Jogosultságkezelés hibaelhárítása

  • Cikk

Ez a cikk néhány olyan elemet ismertet, amelyek a jogosultságkezelés hibaelhárításához ajánlottak.

Felügyelet

  • Ha hozzáférés-megtagadási üzenetet kap a jogosultságkezelés konfigurálásakor, és Ön globális rendszergazda, győződjön meg arról, hogy a címtára P2 vagy Microsoft Entra ID-kezelés (vagy EMS E5) licenccel rendelkezik. Ha nemrég megújított egy lejárt Microsoft Entra-azonosítójú P2- vagy Microsoft Entra ID-kezelés-előfizetést, akkor a licenc megújítása 8 órát is igénybe vehet.

  • Ha a bérlő P2 vagy Microsoft Entra ID-kezelés Microsoft Entra-azonosítója lejárt, akkor nem fogja tudni feldolgozni az új hozzáférési kérelmeket, és nem végezhet hozzáférési felülvizsgálatokat.

  • Ha hozzáférés-megtagadott üzenetet kap a hozzáférési csomagok létrehozásakor vagy megtekintésekor, és Ön egy katalóguskészítő csoport tagja, az első hozzáférési csomag létrehozása előtt létre kell hoznia egy katalógust .

Források

  • Az alkalmazások szerepkörét maga az alkalmazás határozza meg, és a Microsoft Entra ID-ban kezelik. Ha egy alkalmazás nem rendelkezik erőforrás-szerepkörrel, a jogosultságkezelés hozzárendeli a felhasználókat egy alapértelmezett hozzáférési szerepkörhöz.

    A Microsoft Entra felügyeleti központ olyan szolgáltatások szolgáltatásneveit is megjelenítheti, amelyek nem választhatók alkalmazásként. Az Exchange Online és a SharePoint Online különösen olyan szolgáltatások, nem pedig olyan alkalmazások, amelyek erőforrás-szerepkörrel rendelkeznek a címtárban, ezért nem vehetők fel hozzáférési csomagokba. Ehelyett csoportalapú licencelés használatával hozzon létre egy megfelelő licencet azon felhasználók számára, akiknek hozzáférésre van szükségük a kérdéses szolgáltatásokhoz.

  • Azok az alkalmazások, amelyek csak a személyes Microsoft-fiók felhasználóit támogatják a hitelesítéshez, és nem támogatják a címtárban lévő szervezeti fiókokat, nem rendelkeznek alkalmazásszerepkörrel, és nem vehetők fel a csomagkatalógusokhoz.

  • Ahhoz, hogy egy csoport erőforrás lehessen egy hozzáférési csomagban, a Microsoft Entra-azonosítóban módosíthatónak kell lennie. A helyi Active Directory származó csoportok nem rendelhetők erőforrásokhoz, mert a tulajdonosi vagy tagattribútumok nem módosíthatók a Microsoft Entra-azonosítóban. Az Exchange Online-ból terjesztési csoportként származó csoportok sem módosíthatók a Microsoft Entra-azonosítóban.

  • A SharePoint Online-dokumentumtárak és az egyes dokumentumok nem vehetők fel erőforrásként. Ehelyett hozzon létre egy Microsoft Entra biztonsági csoportot, vegye fel ezt a csoportot és egy webhelyszerepkört a hozzáférési csomagba, és a SharePoint Online-ban ezzel a csoporttal szabályozhatja a dokumentumtárhoz vagy dokumentumhoz való hozzáférést.

  • Ha vannak olyan felhasználók, amelyek már hozzá lettek rendelve egy hozzáférési csomaggal felügyelni kívánt erőforráshoz, akkor meg kell győződni arról, hogy a felhasználók megfelelő szabályzat használatával lettek-e hozzárendelve a hozzáférési csomaghoz. Például előfordulhat, hogy a hozzáférési csomagba belefoglalni kívánt csoportban már találhatók felhasználók. Ha az adott csoportban lévő felhasználók folyamatos hozzáférést igényelnek, akkor megfelelő szabályzattal kell rendelkezniük a hozzáférési csomagok esetében, hogy ne veszítsék el a csoporthoz való hozzáférésüket. A hozzáférési csomagok hozzárendeléséhez megkérheti a felhasználókat, hogy kérelmezzék az adott erőforrást tartalmazó hozzáférési csomagot, vagy közvetlenül hozzárendelheti őket a hozzáférési csomaghoz. További információ: Hozzáférési csomag kérési és jóváhagyási beállításainak módosítása.

  • Ha eltávolít egy csapattagot, azokat is eltávolítja a Microsoft 365-csoportból. Előfordulhat, hogy a csapat csevegési funkciójából való eltávolítás késleltetve történik meg. További információ: Csoporttagság.

