Поделиться через

Изменение настроек информации об утверждении и запросе для пакета доступа в рамках управления правами доступа

Каждый пакет доступа должен иметь одну или несколько политик назначения пакетов доступа, прежде чем пользователь сможет получить назначенный доступ. При создании пакета доступа в Центре администрирования Microsoft Entra центр администрирования Microsoft Entra автоматически создает первую политику назначения пакетов доступа для этого пакета доступа. Политика определяет, кто может запрашивать доступ и кто должен утвердить доступ.

В качестве менеджера пакетов доступа вы можете изменить параметры информации об утверждении и запрашивателе для пакета доступа в любое время, редактируя существующую политику или добавив новую политику для запроса доступа.

В этой статье описывается, как изменить настройки информации об утверждении и о запрашивающей стороне для существующего пакета доступа посредством политики пакета для доступа.

Одобрение

В разделе «Утверждение» укажите, требуется ли утверждение, когда пользователи запрашивают этот пакет для доступа. Параметры утверждения работают следующим образом:

  • Только один из выбранных или резервных утверждающих должен утвердить запрос на утверждение, состоящее из одного этапа.
  • Только один из выбранных утверждающих на каждом этапе должен утвердить запрос на многоэтапное утверждение, чтобы он перешел на следующий этап.
  • Если один из утверждающих, выбранных на этапе, отклоняет запрос до того, как другой утверждающий на этом этапе его утвердит, или если запрос не утверждается никем, он прекращается, и пользователь не получает доступ.
  • Утверждающим может быть указанный пользователь или член группы, менеджер запрашивающей стороны, внутренний или внешний спонсор в зависимости от того, кто управляет доступом согласно политике.

Для демонстрации того, как добавить утверждающие лица в политику запросов, посмотрите следующий видеоролик.

Для демонстрации добавления в политику запросов многоэтапных утверждений просмотрите следующий видеоролик:

Примечание.

Утверждающие лица не могут одобрять собственные запросы пакета доступа.

Изменение параметров утверждения политики назначения доступа для существующего пакета доступа

Выполните следующие действия, чтобы задать политику, определяющую параметры утверждения запросов на получение пакета для доступа:

  1. Войдите в Центр администрирования Microsoft Entra в качестве не ниже чем администратора управления идентификацией.

    Совет

    Другие роли с минимально необходимыми привилегиями, которые могут выполнить эту задачу, включают владельца каталога и менеджера назначений пакета доступа.

  2. Перейдите к управлению удостоверениями>управлению правами доступа>пакетам доступа.

  3. На странице пакетов Access откройте пакет доступа.

  4. Выберите политику для изменения или добавьте новую политику в пакет для доступа

    1. Щелкните Политики, а затем Добавить политику, если нужно создать новую политику.
    2. Выберите политику, которую нужно изменить, и нажмите кнопку Изменить.

  5. Откройте вкладку Запрос.

  6. Чтобы потребовать утверждения запросов от выбранных пользователей, установите переключатель Требовать утверждение в положение Да. Чтобы запросы утверждались автоматически, установите этот переключатель в положение Нет. Если политика позволяет внешним пользователям за пределами вашей организации запрашивать доступ, вы должны требовать одобрения, чтобы осуществлять надзор за тем, кто добавляется в каталог вашей организации.

  7. Чтобы требовать от пользователей предоставления обоснования для запроса пакета доступа, установите переключатель Требовать обоснование у запрашивающей стороны в положение Да.

  8. Теперь определите, требуются ли запросы с одним или несколькими этапами утверждения. Установите количество этапов на число этапов, необходимых для утверждения.

    Пакет для доступа — запросы — параметры утверждения

Чтобы добавить утверждающих лиц после выбора необходимого количества этапов, выполните следующие шаги.

Утверждение в один этап

  1. Добавьте Первого утверждающего:

    Если в политике установлено управление доступом для пользователей из каталога, можно выбрать Менеджер в качестве утверждающего. Также можно добавить конкретного пользователя, щелкнув Добавить утверждающих после выбора пункта Выбрать определенных утверждающих в раскрывающемся меню.

