Ändra inställningar för begäran för ett åtkomstpaket i berättigandehantering
Som åtkomstpakethanterare kan du ändra de användare som kan begära ett åtkomstpaket när som helst genom att redigera en princip för begäranden om åtkomstpakettilldelning eller lägga till en ny princip i åtkomstpaketet. I den här artikeln beskrivs hur du ändrar inställningarna för begäran för en befintlig tilldelningsprincip för åtkomstpaket.
Välj mellan en eller flera principer
Hur du anger vem som kan begära ett åtkomstpaket är med en princip. Innan du skapar en ny princip eller redigerar en befintlig princip i ett åtkomstpaket måste du bestämma hur många principer åtkomstpaketet behöver.
När du skapar ett åtkomstpaket kan du ange inställningar för begäran, godkännande och livscykel, som lagras på den första principen för åtkomstpaketet. De flesta åtkomstpaket har en enda princip för användare att begära åtkomst, men ett enda åtkomstpaket kan ha flera principer. Du skapar flera principer för ett åtkomstpaket om du vill tillåta att olika uppsättningar användare beviljas tilldelningar med olika inställningar för begäran och godkännande.
En enskild princip kan till exempel inte användas för att tilldela interna och externa användare till samma åtkomstpaket. Du kan dock skapa två principer i samma åtkomstpaket, en för interna användare och en för externa användare. Om det finns flera principer som gäller för en användare att begära uppmanas de vid tidpunkten för begäran att välja den princip som de vill tilldelas till. Följande diagram visar ett åtkomstpaket med två principer.
Förutom principer för användare att begära åtkomst kan du också ha principer för automatisk tilldelning och principer för direkttilldelning av administratörer eller katalogägare.
Hur många principer behöver jag?
Scenario | Antal principer |
---|---|
Jag vill att alla användare i min katalog ska ha samma inställningar för begäran och godkännande för ett åtkomstpaket | En |
Jag vill att alla användare i vissa anslutna organisationer ska kunna begära ett åtkomstpaket | En |
Jag vill tillåta användare i min katalog och även användare utanför min katalog att begära ett åtkomstpaket | Två |
Jag vill ange olika godkännandeinställningar för vissa användare | En för varje grupp med användare |
Jag vill att vissa användares åtkomstpakettilldelningar ska upphöra att gälla medan andra användare kan utöka sin åtkomst | En för varje grupp med användare |
Jag vill att vissa användare ska begära åtkomst och att andra användare ska tilldelas åtkomst av en administratör | Två |
Jag vill att vissa användare i min organisation ska få åtkomst automatiskt, att andra användare i min organisation ska kunna begära och att andra användare ska tilldelas åtkomst av en administratör | Tre |
Information om prioritetslogik som används när flera principer tillämpas finns i Flera principer.
Öppna ett befintligt åtkomstpaket och lägg till en ny princip med olika inställningar för begäranden
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Om du har en uppsättning användare som bör ha olika inställningar för begäran och godkännande måste du förmodligen skapa en ny princip. Följ de här stegen för att börja lägga till en ny princip i ett befintligt åtkomstpaket:
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
På sidan Access-paket öppnar du det åtkomstpaket som du vill redigera.
Välj Principer och sedan Lägg till princip.
På fliken Grundläggande skriver du ett namn och en beskrivning för principen.
Välj Nästa för att öppna fliken Begäranden .
Ändra inställningen Användare som kan begära åtkomst . Använd stegen i följande avsnitt för att ändra inställningen till något av följande alternativ:
För användare i din katalog
Följ de här stegen om du vill tillåta att användare i din katalog kan begära det här åtkomstpaketet. När du definierar begärandeprincipen kan du ange enskilda användare eller vanligare användargrupper. Din organisation kan till exempel redan ha en grupp som Alla anställda. Om den gruppen läggs till i principen för användare som kan begära åtkomst kan alla medlemmar i den gruppen sedan begära åtkomst.
I avsnittet Användare som kan begära åtkomst väljer du För användare i din katalog.
När du väljer det här alternativet visas nya alternativ för att ytterligare förfina vem i katalogen som kan begära det här åtkomstpaketet.
Välj ett av följande alternativ:
beskrivning Specifika användare och grupper Välj det här alternativet om du bara vill att de användare och grupper i din katalog som du anger ska kunna begära det här åtkomstpaketet. Alla medlemmar (exklusive gäster) Välj det här alternativet om du vill att alla medlemsanvändare i katalogen ska kunna begära det här åtkomstpaketet. Det här alternativet innehåller inga gästanvändare som du kanske har bjudit in till din katalog. Alla användare (inklusive gäster) Välj det här alternativet om du vill att alla medlemsanvändare och gästanvändare i din katalog ska kunna begära det här åtkomstpaketet. Gästanvändare refererar till externa användare som har bjudits in till din katalog med Microsoft Entra B2B. Mer information om skillnaderna mellan medlemsanvändare och gästanvändare finns i Vad är standardanvändarbehörigheterna i Microsoft Entra-ID?.