Hozzáférési csomagok

  • He egy hozzáférési csomag vagy szabályzat törlésére tett kísérletkor hibaüzenet jelenik meg, amely szerint vannak aktív hozzárendelések, és nem lát hozzárendelt felhasználókat, ellenőrizze a közelmúltban törölt felhasználókat, akiknek még lehetnek hozzárendeléseik. A felhasználó törlése után a felhasználói fiók még 30 napig visszaállítható.

Külső felhasználók

  • Ha egy külső felhasználó hozzáférést szeretne kérni egy hozzáférési csomaghoz, győződjön meg arról, hogy a Hozzáférési portál hivatkozását használja a hozzáférési csomaghoz. További információ: Share link to request an access package. Ha egy külső felhasználó csak felkeresi myaccess.microsoft.com , és nem használja a teljes Saját hozzáférés portál hivatkozást, akkor a saját szervezetében, és nem a szervezetében fogja látni a számukra elérhető hozzáférési csomagokat.

  • Ha egy külső felhasználó nem tud hozzáférést kérni egy hozzáférési csomaghoz, vagy nem tud hozzáférni az erőforrásokhoz, ellenőrizze a külső felhasználók beállításait.

  • Ha egy olyan új külső felhasználó, aki korábban még nem jelentkezett be a címtárába, kap egy hozzáférési csomagot, beleértve egy SharePoint Online-webhelyet is, a hozzáférési csomag nem lesz teljes körűen kézbesítve, amíg a fiók ki nem van építve a SharePoint Online-ban. A megosztási beállításokról további információt a SharePoint Online külső megosztási beállításainak áttekintése című témakörben talál.

maximális száma

  • Ha egy felhasználó hozzáférést szeretne kérni egy hozzáférési csomaghoz, győződjön meg arról, hogy a Hozzáférési portál hivatkozását használja a hozzáférési csomaghoz. További információ: Share link to request an access package.

  • Ha privát/inkognitó módba állított böngészőből nyitja meg a Saját hozzáférés portált, a beállítás problémát okozhat a bejelentkezési viselkedés esetében. Javasoljuk, hogy a Saját hozzáférés portál megnyitásakor ne használjon privát vagy inkognitó módot a böngészőhöz.

  • Ha egy felhasználó, aki még nem szerepel a címtárában, jelentkezzen be a Saját hozzáférési portálra, hogy hozzáférési csomagot kérjen, győződjön meg arról, hogy a szervezeti fiókjával hitelesíti magát. A szervezeti fiók lehet egy fiók az erőforráskönyvtárban vagy egy olyan könyvtárban, amely a hozzáférési csomag valamelyik szabályzatában szerepel. Ha a felhasználó fiókja nem szervezeti fiók, vagy a hitelesítést végző címtár nem szerepel a szabályzatban, akkor a felhasználó nem fogja látni a hozzáférési csomagot. További információ: Hozzáférés kérése hozzáférési csomaghoz.

  • Ha egy felhasználó nem tud bejelentkezni az erőforráskönyvtárba, nem tud hozzáférést kérni a Saját hozzáférés portálon. Ahhoz, hogy a felhasználó hozzáférést igényelhessen, el kell távolítani a bejelentkezés letiltását a felhasználó profiljából. A bejelentkezési blokk eltávolításához a Microsoft Entra Felügyeleti központban válassza az Identitás, a Felhasználók, a Felhasználó, majd a Profil lehetőséget. Szerkessze a Gépház szakaszt, és módosítsa a Blokkolási bejelentkezést Nemre. További információ: Felhasználói profiladatok hozzáadása vagy frissítése a Microsoft Entra ID használatával. Azt is ellenőrizheti, hogy a felhasználót egy Identity Protection-szabályzat tiltotta-e le.

  • A Saját hozzáférés portálon, ha egy felhasználó egyszerre kérelmező és jóváhagyó is, akkor a hozzáférési csomagra vonatkozó kérése nem jelenik meg a Jóváhagyások lapon. Ez a viselkedés szándékos – a felhasználó nem hagyhatja jóvá a saját kérését. Győződjön meg arról, hogy a kért hozzáférési csomaghoz további jóváhagyók vannak konfigurálva a szabályzatban. További információ: Hozzáférési csomag kérési és jóváhagyási beállításainak módosítása.

Kérés kézbesítési hibáinak megtekintése

Előfeltétel-szerepkör: globális rendszergazda, identitásszabályozási rendszergazda, katalógustulajdonos, Access-csomagkezelő vagy Access-csomag-hozzárendelés-kezelő

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagokat.

  3. Válassza a Kérések lehetőséget.

  4. Válassza ki a megtekinteni kívánt kérést.

    Ha a kérés kézbesítési hibákba ütközik, a kérés állapota kézbesítetlen vagy részlegesen lesz kézbesítve.

    Ha kézbesítési hibák lépnek fel, a kérés részletes ablaktábláján megjelenik a kézbesítési hibák száma.

