Hozzáférési csomag létrehozása a jogosultságkezelésben

A hozzáférési csomag lehetővé teszi az erőforrások és szabályzatok egyszeri beállítását, amely automatikusan felügyeli a hozzáférést a hozzáférési csomag élettartama során. Ez a cikk bemutatja, hogyan hozhat létre hozzáférési csomagot.

Áttekintés

Minden hozzáférési csomagnak katalógusnak nevezett tárolóban kell lennie. A katalógus meghatározza, hogy milyen erőforrásokat adhat hozzá a hozzáférési csomaghoz. Ha nem ad meg katalógust, a hozzáférési csomag az általános katalógusba kerül. Egy meglévő hozzáférési csomag jelenleg nem helyezhető át másik katalógusba.

A hozzáférési csomagokkal több, a katalógusban található erőforrás szerepköreihez is hozzárendelhetők hozzáférések. Ha Ön rendszergazda vagy katalógustulajdonos, a hozzáférési csomag létrehozásakor erőforrásokat adhat hozzá a katalógushoz. A hozzáférési csomag létrehozása után is hozzáadhat erőforrásokat, és a hozzáférési csomaghoz rendelt felhasználók is megkapják a további erőforrásokat.

Ha Ön hozzáférési csomagkezelő, nem adhat hozzá saját erőforrásokat egy katalógushoz. Csak a katalógusban elérhető erőforrásokat használhatja. Ha erőforrásokat szeretne hozzáadni egy katalógushoz, kérdezze meg a katalógus tulajdonosát.

Minden hozzáférési csomagnak rendelkeznie kell legalább egy szabályzattal ahhoz, hogy a felhasználók hozzájuk legyenek rendelve. A szabályzatok meghatározzák, hogy ki kérheti le a hozzáférési csomagot, valamint a jóváhagyási és életciklus-beállításokat, illetve a hozzáférés automatikus hozzárendelését. Hozzáférési csomag létrehozásakor létrehozhat egy kezdeti házirendet a címtárban lévő felhasználók, a címtárban nem szereplő felhasználók vagy csak a közvetlen rendszergazdai hozzárendelések számára.

Az alábbiakban a kezdeti szabályzattal rendelkező hozzáférési csomag létrehozásának magas szintű lépéseit találja:

1. Az Identity Governanceben indítsa el a hozzáférési csomag létrehozásának folyamatát.

2. Válassza ki azt a katalógust, ahová a hozzáférési csomagot el szeretné helyezni, és győződjön meg arról, hogy rendelkezik a szükséges erőforrásokkal.

3. Erőforrás-szerepkörök hozzáadása a katalógus erőforrásaiból a hozzáférési csomaghoz.

4. Adjon meg egy kezdeti szabályzatot azoknak a felhasználóknak, akik hozzáférést kérhetnek.

5. Adja meg a jóváhagyási beállításokat és az életciklus-beállításokat ebben a szabályzatban.

Ezután a hozzáférési csomag létrehozása után módosíthatja a rejtett beállítást, hozzáadhat vagy eltávolíthat erőforrás-szerepköröket, és további szabályzatokat vehet fel.

A létrehozási folyamat elindítása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

   Tipp.

   A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa vagy az Access Package Manager.

2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

3. Válassza az Új hozzáférési csomag lehetőséget.

   

Alapismeretek konfigurálása

Az Alapszintű beállítások lapon adjon nevet a hozzáférési csomagnak, és adja meg, hogy melyik katalógusban hozza létre a hozzáférési csomagot.

1. Adja meg a hozzáférési csomag megjelenítendő nevét és leírását. A felhasználók ezt az információt a hozzáférési csomagra vonatkozó kérés elküldésekor fogják látni.

2. A Katalógus legördülő listában válassza ki azt a katalógust, ahová a hozzáférési csomagot el szeretné helyezni. Előfordulhat például, hogy van egy katalógustulajdonosa, aki kezeli az összes kérhető marketingerőforrást. Ebben az esetben kiválaszthatja a marketingkatalógust.

   Csak azokat a katalógusokat látja, amelyekben hozzáférési csomagok létrehozására jogosult. Hozzáférési csomag meglévő katalógusban való létrehozásához legalább identitásszabályozási Rendszergazda istratornak kell lennie. Vagy katalógustulajdonosnak vagy hozzáférési csomagkezelőnek kell lennie a katalógusban.

   

   Ha ön legalább identitásszabályozási Rendszergazda istrator vagy katalóguskészítő, és a hozzáférési csomagot egy nem listázott új katalógusban szeretné létrehozni, válassza az Új katalógus létrehozása lehetőséget. Adja meg a katalógus nevét és leírását, majd válassza a Létrehozás lehetőséget.

   A létrehozott hozzáférési csomag és a benne található erőforrások bekerülnek az új katalógusba. Később további katalógustulajdonosokat adhat hozzá, vagy attribútumokat adhat hozzá a katalógusban szereplő erőforrásokhoz. Ha többet szeretne megtudni arról, hogyan szerkesztheti egy adott katalógus-erőforrás attribútumlistáját és az előfeltétel-szerepköröket, olvassa el az Erőforrásattribútumok hozzáadása a katalógusban című témakört.

