Hozzáférési csomag kérésbeállításainak módosítása a jogosultságkezelésben

Hozzáférési csomagkezelőként bármikor módosíthatja a hozzáférési csomagot kérő felhasználókat, ha módosít egy szabályzatot a hozzáférési csomag hozzárendelési kérelmeihez, vagy új szabályzatot ad hozzá a hozzáférési csomaghoz. Ez a cikk azt ismerteti, hogyan módosíthatja egy meglévő hozzáférési csomag hozzárendelési szabályzatának kérésbeállítását.

Válasszon egy vagy több szabályzat közül

A hozzáférési csomag kérésének módja szabályzattal van megadva. Mielőtt új szabályzatot hoz létre, vagy meglévő szabályzatot szerkeszt egy hozzáférési csomagban, meg kell határoznia, hogy hány házirendre van szüksége a hozzáférési csomagnak.

Hozzáférési csomag létrehozásakor megadhatja a kérelem, a jóváhagyás és az életciklus beállításait, amelyek a hozzáférési csomag első szabályzatában vannak tárolva. A legtöbb hozzáférési csomag egyetlen szabályzattal rendelkezik a felhasználók számára a hozzáférés kéréséhez, de egyetlen hozzáférési csomag több szabályzattal is rendelkezhet. Több szabályzatot is létrehozhat egy hozzáférési csomaghoz, ha engedélyezni szeretné, hogy különböző felhasználók különböző kérési és jóváhagyási beállításokkal rendelkező hozzárendeléseket kapjanak.

Egyetlen szabályzat például nem használható arra, hogy belső és külső felhasználókat rendeljen ugyanahhoz a hozzáférési csomaghoz. Létrehozhat azonban két házirendet ugyanabban a hozzáférési csomagban, egyet belső felhasználók számára, egyet pedig külső felhasználók számára. Ha egy felhasználóra több szabályzat is vonatkozik, a rendszer a kéréskor kérni fogja, hogy válassza ki azt a szabályzatot, amelyhez hozzá szeretné rendelni. Az alábbi ábrán egy két házirendet tartalmazó hozzáférési csomag látható.

A felhasználók hozzáférés-igénylésére vonatkozó szabályzatok mellett az automatikus hozzárendelésre vonatkozó szabályzatok, valamint a rendszergazdák vagy a katalógustulajdonosok közvetlen hozzárendelésére vonatkozó szabályzatok is lehetnek.

Hány szabályzatra lesz szükségem?

Eset	Szabályzatok száma
Azt szeretném, hogy a címtáram összes felhasználója ugyanazokat a kérési és jóváhagyási beállításokat használja egy hozzáférési csomaghoz	Eggyel
Azt szeretném, hogy bizonyos kapcsolt szervezetek összes felhasználója igényelhessen hozzáférési csomagot	Eggyel
Engedélyezni szeretném a címtáram felhasználóinak és a címtáramon kívüli felhasználóknak is, hogy hozzáférési csomagot kérjenek	Kettővel
Különböző jóváhagyási beállításokat szeretnék megadni egyes felhasználók számára	Egy a felhasználók minden csoportjához
Azt szeretném, ha egyes felhasználók elérnék a csomaghozzárendeléseket, míg mások bővíthetik a hozzáférésüket	Egy a felhasználók minden csoportjához
Azt szeretném, ha egyes felhasználók hozzáférést kérnek, más felhasználókhoz pedig rendszergazdai hozzáférést rendelnék.	Kettővel
Azt szeretném, hogy a szervezetem egyes felhasználói automatikusan kapják meg a hozzáférést, a szervezet más felhasználói pedig kérhessenek hozzáférést, más felhasználókat pedig egy rendszergazda rendeljen hozzá.	Hárommal

A több szabályzat alkalmazásakor használt prioritási logikáról további információt a Több szabályzat című témakörben talál.

