Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются некоторые элементы, которые помогут вам устранить неполадки в управлении правами.
Администрирование
Если при настройке управления правами вы получаете сообщение об отказе в доступе и вы являетесь глобальным администратором, убедитесь, что у вашего каталога есть лицензия Microsoft Entra ID P2 или Microsoft Entra ID Management (или EMS E5). Если вы недавно обновили истёкшую подписку Microsoft Entra ID P2 или Microsoft Entra ID Governance, то может потребоваться 8 часов, чтобы продление лицензии стало видимым.
Если срок действия лицензии Microsoft Entra ID P2 или Microsoft Entra ID Governance истекает, вы не сможете обрабатывать новые запросы на доступ или выполнять проверки доступа.
Если при создании или просмотре пакетов доступа отказано в доступе, и вы являетесь членом группы создателей каталога, необходимо создать каталог перед созданием первого пакета доступа.
Ресурсы
Роли для приложений определяются самим приложением и управляются в идентификаторе Microsoft Entra. Если у приложения нет ролей ресурсов, управление правами назначает пользователям роль доступа по умолчанию .
Центр администрирования Microsoft Entra также может отображать уполномоченные службы для служб, которые невозможно выбрать в качестве приложений. В частности, Exchange Online и SharePoint Online — это службы, а не приложения с ролями ресурсов в каталоге, поэтому они не могут быть включены в пакет доступа. Вместо этого используйте групповое лицензирование и установите подходящую лицензию для пользователей, которым нужен доступ к этим службам.
Приложения, поддерживающие только личные пользователи учетной записи Майкрософт для проверки подлинности, и не поддерживают учетные записи организации в каталоге, не имеют ролей приложений и не могут быть добавлены для доступа к каталогам пакетов.
Чтобы группа была ресурсом в пакете доступа, она должна быть изменяемой в идентификаторе Microsoft Entra. Группы, поступающие из локального Active Directory, не могут быть назначены как ресурсы, так как их атрибуты владельца или участника не могут быть изменены в Microsoft Entra ID. Группы, которые изначально создаются в Exchange Online как группы рассылки, также не могут быть изменены в Microsoft Entra ID.
Библиотеки документов и отдельные документы SharePoint Online нельзя добавлять в качестве ресурсов. Вместо этого создайте группу безопасности Microsoft Entra, включите ее и роль сайта в пакет доступа, а в SharePoint Online используйте ее для управления доступом к библиотеке документов или документу.
Если есть пользователи, которые уже назначены ресурсу, которым вы хотите управлять с помощью пакета для доступа, убедитесь, что пользователи назначены пакету с использованием соответствующей политики. Например, может потребоваться включить группу в пакет для доступа, в котором уже есть пользователи в группе. Если пользователям в группе требуется постоянный доступ, в их отношении должна действовать соответствующая политика для пакетов для доступа, чтобы они не утратили доступ к группе. Чтобы назначить пакет доступа, вы можете либо попросить пользователей запросить пакет, содержащий этот ресурс, либо напрямую назначить их на пакет. Дополнительные сведения см. в разделе "Изменение параметров запроса и утверждения" для пакета доступа.
При удалении члена команды они также удаляются из группы Microsoft 365. С удалением из чата команды может возникнуть задержка. Дополнительные сведения см. в разделе "Членство в группах".
Пакеты доступа
- Если при попытке удалить пакет или политику доступа появляется сообщение об ошибке, в котором говорится о наличии активных назначений, и вы не видите пользователей с назначениями, проверьте, не остались ли назначения у недавно удаленных пользователей. Учетную запись пользователя можно восстановить в течение 30-дневного периода после удаления пользователя.
Внешние пользователи
Если внешний пользователь хочет запросить доступ к пакету доступа, убедитесь, что он использует ссылку на портал "Мой доступ " для пакета доступа. Дополнительные сведения см. по ссылке "Общий доступ", чтобы запросить пакет доступа. Если внешний пользователь просто посещает myaccess.microsoft.com и не использует полную ссылку портала "Мой доступ", то они видят пакеты доступа, доступные для них в своей организации, а не в вашей организации.
Если внешний пользователь не может запросить доступ к пакету доступа или не может получить доступ к ресурсам, обязательно проверьте параметры для внешних пользователей.
Если новый внешний пользователь, который ранее не входил в ваш каталог, получает пакет доступа, включая сайт SharePoint Online, его пакет доступа отображается как не полностью доставленный до тех пор, пока ее учетная запись не будет создана в SharePoint Online. Дополнительные сведения о параметрах общего доступа см. в разделе "Просмотр параметров внешнего общего доступа SharePoint Online".
Запросы
Когда пользователь хочет запросить доступ к пакету доступа, убедитесь, что он использует ссылку портала "Мой доступ " для пакета доступа. Дополнительные сведения см. по ссылке "Общий доступ", чтобы запросить пакет доступа.
Если открыть портал "Мой доступ" в браузере в режиме инкогнито или в приватном режиме, это может вызвать конфликт при входе. Рекомендуется не использовать режим в частном или инкогнито для браузера при посещении портала My Access.
Если пользователь, который еще не находится в вашем каталоге, войдет на портал My Access, чтобы запросить пакет доступа, убедитесь, что он проходит проверку подлинности с помощью учетной записи своей организации. Учетная запись организации может быть в каталоге ресурсов или в каталоге, включенном в одну из политик пакета для доступа. Если учетная запись пользователя не является учетной записью организации или каталог, в котором они проходят проверку подлинности, не включен в политику, то пользователь не увидит пакет доступа. Дополнительные сведения см. в статье "Запрос доступа к пакету доступа".
