什麼是權利管理?
權利管理是一種身分識別治理 (部分機器翻譯) 功能,可讓組織透過將存取要求工作流程、存取指派、檢閱和到期自動化,以大規模管理身分識別與存取生命週期。
組織中人員需要存取各種群組、應用程式和 SharePoint Online 網站,才能執行其工作。 隨著需求變更,管理此存取變成一項挑戰。 新增應用程式,或者使用者需要更多存取權限。 當您與外部組織共同作業時,此案例會變得更複雜。 您可能不知道其他組織中有哪些人員需要存取貴組織的資源,而且他們不知道貴組織正在使用哪些應用程式、群組或網站。
權利管理可協助您更有效率地管理內部使用者對群組、應用程式和 SharePoint Online 網站的存取,此外,也能對組織外部需要存取那些資源的使用者做到這一點。
為何要使用權利管理?
管理員工存取資源時,企業組織通常會面臨挑戰,例如:
- 使用者可能不知道應該擁有哪些存取權,即使知道,也可能難以找到適當人員來核准其存取權
- 一旦使用者找到並獲得資源的存取權,其可能會不斷存取,而超過正常業務行為所需的時間
對於需要從其他組織進行存取的使用者 (例如,來自供應鏈組織或其他商業合作夥伴的外部使用者) 來說,這些問題相當複雜。 例如:
- 沒有人可能知道其他組織目錄中的所有特定個人,從而能夠邀請他們
- 即使他們能夠邀請這些使用者,該組織中沒有人可能會記得要以一致的方式管理所有使用者的存取權
權利管理可協助解決這些挑戰。 若要深入瞭解客戶如何使用權利管理,您可以閱讀 密西西比州醫療補助 部、 Storebrand 和 Avanade 案例研究。 下面這段影片會概述權利管理及其價值:
權利管理有哪些功能?
以下是權利管理的一些功能:
- 使用多階段核准來控制誰可以存取應用程式、群組、Teams 和 SharePoint 網站,並透過有時限的指派和週期性的存取權檢閱,確保使用者不會無限期地保留存取權。
- 根據部門或成本中心等使用者屬性,讓使用者自動存取這些資源,並在這些屬性變更時移除使用者的存取權。
- 向非管理員委派建立存取套件的能力。 這些存取套件包含使用者可以要求的資源,受到委派的存取套件管理員可以定義原則,其中包含哪些使用者可以提出要求、誰必須核准其存取權,以及存取權何時到期的規則。
- 選取其使用者可以要求存取權的已連線組織。 當還未在您目錄中的使用者要求存取權並獲得核准時,系統會自動邀請他們進入您的目錄並為其指派存取權。 其存取權到期時,如果未獲得任何其他存取套件指派,其在您目錄中的 B2B 帳戶就會自動遭到移除。
注意
如果您已準備好嘗試權利管理,您可以開始使用我們的 教學課程來建立您的第一個存取套件 。
您也可以閱讀 常見案例 ,或觀看影片,包括
什麼是存取套件,我可以使用存取套件來管理哪些資源?
權利管理引進存取套件 的概念 。 使用者在處理專案或執行其工作時需要各種存取權,而存取套件集結了具有這些存取權的所有資源。 存取套件可用來控管您員工的存取權,也可以用於管理來自組織外部的使用者。
以下是您可以使用權利管理來管理使用者存取權的資源類型:
- Microsoft Entra 安全性群組的成員資格
- Microsoft 365 群組和小組的成員資格
- 指派給 Microsoft Entra 企業應用程式,包括 SaaS 應用程式和支援同盟/單一登入和/或布建的自訂整合應用程式
- SharePoint Online 網站的成員資格
您也可以控制對依賴 Microsoft Entra 安全性群組或 Microsoft 365 群組之其他資源的存取權。 例如:
- 您可以在存取套件中使用 Microsoft Entra 安全性群組,以及 設定該群組的群組型授權,為 Microsoft 365 提供使用者授權 。
- 您可以在存取套件中使用 Microsoft Entra 安全性群組,並為該群組建立 Azure 角色指派,為使用者提供管理 Azure 資源的存取權 。
- 您可以使用存取套件中可指派給 Microsoft Entra 角色的群組,並將 Microsoft Entra 角色指派給該群組 ,讓使用者存取權來管理 Microsoft Entra 角色。
如何控制誰能夠獲得存取權?
