Поделиться через

Настройка политики автоматического назначения для пакета доступа в управлении правами

  • Статья

Правила можно использовать для назначения пакетов доступа на основе свойств пользователей в Microsoft Entra ID, который является частью Microsoft Entra. В службе "Управление правами" пакет доступа может иметь несколько политик, и каждая политика определяет, как пользователи получают назначение для пакета доступа и на какое время. Как администратор, вы можете установить политику для автоматических назначений, указав правило членства, которому управление полномочиями следует для автоматического создания и удаления назначений. Аналогично динамической группе при создании политики автоматического назначения атрибуты пользователей оцениваются для совпадений с правилом членства политики. При изменении атрибута для пользователя эти правила политики автоматического назначения в пакетах доступа обрабатываются в соответствии с изменениями членства. Затем назначения для пользователей добавляются или удаляются в зависимости от того, соответствуют ли они критериям правила.

Вы можете иметь не более одной политики автоматического назначения в пакете доступа, и политика может быть создана только администратором. (Владельцы каталогов и менеджеры пакетов доступа не могут создавать политики автоматического назначения.)

В этой статье описывается создание политики автоматического назначения пакета доступа для существующего пакета доступа.

Перед началом

Атрибуты должны быть заполнены для пользователей, которые будут в пределах области назначения для назначения доступа. Атрибуты, которые можно использовать в критериях правил политики назначения пакетов доступа, — это атрибуты, перечисленные в поддерживаемых свойствах, а также атрибуты расширения и настраиваемые свойства расширения. Эти атрибуты можно перенести в Microsoft Entra ID, обновивпользователя через такие HR-системы, как SuccessFactors, облачную синхронизацию Microsoft Entra Connect или Microsoft Entra Connect Sync. Правила могут включать до 15 000 пользователей на политику.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, ознакомьтесь с основами лицензирования управления идентификаторами Microsoft Entra ID.

Создание политики автоматического назначения

Чтобы создать политику для пакета доступа, необходимо начать с вкладки политики пакета доступа. Выполните следующие действия, чтобы создать новую политику автоматического назначения для пакета доступа.

  1. Войдите в центр администрирования Microsoft Entra как минимум как Администратор управления удостоверениями.

  2. Перейдите к Управлению идентификацией>Управлению правами>Пакету доступа.

  3. На странице пакетов доступа откройте пакет доступа.

  4. Выберите политики и добавьте политику автоматического назначения , чтобы создать новую политику.

  5. На первой вкладке укажите правило. Выберите "Изменить".

  6. Укажите правило для динамических групп членства с помощью построителя правил членства или нажмите кнопку "Изменить " в текстовом поле синтаксиса правила.

    Примечание.

    Построитель правил может не отображать некоторые правила, созданные в текстовом поле, и проверка правила в настоящее время требует, чтобы вы были в роли администратора групп. Дополнительные сведения см. в построителе правил в Центре администрирования Microsoft Entra.

    Снимок экрана: конфигурация правила политики автоматического назначения пакета доступа.

  7. Нажмите кнопку "Сохранить", чтобы закрыть редактор правил для динамических групп членства.

  8. По умолчанию флажки для автоматического создания и удаления назначений должны оставаться проверенными.

  9. Если вы хотите, чтобы пользователи сохраняли доступ в течение ограниченного времени после выхода из области, можно указать длительность в часах или днях. Например, когда сотрудник покидает отдел продаж, вы можете разрешить им продолжать сохранять доступ в течение семи дней, чтобы позволить им использовать приложения продаж и передавать права владения своими ресурсами в этих приложениях другому сотруднику.

  10. Нажмите кнопку "Рядом", чтобы открыть вкладку "Пользовательские расширения".

  11. Если в каталоге есть пользовательские расширения , которые вы хотите запустить при назначении или удалении доступа, вы можете добавить их в эту политику. Затем щелкните рядом с вкладкой "Рецензирование ".

  12. Введите имя и описание политики.

    Снимок экрана: вкладка проверки политики автоматического назначения пакета доступа.

  13. Нажмите кнопку "Создать", чтобы сохранить политику.

    Примечание.

    В настоящее время управление правами доступа будет автоматически создавать динамическую группу безопасности, соответствующую каждой политике, чтобы оценить пользователей, охваченных этой политикой. Эту группу не следует изменять, кроме как через саму систему "Управление полномочиями". Эту группу также можно изменять или удалять автоматически с помощью управления правами, поэтому не используйте эту группу для других приложений или сценариев.

  14. Идентификатор Microsoft Entra оценивает пользователей в организации, которые находятся в области этого правила, и создает назначения для тех пользователей, у которых еще нет назначений для пакета доступа. Политика может содержать не более 15 000 пользователей в своем правиле. Для выполнения оценки может потребоваться несколько минут, а также некоторое время, чтобы последующие обновления атрибутов пользователя отразились в назначениях пакетов доступа.

Создание политики автоматического назначения программным способом

Существует два способа создания политики назначения пакетов доступа для автоматического назначения с помощью Microsoft Graph и командлетов PowerShell для Microsoft Graph.

Создание политики назначения пакета доступа с помощью Graph

Вы можете создать политику с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением, имеющим делегированное EntitlementManagement.ReadWrite.All разрешение, или приложение в роли каталога или с EntitlementManagement.ReadWrite.All разрешением, может вызывать API создания правила назначения. В полезные данные запроса включайте displayName, description, specificAllowedTargets, automaticRequestSettings и accessPackage свойства политики.

Создание политики назначения пакетов доступа с помощью PowerShell

Вы также можете создать политику в PowerShell с помощью командлетов из модуля Microsoft Graph PowerShell для управления удостоверениями версии 1.16.0 или более поздней.

Следующий скрипт иллюстрирует использование v1.0 профиля для создания политики автоматического назначения пакета доступа. Дополнительные примеры см. в разделе создание политики назначения и создание пакета доступа в управлении правами для приложения с одной ролью с помощью PowerShell.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
  DisplayName = "Sales department users"
  Description = "All users from sales department"
  AllowedTargetScope = "specificDirectoryUsers"
  SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
  } )
  AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
  }
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Следующие шаги