3. Válassza a Tovább: Erőforrás-szerepkörök lehetőséget.

Erőforrás-szerepkörök kiválasztása

Az Erőforrásszerepkörök lapon válassza ki a hozzáférési csomagba felvenni kívánt erőforrásokat. A hozzáférési csomagot kérő és fogadó felhasználók a hozzáférési csomag összes erőforrásszerepkörét, például csoporttagságát megkapják.

Ha nem tudja biztosan, hogy mely erőforrás-szerepköröket vegye fel, a hozzáférési csomag létrehozásakor kihagyhatja a hozzáadásukat, majd később hozzáadhatja őket .

1. Válassza ki a hozzáadni kívánt erőforrástípust (Csoportok és Teams, Alkalmazások vagy SharePoint-webhelyek).

2. A megjelenő Alkalmazások kiválasztása panelen válasszon ki egy vagy több erőforrást a listából.

   

   Ha a hozzáférési csomagot az általános katalógusban vagy egy új katalógusban hozza létre, bármelyik erőforrást kiválaszthatja a saját könyvtárából. Legalább identitásszabályozási Rendszergazda istratornak vagy katalóguskészítőnek kell lennie.

   Feljegyzés

   Dinamikus csoportokat adhat hozzá egy katalógushoz és egy hozzáférési csomaghoz. Azonban csak a tulajdonosi szerepkört választhatja ki, ha dinamikus csoporterőforrást kezel egy hozzáférési csomagban.

   Ha egy meglévő katalógusban hozza létre a hozzáférési csomagot, kiválaszthatja a katalógusban már szereplő erőforrásokat anélkül, hogy az erőforrás tulajdonosának kellene lennie.

   Ha Ön legalább identitásszabályozási Rendszergazda istrator vagy katalógustulajdonos, választhatja a tulajdonában vagy felügyeletével rendelkező, de a katalógusban még nem szereplő erőforrásokat. Ha az erőforrásokat a címtárban választja ki, de jelenleg nem a kijelölt katalógusban, akkor ezeket az erőforrásokat más katalógusgazdák is hozzáadják a katalógushoz a hozzáférési csomagok létrehozásához. A katalógushoz hozzáadható összes erőforrás megtekintéséhez jelölje be az Összes megtekintése jelölőnégyzetet a panel tetején. Ha csak azokat az erőforrásokat szeretné kijelölni, amelyek jelenleg a kijelölt katalógusban találhatók, hagyja üresen az Összes megtekintése jelölőnégyzetet (az alapértelmezett állapot).

3. A Szerepkör listában válassza ki azt a szerepkört, amelyhez a felhasználókat hozzá szeretné rendelni az erőforráshoz. Az erőforrás megfelelő szerepköreinek kiválasztásával kapcsolatos további információkért tekintse meg , hogyan határozhatja meg, hogy mely erőforrás-szerepkörök szerepeljenek egy hozzáférési csomagban.

   

4. Válassza a Tovább: Kérések lehetőséget.

Kérelemszabályzatok létrehozása

A Kérések lapon hozza létre az első szabályzatot, amely meghatározza, hogy ki kérheti le a hozzáférési csomagot. A jóváhagyási beállításokat is konfigurálhatja. Később további kérési szabályzatokat hozhat létre, amelyek lehetővé teszik, hogy a felhasználók további csoportjai saját jóváhagyási beállításokkal kérhessék a hozzáférési csomagot.

Attól függően, hogy mely felhasználók igényelhetik ezt a hozzáférési csomagot, hajtsa végre a lépéseket az alábbi szakaszok egyikében.

A hozzáférési csomag kérésének engedélyezése a címtárban lévő felhasználók számára

Ha engedélyezni szeretné, hogy a címtár felhasználói igényelhessék ezt a hozzáférési csomagot, kövesse az alábbi lépéseket. A kérelemházirend meghatározásakor megadhatja az egyes felhasználókat vagy (gyakrabban) felhasználói csoportokat. Előfordulhat például, hogy a szervezetnek már van egy olyan csoportja, mint a Minden alkalmazott. Ha ezt a csoportot hozzáadja a szabályzat azokhoz a felhasználókhoz, akik hozzáférést kérhetnek, a csoport bármely tagja kérheti a hozzáférést.

1. A Hozzáférés igénylésére jogosult felhasználók szakaszban válassza a Címtárban lévő felhasználók számára lehetőséget.

   Ha ezt a lehetőséget választja, új beállítások jelennek meg, így pontosíthatja, hogy ki kérheti ezt a hozzáférési csomagot a címtárban.

   

2. Válasszon a következő lehetőségek közül:

   Lehetőség	Leírás
   Adott felhasználók és csoportok	Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy csak a megadott felhasználók és csoportok igényelhessék ezt a hozzáférési csomagot.
   Minden tag (a vendégek kivételével)	Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy a címtár összes tagfelhasználója igényelhesse ezt a hozzáférési csomagot. Ez a beállítás nem tartalmaz olyan vendégfelhasználókat, akiket meghívhatott volna a címtárába.
   Minden felhasználó (beleértve a vendégeket is)	Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy a címtár összes tag- és vendégfelhasználója igényelhesse ezt a hozzáférési csomagot.

