тем, кто добавляется в каталог вашей организации.

  2. Чтобы потребовать от пользователей предоставления обоснования для запроса пакета для доступа, установите переключатель Требовать обоснование у запрашивающей стороны значение Да.

  3. Определите, требуются ли запросы одноэтапного или двухэтапного утверждения. Задайте для параметра "Сколько этапов" переключитесь на 1 для одноэтапного утверждения, 2 для двухэтапного утверждения или 3 для трехэтапного утверждения.

    Снимок экрана: параметры утверждения для запросов к пакету доступа.

Чтобы добавить утверждающих после выбора количества этапов, выполните следующие действия.

Утверждение в один этап

  1. Добавьте сведения первого утверждающего:

    • Если для пользователей в каталоге задано значение "Политика", вы можете выбрать диспетчер в качестве утверждающего или спонсора в качестве утверждающих. Кроме того, можно добавить определенного пользователя, выбрав "Выбрать определенных утверждающих" и выбрав "Добавить утверждающих".

      Чтобы использовать спонсоров в качестве утверждающих для утверждения, необходимо иметь лицензию Управление идентификацией Microsoft Entra. Дополнительные сведения см. в статье "Сравнение общих возможностей идентификатора Microsoft Entra".

      Снимок экрана: параметры первого утверждающего, если политика настроена для пользователей в каталоге.

    • Если для пользователей в каталоге задано значение "Политика", вы можете выбрать внешнего спонсора или внутреннего спонсора. Кроме того, можно добавить определенного пользователя, выбрав "Выбрать определенных утверждающих" и выбрав "Добавить утверждающих".

      Снимок экрана: параметры первого утверждающего, если политика настроена для пользователей, не входящих в каталог.

  2. Если в качестве первого утверждающего выбран вариант Менеджер, нажмите кнопку Добавить резервного, чтобы выбрать одного или нескольких пользователей или группы из каталога в качестве резервного утверждающего. Резервные утверждающие получают запрос, если управление правами не может найти руководителя для пользователя, запрашивающего доступ.

    Управление правами находит руководителя с помощью атрибута Manager . Атрибут находится в профиле пользователя в идентификаторе Microsoft Entra. Дополнительные сведения см. в разделе "Добавление или обновление сведений о профиле и параметрах пользователя".

  3. Если вы выбрали спонсоров в качестве первого утверждающего, выберите "Добавить резервную кнопку", чтобы выбрать одного или нескольких пользователей или групп в каталоге, чтобы быть резервным утверждающего. Резервные утверждающие получают запрос, если управление правами не может найти спонсора для пользователя, запрашивающего доступ.

    Управление правами находит спонсоров с помощью атрибута "Спонсоры ". Атрибут находится в профиле пользователя в идентификаторе Microsoft Entra. Дополнительные сведения см. в разделе "Добавление или обновление сведений о профиле и параметрах пользователя".

  4. Если выбран вариант Выбрать конкретных утверждающих, нажмите кнопку Добавить утверждающих, чтобы выбрать одного или нескольких пользователей или группы из каталога в качестве утверждающих.

  5. В поле "Принятие решения" укажите количество дней, в течение которых утверждающий должен просмотреть запрос на этот пакет доступа.

    Если запрос не утвержден в течение этого периода времени, он автоматически отклоняется. Затем пользователь должен отправить еще один запрос на пакет доступа.

  6. Чтобы требовать, чтобы утверждающие предоставили обоснование для их решения, задайте для утверждающего обоснование "Да".

    Это обоснование видят другие утверждающие и запрашивающая сторона.

Двухэтапное утверждение

Если выбрано двухэтапное утверждение, необходимо добавить второго утверждающего:

  1. Добавьте сведения о втором утверждающего:

    • Если пользователи находятся в каталоге, вы можете выбрать спонсоров в качестве утверждающих. Кроме того, добавьте определенного пользователя, выбрав "Выбрать конкретных утверждающих" в раскрывающемся меню, а затем выберите "Добавить утверждающих".

      Снимок экрана: параметры второго утверждающего, если политика настроена для пользователей в каталоге.

    • Если пользователя нет в вашем каталоге, выберите в качестве второго утверждающего вариант Внутренний спонсор или Внешний спонсор. После выбора утверждающего добавьте резервные утверждающие.

      Снимок экрана: параметры второго утверждающего, если политика настроена для пользователей, не входящих в каталог.

  2. В поле "Решение" необходимо принять решение в сколько дней? Укажите количество дней, в которые утверждающий должен утвердить запрос.

  3. Установите переключатель "Требовать утверждение " в значение "Да " или "Нет".

