Изменение параметров сведений об утверждении и запросе для пакета доступа в управлении правами

  • Статья

Каждый пакет доступа должен иметь одну или несколько политик назначения пакетов доступа, прежде чем пользователь сможет назначить доступ. При создании пакета доступа в Центре администрирования Microsoft Entra центр администрирования Microsoft Entra автоматически создает первую политику назначения пакетов доступа для этого пакета доступа. Политика определяет, кто может запрашивать доступ и кто должен утвердить доступ.

В качестве диспетчера пакетов доступа можно изменить параметры утверждения и запрашивающего пакета доступа в любое время, изменив существующую политику или добавив новую дополнительную политику для запроса доступа.

В этой статье описывается, как изменить настройки информации об утверждении и о запрашивающей стороне для существующего пакета доступа посредством политики пакета для доступа.

Approval

В разделе «Утверждение» укажите, требуется ли утверждение, когда пользователи запрашивают этот пакет для доступа. Параметры утверждения работают следующим образом:

  • Только один из выбранных утверждающих или резервных утверждающих должен утвердить запрос на одноэтапное утверждение.
  • Только один из выбранных утверждающих на каждом этапе должен утвердить запрос на многоэтапное утверждение с несколькими этапами для перехода запроса на следующий этап.
  • Если один из выбранных утверждающих на этапе отклоняет запрос, прежде чем другой утверждающий на этом же этапе утверждает его, или если запрос никто не утверждает, он завершается и пользователь не получает доступ.
  • Утверждающим может быть указанный пользователь или член группы, менеджер запрашивающей стороны, внутренний или внешний спонсор в зависимости от того, кто управляет доступом согласно политике.

Для демонстрации добавления утверждающих в политику запросов просмотрите следующий видеоролик:

Для демонстрации добавления в политику запросов многоэтапных утверждений просмотрите следующий видеоролик:

Изменение параметров утверждения политики назначения для существующего пакета для доступа

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Выполните следующие действия, чтобы задать политику, определяющую параметры утверждения запросов на получение пакета для доступа:

Необходимая роль: глобальный администратор, управление удостоверениями Администратор istrator, владелец каталога или диспетчер пакетов Access

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к пакетам управления>правами управления>правами для удостоверений.

  3. На странице пакетов Access откройте пакет доступа.

  4. Выберите политику для изменения или добавьте новую политику в пакет для доступа

    1. Щелкните Политики, а затем Добавить политику, если нужно создать новую политику.
    2. Выберите политику, которую нужно изменить, и нажмите кнопку Изменить.

  5. Откройте вкладку Запрос.

  6. Чтобы потребовать утверждения запросов от выбранных пользователей, установите переключатель Требовать утверждение в положение Да. Чтобы запросы утверждались автоматически, установите этот переключатель в положение Нет. Если политика позволяет внешним пользователям извне организации запрашивать доступ, необходимо требовать утверждения, поэтому в каталог вашей организации добавляется контроль над тем, кто добавляется в каталог вашей организации.

  7. Чтобы потребовать от пользователей предоставления обоснования для запроса пакета для доступа, установите переключатель Требовать обоснование у запрашивающей стороны значение Да.

  8. Теперь определите, требуется ли для запросов одноэтапное или многоэтапное утверждение. Задайте количество этапов, необходимое для выполнения утверждения.

    Access package - Requests - Approval settings

Чтобы добавить утверждающих после выбора требуемого количества этапов, выполните следующие действия.

Утверждение в один этап

  1. Добавьте утверждающего в поле Первый утверждающий:

    Если в политике определено управление доступом для пользователей из каталога, можно выбрать вариант Менеджер в качестве утверждающего. Также можно добавить конкретного пользователя, щелкнув Добавить утверждающих после выбора пункта Выбрать определенных утверждающих в раскрывающемся меню.

    Access package - Requests - For users in directory - First Approver

    Если в этой политике определено управление доступом для пользователей, отсутствующих в вашем каталоге, можно выбрать Внешний спонсор или Внутренний спонсор. Либо добавьте конкретного пользователя, щелкнув Добавить утверждающих или группы в разделе «Выбрать конкретных утверждающих».

    Access package - Requests - For users out of directory - First Approver

  2. Если вы выбрали диспетчер в качестве первого утверждающего, выберите **Добавить резервный вариант, чтобы выбрать один или несколько пользователей или групп в каталоге, чтобы быть резервным утверждающий. Резервные утверждающие получают запрос, если в процессе управления правами не удается найти менеджера для пользователя, запросившего доступ.

    Поиск менеджера выполняется при управлении правами с помощью атрибута Менеджер. Атрибут находится в профиле пользователя в идентификаторе Microsoft Entra. Дополнительные сведения см. в разделе "Добавление или обновление сведений профиля пользователя с помощью идентификатора Microsoft Entra".

  3. Если выбран выбор конкретных утверждающих, выберите "Добавить утверждающих", чтобы выбрать один или несколько пользователей или групп в каталоге, чтобы быть утверждающих.