   A vendégfelhasználók olyan külső felhasználók, akiket meghívtak a címtárba a Microsoft Entra B2B-vel. A tagfelhasználók és a vendégfelhasználók közötti különbségekről további információt a Microsoft Entra ID alapértelmezett felhasználói engedélyei című témakörben talál.

3. Ha az Adott felhasználók és csoportok lehetőséget választotta, válassza a Felhasználók és csoportok hozzáadása lehetőséget.

4. A Felhasználók és csoportok kijelölése panelen válassza ki a hozzáadni kívánt felhasználókat és csoportokat.

   

5. Válassza a Kiválasztás lehetőséget a felhasználók és csoportok hozzáadásához.

6. Ugorjon le a Jóváhagyási beállítások megadása szakaszra.

A címtárban nem szereplő felhasználók kérhetik a hozzáférési csomagot

Előfordulhat, hogy egy másik Microsoft Entra-címtárban vagy -tartományban lévő felhasználók még nem lettek meghívva a címtárba. A Microsoft Entra-címtárakat úgy kell konfigurálni, hogy engedélyezve legyenek a meghívások együttműködési korlátozásokban. További információ: Külső együttműködési beállítások konfigurálása.

Létrejön egy vendégfelhasználói fiók egy olyan felhasználó számára, aki még nem szerepel a címtárában, akinek a kérelmét jóváhagyták, vagy nem igényel jóváhagyást. A vendég meghívásra kerül, de nem kap meghívó e-mailt. Ehelyett e-mailt kapnak a hozzáférési csomag hozzárendelésének kézbesítéséről. Később, amikor a vendégfelhasználó már nem rendelkezik hozzáférési csomag-hozzárendeléssel, mert az utolsó hozzárendelés lejárt vagy megszakadt, a fiók le lesz tiltva a bejelentkezéstől, majd törlődik. A zárolás és a törlés alapértelmezés szerint megtörténik.

Ha azt szeretné, hogy a vendégfelhasználók határozatlan ideig maradjanak a címtárban, még akkor is, ha nem rendelkeznek hozzáférési csomag-hozzárendelésekkel, módosíthatja a jogosultságkezelési konfiguráció beállításait. A vendégfelhasználói objektumról további információt a Microsoft Entra B2B együttműködési felhasználó tulajdonságai című témakörben talál.

Kövesse az alábbi lépéseket, ha engedélyezni szeretné, hogy a címtárban nem szereplő felhasználók igényeljék a hozzáférési csomagot:

1. A Hozzáférés igénylésére jogosult felhasználók szakaszban válassza a Címtárban nem szereplő felhasználók számára lehetőséget.

   Ha ezt a lehetőséget választja, új beállítások jelennek meg.

   

2. Válasszon a következő lehetőségek közül:

   Lehetőség	Leírás
   Meghatározott kapcsolt szervezetek	Válassza ezt a lehetőséget, ha a rendszergazda által korábban hozzáadott szervezetek listájából szeretne választani. A kijelölt szervezetek összes felhasználója kérheti ezt a hozzáférési csomagot.
   Minden csatlakoztatott szervezet	Akkor válassza ezt a lehetőséget, ha az összes konfigurált csatlakoztatott szervezet összes felhasználója kérheti ezt a hozzáférési csomagot.
   Minden felhasználó (minden csatlakoztatott szervezet + minden új külső felhasználó)	Akkor válassza ezt a lehetőséget, ha bármely felhasználó kérheti ezt a hozzáférési csomagot, és a B2B engedélyezési lista vagy a tiltólista beállításai elsőbbséget élveznek az új külső felhasználók számára.

   A csatlakoztatott szervezet egy külső Microsoft Entra-címtár vagy tartomány, amellyel kapcsolatban áll.

3. Ha kiválasztotta az adott kapcsolt szervezeteket, válassza a Címtárak hozzáadása lehetőséget a rendszergazda által korábban hozzáadott kapcsolt szervezetek listájából való kiválasztáshoz.

4. Adja meg a korábban csatlakoztatott szervezet kereséséhez használt nevet vagy tartománynevet.

   

   Ha az a szervezet, akivel együtt szeretne dolgozni, nem szerepel a listában, megkérheti a rendszergazdát, hogy vegye fel kapcsolt szervezetként. További információ: Csatlakoztatott szervezet hozzáadása.

5. Ha az Összes csatlakoztatott szervezet lehetőséget választotta, akkor meg kell erősítenie a jelenleg konfigurált és a hatókörbe tervezett kapcsolt szervezetek listáját.

6. Ha a Minden felhasználó lehetőséget választotta, akkor a jóváhagyásokat a jóváhagyások szakaszban kell konfigurálnia, mivel ez a hatókör lehetővé tenné, hogy az interneten található identitások hozzáférést kérjenek.