Nyisson meg egy meglévő hozzáférési csomagot, és adjon hozzá egy új szabályzatot különböző kérési beállításokkal

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ha olyan felhasználói csoporttal rendelkezik, amelynek eltérő kérési és jóváhagyási beállításokkal kell rendelkeznie, valószínűleg létre kell hoznia egy új szabályzatot. Az alábbi lépéseket követve új szabályzatot adhat hozzá egy meglévő hozzáférési csomaghoz:

Előfeltétel-szerepkör: Globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator, katalógustulajdonos vagy Access-csomagkezelő

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

3. Az Access-csomagok lapon nyissa meg a szerkeszteni kívánt hozzáférési csomagot.

4. Válassza a Szabályzatok lehetőséget, majd adja hozzá a szabályzatot.

5. Az Alapszintű beállítások lapon írja be a szabályzat nevét és leírását.

   

6. A Tovább gombra kattintva nyissa meg a Kérések lapot.

7. Módosítsa a hozzáférési beállításokat kérő felhasználókat. A következő szakaszok lépéseivel módosítsa a beállítást az alábbi beállítások egyikére:

   • A címtárban lévő felhasználók számára
   • A címtárban nem szereplő felhasználók számára
   • Nincs (csak rendszergazdai közvetlen hozzárendelések)

A címtárban lévő felhasználók számára

Kövesse ezeket a lépéseket, ha engedélyezni szeretné, hogy a címtár felhasználói igényelhessék ezt a hozzáférési csomagot. A kérelemházirend meghatározásakor megadhatja az egyes felhasználókat vagy gyakrabban a felhasználók csoportjait. Előfordulhat például, hogy a szervezet már rendelkezik olyan csoporttal, mint a Minden alkalmazott. Ha ez a csoport hozzáadva van a szabályzathoz azoknak a felhasználóknak, akik hozzáférést kérhetnek, akkor a csoport bármely tagja kérheti a hozzáférést.

1. A hozzáférési igénylést kérő felhasználók szakaszban kattintson a Címtárban lévő felhasználókra.

   Ha ezt a lehetőséget választja, új beállítások jelennek meg, amelyek tovább pontosítják, hogy ki kérheti ezt a hozzáférési csomagot a címtárban.

   

2. Válasszon a következő lehetőségek közül:

   	Leírás
   Adott felhasználók és csoportok	Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy csak a megadott felhasználók és csoportok igényelhessék ezt a hozzáférési csomagot.
   Minden tag (a vendégek kivételével)	Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy a címtár összes tagfelhasználója igényelhesse ezt a hozzáférési csomagot. Ez a beállítás nem tartalmaz olyan vendégfelhasználókat, akiket meghívhatott volna a címtárába.
   Minden felhasználó (beleértve a vendégeket is)	Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy a címtár összes tag- és vendégfelhasználója igényelhesse ezt a hozzáférési csomagot.

   A vendégfelhasználók olyan külső felhasználókra hivatkoznak, akiket meghívtak a címtárba a Microsoft Entra B2B-vel. A tagfelhasználók és a vendégfelhasználók közötti különbségekről további információt a Microsoft Entra ID alapértelmezett felhasználói engedélyei című témakörben talál.

3. Ha az Adott felhasználók és csoportok lehetőséget választotta, kattintson a Felhasználók és csoportok hozzáadása elemre.

4. A Felhasználók és csoportok kijelölése panelen válassza ki a hozzáadni kívánt felhasználókat és csoportokat.

   

5. Kattintson a Kijelölés gombra a felhasználók és csoportok hozzáadásához.

6. Ha jóváhagyást szeretne igényelni, használja a hozzáférési csomag jóváhagyási beállításainak módosítása a jogosultságkezelésben a jóváhagyási beállítások konfigurálásához.

