Vytvoření přístupového balíčku ve správě nároků

  • Článek

Přístupový balíček umožňuje jednorázově nastavit prostředky a zásady, které automaticky spravují přístup po dobu životnosti přístupového balíčku. Tento článek popisuje, jak vytvořit přístupový balíček.

Přehled

Všechny přístupové balíčky musí být v kontejneru nazývaném katalog. Katalog definuje, jaké prostředky můžete přidat do přístupového balíčku. Pokud nezadáte katalog, váš přístupový balíček přejde do obecného katalogu. V současné době nemůžete přesunout existující přístupový balíček do jiného katalogu.

Přístupový balíček lze použít k přiřazení přístupu k rolím více prostředků, které jsou v katalogu. Pokud jste správcem nebo vlastníkem katalogu, můžete během vytváření přístupového balíčku přidat prostředky do katalogu. Můžete také přidat prostředky po vytvoření přístupového balíčku a uživatelé přiřazení k přístupovém balíčku obdrží také další prostředky.

Pokud jste správcem přístupových balíčků, nemůžete do katalogu přidávat prostředky, které vlastníte. Jste omezeni na používání prostředků dostupných v katalogu. Pokud potřebujete přidat prostředky do katalogu, můžete požádat vlastníka katalogu.

Všechny přístupové balíčky musí mít alespoň jednu zásadu, aby k nim měli uživatelé přiřazené. Zásady určují, kdo může požádat o přístupový balíček, spolu s nastavením schválení a životního cyklu nebo jak se přístup automaticky přiřadí. Při vytváření přístupového balíčku můžete vytvořit počáteční zásadu pro uživatele ve vašem adresáři, pro uživatele, kteří nejsou ve vašem adresáři, nebo pouze pro přímá přiřazení správce.

Diagram of an example marketing catalog, including its resources and its access package.

Tady jsou základní kroky pro vytvoření přístupového balíčku s počáteční zásadou:

  1. V zásadách správného řízení identit spusťte proces vytvoření přístupového balíčku.

  2. Vyberte katalog, do kterého chcete přístupový balíček umístit, a ujistěte se, že obsahuje potřebné prostředky.

  3. Přidejte role prostředků z prostředků v katalogu do přístupového balíčku.

  4. Zadejte počáteční zásadu pro uživatele, kteří mohou požádat o přístup.

  5. Zadejte nastavení schválení a nastavení životního cyklu v této zásadě.

Po vytvoření přístupového balíčku můžete změnit skryté nastavení, přidat nebo odebrat role prostředků a přidat další zásady.

Zahájení procesu vytváření

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

K provedení následujících kroků potřebujete roli globálního Správa istratoru, zásad správného řízení identit Správa istrator, vlastníka katalogu nebo správce balíčků pro přístup.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator zásad správného řízení identit.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Vyberte Nový přístupový balíček.

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Konfigurace základů

Na kartě Základy udělíte přístupový balíček název a určíte, ve kterém katalogu se má přístupový balíček vytvořit.

  1. Zadejte zobrazovaný název a popis přístupového balíčku. Uživatelům se tyto informace zobrazí, když odešlou žádost o přístupový balíček.

  2. V rozevíracím seznamu Katalog vyberte katalog, do kterého chcete přístupový balíček umístit. Můžete mít například vlastníka katalogu, který spravuje všechny marketingové prostředky, které si můžete vyžádat. V takovém případě můžete vybrat marketingový katalog.

    Zobrazí se pouze katalogy, ve kterých máte oprávnění vytvářet přístupové balíčky. Pokud chcete vytvořit přístupový balíček v existujícím katalogu, musíte být globální Správa istrator nebo zásady správného řízení identit Správa istrator. Nebo musíte být vlastníkem katalogu nebo správcem balíčků v daném katalogu.

    Screenshot that shows basic information for a new access package.

    Pokud jste globální Správa istrator, zásady správného řízení identit Správa istrator nebo tvůrce katalogu a chcete vytvořit přístupový balíček v novém katalogu, který tu není uvedený, vyberte Vytvořit nový katalog. Zadejte název a popis katalogu a pak vyberte Vytvořit.

    Přístupový balíček, který vytváříte, a všechny prostředky, které do něj zahrnete, se přidají do nového katalogu. Později můžete přidat další vlastníky katalogu nebo přidat atributy k prostředkům, které jste vložili do katalogu. Další informace o tom, jak upravit seznam atributů pro konkrétní prostředek katalogu a požadované role, najdete v tématu Přidání atributů prostředků v katalogu.