  4. В поле Сколько дней требуется для принятия решения? укажите количество дней, в течение которых утверждающий должен проверить запрос для этого пакета доступа.

    Если в течение этого периода времени запрос не утвержден, он автоматически отклоняется. Пользователю придется отправить еще один запрос для пакета доступа.

  5. Чтобы утверждающие обязательно предоставляли обоснование своих решений, установите для параметра «Требовать обоснование утверждающего» значение Да.

    Это обоснование видят другие утверждающие и запрашивающая сторона.

Многоэтапное утверждение

Если вы выбрали многоэтапное утверждение, необходимо добавить утверждающего для каждого дополнительного этапа.

  1. Добавьте значение в поле Второй утверждающий:

    Если пользователи находятся в вашем каталоге, добавьте конкретного пользователя в качестве второго утверждающего, нажав кнопку Добавить утверждающих в разделе "Выбрать определенных утверждающих".

    Access package - Requests - For users in directory - Second Approver

    Если пользователя нет в вашем каталоге, выберите в качестве второго утверждающего вариант Внутренний спонсор или Внешний спонсор. Выбрав утверждающего, добавьте резервных утверждающих.

    Access package - Requests - For users out of directory - Second Approver

  2. Укажите количество дней, в течение которых второй утверждающий должен утвердить запрос, в поле Сколько дней нужно для принятия решения?.

  3. Установите переключатель «Требовать обоснование утверждающего» в положение Да или Нет.

    Вы также можете добавить дополнительный этап в процесс утверждения из трех этапов. Например, вы хотите, чтобы руководитель сотрудника выполнял роль утверждающего на первом шаге для пакета для доступа. Но один из ресурсов в пакете для доступа содержит конфиденциальные сведения. В этом случае можно назначить владельца ресурса вторым утверждающим, а проверяющего функции безопасности — третьим утверждающим. Это позволяет специалистам по безопасности получить сведения о процессе и возможности, например, отклонить запрос на основе критериев риска, которые не известны владельцу ресурса.

  4. Добавьте третьего утверждающего:

    Если пользователи находятся в вашем каталоге, добавьте конкретного пользователя в качестве третьего утверждающего, нажав кнопку Добавить утверждающих в разделе "Выбрать конкретных утверждающих".

    Если пользователя нет в вашем каталоге, также можно выбрать в качестве третьего утверждающего вариант Внутренний спонсор или Внешний спонсор. Выбрав утверждающего, добавьте резервных утверждающих.

    Примечание.

      Как и на втором шаге, если пользователи находятся в вашем каталоге и выбран вариант "Руководитель как утверждающий" для первого или второго шага утверждения, вам будет доступен только вариант для выбора определенных утверждающих для третьего шага.
      Если вы хотите назначить руководителя третьим утверждающим, вы можете изменить свой выбор на предыдущих шагах утверждения, чтобы вариант **Руководитель как утверждающий** не был выбран. После этого в раскрывающемся списке вы увидите вариант "Руководитель как утверждающий".
      Если пользователей нет в вашем каталоге и вы не выбрали варианты **Внутренний спонсор** или **Внешний спонсор** в качестве утверждающих на предыдущих шагах, вы увидите их в качестве вариантов для параметра **Третий утверждающий**. В противном случае вам будет доступно только "Выбрать конкретных утверждающих".

  5. Укажите количество дней, в течение которых третий утверждающий должен утвердить запрос, в поле Сколько дней нужно для принятия решения?.

  6. Установите переключатель «Требовать обоснование утверждающего» в положение Да или Нет.

Альтернативные утверждающие

Аналогично указанию первичных утверждающих, можно указать альтернативных утверждающих, которые могут утверждать запросы на каждом этапе. Наличие альтернативных утверждающих поможет обеспечить утверждение или отклонение запросов до истечения срока их рассмотрения (тайм-аут). На каждом этапе можно перечислить альтернативных утверждающих вместе с первичным утверждающим.

При указании альтернативных утверждающих для этапа ожидающий запрос перенаправляется альтернативным утверждающим в соответствии с расписанием переадресации, указанным при настройке политики, если исходные утверждающие не смогли утвердить или отклонить запрос. Они получают сообщение электронной почты о необходимости утвердить или отклонить ожидающий запрос.

После перенаправления запроса к альтернативным утверждающим первичные утверждающие по-прежнему могут утвердить или отклонить запрос. Для утверждения или отклонения ожидающего запроса альтернативные утверждающие также используют веб-сайт «Мой доступ».

В качестве утверждающих и альтернативных утверждающих можно указать людей или группы людей. Убедитесь, что в качестве первого, второго и альтернативных утверждающих указаны разные люди. Например, если Элис и Боб указаны в качестве утверждающих на первом этапе, то в качестве альтернативных утверждающих следует указать Кэрол и Дейва. Чтобы добавить альтернативных утверждающих пакета для доступа, выполните следующие действия.

  1. Под утверждающим на этапе щелкните Показать дополнительные параметры запроса.