    Пакет для доступа — запросы — для пользователей в каталоге — первый утверждающий

    Если в этой политике определено управление доступом для пользователей, отсутствующих в вашем каталоге, можно выбрать Внешний спонсор или Внутренний спонсор. Либо добавьте конкретного пользователя, щелкнув Добавить утверждающих или группы в разделе «Выбрать конкретных утверждающих».

    Пакет для доступа — запросы — для пользователей вне каталога — первый утверждающий

  2. Если вы выбрали Менеджер в качестве первого утверждающего, выберите Добавить резервный для выбора одного или нескольких пользователей или групп в вашем каталоге в качестве резервного утверждающего. Резервные утверждающие получают запрос, если в процессе управления правами не удается найти менеджера для пользователя, запросившего доступ.

    Поиск менеджера выполняется при управлении правами с помощью атрибута Менеджер. Атрибут находится в профиле пользователя в идентификаторе Microsoft Entra. Дополнительные сведения см. в разделе "Добавление или обновление сведений профиля пользователя с помощью идентификатора Microsoft Entra".

  3. Если вы выбрали Выбрать конкретных утверждающих, выберите Добавить утверждающих, чтобы выбрать одного или нескольких пользователей или групп в вашем каталоге, чтобы назначить их утверждающими.

  4. В поле Сколько дней требуется для принятия решения? укажите количество дней, в течение которых утверждающий должен проверить запрос для этого пакета доступа.

    Если запрос не утвержден в течение этого периода времени, он автоматически отклоняется. Пользователь должен отправить еще один запрос на пакет доступа.

  5. Чтобы утверждающие обязательно предоставляли обоснование своих решений, установите для параметра «Требовать обоснование утверждающего» значение Да.

    Это обоснование видят другие утверждающие и запрашивающая сторона.

Многоэтапное утверждение

Если вы выбрали многоэтапное утверждение, необходимо добавить утверждающего для каждого дополнительного этапа.

  1. Добавьте значение в поле Второй утверждающий:

    Если пользователи находятся в вашем каталоге, добавьте конкретного пользователя в качестве второго утверждающего, нажав кнопку Добавить утверждающих в разделе "Выбрать определенных утверждающих".

    Пакет доступа — запросы — для пользователей в каталоге — второй утверждающий

    Если пользователя нет в вашем каталоге, выберите в качестве второго утверждающего вариант Внутренний спонсор или Внешний спонсор. Выбрав утверждающего, после этого добавьте резервных утверждающих.

    Пакет доступа — запросы — для пользователей вне каталога — второй одобряющий

  2. Укажите количество дней, в течение которых второй утверждающий должен утвердить запрос, в поле Сколько дней нужно для принятия решения?.

  3. Установите переключатель «Требовать обоснование утверждающего» в положение Да или Нет.

    Вы также можете добавить дополнительный этап для трехэтапного процесса утверждения. Например, вы хотите, чтобы руководитель сотрудника выполнял роль утверждающего на первом шаге для пакета для доступа. Но один из ресурсов в пакете для доступа содержит конфиденциальные сведения. В этом случае можно назначить владельца ресурса вторым утверждающим, а проверяющего функции безопасности — третьим утверждающим. Это позволяет специалистам по безопасности получить сведения о процессе и возможности, например, отклонить запрос на основе критериев риска, которые не известны владельцу ресурса.

  4. Добавьте третьего утверждающего:

    Если пользователи находятся в вашем каталоге, добавьте конкретного пользователя в качестве третьего утверждающего, нажав кнопку Добавить утверждающих в разделе "Выбрать конкретных утверждающих".

    Если пользователи не в вашем каталоге, вы также можете выбрать внутреннего спонсора или внешнего спонсора в качестве третьего одобрителя. Выбрав утверждающего, после этого добавьте резервных утверждающих.