使用存取套件時,系統管理員或委派的存取套件管理員會列出資源(群組、應用程式和網站),以及使用者對這些資源所需的角色。
存取套件也包含一或多個「原則」。 原則會定義要指派給存取套件的規則或護欄。 每個原則都可以用來確保只有正確的使用者能夠具有存取權指派,而且存取權會受到限制,且若未更新將會過期。
您可以有原則讓使用者要求存取。 在這類原則中,系統管理員或存取套件管理員會定義
- 既有的使用者(通常是員工或已邀請的來賓),或符合要求存取權的外部使用者的合作夥伴組織
- 核准程式和可核准或拒絕存取的使用者
- 在指派到期之前,使用者存取指派的持續時間,在核准之後
您也可以有原則可讓系統管理員根據規則 自動指派存取權, 或透過生命週期工作流程指派使用者 。
下圖顯示權利管理中不同元素的範例。 它會顯示一個目錄,其中包含兩個範例存取套件。
- 存取套件 1 包含單一群組作為資源。 存取權是透過一個原則定義,其可讓目錄中的一組使用者要求存取權。
- 存取套件 2 包含群組、應用程式和 SharePoint Online 網站作為資源。 存取權是透過兩個不同的原則定義。 第一個原則可讓目錄中的一組使用者要求存取權。 第二個原則可讓外部目錄中的使用者要求存取權。
何時應使用存取套件?
存取套件不會取代其他存取指派機制。 其最適合用於如下的情況:
- 將存取原則定義從協力廠商 企業角色管理 移轉至 Microsoft Entra ID。
- 使用者需要特定工作的時間限制存取權。 例如,您可以使用群組型授權和動態群組來確保所有員工都擁有 Exchange Online 信箱,然後在員工需要額外存取權限的情況下使用存取套件。 例如,從另一個部門讀取部門資源的權限。
- 需要人員經理或其他指定人員核准的存取權。
- 存取權,該存取權應該在組織特定部分的人員在擔任該工作角色期間自動指派給組織中的人員,但也可供組織或商務夥伴組織中其他位置的人員要求使用。
- 部門想要管理自己的資源存取原則,而不需要 IT 介入。
- 兩個以上的組織共同合作進行一項專案,因此,一個組織中的多個使用者必須透過 Microsoft Entra B2B 來進入以便存取另一個組織的資源。
如何?委派存取?
存取套件定義于稱為 目錄的容器中 。 您可以擁有所有存取套件的單一目錄,也可以指定個人來建立及擁有自己的目錄。 系統管理員可以將資源新增至任何目錄,但非系統管理員只能將資源新增至其所擁有的資原始目錄。 目錄擁有者可以將其他使用者新增為目錄共同擁有者,或新增為存取套件管理員。 這些案例會在權利管理 中的委派和角色一文 中進一步說明。
術語摘要
若要進一步瞭解權利管理及其檔,您可以回到下列詞彙清單。
| 詞彙 | 描述 |
|---|---|
| 存取套件 | 小組或專案所需且受原則控管的資源組合。 存取套件一律包含在目錄中。 在使用者必須要求存取權的情況下,您會建立新的存取套件。 |
| 存取要求 | 在存取套件中存取資源的要求。 要求通常會經過核准工作流程。 若通過核准,提出要求的使用者便會獲得存取套件指派。 |
| 指派 | 將存取套件指派給使用者可確保使用者擁有該存取套件的所有資源角色。 存取套件指派通常會有到期時間限制。 |
| catalog | 相關資源和存取套件的容器。 目錄用於委派,讓非系統管理員可以建立自己的存取套件。 目錄擁有者可以將自己擁有的資源新增至目錄。 |
| 目錄建立者 | 已獲授權而可建立新目錄的使用者集合。 當已獲授權而成為目錄建立者的非系統管理員使用者建立新的目錄時,就會自動成為該目錄的擁有者。 |
| 已連線的組織 | 與您有關聯性的外部 Microsoft Entra 目錄或網域。 已連線組織中的使用者可以在原則中指定為允許要求存取權。 |
| 原則 | 定義存取生命週期的一組規則,例如使用者如何取得存取權、誰可以核准,以及使用者可以透過指派存取多久。 原則會連結至存取套件。 例如,存取套件可以有兩個原則-一個供員工要求存取,另一個供外部使用者要求存取。 |
| resource | 資產 (例如 Office 群組、安全性群組、應用程式或 SharePoint Online 網站),其角色可授與權限給使用者。 |
| 資源目錄 | 包含一或多個要共用資源的目錄。 |
| 資源角色 | 與資源相關聯並由資源定義的權限集合。 群組有兩個角色 - 成員和擁有者。 SharePoint 網站通常有三個角色,但可能有其他自訂角色。 應用程式可以有自訂角色。 |
授權需求
使用此功能需要您組織的使用者Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可能會使用 Microsoft Entra ID P2 訂用帳戶運作,如需詳細資訊,請參閱每項功能的文章。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管授權基本概念 。
下一步
- 如果您想要使用 Microsoft Entra 系統管理中心來管理資源的存取權,請參閱 教學課程:管理資源的存取權 - Microsoft Entra 。
- 如果您想要使用 Microsoft Graph 來管理資源的存取權,請參閱 教學課程:管理資源的存取權 - Microsoft Graph
- 常見案例