Трехэтапное утверждение

Если вы выбрали трехэтапное утверждение, необходимо добавить третье утверждающего:

  1. Добавьте сведения третьего утверждающего :

    Если пользователи находятся в каталоге, добавьте конкретного пользователя в качестве третьего утверждающего, выбрав "Выбрать конкретных утверждающих".>

    Снимок экрана: параметры третьего утверждающего, если политика настроена для пользователей в каталоге.

  2. В поле "Решение" необходимо принять решение в сколько дней? Укажите количество дней, в которые утверждающий должен утвердить запрос.

  3. Установите переключатель "Требовать утверждение " в значение "Да " или "Нет".

Альтернативные утверждающие

Аналогично указанию первого и второго утверждающих, можно указать альтернативных утверждающих, которые могут утверждать запросы. Наличие альтернативных утверждающих помогает убедиться, что запросы утверждены или отклонены до истечения срока их действия (время ожидания). Вы можете перечислить альтернативных утверждающих для первого утверждающего и второго утверждающего для двухэтапного утверждения.

При указании альтернативных утверждающих, если первый или второй утверждающие не могут утвердить или запретить запрос, ожидающий запрос пересылается альтернативным утверждателям. Запрос отправляется в соответствии с расписанием пересылки, указанным во время настройки политики. Утверждающие получают сообщение электронной почты, чтобы утвердить или запретить ожидающий запрос.

После перенаправления запроса альтернативным утверждающим первый или второй утверждающий по-прежнему может утвердить или отклонить запрос. Альтернативные утверждающие используют тот же сайт My Access , чтобы утвердить или запретить ожидающий запрос.

В качестве утверждающих и альтернативных утверждающих можно указать людей или группы людей. Убедитесь, что в качестве первого, второго и альтернативных утверждающих указаны разные люди. Например, если вы перечислили Алису и Боба в качестве первых утверждающих, перечислить Кэрол и Дэйв в качестве альтернативных утверждающих.

Чтобы добавить альтернативных утверждающих пакета для доступа, выполните следующие действия.

  1. В разделе "Первый утверждающий", "Второй утверждающий" или "Оба" выберите "Показать расширенные параметры запроса".

    Снимок экрана: выбор для отображения дополнительных параметров запроса.

  2. Установите переключатель "Если никаких действий" не предпринят, перенаправляйте на альтернативных утверждающих? Установите переключатель "Да".

  3. Выберите " Добавить альтернативных утверждающих", а затем выберите альтернативных утверждающих в списке.

    Снимок экрана: дополнительные параметры запроса, включая ссылку для добавления альтернативных утверждающих.

    Если выбрать диспетчер в качестве первого утверждающего, в поле "Альтернативный утверждающий" появится дополнительный параметр: диспетчер второго уровня в качестве альтернативного утверждающего. Если этот параметр выбран, необходимо добавить резервный утверждающий, чтобы перенаправлять запрос, если система не сможет найти диспетчер второго уровня.

  4. В поле "Переадресация на альтернативные утверждающие" после количества дней введите число дней, которые утверждающие должны утвердить или запретить запрос. Если утверждающие не утверждают или не запрещают запрос до длительности запроса, срок действия запроса истекает (время ожидания). Затем пользователь должен отправить еще один запрос на пакет доступа.

Запросы можно пересылать только альтернативным утверждающим через день после окончания срока действия запроса. Решение основных утверждающих должно истекть по крайней мере через четыре дня. Если время ожидания запроса меньше или равно трем дням, недостаточно времени для пересылки запроса альтернативным утверждателям.

В приведенном примере длительность запроса составляет 14 дней. Длительность запроса достигает половины жизни в день 7. Таким образом, запрос не может быть перенаправлен ранее 8 дня.

Кроме того, запросы не могут быть перенаправлены в последний день срока рассмотрения запроса. Так что в этом примере последний день, когда запрос может быть переадресован, — это день 13.

Включение запросов

  1. Если требуется, чтобы пакет доступа был немедленно доступен для пользователей в политике запроса, переместите переключатель "Включить новые запросы и назначения" в " Да".

    Вы всегда можете включить его в будущем после завершения создания пакета доступа.

    Если выбрать None (только назначения администратора) и задать для новых запросов и назначений значение "Нет", администраторы не могут напрямую назначить этот пакет доступа.

    Снимок экрана, показывающий параметр для включения новых запросов и назначений.

  2. Перейдите к следующему разделу , чтобы узнать, как добавить в пакет доступа проверенный идентификатор. В противном случае щелкните Далее.

