共用方式為


在權利管理中變更存取套件的核准和要求者資訊設定

每個存取套件都必須有一或多個存取套件指派原則,使用者才能獲指派存取權。 在 Microsoft Entra 系統管理中心建立存取套件時,Microsoft Entra 系統管理中心會自動建立該存取套件的第一個存取套件指派原則。 此原則會決定誰可以要求存取權,以及誰 (如有) 必須核准存取權。

身為存取套件管理員,您可以編輯現有原則或新增額外的要求存取原則,隨時變更存取套件的核准和要求者資訊設定。

本文描述如何透過存取套件的原則,變更現有存取套件的核准和要求者資訊設定。

Approval

在 [核准] 區段中,您指定使用者要求此存取套件時是否需要核准。 核准設定的運作方式如下:

  • 只有其中一個選取的核准者或後援核准者需要核准單一階段核准的要求。
  • 每個階段中只有其中一個選取的核准者必須核准多階段核准的要求,要求才能進行下一個階段。
  • 如果階段中其中一個選取的核准者拒絕要求,但之前該階段中另一個核准者核准該要求,或如果沒有核准者核准,則要求會終止,而且使用者不會收到存取權。
  • 核准者可以是指定的使用者或群組的成員、要求者的管理員、內部贊助者或外部贊助者,視原則管理誰的存取權而定。

如需如何將核准者新增至要求原則的示範,請觀看下列影片:

如需如何將多階段核准新增至要求原則的示範,請觀看下列影片:

注意

核准者無法核准自己的存取套件要求。

變更現有存取套件指派原則的核准設定

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

請遵循下列步驟,指定有關根據原則要求存取套件的核准設定:

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

    提示

    可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件指派管理員。

  2. 瀏覽至 [身分識別治理]>[權利管理]>[存取套件]

  3. 在 [存取套件] 頁面上,開啟存取套件。

  4. 選取要編輯的原則,或新增原則至存取套件

    1. 如果您想要建立新的原則,請選取 [原則],然後按一下 [新增原則]
    2. 選取您要編輯的原則,然後選取 [編輯]
  5. 移至 [要求] 索引標籤。

  6. 若要要求核准來自所選使用者的要求,請將 [需要核准] 切換設定為 [是]。 或者,若要自動核准要求,請切換至 [否]。 如果原則允許來自組織外部的外部使用者要求存取,您應該要求核准,以監督要新增至組織目錄的人員。

  7. 如需使用者說明要求存取套件的理由,請將 [需要要求者理由] 切換至 [是]

  8. 現在,判斷要求需要單一階段核准還是多階段核准。 將 [多少階段] 設定為所需的核准階段數目。

    存取套件 - 要求 - 核准設定

在選取您需要的階段數目之後,請使用下列步驟來新增核准者:

單階段核准

  1. 新增第一個核准者

    如果原則設定為對目錄中的使用者控管存取,您可以選取 [管理員為核准者]。 或者,在從下拉式功能表中選取 [選擇特定核准者] 之後,選取 [新增核准者] 來新增特定的使用者。

    存取套件 - 要求 - 針對目錄中的使用者 - 第一位核准者

    如果此原則設定為對不在目錄中的使用者控管存取,您可以選取 [外部贊助者] 或 [內部贊助者]。 或者,在 [選擇特定核准者] 下,按一下 [新增核准者] 或群組,以新增特定的使用者。

    存取套件 - 要求 - 針對目錄之外的使用者 - 第一位核准者

  2. 如果您選取 [管理員] 作為第一個核准者,請選取 [新增後援],在目錄中選取一或多個使用者或群組作為後援核准者。 對於要求存取的使用者,如果權利管理找不到主管,則後援核准者會收到要求。

    權利管理利用 Manager 屬性來尋找主管。 此屬性位於 Microsoft Entra ID 中的使用者設定檔中。 如需詳細資訊,請參閱使用 Microsoft Entra ID 新增或更新使用者的設定檔資訊