  3. Vyberte Další: Role prostředků.

Výběr rolí prostředků

Na kartě Role prostředků vyberete prostředky, které chcete zahrnout do přístupového balíčku. Uživatelé, kteří požadují a obdrží přístupový balíček, obdrží všechny role prostředků, jako je členství ve skupině, v přístupovém balíčku.

Pokud si nejste jistí, které role prostředků se mají zahrnout, můžete je při vytváření přístupového balíčku přeskočit a později je přidat.

  1. Vyberte typ prostředku, který chcete přidat (skupiny a týmy, aplikace nebo sharepointové weby).

  2. Na panelu Vybrat aplikace , který se zobrazí, vyberte ze seznamu jeden nebo více prostředků.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Pokud vytváříte přístupový balíček v obecném katalogu nebo v novém katalogu, můžete zvolit libovolný prostředek z adresáře, který vlastníte. Musíte být alespoň globálním správcem, správcem zásad správného řízení identit Správa istrator nebo tvůrcem katalogu.

    Poznámka:

    Dynamické skupiny můžete přidat do katalogu a do přístupového balíčku. Při správě prostředku dynamické skupiny v přístupovém balíčku ale můžete vybrat jenom roli vlastníka.

    Pokud vytváříte přístupový balíček v existujícím katalogu, můžete vybrat libovolný prostředek, který už je v katalogu, aniž byste museli být vlastníkem tohoto prostředku.

    Pokud jste globální správce, zásady správného řízení identit Správa istrator nebo vlastník katalogu, máte další možnost vybrat prostředky, které vlastníte nebo spravujete, ale které ještě nejsou v katalogu. Pokud vyberete prostředky v adresáři, ale aktuálně ne ve vybraném katalogu, přidají se tyto prostředky také do katalogu pro další správce katalogu, aby mohli vytvářet přístupové balíčky. Pokud chcete zobrazit všechny prostředky v adresáři, který lze přidat do katalogu, zaškrtněte políčko Zobrazit vše v horní části panelu. Pokud chcete vybrat pouze prostředky, které jsou aktuálně ve vybraném katalogu, ponechte políčko Zobrazit vše nezaškrtnuto (výchozí stav).

  3. V seznamu rolí vyberte roli, kterou mají mít uživatelé přiřazené k prostředku. Další informace o výběru vhodných rolí pro prostředek najdete v tématu určení rolí prostředků, které mají být zahrnuty do přístupového balíčku.

    Screenshot that shows resource role selection for a new access package.

  4. Vyberte Další: Požadavky.

Vytvoření zásad žádosti

Na kartě Žádosti vytvoříte první zásadu, která určí, kdo může požádat o přístupový balíček. Nakonfigurujete také nastavení schválení. Později můžete vytvořit další zásady žádostí, které umožní dalším skupinám uživatelů požádat o přístupový balíček s vlastním nastavením schválení.

Screenshot that shows the Requests tab for a new access package.

V závislosti na tom, kteří uživatelé chtějí požádat o tento přístupový balíček, proveďte kroky v jedné z následujících částí.

Povolit uživatelům ve vašem adresáři požádat přístupový balíček

Pokud chcete uživatelům ve vašem adresáři povolit, aby mohli požádat o tento přístupový balíček, postupujte následovně. Při definování zásad žádosti můžete určit jednotlivé uživatele nebo (běžnější) skupiny uživatelů. Vaše organizace už například může mít skupinu, například Všichni zaměstnanci. Pokud je tato skupina přidaná do zásad pro uživatele, kteří můžou požádat o přístup, může o přístup požádat libovolný člen této skupiny.

  1. V části Uživatelé, kteří můžou požádat o přístup, vyberte Možnost Pro uživatele ve vašem adresáři.

    Když vyberete tuto možnost, zobrazí se nové možnosti, abyste mohli upřesnit, kdo v adresáři může požádat o tento přístupový balíček.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. Vyberte jednu z následujících možností:

    Možnost Popis
    Konkrétní uživatelé a skupiny Tuto možnost zvolte, pokud chcete, aby tento přístupový balíček mohli požadovat pouze uživatelé a skupiny ve vašem adresáři, které zadáte.
    Všichni členové (s výjimkou hostů) Tuto možnost zvolte, pokud chcete, aby všichni členové ve vašem adresáři mohli požádat o tento přístupový balíček. Tato možnost nezahrnuje žádné uživatele typu host, které jste možná pozvali do adresáře.
    Všichni uživatelé (včetně hostů) Tuto možnost zvolte, pokud chcete, aby tento přístupový balíček mohli požádat všichni členové a uživatele typu host ve vašem adresáři.