Добавление требования проверенного идентификатора

Выполните следующие действия, если вы хотите добавить в политику пакета доступа проверенный идентификатор. Пользователям, которым требуется доступ к пакету доступа, необходимо представить необходимые проверенные идентификаторы перед успешной отправкой запроса. Сведения о настройке клиента с помощью службы Проверенные учетные данные Microsoft Entra см. в статье "Общие сведения о Проверенные учетные данные Microsoft Entra".

Для добавления проверенных требований идентификатора к пакету доступа в политике запроса требуется роль глобального администратора. Администратор управления удостоверениями, администратор пользователя, владелец каталога или диспетчер пакетов доступа еще не может добавить проверенные требования к идентификатору.

  1. Выберите и добавьте издателя, а затем выберите издателя из сети Проверенные учетные данные Microsoft Entra. Если вы хотите выдавать собственные учетные данные пользователям, вы можете найти инструкции в разделе "Проблема Проверенные учетные данные Microsoft Entra учетные данные из приложения".

    Снимок экрана: панель выбора издателя для пакета доступа.

  2. Выберите типы учетных данных, которые необходимо представить пользователям во время процесса запроса.

    Снимок экрана: область выбора типов учетных данных для пакета доступа.

    При выборе нескольких типов учетных данных из одного издателя пользователям потребуется предоставить учетные данные всех выбранных типов. Аналогичным образом, если вы включаете несколько издателей, пользователям потребуется предоставить учетные данные от каждого издателя, который вы включаете в политику. Чтобы предоставить пользователям возможность представления различных учетных данных от разных издателей, настройте отдельные политики для каждого издателя или типа учетных данных, которые вы примете.

  3. Нажмите кнопку "Добавить", чтобы добавить требование проверенного идентификатора в политику пакета доступа.

Добавление сведений о запросе в пакет доступа

  1. Перейдите на вкладку " Сведения о запросе" и выберите вкладку "Вопросы ".

  2. В поле "Вопрос" введите вопрос, который требуется задать запрашивателю. Этот вопрос также называется отображаемой строкой.

  3. Если вы хотите добавить собственные параметры локализации, выберите "Добавить локализацию".

    Снимок экрана: поле для ввода вопроса для запрашивающего пользователя.

    На панели вопросов "Добавление локализаций"

    1. Для языкового кода выберите языковой код для языка, в котором выполняется локализация вопроса.
    2. В локализованном текстовом поле введите вопрос на языке, который вы настроили.
    3. После завершения добавления всех необходимых локализаций нажмите кнопку "Сохранить".

    Снимок экрана: выбор локализации для вопроса.

  4. В качестве формата ответа выберите формат, в котором требуется ответить запрашивателям. Форматы ответов включают короткий текст, несколько вариантов и длинный текст.

  5. Если выбрано несколько вариантов, нажмите кнопку "Изменить" и "Локализовать ", чтобы настроить параметры ответа.

    Снимок экрана: несколько вариантов выбора, выбранный в качестве формата ответа, а также кнопка для редактирования и локализации параметров ответа.

    На панели вопросов представления и редактирования:

    1. В полях "Ответы" введите параметры ответа, которые нужно дать, когда запрашивающий отвечает на вопрос.
    2. В полях языка выберите язык для параметров ответа. Если выбрать дополнительные языки, то можно будет локализовать варианты ответа.
    3. Выберите Сохранить.

    Снимок экрана: параметры редактирования и локализации ответов с несколькими вариантами.

  6. Чтобы запросители ответили на этот вопрос при запросе доступа к пакету доступа, установите флажок "Обязательный ".

  7. Перейдите на вкладку "Атрибуты", чтобы просмотреть атрибуты , связанные с ресурсами, добавленными в пакет доступа.

    Примечание.

    Чтобы добавить или обновить атрибуты ресурсов пакета для доступа, перейдите на вкладку Catalogs (Каталоги) и найдите каталог, связанный с пакетом для доступа. Дополнительные сведения об изменении списка атрибутов для определенного ресурса каталога и ролей предварительных требований см. в статье "Добавление атрибутов ресурсов в каталоге".

  8. Выберите Далее.

Указание жизненного цикла

На вкладке Жизненный цикл укажите, когда истекает срок действия назначения пользователя для пакета для доступа. Вы также можете указать, могут ли пользователи расширять свои назначения.

  1. В разделе "Срок действия" задайте срок действия назначений пакетов Access на дату, количество дней, количество часов или никогда.

    • Для варианта Дата выберите дату окончания срока действия в будущем.
    • В течение нескольких дней укажите число от 0 до 3660 дней.
    • В течение нескольких часов укажите, сколько часов.

    На основе выбора назначение пользователя пакету доступа истекает на определенную дату, через несколько дней после утверждения или никогда.