  5. Válassza ki a darabszámot a kérés összes kézbesítési hibájának megtekintéséhez.

Kérés újrafeldolgozása

Ha a hozzáférési csomag újrafeldolgozási kérésének aktiválása után hibaüzenet jelenik meg, várnia kell, amíg a rendszer újra feldolgozza a kérést. A rendszer több órán keresztül többször is megpróbál újrafeldolgozni, így ez idő alatt nem kényszerítheti az újrafeldolgozást.

Csak olyan kéréseket lehet újra feldolgozni, amelyek kézbesítési állapota sikertelen vagy részlegesen kézbesítve van, és egy hétnél rövidebb befejezett dátummal rendelkezik. Az újrafeldolgozás gomb egyébként szürkítve jelenik meg.

Reprocess button grayed out

  • Ha a hiba kijavítva van a próbaidőszak során, a kérés állapota kézbesítésre változik. A kérés a felhasználó további műveletei nélkül lesz újra feldolgozva.

  • Ha a hiba nem lett javítva a próbaidőszak során, előfordulhat, hogy a kérés állapota sikertelen vagy részben kézbesítve lett. Ezután használhatja az újrafeldolgozás gombot. Hét nap áll rendelkezésére a kérés újrafeldolgozására.

Előfeltétel-szerepkör: globális rendszergazda, identitásszabályozási rendszergazda, katalógustulajdonos, Access-csomagkezelő vagy Access-csomag-hozzárendelés-kezelő

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. A hozzáférési csomag megnyitásához keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagokat.

  3. Válassza a Kérések lehetőséget.

  4. Válassza ki az újra feldolgozni kívánt kérést.

  5. A kérelem részletei panelen válassza az Újrafeldolgozási kérés lehetőséget.

    Reprocess a failed request

Függőben lévő kérés lemondása

Csak olyan függőben lévő kérelmet mondhat le, amely még nem lett kézbesítve, vagy amelynek kézbesítése sikertelen volt. A mégse gomb egyébként szürkítve jelenik meg.

Előfeltétel-szerepkör: globális rendszergazda, identitásszabályozási rendszergazda, katalógustulajdonos, Access-csomagkezelő vagy Access-csomag-hozzárendelés-kezelő

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. A hozzáférési csomag megnyitásához keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagokat.

  3. Válassza a Kérések lehetőséget.

  4. Válassza ki a visszavonni kívánt kérést.

  5. A kérelem részletei panelen válassza a Kérelem megszakítása lehetőséget.

Automatikus hozzárendelési szabályzatok

  • Minden automatikus hozzárendelési szabályzat legfeljebb 5000 felhasználót tartalmazhat a szabály hatókörében. A szabály hatókörébe tartozó további felhasználók nem rendelhetők hozzá hozzáféréshez.

Több szabályzat

  • A jogosultságkezelés a legkevésbé ajánlott jogosultsági eljárásokat követi. Ha egy felhasználó hozzáférést kér egy olyan hozzáférési csomaghoz, amely több szabályzatot is alkalmaz, a jogosultságkezelés logikát tartalmaz annak biztosítására, hogy a szigorúbb vagy több konkrét szabályzatok elsőbbséget biztosítsanak az általános szabályzatokkal szemben. Ha egy szabályzat általános, előfordulhat, hogy a jogosultságkezelés nem jeleníti meg a házirendet a kérelmezőnek, vagy automatikusan szigorúbb szabályzatot választ.

  • Vegyük például azt a hozzáférési csomagot, amely két házirendet biztosít a címtárban lévő felhasználók számára, amelyekben mindkét házirend érvényes a kérelmezőre. Az első szabályzat azokra a felhasználókra vonatkozik, amelyek tartalmazzák a kérelmezőt. A második szabályzat a címtárban lévő összes felhasználóra érvényes. Ebben a forgatókönyvben a rendszer automatikusan kiválasztja az első szabályzatot a kérelmező számára, mert szigorúbb. A kérelmező nem választhatja ki a második szabályzatot.

  • Több szabályzat alkalmazása esetén a rendszer automatikusan kiválasztja a házirendet, vagy a kérelmező számára megjelenített szabályzatok a következő prioritási logikán alapulnak:

    Szabályzat prioritása Scope
    P1 Adott felhasználók és csoportok a címtárban VAGY adott kapcsolt szervezetek
    P2 A címtár minden tagja (kivéve a vendégeket)
    P3 A címtár minden felhasználója (a vendégeket is beleértve) VAGY adott kapcsolt szervezetek
    P4 Minden konfigurált csatlakoztatott szervezet VAGY Minden felhasználó (minden csatlakoztatott szervezet + minden új külső felhasználó)

    Ha valamelyik szabályzat magasabb prioritású kategóriába tartozik, a rendszer figyelmen kívül hagyja az alacsonyabb prioritású kategóriákat. Példa arra, hogy több azonos prioritású szabályzat hogyan jelenik meg a kérelmező számára, lásd a Szabályzat kiválasztása című témakört.

További lépések