Настройка параметров проверенного идентификатора для пакета доступа в управлении правами
При настройке политики пакета доступа администраторы могут указать, будут ли это пользователи в каталоге, подключенных организациях или любом внешнем пользователе. Управление правами определяет, находится ли пользователь, запрашивающий пакет доступа, в пределах области политики.
Иногда может потребоваться, чтобы пользователи могли представить дополнительные доказательства идентификации во время запроса, например сертификацию обучения, авторизацию на работу или статус гражданства. В качестве диспетчера пакетов доступа вы можете требовать, чтобы запрашивающие содержали проверенный идентификатор, содержащий эти учетные данные от доверенного издателя. Утверждающие могут быстро просмотреть, были ли проверяемые учетные данные пользователя в то время, когда пользователь представил свои учетные данные и отправил запрос пакета доступа.
В качестве диспетчера пакетов доступа можно включить проверенные требования к идентификатору пакета доступа в любое время, изменив существующую политику или добавив новую политику для запроса доступа.
В этой статье описывается настройка параметров требования проверенного идентификатора для пакета доступа.
Необходимые компоненты
Перед началом работы необходимо настроить клиент для использования службы Проверенные учетные данные Microsoft Entra. Подробные инструкции по настройке клиента можно найти здесь: настройка клиента для Проверенные учетные данные Microsoft Entra.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Создание пакета доступа с проверенными требованиями к идентификатору
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Чтобы добавить проверенное требование идентификатора в пакет доступа, необходимо начать с вкладки запросов пакета доступа. Выполните следующие действия, чтобы добавить проверенное требование идентификатора в новый пакет доступа.
Требуемая роль: глобальный администратор
Примечание.
Администратор управления удостоверениями, администратор пользователей, владелец каталога или диспетчер пакетов Access сможет добавить проверенные требования к идентификатору для доступа к пакетам в ближайшее время.
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
Перейдите к пакету управления правами управления>удостоверениями>.
На странице пакетов Access выберите +Создать пакет доступа.
На вкладке "Запросы" прокрутите страницу "Обязательные проверенные идентификаторы".
Выберите и добавьте издателя и выберите издателя из сети Проверенные учетные данные Microsoft Entra. Если вы хотите выдавать собственные учетные данные пользователям, см. статью "Проблема Проверенные учетные данные Microsoft Entra учетных данных из приложения".
Выберите тип учетных данных, которые нужно представить пользователям во время запроса.
Примечание.
При выборе нескольких типов учетных данных из одного издателя пользователям потребуется предоставить учетные данные всех выбранных типов. Аналогичным образом, если вы включаете несколько издателей, пользователям потребуется предоставить учетные данные от каждого издателя, который вы включаете в политику. Чтобы предоставить пользователям возможность представления различных учетных данных от разных издателей, настройте отдельные политики для каждого типа издателя или типа учетных данных, которые вы примете.
Нажмите кнопку "Добавить", чтобы добавить требование проверенного идентификатора в политику пакета доступа.
Завершив настройку остальных параметров, вы можете просмотреть выбранные параметры на вкладке "Просмотр и создание ". Все проверенные требования к идентификаторам для этой политики пакета доступа можно просмотреть в разделе проверенных идентификаторов .
Запрос пакета доступа с проверенными требованиями к идентификатору
После настройки пакета доступа с проверенным требованием идентификатора конечные пользователи, находящиеся в области политики, могут запрашивать доступ с помощью портала "Мой доступ". Аналогичным образом утверждающие могут видеть утверждения виртуальных машин, представленных запрашивающими пользователями при проверке запросов на утверждение.
Ниже приведены шаги инициатора запроса.
Перейдите по адресу
myaccess.microsoft.com
и выполните вход.Найдите пакет доступа, к которому вы хотите запросить доступ (вы можете просмотреть перечисленные пакеты или использовать панель поиска в верхней части страницы) и выберите "Запрос".
Если пакет доступа требует представления проверенного идентификатора, вы увидите серый баннер информации, как показано ниже:
Выберите "Запросить доступ". Теперь вы увидите QR-код. Используйте свой телефон для сканирования QR-кода. При этом запускается Microsoft Authenticator, где вам будет предложено предоставить общий доступ к учетным данным.
После совместного использования учетных данных мой доступ автоматически приведет вас к следующему шагу процесса запроса.
Следующие шаги
Делегирование управления доступом диспетчерам пакетов для доступа