7. Nyissa meg a Kérelmek engedélyezése szakaszt .

A címtárban nem szereplő felhasználók számára

A címtárban nem szereplő felhasználók olyan felhasználókra vonatkoznak, akik egy másik Microsoft Entra-címtárban vagy tartományban vannak. Előfordulhat, hogy ezek a felhasználók még nem lettek meghívva a címtárba. A Microsoft Entra-címtárakat úgy kell konfigurálni, hogy engedélyezve legyenek a meghívások együttműködési korlátozásokban. További információ: Külső együttműködési beállítások konfigurálása.

Feljegyzés

A rendszer létrehoz egy vendégfelhasználói fiókot egy olyan felhasználó számára, aki még nem szerepel a címtárában, akinek a kérelmét jóváhagyták vagy automatikusan jóváhagyták. A vendég meghívást kap, de nem kap meghívó e-mailt. Ehelyett e-mailt kapnak a hozzáférési csomag hozzárendelésének kézbesítéséről. Alapértelmezés szerint később, amikor a vendégfelhasználó már nem rendelkezik hozzáférési csomag-hozzárendelésekkel, mert az utolsó hozzárendelése lejárt vagy megszakadt, a vendégfelhasználói fiók le lesz tiltva a bejelentkezéstől, majd később törlődik. Ha azt szeretné, hogy a vendégfelhasználók határozatlan ideig maradjanak a címtárban, még akkor is, ha nem rendelkeznek hozzáférési csomag-hozzárendelésekkel, módosíthatja a jogosultságkezelési konfiguráció beállításait. A vendégfelhasználói objektumról további információt a Microsoft Entra B2B együttműködési felhasználó tulajdonságai című témakörben talál.

Kövesse az alábbi lépéseket, ha engedélyezni szeretné, hogy a címtárban nem szereplő felhasználók igényeljék ezt a hozzáférési csomagot:

1. A Hozzáférés igénylésére jogosult felhasználók szakaszban kattintson a Címtárban nem szereplő felhasználókra.

   Ha ezt a lehetőséget választja, új beállítások jelennek meg.

   

2. Válassza ki, hogy a hozzáférést kérő felhasználóknak egy meglévő kapcsolt szervezethez kell-e csatlakozniuk, vagy bárki lehet az interneten. A csatlakoztatott szervezet olyan szervezet, amellyel már meglévő kapcsolatban áll, és amelynek külső Microsoft Entra-címtára vagy egy másik identitásszolgáltatója is lehet. Válasszon a következő lehetőségek közül:

   	Leírás
   Meghatározott kapcsolt szervezetek	Válassza ezt a lehetőséget, ha a rendszergazda által korábban hozzáadott szervezetek listájából szeretne választani. A kijelölt szervezetek összes felhasználója kérheti ezt a hozzáférési csomagot.
   Minden konfigurált csatlakoztatott szervezet	Akkor válassza ezt a lehetőséget, ha az összes konfigurált csatlakoztatott szervezet összes felhasználója kérheti ezt a hozzáférési csomagot. Csak a konfigurált kapcsolt szervezetek felhasználói kérhetnek hozzáférési csomagokat, így ha egy felhasználó nem egy meglévő csatlakoztatott szervezethez társított Microsoft Entra-bérlőtől, tartománytól vagy identitásszolgáltatótól származik, akkor nem fog tudni kérni.
   Minden felhasználó (minden csatlakoztatott szervezet + minden új külső felhasználó)	Válassza ezt a lehetőséget, ha az interneten bármely felhasználónak képesnek kell lennie a hozzáférési csomag igénylésére. Ha nem tartoznak egy csatlakoztatott szervezethez a címtárban, a rendszer automatikusan létrehoz egy csatlakoztatott szervezetet a csomag kérésekor. Az automatikusan létrehozott kapcsolt szervezet javasolt állapotban lesz. A javasolt állapotról további információt a csatlakoztatott szervezetek State tulajdonsága című témakörben talál.

3. Ha adott kapcsolt szervezeteket jelölt ki, kattintson a Címtárak hozzáadása elemre a rendszergazda által korábban hozzáadott kapcsolt szervezetek listájából való választáshoz.