  2. Если вы хотите, чтобы пользователь запрашивал определенную дату начала и окончания доступа, выберите "Да " для пользователей, которые могут запрашивать определенную временную шкалу .

  3. Выберите " Показать расширенные параметры срока действия" , чтобы отобразить дополнительные параметры.

    Снимок экрана: параметры срока действия жизненного цикла для пакета доступа.

  4. Чтобы разрешить пользователю расширить свои назначения, задайте для пользователей возможность расширения доступа к Да.

    Если расширения разрешены в политике, пользователь получает сообщение электронной почты за 14 дней до этого, а затем один день до истечения срока действия назначения пакета доступа. Сообщение электронной почты запрашивает у пользователя расширение назначения. Пользователь по-прежнему должен находиться в области политики в то время, когда он запрашивает расширение.

    Кроме того, если политика имеет явную дату окончания для назначений, а пользователь отправляет запрос на расширение доступа, дата расширения в запросе должна находиться в или до истечения срока действия назначений. Политика, используемая для предоставления пользователю доступа к пакету доступа, определяет, находится ли дата расширения до истечения срока действия назначения. Например, если политика указывает, что срок действия назначений истекает 30 июня, максимальное расширение, которое может запросить пользователь, — 30 июня.

    Если доступ пользователя расширен, он не сможет запросить пакет доступа после указанной даты расширения (дата, заданная в часовом поясе пользователя, создавшего политику).

  5. Чтобы включить утверждение запросов на продление, установите для параметра Требовать утверждение запросов на продление значение Да.

    Это утверждение будет использовать те же параметры утверждения, которые вы указали на вкладке "Запросы ".

  6. Нажмите кнопку "Далее" или "Обновить".

Проверка и создание пакета доступа

На вкладке Просмотр и создание можно просмотреть параметры и проконтролировать отсутствие ошибок проверки.

  1. Просмотрите параметры пакета доступа.

    Снимок экрана: сводка по конфигурации пакета доступа.

  2. Выберите "Создать", чтобы создать пакет доступа и ее начальную политику.

    Новый пакет для доступа появится в списке пакетов для доступа.

  3. Если пакет доступа предназначен для всех пользователей в области политик, оставьте скрытый параметр пакета доступа в no. При необходимости, если вы планируете разрешить пользователям только прямую ссылку запрашивать пакет доступа, измените пакет доступа, чтобы изменить скрытый параметр на "Да". Затем скопируйте ссылку, чтобы запросить пакет доступа и поделиться им с пользователями, которым требуется доступ.

  4. Далее можно добавить дополнительные политики в пакет доступа, настроить разделение обязанностей или непосредственно назначить пользователя.

Создание пакета доступа программным способом

Существует два способа программного создания пакета доступа: через Microsoft Graph и с помощью командлетов PowerShell для Microsoft Graph.

Создание пакета доступа с помощью Microsoft Graph

Пакет доступа можно создать с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением, которому делегировано разрешение EntitlementManagement.ReadWrite.All, может вызывать API, чтобы:

  1. Перечислите ресурсы в каталоге и создайте accessPackageResourceRequest для всех ресурсов, которые еще не указаны в каталоге.
  2. Получение ролей и областей каждого ресурса в каталоге. Затем этот список ролей будет использоваться для выбора роли при последующем создании resourceRoleScope.
  3. создавать пакет accessPackage.;
  4. Создайте resourceRoleScope для каждой роли ресурса, необходимой в пакете доступа.
  5. Создайте назначениеPolicy для каждой политики, необходимой в пакете доступа.

Создание пакета доступа с помощью Microsoft PowerShell

Вы также можете создать пакет доступа в PowerShell с помощью командлетов Microsoft Graph PowerShell для модуля управления удостоверениями .

Сначала получите идентификатор каталога, а также ресурс в этом каталоге и его области и роли, которые необходимо включить в пакет доступа. Используйте сценарий, аналогичный следующему примеру:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Затем создайте пакет доступа:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

После создания пакета доступа назначьте ему роли ресурсов. Например, если вы хотите включить первую роль ресурса ресурса, возвращенную ранее в качестве роли ресурса нового пакета доступа, можно использовать сценарий, аналогичный этому:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Наконец, создайте политики. В этой политике только администраторы или диспетчеры назначений пакетов могут назначать доступ, и нет проверок доступа. Дополнительные примеры см. в статье "Создание политики назначения с помощью PowerShell " и "Создание назначенияPolicy".



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Дополнительные сведения см. в статье "Создание пакета доступа в управлении правами для приложения с одной ролью с помощью PowerShell".

Следующие шаги