7. Miután kiválasztotta az összes csatlakoztatott szervezetet, válassza a Kiválasztás lehetőséget.

   A kiválasztott csatlakoztatott szervezetek összes felhasználója kérheti ezt a hozzáférési csomagot. Ide tartoznak a Microsoft Entra ID-felhasználók a szervezethez társított összes altartományból, kivéve, ha az Azure B2B engedélyezési listája vagy tiltólistája letiltja ezeket a tartományokat. Ha közösségi identitásszolgáltatói tartományt (például live.com) ad meg, akkor a közösségi identitásszolgáltató bármely felhasználója kérheti ezt a hozzáférési csomagot. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.

8. Ugorjon le a Jóváhagyási beállítások megadása szakaszra.

Csak közvetlen rendszergazdai hozzárendelések engedélyezése

Kövesse ezeket a lépéseket, ha meg szeretné kerülni a hozzáférési kérelmeket, és lehetővé szeretné tenni, hogy a rendszergazdák közvetlenül hozzárendeljenek bizonyos felhasználókat ehhez a hozzáférési csomaghoz. A felhasználóknak nem kell kérniük a hozzáférési csomagot. Az életciklus-beállítások továbbra is beállíthatók, de nincsenek kérésbeállítások.

1. A Hozzáférés igénylésére jogosult felhasználók szakaszban válassza a Nincs (csak rendszergazdai közvetlen hozzárendelések) lehetőséget.

   

   A hozzáférési csomag létrehozása után közvetlenül hozzárendelhet hozzá konkrét belső és külső felhasználókat. Ha külső felhasználót ad meg, a címtárban létrejön egy vendégfelhasználói fiók. A felhasználók közvetlen hozzárendeléséről további információt a hozzáférési csomag hozzárendeléseinek megtekintése, hozzáadása és eltávolítása című témakörben talál.

2. Ugorjon le a Kérelmek engedélyezése szakaszra .

Jóváhagyási beállítások megadása

A Jóváhagyás szakaszban megadhatja, hogy szükség van-e jóváhagyásra, amikor a felhasználók ezt a hozzáférési csomagot kérik. A jóváhagyási beállítások a következő módon működnek:

• Csak az egyik kiválasztott jóváhagyónak vagy tartalék jóváhagyónak kell jóváhagynia egy egyfázisú jóváhagyásra vonatkozó kérelmet.
• Csak az egyes fázisok kiválasztott jóváhagyóinak kell jóváhagynia a kétszakaszos jóváhagyásra vonatkozó kérelmet.
• A jóváhagyó lehet menedzser, felhasználó szponzora, belső szponzor vagy külső szponzor a szabályzat hozzáférés-szabályozásától függően.
• Az egy- vagy kétszakaszos jóváhagyáshoz nincs szükség minden kiválasztott jóváhagyó jóváhagyására.
• A jóváhagyási döntés azon alapul, hogy melyik jóváhagyó bírálja el először a kérelmet.

A jóváhagyók kérelemszabályzathoz való hozzáadásának bemutatásához tekintse meg az alábbi videót:

A többfázisú jóváhagyás kérelemszabályzathoz való hozzáadásának bemutatásához tekintse meg az alábbi videót:

Kövesse az alábbi lépéseket a hozzáférési csomagra vonatkozó kérelmek jóváhagyási beállításainak megadásához:

1. Ha jóváhagyást szeretne kérni a kiválasztott felhasználóktól érkező kérésekhez, állítsa a Jóváhagyás megkövetelése kapcsolót Igen értékre. Vagy ha a kéréseket automatikusan jóváhagyja, állítsa a kapcsolót Nem értékre. Ha a szabályzat lehetővé teszi, hogy a szervezeten kívüli külső felhasználók hozzáférést kérjenek, jóváhagyást kell kérnie, így a rendszer felügyeli, hogy ki legyen hozzáadva a szervezet címtárához.

2. Ha meg szeretné követelni a felhasználóktól, hogy indokolják a hozzáférési csomag kérését, állítsa a Kérelmező indoklásának megkövetelése kapcsolót Igen értékre.

3. Állapítsa meg, hogy a kérelmekhez szükség van-e egy- vagy kétfázisú jóváhagyásra. Állítsa be a Hány fázis váltson 1-esre egyfázisú jóváhagyáshoz, 2-et kétfázisú jóváhagyáshoz, vagy 3-at a háromfázisú jóváhagyáshoz.

   

A következő lépésekkel jóváhagyókat adhat hozzá a szakaszok számának kiválasztása után.

Egyfázisú jóváhagyás

1. Adja hozzá az első jóváhagyó adatait:

   • Ha a szabályzat a címtár felhasználóira van állítva, jóváhagyóként vagy szponzorként választhatja ki a Kezelőt. Vagy hozzáadhat egy adott felhasználót az adott jóváhagyók kiválasztása, majd a Jóváhagyók hozzáadása lehetőség kiválasztásával.

     Ha jóváhagyóként szeretné használni a szponzorokat, Microsoft Entra ID-kezelés licenccel kell rendelkeznie. További információ: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

     

   • Ha a szabályzat a címtárban nem szereplő felhasználók számára van beállítva, választhat külső szponzort vagy belső szponzort. Vagy hozzáadhat egy adott felhasználót az adott jóváhagyók kiválasztása, majd a Jóváhagyók hozzáadása lehetőség kiválasztásával.