    Uživatelé typu host jsou externí uživatelé, kteří byli pozváni do vašeho adresáře prostřednictvím Microsoft Entra B2B. Další informace o rozdílech mezi uživateli člena a uživateli typu host naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.

  3. Pokud jste vybrali konkrétní uživatele a skupiny, vyberte Přidat uživatele a skupiny.

  4. V podokně Vybrat uživatele a skupiny vyberte uživatele a skupiny, které chcete přidat.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Zvolte Vybrat a přidejte uživatele a skupiny.

  6. Přejděte dolů do části Zadat nastavení schválení.

Povolit uživatelům, kteří nejsou ve vašem adresáři, požádat o přístupový balíček

Uživatelé, kteří jsou v jiném adresáři nebo doméně Microsoft Entra, možná ještě nebyli pozváni do vašeho adresáře. Adresáře Microsoft Entra musí být nakonfigurované tak, aby povolovaly pozvánky v omezeních spolupráce. Další informace najdete v článku Konfigurace nastavení externí spolupráce.

Uživatelský účet typu host se vytvoří pro uživatele, který ještě není ve vašem adresáři, jehož žádost je schválená nebo nepotřebuje schválení. Host bude pozvaný, ale nepřijde e-mail s pozvánkou. Místo toho obdrží e-mail při doručení přiřazení přístupového balíčku. Když uživatel typu host už nemá přiřazení přístupového balíčku, protože vypršela platnost posledního přiřazení nebo byla zrušena, účet se zablokuje v přihlášení a následně se odstraní. Blokování a odstranění probíhá ve výchozím nastavení.

Pokud chcete, aby uživatelé typu host zůstali ve vašem adresáři neomezeně dlouho, i když nemají přiřazení přístupového balíčku, můžete změnit nastavení konfigurace správy nároků. Další informace o objektu uživatele typu host naleznete v tématu Vlastnosti uživatele spolupráce Microsoft Entra B2B.

Pokud chcete uživatelům, kteří nejsou ve vašem adresáři, povolit vyžádání přístupového balíčku, postupujte takto:

  1. V části Uživatelé, kteří mohou požádat o přístup, vyberte Možnost Pro uživatele, kteří nejsou ve vašem adresáři.

    Když vyberete tuto možnost, zobrazí se nové možnosti.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. Vyberte jednu z následujících možností:

    Možnost Popis
    Konkrétní propojené organizace Tuto možnost zvolte, pokud chcete vybrat ze seznamu organizací, které správce přidal dříve. O tento přístupový balíček můžou požádat všichni uživatelé z vybraných organizací.
    Všechny propojené organizace Tuto možnost zvolte, pokud si můžou tento přístupový balíček vyžádat všichni uživatelé ze všech nakonfigurovaných připojených organizací.
    Všichni uživatelé (všechny propojené organizace + všichni noví externí uživatelé) Tuto možnost zvolte, pokud si všichni uživatelé mohou vyžádat tento přístupový balíček a nastavení seznamu povolených nebo blokovaných seznamů B2B by mělo mít přednost pro každého nového externího uživatele.

    Propojená organizace je externí adresář nebo doména Microsoft Entra, se kterou máte vztah.

  3. Pokud jste vybrali konkrétní propojené organizace, vyberte Přidat adresáře a vyberte ze seznamu propojených organizací, které správce předtím přidal.

  4. Zadejte název nebo název domény, který chcete vyhledat dříve připojenou organizaci.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    Pokud organizace, se kterou chcete spolupracovat, není v seznamu, můžete požádat správce, aby ho přidal jako připojenou organizaci. Další informace najdete v tématu Přidání připojené organizace.

  5. Pokud jste vybrali všechny připojené organizace, měli byste u globálního správce potvrdit seznam připojených organizací, které jsou aktuálně nakonfigurované a plánované na rozsah.

  6. Pokud jste vybrali možnost Všichni uživatelé, budete muset nakonfigurovat schválení v části Schválení, protože tento obor umožní jakékoli identitě na internetu požádat o přístup.