  3. 如果您選取 [選擇特定核准者],請選取 [新增核准者],在目錄中選擇一或多個使用者或群組作為核准者。

  4. 在 [必須在多少天內做出決策?] 下的方塊中,指定核准者必須在幾天內審核對此存取套件的要求。

    如果未在這段時間內核准要求,系統便會自動拒絕該要求。 使用者必須再次提出要求存取套件。

  5. 如果需要核准者說明其決策的理由,請將 [需要核准者理由] 設定為 [是]

    其他核准者和要求者可以看到理由。

多階段核准

如果選取了多階段核准,您必須為每個額外的階段新增核准者。

  1. 新增第二個核准者

    如果使用者在目錄中,請在 [選擇特定核准者] 下選取 [新增核准者],將特定使用者新增為第二個核准者。

    存取套件 - 要求 - 針對目錄中的使用者 - 第二位核准者

    如果使用者不在目錄中,請選取 [內部贊助者] 或 [外部贊助者] 作為第二個核准者。 在選取核准者之後,請新增後援核准者。

    存取套件 - 要求 - 針對目錄之外的使用者 - 第二位核准者

  2. 在 [必須在多少天內做出決策?] 下的方塊中,指定第二個核准者必須在幾天內核准要求。

  3. 將 [需要核准者理由] 切換至 [是] 或 [否]

    您也可以為三階段的核准流程新增額外的階段。 例如,您可能想要員工的經理成為存取套件的第一個階段核准者。 但是,存取套件中的其中一個資源包含機密資訊。 在此情況下,您可以將資源擁有者指定為第二個核准者,並將安全性檢閱者指定為第三個核准者。 這讓安全性小組能夠監督程序,以及能夠根據資源擁有者不知道的風險準則拒絕要求。

  4. 新增第三個核准者

    如果使用者在您的目錄中,請按一下 [選擇特定核准者] 下的 [新增核准者],將特定使用者新增為第三個核准者。

    如果使用者不在您的目錄中,您也可以請選取 [內部贊助者] 或 [外部贊助者] 作為第三個核准者。 在選取核准者之後,請新增後援核准者。

    注意

      就像第二個階段一樣,如果使用者在您的目錄中,並在第一個或第二個核准階段中選取了 [管理員身分為核准者],您將只會看到一個選項,為第三個核准階段選取特定核准者。
      如果想要將管理員指定為第三個核准者,您可以在先前的核准階段中調整您的選擇,以確保未選取 [管理員身分為核准者]。 然後,您應該會在下拉式清單中看到 [管理員身分為核准者] 選項。
      如果使用者不在您的目錄中,而且您未選取 [內部贊助者] 或 [外部贊助者] 作為先前階段中的核准者,您將會看到它們作為 [第三個核准者] 的選項。 否則,您只能夠選取 [選擇特定核准者]。
  5. 在 [必須在多少天內做出決策?] 下的方塊中,指定第三個核准者必須在幾天內核准要求。

  6. 將 [需要核准者理由] 切換至 [是] 或 [否]

替代核准者

您可以指定替代核准者,類似於指定可在每個階段核准要求的主要核准者。 指定替代核准者有助於確保要求到期 (逾時) 之前核准或拒絕要求。 您可以在每個階段的主要核准者旁邊列出替代核准者。

藉由指定階段的替代核准者,若主要核准者無法核准或拒絕要求,就會根據您在原則設定期間所指定的轉送排程,將擱置的要求轉送給替代核准者。 他們會收到電子郵件來核准或拒絕擱置的要求。

將要求轉送給替代核准者之後,主要核准者仍可以核准或拒絕要求。 替代核准者會使用相同的「我的存取權」網站來核准或拒絕擱置中的要求。

您可以列出要成為核准者和替代核准者的人員或人員群組。 請務必編列不同人群來擔任第一個、第二個和替代核准者。 例如,如果您將 Alice 和 Bob 列為第一個階段核准者,請將 Carol 和 Dave 列為替代核准者。 使用下列步驟將替代核准者新增至存取套件:

  1. 在階段的核准者下,選取 [顯示進階要求設定]

    存取套件 - 原則 - 顯示進階要求設定

  2. 將 [如果未採取任何動作,要轉送給其他核准者嗎?] 切換至 [是]