     

2. Ha a Kezelőt választotta első jóváhagyóként, válassza a Tartalék hozzáadása lehetőséget egy vagy több felhasználó vagy csoport kiválasztásához a címtárban tartalék jóváhagyóként. A tartalék jóváhagyók akkor kapják meg a kérést, ha a jogosultságkezelés nem találja a hozzáférést kérő felhasználó felettesét.

   A jogosultságkezelés a Kezelő attribútummal találja meg a kezelőt. Az attribútum a felhasználó profiljában található a Microsoft Entra-azonosítóban. További információ: Felhasználó profiladatainak és beállításainak hozzáadása vagy frissítése.

3. Ha a Szponzorok lehetőséget választotta első jóváhagyóként, válassza a Tartalék hozzáadása lehetőséget a címtár egy vagy több felhasználójának vagy csoportjának kiválasztásához tartalék jóváhagyóként. A tartalék jóváhagyók akkor kapják meg a kérést, ha a jogosultságkezelés nem találja a hozzáférést kérő felhasználó szponzorát.

   A jogosultságkezelés a Szponzorok attribútum használatával keresi meg a szponzorokat . Az attribútum a felhasználó profiljában található a Microsoft Entra-azonosítóban. További információ: Felhasználó profiladatainak és beállításainak hozzáadása vagy frissítése.

4. Ha az Adott jóváhagyók kiválasztása lehetőséget választotta, válassza a Jóváhagyók hozzáadása lehetőséget egy vagy több felhasználó vagy csoport kiválasztásához a címtárban a jóváhagyók kiválasztásához.

5. A Döntés mezőben adja meg, hogy a jóváhagyónak hány napon belül kell felülvizsgálnia a hozzáférési csomagra vonatkozó kérést.

   Ha egy kérést ebben az időszakban nem hagynak jóvá, a rendszer automatikusan elutasítja. A felhasználónak ezután egy másik kérést kell benyújtania a hozzáférési csomaghoz.

6. Ha meg szeretné követelni a jóváhagyóktól, hogy indokolják döntésüket, állítsa a jóváhagyó indoklásának megkövetelése igen értékre.

   Az indoklás látható a többi jóváhagyó és a kérelmező számára.

Kétfázisú jóváhagyás

Ha kétfázisú jóváhagyást választott, hozzá kell adnia egy második jóváhagyót:

1. Adja hozzá a második jóváhagyó adatait:

   • Ha a felhasználók a címtárban vannak, kiválaszthatja a szponzorokat jóváhagyóként. Vagy adjon hozzá egy adott felhasználót a legördülő menü Adott jóváhagyók kiválasztása elemével, majd válassza a Jóváhagyók hozzáadása lehetőséget.

     

   • Ha a felhasználók nincsenek a címtárban, második jóváhagyóként válassza a belső szponzort vagy a külső szponzort . A jóváhagyó kiválasztása után adja hozzá a tartalék jóváhagyókat.

     

2. A határozatban hány napon belül kell meghozni? mezőben adja meg, hogy a második jóváhagyó hány napon belül hagyja jóvá a kérelmet.

3. Állítsa a Jóváhagyó megkövetelése indoklás kapcsolót Igen vagy Nem értékre.

Háromfázisú jóváhagyás

Ha háromfázisú jóváhagyást választott, hozzá kell adnia egy harmadik jóváhagyót:

1. Adja hozzá a harmadik jóváhagyó adatait:

   Ha a felhasználók a címtárban vannak, adjon hozzá egy adott felhasználót harmadik jóváhagyóként az Adott jóváhagyók kiválasztása jóváhagyók> hozzáadása lehetőség kiválasztásával.

   

2. A határozatban hány napon belül kell meghozni? mezőben adja meg, hogy a második jóváhagyó hány napon belül hagyja jóvá a kérelmet.

3. Állítsa a Jóváhagyó megkövetelése indoklás kapcsolót Igen vagy Nem értékre.

Másodlagos jóváhagyók

Alternatív jóváhagyókat is megadhat, hasonlóan az első és a második jóváhagyók megadásához, akik jóváhagyhatják a kéréseket. A másodlagos jóváhagyók gondoskodnak arról, hogy a kérések jóváhagyásra vagy elutasításra kerülnek a lejáratuk előtt (időtúllépés). Az első jóváhagyó és a második jóváhagyó alternatív jóváhagyóinak listáját a kétszakaszos jóváhagyáshoz használhatja.

Ha másodlagos jóváhagyókat ad meg, ha az első vagy a második jóváhagyó nem tudja jóváhagyni vagy elutasítani a kérést, a függőben lévő kérelmet a program továbbítja a másodlagos jóváhagyóknak. A rendszer a kérést a szabályzat beállítása során megadott továbbítási ütemezésnek megfelelően küldi el. A jóváhagyók e-mailt kapnak a függőben lévő kérés jóváhagyásáról vagy elutasítására.

Miután a kérést továbbították a másodlagos jóváhagyóknak, az első vagy a második jóváhagyó továbbra is jóváhagyhatja vagy elutasíthatja a kérelmet. A másodlagos jóváhagyók ugyanazt a Saját hozzáférés webhelyet használják a függőben lévő kérelem jóváhagyásához vagy elutasításához.

A jóváhagyók és a másodlagos jóváhagyók személyek vagy csoportok listázhatók. Győződjön meg arról, hogy az első, a második és a másodlagos jóváhagyók különböző csoportjait sorolja fel. Ha például Alice és Bob szerepel az első jóváhagyók között, akkor Carolt és Dave-t sorolja fel másodlagos jóváhagyóként.

A következő lépésekkel alternatív jóváhagyókat adhat hozzá egy hozzáférési csomaghoz:

1. Az Első jóváhagyó, a Második jóváhagyó vagy mindkettő csoportban válassza a Speciális kérésbeállítások megjelenítése lehetőséget.

   

2. Állítsa be a Ha nem történt műveletet, továbbítja a másik jóváhagyóknak? kapcsolót Igen értékre.

3. Válassza a Másodlagos jóváhagyók hozzáadása lehetőséget, majd válassza ki a másodlagos jóváhagyókat a listából.

   

   Ha első jóváhagyóként a Kezelőt választja, egy további lehetőség jelenik meg az Alternatív jóváhagyó mezőben: Másodlagos jóváhagyóként második szintű kezelő. Ha ezt a lehetőséget választja, hozzá kell adnia egy tartalék jóváhagyót a kérés továbbításához, ha a rendszer nem találja a második szintű kezelőt.

4. A Továbbítás másik jóváhagyó(ka)ba hány nap után mezőben adja meg, hogy hány napig kell jóváhagynia vagy elutasítania a kérelmet a jóváhagyóknak. Ha egyetlen jóváhagyó sem hagyja jóvá vagy tagadja meg a kérést a kérelem időtartama előtt, a kérelem lejár (időtúllépés). A felhasználónak ezután egy másik kérést kell benyújtania a hozzáférési csomaghoz.

A kérelmeket csak egy nappal azután lehet továbbítani a másodlagos jóváhagyóknak, hogy a kérelem időtartama elérte a felezési időt. A fő jóváhagyók döntésének legalább négy nap elteltével időtúllépést kell végrehajtania. Ha a kérelem időtúllépése három napnál rövidebb vagy egyenlő, nincs elég idő a kérés alternatív jóváhagyóknak való továbbítására.

Ebben a példában a kérés időtartama 14 nap. A kérelem időtartama a 7. napon eléri a felezési időt. A kérés tehát nem továbbítható a 8. napnál korábban.

A kérések nem továbbíthatók a kérelem időtartamának utolsó napján. A példában tehát a kérelem legkésőbb a 13. napon továbbítható.

Kérelmek engedélyezése

1. Ha azt szeretné, hogy a hozzáférési csomag azonnal elérhetővé váljon a kérési szabályzatban szereplő felhasználók számára, állítsa az Új kérések és hozzárendelések engedélyezése kapcsolót Igen értékre.

   A hozzáférési csomag létrehozása után a jövőben bármikor engedélyezheti.

   Ha a Nincs (csak rendszergazdai közvetlen hozzárendelések) lehetőséget választja, és az Új kérések és hozzárendelések engedélyezése nem értékre van állítva, a rendszergazdák nem rendelhetik hozzá közvetlenül ezt a hozzáférési csomagot.

   

2. A következő szakaszból megtudhatja, hogyan adhat hozzá ellenőrzött azonosítóra vonatkozó követelményt a hozzáférési csomaghoz. Ellenkező esetben válassza a Tovább gombot.

Ellenőrzött azonosítóra vonatkozó követelmény hozzáadása

Ha ellenőrzött azonosítóra vonatkozó követelményt szeretne hozzáadni a hozzáférési csomag szabályzatához, kövesse az alábbi lépéseket. A hozzáférési csomaghoz hozzáférést igénylő felhasználóknak a kérés sikeres elküldése előtt be kell mutatniuk a szükséges ellenőrzött azonosítókat. A bérlő Microsoft Entra Ellenőrzött azonosító szolgáltatással való konfigurálásáról további információt a Microsoft Entra Ellenőrzött azonosító bemutatása című témakörben talál.

Globális rendszergazdai szerepkörre van szüksége ahhoz, hogy ellenőrzött azonosító követelményeket adjon hozzá egy hozzáférési csomaghoz. Az identitásszabályozási rendszergazda, a felhasználói rendszergazda, a katalógus tulajdonosa vagy a hozzáférési csomagkezelő még nem tud hitelesített azonosító követelményeket hozzáadni.

1. Válassza a + Kiállító hozzáadása lehetőséget, majd válasszon ki egy kiállítót a Microsoft Entra Ellenőrzött azonosító hálózatból. Ha saját hitelesítő adatokat szeretne kibocsátani a felhasználóknak, a Microsoft Entra Ellenőrzött azonosító-hitelesítő adatokkal kapcsolatos utasításokat talál egy alkalmazásból.

   

2. Válassza ki azokat a hitelesítőadat-típusokat, amelyeket a kérési folyamat során meg szeretne jeleníteni a felhasználóknak.