  7. Po výběru všech připojených organizací zvolte Vybrat.

    Tento přístupový balíček budou moct požádat všichni uživatelé z vybraných připojených organizací. To zahrnuje uživatele z Microsoft Entra ID ze všech subdomén přidružených k organizaci, pokud tyto domény nezablokuje seznam povolených nebo blokovaných seznamů Azure B2B. Pokud zadáte doménu zprostředkovatele sociální identity, jako je například live.com, bude moct o tento přístupový balíček požádat jakýkoli uživatel zprostředkovatele sociální identity. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.

  8. Přejděte dolů do části Zadat nastavení schválení.

Povolit pouze přímá přiřazení správce

Pokud chcete obejít žádosti o přístup a povolit správcům přímé přiřazení konkrétních uživatelů k tomuto přístupového balíčku, postupujte podle těchto kroků. Uživatelé nebudou muset požádat o přístupový balíček. Nastavení životního cyklu můžete nastavit i nadále, ale nejsou k dispozici žádná nastavení požadavků.

  1. V části Uživatelé, kteří mohou požádat o přístup, vyberte Možnost Žádné (pouze přímá přiřazení správce).

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    Po vytvoření přístupového balíčku k němu můžete přímo přiřadit konkrétní interní a externí uživatele. Pokud zadáte externího uživatele, vytvoří se ve vašem adresáři uživatelský účet typu host. Informace o přímém přiřazování uživatele najdete v tématu Zobrazení, přidání a odebrání přiřazení přístupového balíčku.

  2. Přejděte dolů do části Povolit požadavky .

Zadání nastavení schválení

V části Schválení určíte, jestli je vyžadováno schválení, když uživatelé požadují tento přístupový balíček. Nastavení schválení funguje následujícím způsobem:

  • Žádost o schválení s jednou fází musí schválit jenom jeden z vybraných schvalovatelů nebo náhradních schvalovatelů.
  • Žádost o dvoufázové schválení musí schválit jenom jeden z vybraných schvalovatelů z každé fáze.
  • Schvalovatel může být manažer, sponzor uživatele, interní sponzor nebo externí sponzor v závislosti na zásadách správného řízení přístupu.
  • Schválení od každého vybraného schvalovatele se nevyžaduje pro jednofázové nebo dvoufázové schválení.
  • Rozhodnutí o schválení vychází z toho, kdo schvalovatel žádost nejprve zkontroluje.

Ukázku toho, jak přidat schvalovatele do zásady žádosti, najdete v následujícím videu:

Ukázku toho, jak přidat vícefázové schválení do zásad žádosti, najdete v následujícím videu:

Pokud chcete zadat nastavení schválení pro žádosti o přístupový balíček, postupujte takto:

  1. Pokud chcete vyžadovat schválení pro žádosti od vybraných uživatelů, nastavte přepínač Vyžadovat schválení na Ano. Pokud chcete, aby se žádosti automaticky schválily, nastavte přepínač na Ne. Pokud tato zásada umožňuje externím uživatelům mimo vaši organizaci požádat o přístup, měli byste vyžadovat schválení, takže existuje dohled nad tím, kdo se přidává do adresáře vaší organizace.

  2. Pokud chcete, aby uživatelé zadali odůvodnění žádosti o přístupový balíček, nastavte přepínač Vyžadovat odůvodnění žadatele na Ano.

  3. Určete, jestli požadavky vyžadují jednofázové nebo dvoufázové schválení. Nastavte přepínač Počet fází na 1 pro jednofázové schválení, 2 pro dvoufázové schválení nebo 3 pro třífázové schválení.

    Screenshot that shows approval settings for requests to an access package.

Následující postup použijte k přidání schvalovatelů po výběru počtu fází.

Jednofázové schválení

  1. Přidejte informace o prvním schvalovateli:

    • Pokud je zásada nastavená na Hodnotu Pro uživatele ve vašem adresáři, můžete jako schvalovatele vybrat manažera nebo sponzory jako schvalovatele. Nebo můžete přidat konkrétního uživatele tak, že vyberete Vybrat konkrétní schvalovatele a pak vyberete Přidat schvalovatele.