Если пользователь заблокирован для входа в каталог ресурсов, он не сможет запросить доступ на портале "Мой доступ". Чтобы пользователь мог запросить доступ, необходимо удалить блокировку входа из его профиля. Чтобы удалить блокировку входа, в Центре администрирования Microsoft Entra перейдите к идентификатору>Пользователи, выберите пользователя, выберите команду "Изменить свойства", а затем выберите раздел "Параметры" и установите флажок "Учетная запись включена". Дополнительные сведения см. в разделе "Добавление или обновление сведений профиля пользователя с помощью идентификатора Microsoft Entra". Вы также можете проверить, заблокирован ли пользователь из-за политики условного доступа.
На портале "Мой доступ", если пользователь является запрашивателем и утверждателем, он не увидит свой запрос на пакет доступа на странице "Утверждения". Это поведение намеренно. Пользователь не может утвердить свой собственный запрос. Убедитесь, что для пакета доступа, который запрашивает пользователь, в политике настроены дополнительные утверждающие лица. Дополнительные сведения см. в разделе "Изменение параметров запроса и утверждения" для пакета доступа.
Просмотр ошибок доставки запроса
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога, диспетчер пакетов Access и диспетчер назначения пакетов Access.
Перейдите к Управлению удостоверениями>Управлению правами>Пакетам доступа.
Выберите запросы.
Выберите запрос для просмотра.
Если в запросе есть ошибки доставки, состояние запроса будет Недоставлено или Частично доставлено.
Если возникают ошибки доставки, в области сведений запроса отображается количество ошибок доставки.
Выберите количество, чтобы просмотреть все ошибки доставки запроса.
Повторная обработка запроса
Если после запуска запроса на повторную обработку пакета для доступа возникла ошибка, необходимо подождать, пока система обработает запрос повторно. Система несколько раз пытается выполнить повторную обработку в течение нескольких часов, поэтому в течение этого времени невозможно выполнить принудительную обработку.
Вы можете повторно обработать запрос со статусом доставка не удалась или частично доставлено и датой выполнения менее чем неделя назад. Кнопка повторной обработки будет неактивна в противном случае.
Если ошибка устранена во время пробной версии, состояние запроса изменяется на "Доставка". Запрос повторно обрабатывается без дальнейших действий от пользователя.
Если ошибка не была исправлена в течение окна испытаний, состояние запроса может быть доставка не удалась или доставлено частично. Затем можно использовать кнопку повторной обработки . Для повторной обработки запроса требуется семь дней.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога, диспетчер пакетов Access и диспетчер назначения пакетов Access.
Перейдите к управлению идентификаторами>управлению правами>пакетам доступа, чтобы открыть пакет доступа.
Выберите запросы.
Выберите запрос, который требуется повторно обработать.
В области сведений о запросе выберите запрос повторной обработки.
Отменить ожидающий запрос
Вы можете отменить только тот запрос, который ожидает выполнения, еще не был доставлен или доставка которого не удалась. В противном случае кнопка «Отмена» будет неактивного цвета.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога, диспетчер пакетов Access и диспетчер назначения пакетов Access.
Перейдите к управлению идентификаторами>управлению правами>пакетам доступа, чтобы открыть пакет доступа.
Выберите запросы.
Выберите запрос, который нужно отменить.
В области сведений о запросе выберите "Отмена запроса".
Политики автоматического назначения
- Каждая политика автоматического назначения может содержать не более 15 000 пользователей в соответствии со своим правилом. Другие пользователи, охваченные правилом, могут не получить доступ.
Несколько политик
Управление правами соответствует минимальным рекомендациям по обеспечению привилегий. Когда пользователь запрашивает доступ к пакету доступа, к которому применяются несколько политик, управление правами использует логику, чтобы гарантировать, что более строгие или более конкретные политики имеют приоритет по сравнению с общими политиками. Если политика является универсальной, управление правами может не отображать политику для запрашивающей стороны или автоматически выбирать более ограниченную политику.
Например, рассмотрим пакет доступа с двумя политиками для пользователей в каталоге, в котором обе политики применяются к запрашивателю. Первая политика предназначена для конкретных пользователей, к которым относится запрашивающее лицо. Вторая политика — для всех пользователей в каталоге. В этом сценарии первая политика автоматически выбирается для запрашивателя, так как она более строгая. Запрашиватель не получает возможность выбрать вторую политику.
Если применяются несколько политик, то политика, которая выбирается автоматически, или политики, отображаемые запрашивающему лицу, основаны на следующей логике приоритета.
Приоритет политики Область П1 Определенные пользователи и группы в каталоге ИЛИ в конкретных подключенных организациях P2 Все члены в каталоге (кроме гостей) П3 Все пользователи в вашем каталоге (включая гостей) ИЛИ определенные подключенные организации P4 Все настроенные подключенные организации ИЛИ все пользователи (все подключенные организации + все новые внешние пользователи) Если какая-либо политика находится в каталоге с более высоким приоритетом, каталоги с низким приоритетом не учитываются. Пример отображения нескольких политик с одинаковым приоритетом в запросе см. в разделе "Выбор политики".