   

   Ha több hitelesítőadat-típust választ ki egy kiállítótól, a felhasználóknak az összes kiválasztott típus hitelesítő adatait kell bemutatniuk. Hasonlóképpen, ha több kiállítót is tartalmaz, a felhasználóknak meg kell adniuk a hitelesítő adatokat a szabályzatban szereplő kiállítóktól. Ha lehetővé szeretné tenni a felhasználóknak, hogy különböző hitelesítő adatokat mutassanak be a különböző kiállítóktól, konfiguráljon külön szabályzatokat minden elfogadandó kiállítóhoz vagy hitelesítő adattípushoz.

3. Válassza a Hozzáadás lehetőséget az ellenőrzött azonosító követelményének a hozzáférési csomag szabályzatához való hozzáadásához.

Kérelmező adatainak hozzáadása hozzáférési csomaghoz

1. Lépjen a Kérelmező adatai lapra, majd válassza a Kérdések lapot.

2. A Kérdés mezőbe írjon be egy kérdést, amelyet fel szeretne tenni a kérelmezőnek. Ezt a kérdést megjelenítési sztringnek is nevezik.

3. Ha saját honosítási beállításokat szeretne hozzáadni, válassza a honosítás hozzáadása lehetőséget.

   

   Az Add localizations for question pane:/> (Területi beállítások hozzáadása a kérdéshez ) panelen:

   1. Nyelvi kód esetén válassza ki annak a nyelvnek a nyelvi kódját, amelyben a kérdést honosítja.
   2. A Honosított szöveg mezőben adja meg a kérdést a konfigurált nyelven.
   3. Amikor befejezte az összes szükséges honosítás hozzáadását, válassza a Mentés lehetőséget.

   

4. Válaszformátum esetén válassza ki azt a formátumot, amelyben a kérelmezők válaszolnak. A válaszformátumok közé tartozik a rövid szöveg, a több választási lehetőség és a hosszú szöveg.

5. Ha több lehetőséget választott, válassza a Szerkesztés és honosítás gombot a válaszbeállítások konfigurálásához.

   

   A Kérdés megtekintése/szerkesztése panelen:

   1. A Válaszértékek mezőben adja meg azokat a válaszbeállításokat, amelyeket meg szeretne adni, amikor a kérelmező válaszol a kérdésre.
   2. A Nyelvi mezőkben válassza ki a válaszbeállítások nyelvét. Ha további nyelveket választ, honosíthatja a válaszbeállításokat.
   3. Válassza a Mentés lehetőséget.

   

6. Ha azt szeretné, hogy a kérelmezők válaszoljanak erre a kérdésre, amikor hozzáférést kérnek egy hozzáférési csomaghoz, jelölje be a Kötelező jelölőnégyzetet.

7. Az Attribútumok lapon megtekintheti a hozzáférési csomaghoz hozzáadott erőforrásokhoz társított attribútumokat.

   Feljegyzés

   A hozzáférési csomag erőforrásaihoz tartozó attribútumok hozzáadásához vagy frissítéséhez keresse meg a katalógusokat , és keresse meg a hozzáférési csomaghoz társított katalógust. Ha többet szeretne megtudni arról, hogyan szerkesztheti egy adott katalógus-erőforrás attribútumlistáját és az előfeltétel-szerepköröket, olvassa el az Erőforrásattribútumok hozzáadása a katalógusban című témakört.

8. Válassza a Tovább lehetőséget.

Életciklus megadása

Az Életciklus lapon megadhatja, hogy mikor jár le egy felhasználó hozzáférési csomaghoz való hozzárendelése. Azt is megadhatja, hogy a felhasználók kiterjeszthetik-e a feladataikat.

1. A Lejárat szakaszban állítsa be az Access-csomag-hozzárendelések lejáratidátumát, a napok számát, az órák számát vagy a Soha értéket.

   • A Dátum mezőben válassza ki a lejárati dátumot a jövőben.
   • A Napok száma mezőben adjon meg egy 0 és 3660 nap közötti számot.
   • Az órák száma mezőben adja meg, hogy hány óra.

   A kijelölés alapján a felhasználó hozzáférési csomaghoz való hozzárendelése egy bizonyos napon, néhány nappal a jóváhagyásuk után lejár, vagy soha.

2. Ha azt szeretné, hogy a felhasználó egy adott kezdési és befejezési dátumot kérjen a hozzáféréshez, válassza az Igen lehetőséget, amelynél a Felhasználók adott idővonal-váltást kérhetnek.

3. További beállítások megjelenítéséhez válassza a Speciális lejárati beállítások megjelenítése lehetőséget.

   

4. Ha engedélyezni szeretné a felhasználó számára a hozzárendelések kiterjesztését, állítsa be a Felhasználók számára az Igen hozzáférés kiterjesztését.

   Ha a szabályzatban engedélyezve vannak a bővítmények, a felhasználó 14 nappal korábban e-mailt kap, majd egy nappal korábban a hozzáférési csomag hozzárendelése lejár. Az e-mail rákérdez a felhasználóra, hogy hosszabbítsa meg a hozzárendelést. A felhasználónak továbbra is a szabályzat hatókörébe kell tartoznia a bővítmény kérésének időpontjában.