      Pokud chcete sponzory používat jako schvalovatele ke schválení, musíte mít licenci microsoft Entra ID Governance. Další informace naleznete v tématu Porovnání obecně dostupných funkcí Microsoft Entra ID.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • Pokud je zásada nastavená na Možnost Pro uživatele, kteří nejsou ve vašem adresáři, můžete vybrat externího sponzora nebo interního sponzora. Nebo můžete přidat konkrétního uživatele tak, že vyberete Vybrat konkrétní schvalovatele a pak vyberete Přidat schvalovatele.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. Pokud jste jako první schvalovatele vybrali správce, vyberte možnost Přidat náhradní uživatele nebo skupiny ve vašem adresáři, aby to byl záložní schvalovatel. Náhradní schvalovatelé obdrží žádost, pokud správa nároků nemůže najít správce pro uživatele, který žádá o přístup.

    Správa nároků najde správce pomocí atributu Správce . Atribut je v profilu uživatele v Microsoft Entra ID. Další informace najdete v tématu Přidání nebo aktualizace informací a nastavení profilu uživatele.

  3. Pokud jste jako první schvalovatele vybrali sponzory , vyberte možnost Přidat náhradní uživatele nebo skupiny ve vašem adresáři, které se mají stát náhradním schvalovatelem. Náhradní schvalovatelé obdrží žádost, pokud správa nároků nemůže najít sponzora pro uživatele, který žádá o přístup.

    Správa nároků najde sponzory pomocí atributu Sponzory . Atribut je v profilu uživatele v Microsoft Entra ID. Další informace najdete v tématu Přidání nebo aktualizace informací a nastavení profilu uživatele.

  4. Pokud jste vybrali Možnost Zvolit konkrétní schvalovatele, vyberte Přidat schvalovatele a vyberte jednoho nebo více uživatelů nebo skupin ve vašem adresáři, kteří mají být schvalovateli.

  5. V poli Rozhodnutí musí být provedeno kolik dní? Zadejte počet dní, po které musí schvalovatel zkontrolovat žádost o tento přístupový balíček.

    Pokud žádost není v tomto časovém období schválená, automaticky se odepře. Uživatel pak musí odeslat další žádost o přístupový balíček.

  6. Pokud chcete, aby schvalovatelé zadali odůvodnění svého rozhodnutí, nastavte možnost Vyžadovat odůvodnění schvalovatele na ano.

    Odůvodnění je viditelné ostatním schvalovatelům a žadateli.

Dvoufázové schválení

Pokud jste vybrali dvoufázové schválení, musíte přidat druhého schvalovatele:

  1. Přidejte informace o druhém schvalovateli:

    • Pokud jsou uživatelé ve vašem adresáři, můžete jako schvalovatele vybrat sponzory. Nebo přidejte konkrétního uživatele tak , že v rozevírací nabídce vyberete Vybrat konkrétní schvalovatele a pak vyberete Přidat schvalovatele.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Pokud uživatelé nejsou ve vašem adresáři, vyberte jako druhý schvalovatel interní sponzor nebo externí sponzor . Po výběru schvalovatele přidejte náhradní schvalovatele.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. V poli Rozhodnutí musí být provedeno kolik dní? Zadejte počet dnů, po které musí druhý schvalovatel žádost schválit.

  3. Nastavte přepínač Vyžadovat odůvodnění schvalovatele na Ano nebo Ne.

Třífázové schválení

Pokud jste vybrali třífázové schválení, musíte přidat třetí schvalovatele:

  1. Přidejte informace o třetím schvalovateli:

    Pokud jsou uživatelé ve vašem adresáři, přidejte konkrétního uživatele jako třetího schvalovatele tak, že vyberete Vybrat konkrétní schvalovatele>.

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. V poli Rozhodnutí musí být provedeno kolik dní? Zadejte počet dnů, po které musí druhý schvalovatel žádost schválit.

  3. Nastavte přepínač Vyžadovat odůvodnění schvalovatele na Ano nebo Ne.

Alternativní schvalovatelé

Můžete zadat alternativní schvalovatele, podobně jako u prvních a druhých schvalovatelů, kteří mohou žádosti schválit. Alternativní schvalovatelé pomáhají zajistit, aby žádosti byly schváleny nebo odepřeny před vypršením jejich platnosti (vypršení časového limitu). Můžete uvést alternativní schvalovatele pro prvního schvalovatele a druhého schvalovatele pro dvoufázové schválení.

Když zadáte alternativní schvalovatele, pokud první nebo druhý schvalovatelé nemůžou žádost schválit nebo zamítnout, předá se čekající žádost alternativním schvalovatelům. Požadavek se odešle podle plánu předávání, který jste zadali během nastavení zásad. Schvalovatelé dostanou e-mail ke schválení nebo zamítnutí čekající žádosti.

