在權利管理中變更存取套件的要求設定
身為存取套件管理員,您可以隨時編輯存取套件指派要求的原則,或將新原則新增至存取套件,藉以變更可要求存取套件的使用者。 本文說明如何變更現有存取套件指派原則的要求設定。
在一或多個原則中選擇
指定誰可以要求存取套件的方式為使用原則。 在建立新原則或編輯存取套件的現有原則之前,您必須先決定存取套件需要多少個原則。
在建立存取套件時,您可以指定要求、核准和生命週期設定,這些設定會儲存在存取套件的第一個原則上。 大部分的存取套件只有一個原則用於使用者的存取要求,但一個存取套件可以有多個原則。 如果您想要允許不同的使用者集合獲指派不同的要求和核准設定,您可以為存取套件建立多個原則。
例如,您不能使用單一原則將內部和外部使用者指派給相同的存取套件。 但是,您可以在相同的存取套件中建立兩個原則,一個供內部使用者使用,另一個供外部使用者使用。 如果有多個原則會套用至使用者要求,則會在要求時提示他們選取想要指派的原則。 下圖顯示有兩個原則的存取套件。
除了使用者要求存取的原則之外,您也可以有自動指派的原則,以及系統管理員或目錄擁有者直接指派的原則。
我需要多少個原則?
案例 | 原則數量 |
---|---|
我希望目錄中的所有使用者都能有存取套件的相同要求和核准設定 | 一 |
我希望特定連線組織中的所有使用者都能夠要求存取套件 | 一 |
我希望在目錄中和目錄外的使用者都能要求存取套件 | 二 |
我想為某些使用者指定不同的核准設定 | 每個使用者群組各一個 |
我希望有些使用者的存取套件指派有到期期限,而其他使用者可以延長存取權 | 每個使用者群組各一個 |
我要讓某些使用者可要求存取權,其他使用者則由系統管理員指派存取權 | 二 |
我想要讓組織中的某些使用者自動接收存取權、組織中的其他使用者能夠進行要求,以及其他使用者由系統管理員指派存取權 | 三 |
如需套用多個原則時所用優先順序邏輯的資訊,請參閱多個原則。
開啟現有的存取套件,並以不同的要求設定新增原則
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
如有一組使用者應該具有不同的要求和核准設定,您可能需要建立新的原則。 請遵循下列步驟,開始將新原則新增至現有的存取套件:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在 [存取套件] 頁面上,開啟您要編輯的存取套件。
依序選取 [原則] 和 [新增原則]。
在 [基本] 索引標籤上,輸入原則的名稱和描述。
選取 [下一步] 以開啟 [要求] 索引標籤。
變更 [可要求存取的使用者] 設定。 使用下列各節中的步驟,將設定變更為下列其中一個選項:
目錄中的使用者
如果要讓目錄中的使用者要求此存取套件,請遵循下列步驟。 定義要求原則時,您可以指定個別使用者,或較常見的使用者群組。 例如,您的組織可能已經有一個群組,例如 [所有員工]。 如果為了讓使用者要求存取權而在原則中新增該群組,則該群組的所有成員皆可要求存取權。
在 [可要求存取的使用者] 區段中,選取 [您目錄中的使用者]。
選取此選項時會出現新的選項,可從目錄中進一步挑選誰可以要求此存取套件。
選取下列其中一個選項:
描述 特定使用者與群組 如果只希望您在目錄中指定的使用者和群組才能要求此存取套件,請選擇此選項。 所有成員 (不含來賓) 如果要讓目錄中的所有成員使用者都能要求此存取套件,請選擇此選項。 此選項不包括您可能已邀請加入目錄的任何來賓使用者。 所有使用者 (含來賓) 如果要讓目錄中的所有成員使用者和來賓使用者都能要求此存取套件,請選擇此選項。 來賓使用者係指經 Microsoft Entra B2B 邀請加入目錄的外部使用者。 如需成員使用者和來賓使用者之間有何差異的詳細資訊,請參閱 Microsoft Entra ID 中的預設使用者權限是什麼?。
如果您選取 [特定使用者與群組],請選取 [新增使用者與群組]。
在 [選取使用者與群組] 窗格中,選取您要新增的使用者和群組。
選取 [ 選取 ] 以新增使用者和群組。
如果您想要要求核准,請使用在權利管理中變更存取套件的核准設定中的步驟來設定核准設定。
不在目錄中的使用者
不在目錄中的使用者是指位於另一個 Microsoft Entra 目錄或網域中的使用者。 這些使用者可能尚未受邀加入您的目錄。 您必須在 [共同作業限制] 中將 Microsoft Entra 目錄設定為允許邀請。 如需詳細資訊,請參閱設定外部共同作業設定。
注意
對於尚未存在目錄中的使用者,將會建立來賓使用者帳戶,以核准或自動核准其要求。 來賓會受邀請,但不會收到邀請電子郵件。 而是在接獲存取套件指派時才會收到電子郵件。 後來,當此來賓使用者不再有任何存取套件指派時 (因為最後一個指派已過期或取消),預設將禁止此來賓使用者帳戶登入,隨後就刪除帳戶。 如果希望即使來賓使用者沒有存取套件指派,也能無限期留在目錄中,您可以在權利管理設定中變更設定。 如需來賓使用者物件的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。
如果要讓不在目錄中的使用者要求此存取套件,請遵循下列步驟:
在 [可要求存取的使用者] 區段中,選取 [不在目錄中的使用者]。
選取此選項時會出現新的選項。
選取可要求存取權的使用者是否需要與現有的已連線組織,或網際網路上的任何人建立關聯。 已連線的組織是指與您有既有關係的組織,其可能有外部 Microsoft Entra 目錄或其他識別提供者。 選取下列其中一個選項:
