在權利管理中為存取套件設定職責區分檢查
在權利管理中,您可以設定多項原則,為每個需要透過存取套件存取的使用者社群進行不同的設定。 例如,員工可能只需要經理核准就能存取特定應用程式,但來自其他組織的來賓則可能同時需要贊助者和資源團隊部門經理的核准。 針對已在目錄中的使用者,您可以在原則中指定可要求存取權的特定使用者群組。 不過,您可能需要避免使用者取得過多的存取權。 為了符合此需求,您需要根據要求者已有的存取權,進一步限制可要求存取權的人員。
透過存取套件上的職責區分設定,您可以設定屬於某個群組成員或已有一項存取套件指派的使用者,將無法要求其他的存取套件。
職責區分檢查案例
例如,您有一個存取套件「行銷活動」,您組織及其他組織中的人員可能會要求存取權,以便能夠在行銷活動進行時與您組織的行銷部門合作。 由於行銷部門的員工應該已有該行銷活動資料的存取權,因此您不希望行銷部門的員工要求存取該存取套件。 或者,您可能已有一個組動態成員資格群組, 行銷部門員工,其中包含所有行銷員工。 您可以指定存取套件與該組動態成員資格群組不相容。 然後,如果行銷部門員工想要尋找要求的存取套件,他們將無法要求「行銷活動」存取套件的存取權。
同樣地,您可能有一個具有兩個應用程式角色 (西部銷售和東部銷售) 的應用程式,代表銷售領域,並想確保使用者一次只能有一個銷售領域。 如果您有兩個存取套件,一個存取套件西部領域提供西部銷售角色,另一個存取套件東部領域提供東部銷售角色,則您可以設定:
- 西部領域存取套件與東部領域套件不相容,而且
- 東部領域存取套件與西部領域套件不相容。
如果您已使用 Microsoft Identity Manager 或其他內部部署身分識別管理系統來自動存取內部部署應用程式,則您也可以將這些系統與權利管理整合。 如果您將透過權利管理來控制對 Microsoft Entra 整合式應用程式的存取,並想防止使用者有不相容的存取權,您可以設定存取套件與群組不相容。 這可能是您的內部部署身分識別管理系統透過 Microsoft Entra Connect 傳送至 Microsoft Entra ID 的群組。 這項檢查可確保在存取套件提供的存取權與使用者在內部部署應用程式中具有的存取權不相容的情況下,使用者無法要求存取套件。
必要條件
若要使用權利管理並將使用者指派給存取套件,您必須具備下列其中一個授權:
- Microsoft Entra ID P2 或 Microsoft Entra ID Governance
- Enterprise Mobility + Security (EMS) E5 授權
將其他存取套件或群組成員資格設定為不相容,無法要求存取某個存取套件
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
請遵循下列步驟,變更與現有存取套件不相容的群組或其他存取套件清單:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在 存取套件 頁面上,開啟使用者將要求的存取套件。
在左側功能表中,選取 [職責區分]。
[不相容存取套件] 索引標籤上的清單為其他存取套件的清單。 如果使用者已經有該清單上存取套件的指派,則不允許他們要求此存取套件。
如果您想要防止已有其他存取套件指派的使用者要求此存取套件,請選取 [新增存取套件],然後選取已指派給使用者的存取套件。 接著,該存取套件會新增至 [不相容存取套件] 索引標籤上的存取套件清單。
如果您想要防止具備現有群組成員資格的使用者要求此存取套件,請選取 [新增群組],然後選取使用者已在其中的群組。 接著,該群組會新增至 [不相容的群組] 索引標籤上的群組清單。
如果您想要指派給此存取套件的使用者無法要求該存取套件 (因為每個不相容的存取套件關聯性都是單向的),請變更為該存取套件,並將此存取套件新增為不相容。 例如,您想要讓具有 西部領域 存取套件的使用者無法要求 東部領域 存取套件,而具有 東部領域 存取套件的使用者則無法要求 西部領域 存取套件。 如果您先在 [西部領域] 存取套件上將 [東部領域] 存取套件新增為不相容,則接下來請變更為 [東部領域] 存取套件,並將 [西部領域] 存取套件新增為不相容。
透過 Graph 以程式設計方式設定不相容的存取套件
您可以使用 Microsoft Graph,設定與存取套件不相容的群組和其他存取套件。 如果使用者具有適當的角色,能夠使用已委派 EntitlementManagement.ReadWrite.All
權限的應用程式,或具有 EntitlementManagement.ReadWrite.All
應用程式權限的應用程式,則可以呼叫 API 來新增、移除及列出與存取套件不相容的群組和其他存取套件清單。
透過 Microsoft PowerShell 設定不相容的存取套件
您也可以使用適用於身分識別治理的 Microsoft Graph PowerShell Cmdlet (英文) (模組 1.16.0 版或更新版本) 中的 Cmdlet,設定與 PowerShell 中存取套件不相容的群組和其他存取套件。
下列指令碼說明使用 Graph 的 v1.0
設定檔來建立關聯性,以指出其他存取套件不相容。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params
檢視設定為與此存取套件不相容的其他存取套件
依照下列步驟,檢視已指出與現有存取套件不相容的其他存取套件清單:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在存取套件頁面上,開啟存取套件。