Po předání žádosti alternativním schvalovatelům může první nebo druhý schvalovatelé žádost přesto schválit nebo zamítnout. Alternativní schvalovatelé používají ke schválení nebo zamítnutí nevyřízené žádosti stejný osobní web.

Můžete uvést osoby nebo skupiny osob, které mají být schvalovateli a alternativními schvalovateli. Ujistěte se, že uvádíte různé skupiny lidí, které mají být první, druhý a alternativní schvalovatelé. Pokud jste například uvedli Alice a Boba jako první schvalovatele, uveďte jako alternativní schvalovatele Carol a Dave.

Pomocí následujícího postupu přidejte alternativní schvalovatele do přístupového balíčku:

  1. V části První schvalovatel, Druhý schvalovatel nebo obojí vyberte Zobrazit upřesňující nastavení žádosti.

    Screenshot of the selection for showing advanced request settings.

  2. Nastavte možnost Pokud nebyla provedena žádná akce, přeposlat alternativním schvalovatelům? Přepněte na tlačítko Ano.

  3. Vyberte Přidat alternativní schvalovatele a pak ze seznamu vyberte alternativní schvalovatele.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    Pokud jako první schvalovatel vyberete Správce , zobrazí se v poli Alternativní schvalovatel další možnost: Správce druhé úrovně jako alternativní schvalovatel. Pokud vyberete tuto možnost, musíte přidat náhradního schvalovatele, aby žádost předal, pokud systém nemůže najít správce druhé úrovně.

  4. Do pole Předat alternativním schvalovatelům za kolik dní zadejte počet dnů, po kterých musí schvalovatelé žádost schválit nebo zamítnout. Pokud žádné schvalovatele neschválí nebo zamítnou žádost před dobou trvání žádosti, platnost žádosti vyprší (vyprší časový limit). Uživatel pak musí odeslat další žádost o přístupový balíček.

Žádosti je možné předávat pouze alternativním schvalovatelům den poté, co doba trvání žádosti dosáhne poloviny životnosti. Rozhodnutí hlavních schvalovatelů musí vyprší časový limit alespoň po čtyřech dnech. Pokud je časový limit žádosti kratší nebo roven třem dnům, není dostatek času na předání žádosti alternativním schvalovatelům.

V tomto příkladu je doba trvání požadavku 14 dní. Doba trvání požadavku dosáhne poločasu v den 7. Žádost se tedy nedá přeposlat dříve než 8. den.

Požadavky se také nedají přeposílat v poslední den doby trvání žádosti. V tomto příkladu je tedy poslední požadavek možné přeposlat 13. den.

Povolení požadavků

  1. Pokud chcete, aby byl přístupový balíček okamžitě zpřístupněn uživatelům v zásadách žádosti, aby požadoval, přesuňte přepínač Povolit nové žádosti a přiřazení na Ano.

    Jakmile dokončíte vytváření přístupového balíčku, můžete ho kdykoli v budoucnu povolit.

    Pokud vyberete Možnost Žádné (pouze přímá přiřazení správce) a nastavíte možnost Povolit nové žádosti a přiřazení na hodnotu Ne, správci nebudou moct tento přístupový balíček přímo přiřadit.

    Screenshot that shows the option for enabling new requests and assignments.

  2. V další části se dozvíte, jak do přístupového balíčku přidat požadavek na ověřené ID. V opačném případě vyberte Další.

Přidání požadavku na ověřené ID

Pokud chcete k zásadám přístupového balíčku přidat požadavek na ověřené ID, postupujte následovně. Uživatelé, kteří chtějí získat přístup k přístupovém balíčku, musí před úspěšným odesláním žádosti předložit požadovaná ověřená ID. Informace o tom, jak nakonfigurovat tenanta se službou Ověřené ID Microsoft Entra, najdete v tématu Úvod do Ověřené ID Microsoft Entra.

K přidání požadavků na ověřené ID do přístupového balíčku potřebujete roli globálního správce. Správce zásad správného řízení identit, správce uživatelů, vlastník katalogu nebo správce balíčků pro přístup zatím nemůže přidat ověřené požadavky na ID.