    Примечание.

      Как и во втором этапе, если пользователи находятся в вашем каталоге и менеджер в роли утверждающего выбраны на первом или втором этапе утверждения, вы сможете выбрать конкретных утверждающих для третьего этапа утверждения.
      Если вы хотите назначить руководителя третьим утверждающим, вы можете изменить свой выбор на предыдущих шагах утверждения, чтобы вариант **Руководитель как утверждающий** не был выбран. После этого в раскрывающемся списке вы увидите вариант "Руководитель как утверждающий".
      Если пользователи не в каталоге, и вы не выбрали **Внутренний спонсор** или **Внешний спонсор** в качестве утверждающих на предыдущих этапах, вы увидите их в качестве параметров для **Третий утверждающий**. В противном случае вы сможете выбрать **Выбрать конкретных утверждающих**.

  5. Укажите количество дней, в течение которых третий утверждающий должен утвердить запрос, в поле Сколько дней нужно для принятия решения?.

  6. Установите переключатель «Требовать обоснование утверждающего» в положение Да или Нет.

Альтернативные утверждающие лица

Аналогично указанию первичных утверждающих, можно указать альтернативных утверждающих, которые могут утверждать запросы на каждом этапе. Наличие альтернативных утверждающих лиц помогает убедиться, что запросы утверждены или отклонены до истечения срока их действия (таймаут). На каждом этапе можно перечислить альтернативных утверждающих вместе с первичным утверждающим.

При указании альтернативных утверждающих для этапа ожидающий запрос перенаправляется альтернативным утверждающим в соответствии с расписанием переадресации, указанным при настройке политики, если исходные утверждающие не смогли утвердить или отклонить запрос. Они получают электронное письмо с просьбой утвердить или отклонить запрос на рассмотрении.

После перенаправления запроса к альтернативным утверждающим первичные утверждающие по-прежнему могут утвердить или отклонить запрос. Для утверждения или отклонения ожидающего запроса альтернативные утверждающие также используют веб-сайт «Мой доступ».

В качестве утверждающих и альтернативных утверждающих можно указать людей или группы людей. Убедитесь, что в качестве первого, второго и альтернативных утверждающих указаны разные люди. Например, если Элис и Боб указаны в качестве утверждающих на первом этапе, то в качестве альтернативных утверждающих следует указать Кэрол и Дейва. Чтобы добавить дополнительных утверждающих в пакет доступа, выполните следующие действия.

  1. На этапе под утверждением выберите Показать дополнительные параметры запроса.

    Пакет для доступа — политика — отображение дополнительных параметров запроса

  2. Установите переключатель Перенаправлять к альтернативным утверждающим, если действие не предпринято? в положение Да.

  3. Нажмите кнопку Добавить альтернативных утверждающих и выберите альтернативных утверждающих из списка.

    Пакет доступа — Политика — добавление альтернативных утверждающих

    Если выбрать менеджера в качестве утверждающего для первого утверждающего, у вас будет доступен дополнительный параметр: менеджер второго уровня в качестве альтернативного утверждающего, который можно выбрать в поле альтернативного утверждающего. Если этот параметр выбран, необходимо добавить резервного утверждающего, чтобы перенаправить запрос, если системе не удается найти менеджера второго уровня.

  4. В поле Через сколько дней нужно передать запрос другим утверждающим? введите количество дней, в течение которых утверждающие должны утвердить или отклонить запрос. Если ни один из утверждающих не одобрил или не отклонил запрос в течение установленного времени, срок действия запроса истекает, и пользователю необходимо отправить новый запрос на пакет доступа.

    Запросы можно перенаправить только альтернативным утверждателям через день после того, как запрос был инициирован. Чтобы использовать альтернативное одобрение, время ожидания запроса должно быть не менее четырех дней.

Включите запросы

  1. Если необходимо, чтобы пакет для доступа стал немедленно доступен для запросов пользователей в политике запросов, переведите переключатель «Включить» в положение Да.