描述 特定已連線的組織 如果要從管理員先前新增的組織清單中選擇,請選擇此選項。 所選組織中的所有使用者都可以要求此存取套件。 所有已設定的連線組織 如果所有設定的連線組織其所有使用者都可以要求此存取套件,請選擇此選項。 只有已設定連線組織的使用者可以要求存取套件,因此,如果使用者不是來自與現有已連線組織相關聯的Microsoft Entra 租使用者、網域或身分識別提供者,他們將無法要求。 所有使用者 (所有已連線的組織 + 任何新的外部使用者) 如果網際網路上的任何使用者都得以要求此存取套件,請選擇此選項。 如果這些使用者不屬於您目錄中的連線組織,則系統會在使用者要求套件時自動為其建立連線的組織。 自動建立的已連線組織處於 建議 狀態。 如需已建議狀態的詳細資訊,請參閱連線組織的狀態屬性。 如果您選取 [特定已連線的組織],請選取 [新增目錄],從管理員先前新增的已連線組織清單中選擇。
輸入名稱或網域名稱,以搜尋先前已連線的組織。
如果清單中沒有您要合作共同的組織,您可以要求管理員將此組織新增為已連線的組織。 如需詳細資訊,請參閱新增已連線的組織。
選取所有已連線的組織之後,請選取 [ 選取]。
注意
所選已連線組織中的所有使用者都可以要求此存取套件。 對於具有 Microsoft Entra 目錄的已連線組織,除非 Azure B2B 允許或拒絕清單封鎖了所有與 Microsoft Entra 相關聯的已驗證網域,否則來自這些網域的使用者都可以要求。 如需詳細資訊,請參閱允許或封鎖對特定組織的 B2B 使用者的邀請。
接下來,使用權利管理中存取套件的變更核准設定中的步驟,來設定核准設定,以指定應核准非貴組織中使用者要求的成員。
無 (僅限系統管理員直接指派)
如果要略過存取要求,並允許管理員直接將特定使用者指派給此存取套件,請遵循下列步驟。 使用者不必要求存取套件。 您仍然可以設定生命週期設定,但沒有任何要求設定。
在 [可要求存取的使用者] 區段中,選取 [無 (僅限管理員直接指派)]。
建立存取套件之後,您可以將特定的內部和外部使用者直接指派給存取套件。 如果您指定外部使用者,系統就會在目錄中建立來賓使用者帳戶。 如需直接指派使用者的資訊,請參閱檢視、新增及移除存取套件的指派。
注意
將使用者指派給存取套件時,系統管理員必須根據現有的原則需求,驗證使用者是否符合該存取套件的資格。 否則,使用者將不會成功指派給存取套件。 如果存取套件包含需要核准使用者要求的原則,則必須獲得所指定核准者的核准,才能將使用者直接指派給套件。
開啟及編輯現有原則的要求設定
若要變更存取套件的要求和核准設定,您必須開啟具有這些設定的對應原則。 請依照下列步驟開啟及編輯存取套件指派原則的要求設定:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在 [存取套件] 頁面上,開啟您要編輯其原則要求設定的存取套件。
選取 [ 原則 ],然後選取您要編輯的原則。
[原則詳細資料] 窗格即會在頁面底部開啟。
選取 [編輯] 以編輯原則。
選取 [要求] 索引標籤,以開啟要求設定。
使用前幾節中的步驟,視需要變更要求設定。
啟用要求
如果要讓要求原則中的使用者立即取得存取套件,請將 [啟用] 切換至 [是]。
存取套件建立完畢後,未來隨時都可以啟用。
如果您選取 [無 (僅限管理員直接指派)],並將 [啟用] 設為 [否],則管理員無法直接指派此存取套件。
選取 [下一步]。
如果您會需要要求者在要求存取套件的存取權時提供其他資訊,請使用在權利管理中變更存取套件的核准和要求者資訊設定中的步驟來設定要求者資訊。
設定生命週期設定。
如果您要編輯原則,請選取 [更新]。 如果您要新增原則,請選取 [ 建立]。
以程式設計方式建立存取套件指派原則
有兩種方式能以程式設計方式建立存取套件的指派原則,透過 Microsoft Graph 和透過 PowerShell cmdlets for Microsoft Graph。
透過 Graph 建立存取套件的指派原則
您可以使用 Microsoft Graph 來建立原則。 如果使用者具有適當的角色,能夠使用已委派 EntitlementManagement.ReadWrite.All
權限的應用程式,或是目錄角色中或具有 EntitlementManagement.ReadWrite.All
權限的應用程式,則可呼叫建立 assignmentPolicy API。
透過 PowerShell 建立存取套件的指派原則
您可以在 PowerShell 中,使用來自適用於 Identity Governance 的 Microsoft Graph PowerShell Cmdlet 模組版本 2.1.x 或更新版本的 Cmdlet 來新增存取套件。
下列腳本說明如何建立原則以直接指派存取套件。 在此原則中,只有系統管理員可以指派存取權,而且不會進行核准或檢閱存取權。 如需如何建立自動指派原則的範例,請參閱建立自動指派原則,並建立 assignmentPolicy 以取得更多範例。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
防止具有不相容存取權的使用者提出要求
除了原則檢查誰可以要求之外,您可能想要進一步限制存取,以避免已經透過群組或其他存取套件存取權的使用者取得過多存取權。
如果您想要設定使用者無法要求存取套件,如果他們已經有另一個存取套件的指派,或是群組的成員,請使用設定職責區隔檢查存取套件的步驟。