    Access package - Policy - Show advanced request settings

  2. Установите переключатель Перенаправлять другим утверждающим, если действие не предпринято? в положение Да.

  3. Нажмите кнопку Добавить альтернативных утверждающих и выберите альтернативных утверждающих из списка.

    Access package - Policy - Add Alternate Approvers

    Если выбрать «Менеджер как утверждающий» для первого утверждающего лица, будет доступен еще один параметр Менеджер второго уровня в качестве альтернативного утверждающего, доступный для выбора в поле альтернативного утверждающего. Если этот параметр выбран, необходимо добавить резервного утверждающего для перенаправления запроса, если системе не удается найти менеджера второго уровня.

  4. В поле Через сколько дней нужно передать запрос другим утверждающим? введите количество дней, в течение которых утверждающие должны утвердить или отклонить запрос. Если ни один из утверждающих не утвердил или не отклонил запрос в заданный период рассмотрения, срок рассмотрения запроса истекает (тайм-аут), и пользователю придется отправить еще один запрос для пакета доступа.

    Запросы можно перенаправить только альтернативным утверждателям через день после того, как запрос был инициирован. Чтобы использовать альтернативное утверждение, время ожидания запроса должно быть не менее 4 дней.

Включение запросов

  1. Если необходимо, чтобы пакет для доступа стал немедленно доступен для запросов пользователей в политике запросов, переведите переключатель «Включить» в положение Да.

    Его можно активировать в любой момент после создания пакета для доступа.

    Если выбран вариант Нет (только прямые назначения администратора), а переключатель включения установлен в положение Нет, то администраторы не смогут напрямую назначать этот пакет для доступа.

    Access package - Policy- Enable policy setting

  2. Выберите Далее.

Получение дополнительной информации о запросившей стороне для утверждения

Чтобы убедиться, что пользователи получают доступ к правильным пакетам доступа, вы можете требовать от запрашивателей ответить на настраиваемые текстовые поля или вопросы о нескольких выборах во время запроса. Эти вопросы будут доступны утверждающим и помогут им принять решение.

  1. Перейдите на вкладку Информация о запрашивающей стороне и откройте вложенную вкладку Вопросы.

  2. Введите вопрос, который нужно задать запрашивающей стороне, также называемый отображаемой строкой, в поле Вопрос.

    Access package - Policy- Enable Requestor information setting

  3. Если в сообществе пользователей, которым требуется доступ к пакету для доступа, нет общего предпочитаемого языка, вы можете упростить работу для пользователей, запрашивающих доступ к myaccess.microsoft.com. Чтобы упростить работу, можно указать альтернативные отображаемые строки для разных языков. Например, если в веб-браузере пользователя установлен испанский язык и вы настроите отображаемые строки на испанском языке, то эти строки будут доступны запрашивающему пользователю. Чтобы настроить локализацию для запросов, нажмите кнопку добавить локализацию.

    1. В области Добавить локализацию для вопроса выберите код языка для языка, на который локализуется вопрос.
    2. Введите вопрос на выбранном языке в поле Локализованный текст.
    3. Добавив все необходимые локализации, нажмите кнопку Сохранить.

    Access package - Policy- Configure localized text

  4. Выберите Формат ответа, который должна использовать запрашивающая сторона для ответа. Форматы ответов: короткий текст, несколько вариантов и длинный текст.

    Access package - Policy- Select Edit and localize multiple choice answer format

  5. Если выбрать несколько вариантов, нажмите кнопку "Изменить" и "Локализовать ", чтобы настроить параметры ответа.

    1. После этого откроется панель View/edit question (Просмотр или изменение вопроса).
    2. Введите варианты ответа, которые будут доступны запрашивающей стороне при ответе на вопрос, в полях Значения ответов.
    3. Введите нужное количество ответов.
    4. Если вы хотите добавить собственную локализацию для параметров "Несколько вариантов", выберите дополнительный языковой код для языка, в котором требуется локализовать определенный параметр.
    5. В поле локализованного текста введите вариант на выбранном языке.
    6. После добавления всех локализаций, необходимых для каждого варианта "Несколько вариантов", нажмите кнопку "Сохранить".

    Access package - Policy- Enter multiple choice options

  6. Если вы хотите включить синтаксис проверка для текстовых ответов на вопросы, можно также указать пользовательский шаблон регулярного выражения.
    Screenshot of the add regex localization policy.Если вы хотите включить синтаксис проверка для текстовых ответов на вопросы, можно также указать пользовательский шаблон регулярного выражения.

  7. Чтобы запросить у запрашивающей стороны ответ на этот вопрос при запросе доступа к пакету для доступа, установите флажок Обязательно.

  8. Укажите нужные данные на остальных вкладках (например, "Жизненный цикл").

После настройки информации о запрашивающей стороне в политике пакета для доступа можно просмотреть ответы запрашивающей стороны на вопросы. Рекомендации по просмотру информации о запрашивающей стороне см.в статье о просмотре ответов запрашивающей стороны на вопросы.

Следующие шаги