4. Írja be a nevet vagy tartománynevet egy korábban csatlakoztatott szervezet kereséséhez.

   

   Ha a együttműködni kívánt szervezet nem szerepel a listában, megkérheti a rendszergazdát, hogy vegye fel azt kapcsolt szervezetként. További információ: Csatlakoztatott szervezet hozzáadása.

5. Miután kiválasztotta az összes csatlakoztatott szervezetet, kattintson a Kiválasztás gombra.

   Feljegyzés

   A kijelölt csatlakoztatott szervezetek összes felhasználója kérheti ezt a hozzáférési csomagot. Microsoft Entra-címtárral rendelkező kapcsolt szervezetek esetén a Microsoft Entra címtárhoz társított összes ellenőrzött tartomány felhasználói kérhetik a kérést, kivéve, ha az Azure B2B engedélyezési vagy letiltási listája letiltja ezeket a tartományokat. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.

6. A következő lépésben a hozzáférési csomag jóváhagyási beállításainak módosítása a jogosultságkezelésben lépésekkel konfigurálja a jóváhagyási beállításokat annak meghatározásához, hogy ki hagyja jóvá a szervezeten belüli felhasználóktól érkező kérelmeket.

7. Nyissa meg a Kérelmek engedélyezése szakaszt .

Nincs (csak rendszergazdai közvetlen hozzárendelések)

Kövesse ezeket a lépéseket, ha meg szeretné kerülni a hozzáférési kérelmeket, és lehetővé szeretné tenni, hogy a rendszergazdák közvetlenül hozzárendeljenek bizonyos felhasználókat ehhez a hozzáférési csomaghoz. A felhasználóknak nem kell kérniük a hozzáférési csomagot. Az életciklus-beállítások továbbra is beállíthatók, de nincsenek kérésbeállítások.

1. A hozzáférés-kérést kérő felhasználók szakaszban kattintson a Nincs gombra (csak rendszergazdai közvetlen hozzárendelések).

   

   A hozzáférési csomag létrehozása után közvetlenül hozzárendelhet konkrét belső és külső felhasználókat a hozzáférési csomaghoz. Ha külső felhasználót ad meg, a címtárban létrejön egy vendégfelhasználói fiók. A felhasználók közvetlen hozzárendeléséről további információt a hozzáférési csomag hozzárendeléseinek megtekintése, hozzáadása és eltávolítása című témakörben talál.

2. Ugrás a Kérelmek engedélyezése szakaszra .

Feljegyzés

Amikor felhasználókat rendel egy hozzáférési csomaghoz, a rendszergazdáknak ellenőriznie kell, hogy a felhasználók a meglévő szabályzatkövetelmények alapján jogosultak-e a hozzáférési csomagra. Ellenkező esetben a felhasználók nem lesznek sikeresen hozzárendelve a hozzáférési csomaghoz. Ha a hozzáférési csomag olyan szabályzatot tartalmaz, amely megköveteli a felhasználói kérések jóváhagyását, a felhasználók nem rendelhetők közvetlenül a csomaghoz a kijelölt jóváhagyó(k) szükséges jóváhagyása(i) nélkül.

Meglévő szabályzat kérési beállításainak megnyitása és szerkesztése

A hozzáférési csomag kérési és jóváhagyási beállításainak módosításához meg kell nyitnia a megfelelő szabályzatot ezekkel a beállításokkal. A hozzáférési csomag-hozzárendelési szabályzat kérésbeállításainak megnyitásához és szerkesztéséhez kövesse az alábbi lépéseket:

Előfeltétel-szerepkör: Globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator, katalógustulajdonos vagy Access-csomagkezelő

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

3. Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelynek a szabályzatkérési beállításait szerkeszteni szeretné.

4. Válassza a Szabályzatok lehetőséget, majd kattintson a szerkeszteni kívánt szabályzatra.

   Megnyílik a Szabályzat részletei panel a lap alján.