    Его можно активировать в любой момент после создания пакета для доступа.

    Если выбран вариант Нет (только прямые назначения администратора), а переключатель включения установлен в положение Нет, то администраторы не смогут напрямую назначать этот пакет для доступа.

    Пакет для доступа — Политика — Включение политики

  2. При включении новых запросов можно указать, следует ли разрешить менеджерам запрашивать от имени своих сотрудников (предварительная версия). Снимок экрана: утверждение диспетчера параметров запроса.

  3. Выберите Далее.

Получение дополнительной информации о запросившей стороне для утверждения

Чтобы убедиться, что пользователи получают доступ к правильным пакетам доступа, вы можете требовать от запрашивателей ответить на настраиваемые текстовые поля или вопросы о нескольких выборах во время запроса. Эти вопросы будут доступны утверждающим и помогут им принять решение.

  1. Перейдите на вкладку Информация о запрашивающей стороне и откройте вложенную вкладку Вопросы.

  2. Введите вопрос, который нужно задать запрашивающей стороне, также называемый отображаемой строкой, в поле Вопрос.

    Пакет для доступа — политика — включение сведений о запрашивающей стороне

  3. Если сообщество пользователей, которым требуется доступ к пакету доступа, не все имеют общий предпочтительный язык, вы можете улучшить взаимодействие с пользователями, запрашивающими доступ на myaccess.microsoft.com. Чтобы упростить работу, можно указать альтернативные отображаемые строки для разных языков. Например, если для веб-браузера пользователя задано значение "Испанский", а у вас настроены испанские отображаемые строки, эти строки отображаются запрашивающим пользователю. Чтобы настроить локализацию для запросов, нажмите кнопку добавить локализацию.

    1. В области Добавить локализацию для вопроса выберите код языка для языка, на который локализуется вопрос.
    2. Введите вопрос на выбранном языке в поле Локализованный текст.
    3. Добавив все необходимые локализации, нажмите кнопку Сохранить.

    Пакет для доступа — политика — настройка локализованного текста

  4. Выберите Формат ответа, который должна использовать запрашивающая сторона для ответа. Форматы ответов: короткий текст, несколько вариантов и длинный текст.

    Пакет доступа - Политика - выберите

  5. Если выбрать несколько вариантов, нажмите кнопку "Изменить" и "Локализовать ", чтобы настроить параметры ответа.

    1. После нажатия на "Редактировать" и "Локализовать" откроется панель Просмотр/редактирование вопроса.
    2. Введите варианты ответа, которые будут доступны запрашивающей стороне при ответе на вопрос, в полях Значения ответов.
    3. Введите нужное количество ответов.
    4. Если вы хотите добавить собственную локализацию для параметров "Несколько вариантов", выберите дополнительный языковой код для языка, в котором требуется локализовать определенный параметр.
    5. В поле локализованного текста введите вариант на выбранном языке.
    6. После добавления всех локализаций, необходимых для каждого варианта выбора нескольких вариантов, нажмите кнопку "Сохранить".

    Пакет для доступа — политика — ввод нескольких вариантов выбора

  6. Если вы хотите включить проверку синтаксиса на текстовые ответы на вопросы, можно также указать пользовательский шаблон регулярных выражений.
    Снимок экрана добавления политики локализации для регулярных выражений. Если вы хотите включить проверку синтаксиса текстовых ответов на вопросы, вы также можете указать собственный шаблон регулярного выражения.

  7. Чтобы запросить у запрашивающей стороны ответ на этот вопрос при запросе доступа к пакету для доступа, установите флажок Обязательно.

  8. Укажите нужные данные на остальных вкладках (например, "Жизненный цикл").

После настройки сведений о запросе в политике пакета доступа вы можете просмотреть ответы запрашивателя на вопросы. Рекомендации по просмотру информации о запрашивающей стороне см.в статье о просмотре ответов запрашивающей стороны на вопросы.

Следующие шаги