   Ha a szabályzat explicit befejezési dátummal rendelkezik a hozzárendelésekhez, és a felhasználó a hozzáférés meghosszabbítására vonatkozó kérelmet küld, a kérelemben szereplő bővítménydátumnak a hozzárendelések lejártakor vagy előtt kell lennie. A hozzáférési csomaghoz való hozzáférés biztosításához használt szabályzat határozza meg, hogy a bővítmény dátuma a hozzárendelés lejárata előtt vagy előtt van-e. Ha például a szabályzat azt jelzi, hogy a hozzárendelések június 30-án lejárnak, a felhasználó által igényelhető maximális bővítmény június 30.

   Ha egy felhasználó hozzáférése meghosszabbodik, a hozzáférési csomagot a megadott kiterjesztési dátum után (a szabályzatot létrehozó felhasználó időzónájában megadott dátum) nem kérheti le.

5. Ha jóváhagyást szeretne kérni a bővítmény megadásához, állítsa be a Jóváhagyás megkövetelése lehetőséget, hogy a bővítményt Igen értékre adja meg.

   Ez a jóváhagyás ugyanazokat a jóváhagyási beállításokat fogja használni, amelyeket a Kérések lapon megadott.

6. Válassza a Tovább vagy a Frissítés lehetőséget.

A hozzáférési csomag áttekintése és létrehozása

A Véleményezés + létrehozás lapon áttekintheti a beállításokat, és ellenőrizheti az érvényesítési hibákat.

1. Tekintse át a hozzáférési csomag beállításait.

   

2. Válassza a Létrehozás lehetőséget a hozzáférési csomag létrehozásához.

   Az új hozzáférési csomag megjelenik a hozzáférési csomagok listájában.

3. Ha a hozzáférési csomagnak a szabályzatok hatókörében lévő összes felhasználó számára láthatónak kell lennie, akkor hagyja meg a hozzáférési csomag rejtett beállítását Nem értéken. Ha azt szeretné, hogy csak a közvetlen hivatkozással rendelkező felhasználók igényeljék a hozzáférési csomagot, szerkessze a hozzáférési csomagot, és módosítsa a Rejtett beállítást Igen értékre. Ezután másolja a hivatkozást a hozzáférési csomag igényléséhez, és ossza meg a hozzáférésre szoruló felhasználókkal.

Hozzáférési csomag létrehozása programozott módon

A hozzáférési csomagokat kétféleképpen hozhatja létre programozott módon: a Microsoft Graphon és a Microsoft Graph PowerShell-parancsmagjain keresztül.

Hozzáférési csomag létrehozása a Microsoft Graph használatával

Hozzáférési csomagot a Microsoft Graph használatával hozhat létre. A delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező felhasználók meghívhatják az API-t a következőkre:

1. Listázhatja a katalógus erőforrásait, és létrehozhat egy accessPackageResourceRequest objektumot a katalógusban még nem szereplő erőforrásokhoz.
2. Kérje le az egyes erőforrások szerepköreit és hatóköreit a katalógusban. Ezt a szerepkörlistát fogja használni egy szerepkör kiválasztásához, amikor később létrehoz egy resourceRoleScope-t.
3. AccessPackage létrehozása.
4. Hozzon létre egy resourceRoleScope-t a hozzáférési csomagban szükséges egyes erőforrás-szerepkörökhöz.
5. Hozzon létre egy assignmentPolicy-t a hozzáférési csomagban szükséges összes szabályzathoz.

Hozzáférési csomag létrehozása a Microsoft PowerShell használatával

Hozzáférési csomagot is létrehozhat a PowerShellben a Microsoft Graph PowerShell Identity Governance modul parancsmagjaival.

Először kérje le a katalógus és a katalógusban található erőforrás azonosítóját, valamint a hozzáférési csomagban felvenni kívánt hatóköröket és szerepköröket. Használjon az alábbi példához hasonló szkriptet:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Ezután hozza létre a hozzáférési csomagot:

$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

A hozzáférési csomag létrehozása után rendelje hozzá az erőforrás-szerepköröket. Ha például a korábban visszaadott erőforrás első erőforrásszerepkörét szeretné belefoglalni az új hozzáférési csomag erőforrásszerepköreként, az ehhez hasonló szkriptet használhatja:

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Végül hozza létre a szabályzatokat. Ebben a szabályzatban csak a rendszergazdák vagy a hozzáférési csomag-hozzárendelés-kezelők rendelhetnek hozzá hozzáférést, és nincsenek hozzáférési felülvizsgálatok. További példákért tekintse meg a Hozzárendelési szabályzat létrehozása a PowerShell-lel és a Hozzárendeléspolicy létrehozása című témakört.

$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Következő lépések

• Hivatkozás megosztása hozzáférési csomag kéréséhez
• Erőforrás-szerepkörök módosítása hozzáférési csomaghoz
• Felhasználó közvetlen hozzárendelése hozzáférési csomaghoz
• Hozzáférési felülvizsgálat létrehozása hozzáférési csomaghoz