   

5. A szabályzat szerkesztéséhez válassza a Szerkesztés lehetőséget.

   

6. A kérelmek beállításainak megnyitásához válassza a Kérések lapot.

7. Az előző szakaszok lépéseit követve szükség szerint módosíthatja a kérés beállításait.

8. Nyissa meg a Kérelmek engedélyezése szakaszt .

Kérelmek engedélyezése

1. Ha azt szeretné, hogy a hozzáférési csomag azonnal elérhetővé váljon a kérési szabályzatban szereplő felhasználók számára, helyezze át az Engedélyezés kapcsolót Igen értékre.

   A hozzáférési csomag létrehozása után a jövőben bármikor engedélyezheti.

   Ha a Nincs (csak rendszergazdai közvetlen hozzárendelések) lehetőséget választotta, és a Nem beállítást választotta, akkor a rendszergazdák nem rendelhetik hozzá közvetlenül ezt a hozzáférési csomagot.

   

2. Válassza a Tovább lehetőséget.

3. Ha azt szeretné, hogy a kérelmezők további információkat adjanak meg a hozzáférési csomaghoz való hozzáférés kérésekor, használja a hozzáférési csomag jóváhagyási és kérelmezői információbeállításainak módosítása a jogosultságkezelésben a kérelmező adatainak konfigurálásához.

4. Életciklus-beállítások konfigurálása.

5. Ha szabályzatot szerkeszt, válassza a Frissítés lehetőséget. Ha új szabályzatot ad hozzá, válassza a Létrehozás lehetőséget.

Hozzáférési csomag hozzárendelési szabályzatának programozott létrehozása

A hozzáférési csomag-hozzárendelési szabályzatok programozott módon, a Microsoft Graphon és a Microsoft Graph PowerShell-parancsmagjain keresztül kétféleképpen hozhatók létre.

Hozzáférési csomag hozzárendelési szabályzatának létrehozása a Graph használatával

Szabályzatot a Microsoft Graph használatával hozhat létre. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással, katalógusszerepkörrel rendelkező vagy engedéllyel rendelkező EntitlementManagement.ReadWrite.All felhasználó meghívhatja a create assignmentPolicy API-t.

Hozzáférési csomag hozzárendelési szabályzatának létrehozása a PowerShell használatával

Hozzáférési csomagot is létrehozhat a PowerShellben a Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 2.1.x-es vagy újabb modulverziójának parancsmagjaival.

Ez az alábbi szkript bemutatja, hogyan hozhat létre szabályzatot egy hozzáférési csomaghoz való közvetlen hozzárendeléshez. Ebben a házirendben csak a rendszergazda rendelhet hozzá hozzáférést, és nincsenek jóváhagyások vagy hozzáférési felülvizsgálatok. További példákért tekintse meg az automatikus hozzárendelési szabályzatok létrehozását és a hozzárendeléspolicia létrehozását ismertető példát.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

A nem kompatibilis hozzáféréssel rendelkező felhasználók kéréseinek megakadályozása

Amellett, hogy a szabályzat ellenőrzi, hogy ki kérhető, érdemes lehet tovább korlátozni a hozzáférést annak érdekében, hogy egy olyan felhasználó, aki már rendelkezik hozzáféréssel - csoporton vagy más hozzáférési csomagon keresztül - a túlzott hozzáféréstől.

ha azt szeretné konfigurálni, hogy a felhasználó nem kérhet hozzáférési csomagot, ha már van hozzárendelve egy másik hozzáférési csomaghoz, vagy tagja egy csoportnak, használja a hozzáférési csomaghoz tartozó feladatok elkülönítésének konfigurálásával kapcsolatos lépéseket.

Következő lépések

• Hozzáférési csomag jóváhagyási beállításainak módosítása
• Hozzáférési csomag életciklus-beállításainak módosítása
• Hozzáférési csomagra vonatkozó kérések megtekintése