限制对一组用户的访问

默认情况下，组织中的租户和服务可供身份验证成功的所有目录用户和组使用。

组织管理员可以配置组织访问控制策略，向目录中的所有用户授予访问权限，或仅向允许的指定成员授予访问权限。对于任何访问尝试，系统都会检查它们是否在允许的实体列表中。如果它们不在列表中，系统将拒绝访问并引发错误。

启用组织访问策略后，该策略最多可能需要一小时才生效。一旦生效，系统将拒绝受该策略限制的用户访问所有面向用户的服务，以及可使用用户令牌访问的服务。

配置组织访问策略

要更改访问策略，请执行以下步骤：

以组织管理员身份登录。
导航到“管理”页面，确保在左窗格顶部选择了组织，然后单击“安全性”。
在“访问限制”选项卡上，选择组织的访问策略。
- “所有人”（默认选项）：此选项允许目录中的所有用户和组登录并访问租户和服务。如果您希望允许目录中的所有用户访问组织而不实施任何其他限制，则建议选择此选项。
- “仅限允许的成员”：此选项仅向特定的用户和组授予访问权限。只有允许列表中的用户和组才能登录并访问组织，系统将拒绝所有其他用户访问。
如果选择了“仅限允许的成员”策略，则还需要定义允许的成员列表。

注意：策略最多可能需要一小时才生效。一旦生效，系统将拒绝受该策略限制的用户访问所有面向用户的服务，以及可使用用户令牌访问的服务。

只有在已启用“仅限允许的成员”策略时，才会考虑列入允许列表的用户和组。

要配置允许访问组织的成员列表，请执行以下步骤：

以组织管理员身份登录。
导航到“管理”页面，确保在左窗格顶部选择了组织，然后单击“安全性”。
在“访问限制”选项卡上，选择“仅限允许的成员”。此策略仅向允许的实体授予对平台的访问权限。如果未启用此策略，允许列表将不会影响访问控制限制。
在“允许的成员列表”表格中，单击“添加成员”。系统将显示“添加允许的成员”窗口。
在“添加名称”字段中，输入允许访问组织的实体的名称或电子邮件地址。
完成后，单击“添加”。配置访问控制策略后，只有允许列表中的用户和组才能访问平台。系统将拒绝任何其他尝试登录的用户访问。

注意：策略最多可能需要一小时才生效。一旦生效，系统将拒绝受该策略限制的用户访问所有面向用户的服务，以及可使用用户令牌访问的服务。

只有在已启用“仅限允许的成员”策略时，才会考虑列入允许列表的用户和组。

要从允许列表中删除成员，请执行以下步骤：

以组织管理员身份登录。
导航到“管理”页面，确保在左窗格顶部选择了组织，然后单击“安全性”。
在“访问限制”选项卡上，选择“仅限允许的成员”。此策略仅向允许的实体授予对平台的访问权限。如果未启用此策略，允许列表将不会影响访问控制限制。
在“允许的成员列表”表格中，找到要删除的成员，然后单击相应的“删除成员”图标。

备注：
无法删除管理员组。
要删除多个成员，请选中相应的复选框，然后单击表格顶部的“删除”。策略生效后，系统将拒绝已删除的成员访问组织。

注意：策略最多可能需要一小时才生效。一旦生效，系统将拒绝受该策略限制的用户访问所有面向用户的服务，以及可使用用户令牌访问的服务。