Om du har valt Specifika användare och grupper väljer du Lägg till användare och grupper.
I fönstret Välj användare och grupper väljer du de användare och grupper som du vill lägga till.
Välj Välj för att lägga till användare och grupper.
Om du vill kräva godkännande använder du stegen i Ändra godkännandeinställningar för ett åtkomstpaket i berättigandehantering för att konfigurera godkännandeinställningar.
Gå till avsnittet Aktivera begäranden .
För användare som inte finns i din katalog
Användare som inte finns i din katalog refererar till användare som finns i en annan Microsoft Entra-katalog eller domän. Dessa användare kanske ännu inte har bjudits in till din katalog. Microsoft Entra-kataloger måste konfigureras för att tillåta inbjudningar i samarbetsbegränsningar. Mer information finns i Konfigurera inställningar för externt samarbete.
Kommentar
Ett gästanvändarkonto skapas för en användare som ännu inte finns i din katalog vars begäran har godkänts eller godkänts automatiskt. Gästen bjuds in, men får inget e-postmeddelande om inbjudan. I stället får de ett e-postmeddelande när deras åtkomstpakettilldelning levereras. Senare när gästanvändaren inte längre har några åtkomstpakettilldelningar, eftersom deras senaste tilldelning har upphört att gälla eller avbrutits, blockeras gästanvändarkontot från att logga in och tas sedan bort. Om du vill att gästanvändare ska finnas kvar i katalogen på obestämd tid, även om de inte har några tilldelningar av åtkomstpaket, kan du ändra inställningarna för konfigurationen för berättigandehantering. Mer information om gästanvändarobjektet finns i Egenskaper för en Microsoft Entra B2B-samarbetsanvändare.
Följ dessa steg om du vill tillåta användare som inte finns i din katalog att begära det här åtkomstpaketet:
I avsnittet Användare som kan begära åtkomst väljer du För användare som inte finns i din katalog.
När du väljer det här alternativet visas nya alternativ.
Välj om de användare som kan begära åtkomst måste vara anslutna till en befintlig ansluten organisation eller kan vara vem som helst på Internet. En ansluten organisation är en organisation som du har en befintlig relation med, som kan ha en extern Microsoft Entra-katalog eller en annan identitetsprovider. Välj ett av följande alternativ:
beskrivning Specifika anslutna organisationer Välj det här alternativet om du vill välja från en lista över organisationer som administratören tidigare har lagt till. Alla användare från de valda organisationerna kan begära det här åtkomstpaketet. Alla konfigurerade anslutna organisationer Välj det här alternativet om alla användare från alla dina konfigurerade anslutna organisationer kan begära det här åtkomstpaketet. Endast användare från konfigurerade anslutna organisationer kan begära åtkomstpaket, så om en användare inte kommer från en Microsoft Entra-klientorganisation, domän eller identitetsprovider som är associerad med en befintlig ansluten organisation kan de inte begära det. Alla användare (Alla anslutna organisationer + alla nya externa användare) Välj det här alternativet om någon användare på Internet ska kunna begära det här åtkomstpaketet. Om de inte tillhör en ansluten organisation i din katalog skapas en ansluten organisation automatiskt för dem när de begär paketet. Den automatiskt skapade anslutna organisationen är i ett föreslaget tillstånd. Mer information om det föreslagna tillståndet finns i Tillståndsegenskap för anslutna organisationer. Om du har valt Specifika anslutna organisationer väljer du Lägg till kataloger för att välja från en lista över anslutna organisationer som administratören tidigare har lagt till.
Ange namnet eller domännamnet för att söka efter en tidigare ansluten organisation.
Om den organisation som du vill samarbeta med inte finns med i listan kan du be administratören att lägga till den som en ansluten organisation. Mer information finns i Lägga till en ansluten organisation.
När du har valt alla anslutna organisationer väljer du Välj.
Kommentar
Alla användare från de valda anslutna organisationerna kan begära det här åtkomstpaketet. För en ansluten organisation som har en Microsoft Entra-katalog kan användare från alla verifierade domäner som är associerade med Microsoft Entra-katalogen begära, såvida inte dessa domäner blockeras av listan över tillåtna eller nekade Azure B2B-domäner. Mer information finns i Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer.
Använd sedan stegen i Ändra godkännandeinställningar för ett åtkomstpaket i berättigandehantering för att konfigurera godkännandeinställningar för att ange vem som ska godkänna begäranden från användare som inte finns i din organisation.