  1. Vyberte + Přidat vystavitele a pak vyberte vystavitele ze sítě Ověřené ID Microsoft Entra. Pokud chcete uživatelům vydat vlastní přihlašovací údaje, najdete pokyny v části Problém Ověřené ID Microsoft Entra přihlašovací údaje z aplikace.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. Vyberte typypřihlašovacích

    Screenshot that shows the area for selecting credential types for an access package.

    Pokud vyberete více typů přihlašovacích údajů od jednoho vystavitele, budou uživatelé muset prezentovat přihlašovací údaje všech vybraných typů. Podobně pokud zahrnete více vystavitelů, budou uživatelé muset prezentovat přihlašovací údaje od každého vystavitele, kterého do zásad zahrnete. Pokud chcete uživatelům dát možnost prezentovat různé přihlašovací údaje od různých vystavitelů, nakonfigurujte samostatné zásady pro každého vystavitele nebo typ přihlašovacích údajů, které přijmete.

  3. Výběrem možnosti Přidat přidejte do zásad přístupového balíčku požadavek na ověřené ID.

Přidání informací žadatele do přístupového balíčku

  1. Přejděte na kartu Informace o žadateli a vyberte kartu Otázky .

  2. Do pole Otázka zadejte otázku, kterou chcete žadateli položit. Tato otázka se také označuje jako zobrazovaný řetězec.

  3. Pokud chcete přidat vlastní možnosti lokalizace, vyberte přidat lokalizaci.

    Screenshot that shows the box for entering a question for a requestor.

    V podokně Přidat lokalizace pro otázky :

    1. V části Kód jazyka vyberte kód jazyka pro jazyk, ve kterém otázku lokalizujete.
    2. Do pole Lokalizovaný text zadejte otázku v jazyce, který jste nakonfigurovali.
    3. Až dokončíte přidávání všech potřebných lokalizací, vyberte Uložit.

    Screenshot that shows localization selections for a question.

  4. Jako formát odpovědi vyberte formát, ve kterém mají žadateli odpovědět. Formáty odpovědí zahrnují krátký text, více voleb a dlouhý text.

  5. Pokud jste vybrali více možností, vyberte tlačítko Upravit a lokalizovat a nakonfigurujte možnosti odpovědi.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    V podokně Pro zobrazení a úpravy otázek :

    1. Do polí Hodnoty odpovědí zadejte možnosti odpovědi, které chcete poskytnout, když žadatel odpovídá na otázku.
    2. V polích Jazyk vyberte jazyk pro možnosti odpovědi. Možnosti odpovědi můžete lokalizovat, pokud zvolíte další jazyky.
    3. Zvolte Uložit.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. Pokud chcete, aby žadatel odpověděl na tuto otázku, když žádá o přístup k přístupovém balíčku, zaškrtněte políčko Povinné .

  7. Výběrem karty Atributy zobrazíte atributy přidružené k prostředkům, které jste přidali do přístupového balíčku.

    Poznámka:

    Pokud chcete přidat nebo aktualizovat atributy pro prostředky přístupového balíčku, přejděte do katalogu a vyhledejte katalog přidružený k přístupovém balíčku. Další informace o tom, jak upravit seznam atributů pro konkrétní prostředek katalogu a požadované role, najdete v tématu Přidání atributů prostředků v katalogu.

  8. Vyberte Další.

Určení životního cyklu

Na kartě Životní cyklus určíte, kdy vyprší platnost přiřazení uživatele k přístupovém balíčku. Můžete také určit, jestli uživatelé můžou svá přiřazení rozšířit.

  1. V části Vypršení platnosti nastavte vypršení platnosti přiřazení přístupového balíčku na Datum, Počet dní, Počet hodin nebo Nikdy.

    • Jako datum vyberte datum vypršení platnosti v budoucnu.
    • V poli Počet dní zadejte číslo od 0 do 3660 dnů.
    • Pro počet hodin zadejte, kolik hodin.

    Na základě vašeho výběru vyprší platnost přiřazení uživatele k přístupovém balíčku k určitému datu, některé dny po schválení nebo nikdy.

  2. Pokud chcete, aby uživatel požádal o konkrétní počáteční a koncové datum svého přístupu, vyberte Možnost Ano pro uživatele, kteří mohou požádat o konkrétní časový plán .

  3. Pokud chcete zobrazit další nastavení, vyberte Zobrazit upřesňující nastavení vypršení platnosti.

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Pokud chcete uživateli povolit rozšíření přiřazení, nastavte Možnost Povolit uživatelům rozšířit přístup na ano.

