在权利管理中将访问权限管理委派给的目录创建者
目录是资源和访问包的容器。 需要将相关的资源和访问包分组时,可以创建目录。 默认情况下,全局管理员或标识治理管理员可以创建目录,还可将其他用户添加为目录所有者。
注意
在最低特权访问后,建议在权利管理中尽可能使用标识治理管理员角色。
组织可以通过三种方式委托目录:
- 在开始试点项目时,标识治理管理员可以创建和管理目录。 稍后,从试点迁移到生产环境时,他们可以通过将非管理员分配为目录所有者来委托该目录,这样,这些用户就可以继续维护策略。
- 如果某些资源没有所有者,则管理员可以创建目录,将这些资源添加到每个目录,然后将非管理员分配为目录所有者。 这样,非管理员和不是资源所有者的用户就可以管理自己对这些资源的访问策略。
- 如果资源已有所有者,则管理员可以为用户集合(如
All Employees
动态组)分配目录创建者角色,这样,属于该组和拥有资源的用户就可以为自己的资源创建目录。
本文演示如何委托不是管理员的用户,以便他们可以创建自己的目录。 可以将这些用户添加到 Microsoft Entra 权利管理定义的目录创建者角色。 可以添加单独用户,也可以添加一个组,使其成员可以创建目录。 创建目录后,可以将其拥有的资源添加到其目录中。 他们可以创建访问包和策略,包括引用现有连接组织的策略。
如果有要委托的现有目录,请继续阅读创建和管理资源目录一文。
以 IT 管理员身份委派给目录创建者
提示
本文中的步骤可能因开始使用的门户而略有不同。
遵循以下步骤将用户分配到目录创建者角色。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“设置”。
选择“编辑” 。
在“委托权利管理”部分,选择“添加目录创建者”,以选择要向其委托此权利管理角色的用户或组。
选择“选择” 。
选择“保存”。
允许委派角色访问 Microsoft Entra 管理中心
若要允许委托的角色(如目录创建者和访问包管理员)访问 Microsoft Entra 管理中心来管理访问包,应检查管理门户设置。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“用户设置”。
确保将“限制访问 Microsoft Entra 管理门户”设置为“否”。
以编程方式管理角色分配
还可使用 Microsoft Graph 查看和更新目录创建者以及权利管理目录特定的角色分配。 对于具有委托的 EntitlementManagement.ReadWrite.All
权限的应用程序,如果用户在其中具有相应的角色,则可调用图形 API 来列出权利管理的角色定义和这些角色定义的角色分配。
若要检索分配给目录创建者角色(具有定义 ID ba92d953-d8e0-4e39-a797-0cbedb0a89e8
的角色)的用户和组列表,请使用图形查询:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal