Настройка политики автоматического назначения для пакета доступа в управлении правами
Правила можно использовать для определения назначения пакетов доступа на основе свойств пользователей в идентификаторе Microsoft Entra, части Microsoft Entra. В службе "Управление правами" пакет доступа может иметь несколько политик, и каждая политика определяет, как пользователи получают назначение для пакета доступа и на какое время. Как администратор, вы можете установить политику для автоматических назначений, указав правило членства, которое управление правами следует для автоматического создания и удаления назначений. Как и для динамических групп, при создании политики автоматического назначения проверяется соответствие атрибутов пользователей правилу членства политики. При изменении атрибута для пользователя эти правила политики автоматического назначения в пакетах доступа обрабатываются в соответствии с изменениями членства. Затем назначения для пользователей добавляются или удаляются в зависимости от того, соответствуют ли они критериям правила.
Вы можете иметь не более одной политики автоматического назначения в пакете доступа, и политика может быть создана только администратором. (Владельцы каталогов и диспетчеры пакетов доступа не могут создавать политики автоматического назначения.)
В этой статье описывается создание политики автоматического назначения пакета доступа для существующего пакета доступа.
Подготовка к работе
Атрибуты должны быть заполнены пользователями, которые будут находиться в области назначения доступа. В критериях правил для политики назначения пакета доступа можно использовать любые атрибуты, перечисленные в списке поддерживаемых свойств, а также атрибуты расширения и настраиваемые свойства расширения. Эти атрибуты можно использовать в идентификатор Microsoft Entra, исправив пользователя, систему кадров, например SuccessFactors, облачную синхронизацию Microsoft Entra Connect или Microsoft Entra Connect Sync. Правила могут включать до 15 000 пользователей на политику.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Создание политики автоматического назначения
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Чтобы создать политику для пакета доступа, необходимо начать с вкладки политики пакета доступа. Выполните следующие действия, чтобы создать новую политику автоматического назначения для пакета доступа.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Перейдите к пакету управления правами управления>удостоверениями>.
На странице пакетов Access откройте пакет доступа.
Выберите политики и добавьте политику автоматического назначения, чтобы создать новую политику.
На первой вкладке укажите правило. Выберите Изменить.
Укажите правило для динамических групп членства с помощью построителя правил членства или нажмите кнопку "Изменить " в текстовом поле синтаксиса правила.
Примечание.
Построитель правил может не отображать некоторые правила, созданные в текстовом поле, и проверка правила в настоящее время требует, чтобы вы были в роли администратора групп. Дополнительные сведения см . в построителе правил в Центре администрирования Microsoft Entra.
Нажмите кнопку "Сохранить", чтобы закрыть редактор правил для динамических групп членства.
По умолчанию флажки для автоматического создания и удаления назначений должны оставаться проверенными.
Если вы хотите, чтобы пользователи сохраняли доступ в течение ограниченного времени после выхода из области, можно указать длительность в часах или днях. Например, когда сотрудник покидает отдел продаж, вы можете разрешить им продолжать сохранять доступ в течение семи дней, чтобы позволить им использовать приложения продаж и передавать права владения своими ресурсами в этих приложениях другому сотруднику.
Нажмите кнопку "Рядом", чтобы открыть вкладку "Пользовательские расширения".
Если в каталоге есть пользовательские расширения, которые вы хотите запустить, когда политика назначает или удаляет доступ, их можно добавить в эту политику. Затем щелкните рядом с вкладкой "Рецензирование ".
Введите имя и описание политики.
Нажмите кнопку "Создать", чтобы сохранить политику.
Примечание.
В настоящее время управление правами автоматически создает динамическую группу безопасности, соответствующую каждой политике, чтобы оценить пользователей в области. Эту группу может изменять только сама служба "Управление правами". Эту группу также можно изменять или удалять автоматически с помощью управления правами, поэтому не используйте эту группу для других приложений или сценариев.
Идентификатор Microsoft Entra оценивает пользователей в организации, которые находятся в области этого правила, и создает назначения для тех пользователей, у которых еще нет назначений для пакета доступа. Политика может содержать не более 15 000 пользователей в своем правиле. Для выполнения оценки может потребоваться несколько минут или последующие обновления атрибутов пользователя, которые будут отражены в назначениях пакетов доступа.
Создание политики автоматического назначения программным способом
Существует два способа создания политики назначения пакетов доступа для автоматического назначения с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.
Создание политики назначения пакета доступа с помощью Graph
Вы можете создать политику с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением, которое имеет делегированное EntitlementManagement.ReadWrite.All
разрешение, или приложение в роли каталога или с EntitlementManagement.ReadWrite.All
разрешением, может вызывать API назначенияPolicy . В полезные данные запроса включите свойства политики displayName
, description
, specificAllowedTargets
, automaticRequestSettings
и accessPackage
.
Создание политики назначения пакетов доступа с помощью PowerShell
Вы также можете создать политику в PowerShell с командлетами из командлетов Microsoft Graph PowerShell для модуля управления удостоверениями версии 1.16.0 или более поздней.
Следующий скрипт иллюстрирует использование v1.0
профиля для создания политики автоматического назначения пакета доступа. Дополнительные примеры см. в статье о создании пакета назначенияPolicy и создании пакета доступа в управлении правами для приложения с одной ролью с помощью PowerShell .
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$pparams = @{
DisplayName = "Sales department users"
Description = "All users from sales department"
AllowedTargetScope = "specificDirectoryUsers"
SpecificAllowedTargets = @( @{
"@odata.type" = "#microsoft.graph.attributeRuleMembers"
description = "All users from sales department"
membershipRule = '(user.department -eq "Sales")'
} )
AutomaticRequestSettings = @{
RequestAccessForAllowedTargets = $true
}
AccessPackage = @{
Id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams