作为访问包管理者,你可以通过编辑现有策略随时更改访问包中分配的生命周期设置。 如果更改了策略中分配的到期日期,处于“等待审批”或“已审批”状态的请求的到期日期不会更改。
本文介绍如何更改现有访问包分配策略的生命周期设置。
打开请求者信息
为了确保用户有权访问访问包,可以配置自定义问题来询问请求访问某些访问包的用户。 配置选项包括:本地化、必需/可选和文本/多选答案格式。 请求者在请求包时会看到问题,而审批者则会看到有助于他们做出决定的问题答案。 使用以下步骤来配置访问包中的问题:
打开生命周期设置
若要更改访问包的生命周期设置,需要打开相应的策略。 按照以下的步骤打开访问包的生命周期设置。
以至少作为标识治理管理员的身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。
浏览到 ID 治理>授权管理>访问包。
在“访问包”页上,打开要编辑的访问包。
选择 “策略 ”,然后选择具有要编辑的生命周期设置的策略。
页面底部会打开“策略详细信息”窗格。
选择“编辑”以编辑策略。
选择“ 生命周期 ”选项卡以打开生命周期设置。
指定生命周期
在“生命周期”选项卡上,指定用户的访问包分配何时过期。 还可以指定是否允许用户将其分配延期。
在 “过期 ”部分中,将 “访问包分配”过期 时间设置为 “日期”、“ 天数”、“ 小时数”或“ 永不”。
- 对于“日期”,请选择将来的过期日期。
- 对于 天数,请指定介于 0 到 3660 天的数字。
- 对于“小时数”,请指定小时数。
根据所做的选择,用户的访问包分配会在特定的日期过期、审批后经过特定天数后过期,或者永不过期。
如果希望用户请求其访问的特定开始日期和结束日期,请选择“ 是 ”, 用户可请求特定的时间线 切换。
选择“显示高级过期设置”以显示更多设置。
若要允许用户扩展他们的访问权限,请将允许用户扩展访问设置为是。
如果策略中允许延期,在将用户的访问包分配设置为过期之前的 14 天,然后过期之前的 1 天,先后向用户发送一封电子邮件。 电子邮件会提示用户延期分配。 用户在请求延期时必须仍在策略范围内。
此外,如果策略有明确的分配结束日期,且用户提交将访问权限延期的请求,则请求中的延期日期不得迟于分配过期日期。 用于向用户授予访问包访问权限的策略定义延期日期是在分配到期日当日还是到期前。 例如,如果策略指示分配设置为在 6 月 30 日过期,则用户最多可以请求延期到 6 月 30 日。
如果用户的访问延期,则用户将无法在指定的延期日期(在创建了策略的用户的时区中设置的日期)之后请求访问包。
如果要求在获批后才能延迟,则请将“要求获批才能延期”设置为“是”。
此审批将使用你在“ 请求 ”选项卡上指定的相同审批设置。
选择“下一步”或“更新”。