  3. 選取 [新增替代核准者],然後從清單中選取替代核准者。

    存取套件 - 原則 - 新增替代核准者

    如果選取 [由管理員擔任核准者] 作為第一個核准者,您將會有額外選項 (即 [由第二層管理員擔任替代核准者]),可供在替代核准者欄位中選擇。 如果您選取此選項,則必須新增後援核准者來轉送要求,以防系統找不到二級主管。

  4. 在 [在幾天後轉送給替代核准者?] 方塊中,輸入核准者必須在幾天內核准或拒絕要求。 在要求存在期間內,如果沒有核准者核准或拒絕要求,則要求會到期 (逾時),使用者必須再次提出要求存取套件。

    只能在要求起始後的一天將要求轉送給替代核准者。 若要使用替代核准,要求逾時至少須為 4 天。

啟用要求

  1. 如果要讓要求原則中的使用者立即取得存取套件,請將 [啟用] 切換至 [是]

    存取套件建立完畢後,未來隨時都可以啟用。

    如果您選取 [無 (僅限管理員直接指派)],並將 [啟用] 設為 [否],則管理員無法直接指派此存取套件。

    存取套件 - 原則 - 啟用原則設定

  2. 啟用新的要求時,您可以指定是否要允許管理員代表其員工要求 (預覽版)管理員核准要求選項的螢幕擷取畫面。

  3. 選取 [下一步]

收集其他要求者資訊以進行核准

為了確保使用者能夠存取正確的存取套件,您可以讓要求者在提出要求時,必須回答自訂文字欄位或複選問題。 然後會向核准者顯示問題,以協助他們做出決策。

  1. 移至 [要求者資訊] 索引標籤,然後選取 [問題] 子索引標籤。

  2. 在 [問題] 方塊中,輸入您要詢問要求者的問題,也稱為顯示字串。

    存取套件 - 原則- 啟用要求者資訊設定

  3. 如果需要存取存取套件的使用者社群並非全都有常用的慣用語言,則您可以改善使用者在 myaccess.microsoft.com 上要求存取的體驗。 若要改善體驗,您可以提供不同語言的替代顯示字串。 例如,如果使用者的網頁瀏覽器設定為西班牙文,而且您已設定西班牙文顯示字串,則這些字串會顯示給提出要求的使用者。 若要設定當地語系化的要求,請選取 [新增當地語系化]

    1. 在 [新增問題的當地語系化] 窗格中,選取 [語言代碼] 代表要用於問題當地語系化的語言。
    2. 在 [當地語系化文字] 方塊中,以您設定的語言輸入問題。
    3. 新增所有必要的當地語系化之後,選取 [儲存]

    存取套件 - 原則- 設定當地語系化文字

  4. 選取要讓要求者回答的 [回答格式]。 回答格式包括:短篇文字複選長篇文字

    存取套件 - 原則- 選取 [編輯] 並將複選答案格式當地語系化

  5. 如果選取複選,請選取 [編輯和當地語系化] 按鈕來設定答案選項。

    1. 選取 [編輯和當地語系化] 之後,[檢視/編輯問題] 窗格隨即開啟。
    2. 當您在 [答案值] 方塊中回答問題時,請輸入您想要提供給要求者的回應選項。
    3. 輸入您所需的回應數目。
    4. 針對複選選項新增您自己的當地語系化,建議您為想要當地語系化特定選項的語言,選取 [選擇性語言代碼]
    5. 在您設定的語言中,於 [已當地語系化的文字] 方塊中輸入選項。
    6. 當您新增每個複選選項所需的所有當地語系化後,請選取 [儲存]

    存取套件 - 原則- 輸入複選選項

  6. 如果您想要包含文字問題回答的語法檢查,您也可以指定自訂的 RegEx 模式。
    新增 regex 當地語系化原則的螢幕擷取畫面。如果您想要包含文字問題回答的語法檢查,您也可以指定自訂的 regex 模式。

  7. 如果要求者在要求存取套件時必須回答此問題,請選取 [必要] 下的核取方塊。

  8. 根據您的需求,填寫其餘索引標籤 (例如 [生命週期])。

在您的存取套件原則中設定了要求者資訊之後,可以檢視要求者對問題的回應。 如需有關查看要求者資訊的指引,請參閱檢視要求者的問題答案

下一步