Поделиться через

Настройка параметров проверенного идентификатора для пакета доступа в управлении правами

  • Статья

При настройке политики пакета доступа администраторы могут указать, будут ли это пользователи в каталоге, подключенных организациях или любом внешнем пользователе. Управление правами определяет, находится ли пользователь, запрашивающий пакет доступа, в пределах области политики.

Иногда может потребоваться, чтобы пользователи могли представить дополнительные доказательства идентификации во время запроса, например сертификацию обучения, авторизацию на работу или статус гражданства. В качестве менеджера пакетов доступа вы можете требовать, чтобы запрашивающие представляли проверенное удостоверение личности с этими учетными данными от надежного издателя. Утверждающие могут быстро убедиться, были ли проверены удостоверяемые данные пользователя на момент, когда пользователь представил свои учетные данные и отправил запрос на пакет доступа.

В качестве диспетчера пакетов доступа можно включить проверенные требования к идентификатору пакета доступа в любое время, изменив существующую политику или добавив новую политику для запроса доступа.

В этой статье описывается настройка параметров требования проверенного идентификатора для пакета доступа.

Предварительные требования

Перед началом работы необходимо настроить арендатора для использования службы Microsoft Entra Verified ID. Подробные инструкции о том, как это сделать, можно найти здесь: Настройка арендатора для Microsoft Entra Проверенные учетные данные.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования управления идентификацией Microsoft Entra.

Создание пакета доступа с проверенными требованиями к идентификатору

Чтобы добавить проверенное требование идентификатора в пакет доступа, необходимо начать с вкладки запросов пакета доступа. Выполните следующие действия, чтобы добавить проверенное требование идентификатора в новый пакет доступа.

Требуемая роль: глобальный администратор

Примечание.

Администратор управления удостоверениями, администратор пользователей, владелец каталога или диспетчер пакетов Access сможет добавить проверенные требования к идентификатору для доступа к пакетам в ближайшее время.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Перейдите в раздел Управление удостоверениями>Управление правами>Пакет доступа.

  3. На странице пакетов Access выберите +Создать пакет доступа.

  4. На вкладке "Запросы" прокрутите страницу "Обязательные проверенные идентификаторы".

  5. Выберите + Add issuer и выберите издателя из сети Проверенные учетные данные Microsoft Entra. Если вы хотите выдавать собственные учетные данные пользователям, см. как выпустить проверенные удостоверения Microsoft Entra из приложения. Выберите издателя для удостоверений Microsoft Entra Verified ID.

  6. Выберите тип учетных данных, которые нужно представить пользователям во время запроса. Снимок экрана типов учетных данных для Проверенного идентификатора Microsoft Entra.

    Примечание.

    При выборе нескольких типов учетных данных из одного издателя пользователям потребуется предоставить учетные данные всех выбранных типов. Аналогичным образом, если вы включаете несколько издателей, пользователям потребуется предоставить учетные данные от каждого издателя, который вы включаете в политику. Чтобы предоставить пользователям возможность представления различных учетных данных от разных издателей, настройте отдельные политики для каждого типа издателя или типа учетных данных, которые вы примете.

  7. Нажмите кнопку "Добавить", чтобы добавить требование проверенного идентификатора в политику пакета доступа.

  8. Завершив настройку остальных параметров, вы можете просмотреть выбранные параметры на вкладке "Просмотр и создание ". Все проверенные требования к идентификаторам для этой политики пакета доступа можно просмотреть в разделе проверенных идентификаторов . Снимок экрана: список проверенных идентификаторов.

Запрос пакета доступа с проверенными требованиями к идентификатору

После настройки пакета доступа с проверенным требованием идентификатора конечные пользователи, находящиеся в области политики, могут запрашивать доступ с помощью портала "Мой доступ". Аналогичным образом лица, утверждающие запросы, могут видеть заявления виртуальных сообществ, представленные запрашивающими при проверке запросов на утверждение.

Ниже приведены шаги инициатора запроса.

  1. Перейдите по адресу myaccess.microsoft.com и выполните вход.

  2. Найдите пакет доступа, к которому вы хотите запросить доступ (вы можете просмотреть перечисленные пакеты или использовать панель поиска в верхней части страницы) и выберите "Запрос".

  3. Если пакет доступа требует представления проверенного идентификатора, вы увидите серый баннер информации, как показано ниже: Снимок экрана: проверенный идентификатор для параметра пакета доступа.

  4. Выберите "Запросить доступ". Теперь вы увидите QR-код. Используйте свой телефон для сканирования QR-кода. При этом запускается Microsoft Authenticator, где вам будет предложено предоставить общий доступ к учетным данным. Снимок экрана: использование QR-кода для проверенных идентификаторов.

  5. После ввода ваших учетных данных Моё Доступ автоматически переведёт вас на следующий этап процесса запроса.

Следующие шаги

Делегирование управления политиками доступа менеджерам пакетов доступа