    Pokud jsou v zásadách povolená rozšíření, uživatel obdrží e-mail před 14 dny a potom jeden den před tím, než přiřazení přístupového balíčku vyprší. E-mail vyzve uživatele k rozšíření přiřazení. Uživatel musí být stále v rozsahu zásad v době, kdy požaduje rozšíření.

    Pokud má zásada explicitní koncové datum pro přiřazení a uživatel odešle žádost o rozšíření přístupu, musí být datum prodloužení v žádosti nejpozději do vypršení platnosti přiřazení. Zásady, které jste použili k udělení přístupu uživateli k přístupovém balíčku, určují, jestli je datum rozšíření před vypršením platnosti přiřazení nebo před vypršením jeho platnosti. Pokud například zásada indikuje, že přiřazení jsou nastavená na vypršení platnosti 30. června, maximální rozšíření, které může uživatel požádat, je 30. června.

    Pokud je přístup uživatele rozšířený, nebude moct požádat o přístupový balíček po zadaném datu rozšíření (datum nastavené v časovém pásmu uživatele, který zásadu vytvořil).

  5. Pokud chcete vyžadovat schválení pro udělení rozšíření, nastavte možnost Vyžadovat schválení, aby bylo rozšíření uděleno ano.

    Toto schválení bude používat stejná nastavení schválení, která jste zadali na kartě Žádosti .

  6. Vyberte Další nebo Aktualizovat.

Kontrola a vytvoření přístupového balíčku

Na kartě Zkontrolovat a vytvořit můžete zkontrolovat nastavení a zkontrolovat případné chyby ověření.

  1. Zkontrolujte nastavení přístupového balíčku.

    Screenshot that shows a summary of access package configuration.

  2. Vyberte Vytvořit a vytvořte přístupový balíček.

    Nový přístupový balíček se zobrazí v seznamu přístupových balíčků.

  3. Pokud má být přístupový balíček viditelný pro všechny uživatele v rozsahu zásad, ponechte nastavení Skryté nastavení přístupového balíčku na adrese Ne. Pokud chcete uživatelům s přímým odkazem povolit pouze vyžádání přístupového balíčku, upravte přístupový balíček a změňte nastavení Skryté na Ano. Potom zkopírujte odkaz a požádejte o přístupový balíček a sdílejte ho s uživateli, kteří potřebují přístup.

Programové vytvoření přístupového balíčku

Balíček pro přístup můžete vytvořit dvěma způsoby prostřednictvím kódu programu: prostřednictvím Microsoft Graphu a prostřednictvím rutin PowerShellu pro Microsoft Graph.

Vytvoření přístupového balíčku pomocí Microsoft Graphu

Přístupový balíček můžete vytvořit pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, může rozhraní API volat takto:

  1. Vytvořte seznam prostředků v katalogu a vytvořte accessPackageResourceRequest pro všechny prostředky, které ještě nejsou v katalogu.
  2. Načtěte role a obory jednotlivých prostředků v katalogu. Tento seznam rolí se pak použije k výběru role při následném vytvoření role RoleeScope.
  3. Vytvořte accessPackage.
  4. Vytvořte roli resourceRoleScope pro každou roli prostředku potřebnou v přístupovém balíčku.
  5. Vytvořte zásadu přiřazení pro každou zásadu potřebnou v přístupovém balíčku.

Vytvoření přístupového balíčku pomocí Microsoft PowerShellu

Přístupový balíček můžete také vytvořit v PowerShellu pomocí rutin z rutin Prostředí Microsoft Graph PowerShell pro modul zásad správného řízení identit.

Nejprve načtěte ID katalogu a prostředku v daném katalogu a jeho rozsahy a role, které chcete zahrnout do přístupového balíčku. Použijte skript podobný následujícímu příkladu:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Pak vytvořte přístupový balíček:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Po vytvoření přístupového balíčku mu přiřaďte role prostředků. Pokud například chcete zahrnout první roli prostředku prostředku vrácenou dříve jako roli prostředku nového přístupového balíčku, můžete použít skript podobný tomuto:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Nakonec vytvořte zásady. V této zásadě můžou přístup přiřadit jenom správci nebo správci přiřazení přístupových balíčků a neexistují žádné kontroly přístupu. Další příklady najdete v tématu Vytvoření zásady přiřazení prostřednictvím PowerShellu a Vytvoření zásady přiřazení.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Další kroky