在左側功能表中,選取 [職責區分]。
選取 [與下列項目不相容:]。
識別已有其他存取套件不相容存取權的使用者 (預覽版)
在已指派使用者的存取套件上,如果您已進行不相容存取權設定,則可以下載具有該額外存取權的使用者清單。 同時擁有不相容存取套件指派的使用者將無法重新要求存取權。
請遵循下列步驟,檢視指派給兩個存取套件的使用者清單。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在存取套件頁面上,開啟您已設定其他存取套件為不相容的存取套件。
在左側功能表中,選取 [職責區分]。
資料表中,如果第二個存取套件的其他存取欄位中有非零值,則表示有一或多個具有指派的使用者。
選取該計數以檢視不相容的指派清單。
建議您可以選取 [下載] 按鈕,將該指派清單儲存為 CSV 檔案。
識別已有其他存取套件不相容存取權的使用者
如果您要在已指派使用者的存取套件上設定不相容的存取設定,則任何同時指派給不相容存取套件或群組的使用者都將無法重新要求存取權。
請遵循下列步驟,檢視指派給兩個存取套件的使用者清單。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
開啟您將設定不相容指派的存取套件。
在左側功能表中,選取 [指派]。
在 [狀態] 欄位中,確定已選取 [已傳遞] 狀態。
選取 [下載] 按鈕,並將產生的 CSV 檔案儲存為第一個內含指派清單的檔案。
在導覽列中,選取 [Identity Governance]。
在左側功能表中,選取 [存取套件],然後開啟您想要指定為不相容的存取套件。
在左側功能表中,選取 [指派]。
在 [狀態] 欄位中,確定已選取 [已傳遞] 狀態。
選取 [下載] 按鈕,並將產生的 CSV 檔案儲存為第二個內含指派清單的檔案。
使用試算表程式 (例如 Excel) 來開啟這兩個檔案。
列於這兩個檔案中的使用者已存在不相容的指派。
以程式設計方式識別已有不相容存取權的使用者
您可以使用 Microsoft Graph 擷取存取套件的指派,範圍僅限於同時具有另一存取套件指派的使用者。 如果使用者具備管理角色,能夠使用已委派 EntitlementManagement.Read.All
或 EntitlementManagement.ReadWrite.All
權限的應用程式,即可呼叫 API 來列出其他存取權。
使用 PowerShell 識別已有不相容存取權的使用者
您也可以使用適用於 Identity Governance 模組 2.1.0 版或更新版本的 Microsoft Graph PowerShell Cmdlet (英文) 中的 Get-MgEntitlementManagementAssignment
Cmdlet,查詢指派給存取套件的使用者。
例如,如果您有兩個存取套件,一個具有識別碼 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
,另一個具有識別碼 11bb11bb-cc22-dd33-ee44-55ff55ff55ff
,則您可以擷取指派給第一個存取套件的使用者,然後將其與指派給第二個存取套件的使用者進行比較。 您也可以使用類似如下的 PowerShell 指令碼,回報同時指派給這兩者的使用者:
$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }
為覆寫案例設定多個存取套件
如果存取套件已設定為不相容,則具有該不相容存取套件指派的使用者將無法要求存取套件,管理員也無法進行新的不相容指派。
例如,如果生產環境存取套件已將開發環境套件標示為不相容,而且使用者具有開發環境存取套件的指派,則生產環境的存取套件管理員將無法為該使用者建立生產環境的指派。 為了繼續進行該指派,必須先移除使用者現有的開發環境存取套件指派。
如果發生可能需要覆寫職責區分規則的例外狀況,則設定其他存取套件來擷取具有重疊存取權限的使用者,將有助於核准者、審核者和稽核者清楚了解這些指派的例外性質。
例如,如果發生某些使用者需要同時存取生產和部署環境的狀況,您可以建立新的存取套件:生產和開發環境。 該存取套件可以將其資源角色設定為一些資源角色屬於生產環境存取套件,另一些資源角色屬於開發環境存取套件。
如果存取權不相容的原因是一個資源的角色特別有問題,則可能是合併的存取套件中省略了該資源,而需要對該資源的角色進行使用者的明確管理員指派。 如果這是協力廠商應用程式或您自己的應用程式,則您可以透過使用下一節中所述的「應用程式角色指派活動」活頁簿來監視這些角色指派,以確保監督。
根據您的治理程序,該合併的存取套件可以將其原則設定為:
- 直接指派原則,只讓存取套件管理員與存取套件互動;或者
- 使用者可以要求存取原則,讓使用者可以提出要求,並可能有額外的核准階段
此原則可以將其生命週期設定的到期天數,設定的比其他存取套件上的原則還要短,或要求更頻繁的存取權檢閱,並定期監督,以確保使用者不會保留存取權超過所需的時間。
監視和回報存取權指派
您可以使用 Azure 監視器活頁簿,深入了解使用者如何接收其存取權。
設定 Microsoft Entra ID 將稽核事件傳送至 Azure 監視器。
名為「存取套件活動」的活頁簿會顯示與特定存取套件相關的每個事件。
若要查看因為存取套件指派而未建立之應用程式的應用程式角色指派是否已有變更,則您可以選取名為「應用程式角色指派活動」的活頁簿。 如果您選擇省略權利活動,則只會顯示不是由權利管理進行的應用程式角色變更。 例如,如果全域管理員已直接將使用者指派給一個應用程式角色,您就會看到一個資料列。