Gå till avsnittet Aktivera begäranden .
Ingen (endast administratörsdirigering)
Följ de här stegen om du vill kringgå åtkomstbegäranden och tillåta administratörer att direkt tilldela specifika användare till det här åtkomstpaketet. Användarna behöver inte begära åtkomstpaketet. Du kan fortfarande ange livscykelinställningar, men det finns inga inställningar för begäranden.
I avsnittet Användare som kan begära åtkomst väljer du Ingen (endast administratörsdirigering).
När du har skapat åtkomstpaketet kan du direkt tilldela specifika interna och externa användare till åtkomstpaketet. Om du anger en extern användare skapas ett gästanvändarkonto i din katalog. Information om hur du direkt tilldelar en användare finns i Visa, lägga till och ta bort tilldelningar för ett åtkomstpaket.
Gå vidare till avsnittet Aktivera begäranden .
Kommentar
När du tilldelar användare till ett åtkomstpaket måste administratörer kontrollera att användarna är berättigade till det åtkomstpaketet baserat på de befintliga principkraven. Annars tilldelas inte användarna åtkomstpaketet. Om åtkomstpaketet innehåller en princip som kräver att användarbegäranden godkänns kan användarna inte tilldelas paketet direkt utan nödvändiga godkännanden från de utsedda godkännarna.
Öppna och redigera en befintlig princips inställningar för begäran
Om du vill ändra inställningarna för begäran och godkännande för ett åtkomstpaket måste du öppna motsvarande princip med dessa inställningar. Följ de här stegen för att öppna och redigera begärandeinställningarna för en tilldelningsprincip för åtkomstpaket:
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
På sidan Åtkomstpaket öppnar du det åtkomstpaket vars inställningar för principbegäran du vill redigera.
Välj Principer och välj sedan den princip som du vill redigera.
Fönstret Principinformation öppnas längst ned på sidan.
Välj Redigera för att redigera principen.
Välj fliken Begäranden för att öppna inställningarna för begäran.
Använd stegen i föregående avsnitt för att ändra inställningarna för begäran efter behov.
Gå till avsnittet Aktivera begäranden .
Aktivera begäranden
Om du vill att åtkomstpaketet ska göras omedelbart tillgängligt för användare i begärandeprincipen att begära, flyttar du växlingsknappen Aktivera till Ja.
Du kan alltid aktivera det i framtiden när du har skapat åtkomstpaketet.
Om du har valt Ingen (endast administratörsdirigering) och du anger aktivera till Nej kan administratörer inte tilldela det här åtkomstpaketet direkt.
Välj Nästa.
Om du vill kräva att beställare anger ytterligare information när de begär åtkomst till ett åtkomstpaket använder du stegen i Ändra inställningar för godkännande och begärandeinformation för ett åtkomstpaket i berättigandehantering för att konfigurera information om begärandegivaren.
Konfigurera livscykelinställningar.
Om du redigerar en princip väljer du Uppdatera. Om du lägger till en ny princip väljer du Skapa.
Skapa en princip för tilldelning av åtkomstpaket programmatiskt
Det finns två sätt att skapa en princip för tilldelning av åtkomstpaket programmatiskt, via Microsoft Graph och via PowerShell-cmdletar för Microsoft Graph.
Skapa en tilldelningsprincip för åtkomstpaket via Graph
Du kan skapa en princip med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All
behörighet eller ett program i en katalogroll eller med behörigheten EntitlementManagement.ReadWrite.All
kan anropa skapa ett assignmentPolicy-API .
Skapa en tilldelningsprincip för åtkomstpaket via PowerShell
Du kan också skapa ett åtkomstpaket i PowerShell med cmdletarna från Microsoft Graph PowerShell-cmdletarna för modulen Identitetsstyrning version 2.1.x eller senare.
Följande skript visar hur du skapar en princip för direkttilldelning till ett åtkomstpaket. I den här principen kan endast administratören tilldela åtkomst och det finns inga godkännanden eller åtkomstgranskningar. Se Skapa en princip för automatisk tilldelning för ett exempel på hur du skapar en automatisk tilldelningsprincip och skapa en assignmentPolicy för fler exempel.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Förhindra begäranden från användare med inkompatibel åtkomst
Förutom principkontrollerna av vem som kan begära kan du ytterligare begränsa åtkomsten för att undvika att en användare som redan har viss åtkomst – via en grupp eller ett annat åtkomstpaket – får överdriven åtkomst.
Om du vill konfigurera att en användare inte kan begära ett åtkomstpaket, om de redan har en tilldelning till ett annat åtkomstpaket, eller är medlem i en grupp, använder du stegen i Konfigurera separation av tullkontroller för ett åtkomstpaket.