對權利管理進行疑難排解

發行項
10/30/2024

本文描述您應該檢查的一些項目，以協助您對權利管理進行疑難排解。

系統管理

如果您是全域系統管理員，且在設定權利管理時收到拒絕存取的訊息，請確定您的目錄具有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 (或 EMS E5) 授權 (部分機器翻譯)。如果您最近已續約過期的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管訂閱，則可能需要 8 小時才會看到此授權續約。
如果您租用戶的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權過期，則您無法處理新的存取要求或執行存取權檢閱。
如果您是目錄建立者群組中的成員，且在建立或檢視存取套件時收到拒絕存取的訊息，則必須先建立目錄 (部分機器翻譯)，再建立第一個存取套件。

資源

應用程式的角色是由應用程式本身定義，並在 Microsoft Entra ID 中加以管理。如果應用程式沒有任何資源角色，權利管理會將使用者指派給預設存取角色。

Microsoft Entra 系統管理中心也可能會針對無法選為應用程式的服務顯示其服務主體。具體來說，Exchange Online 和 SharePoint Online 是服務，而不是在目錄中具有資源角色的應用程式，因此不能包含在存取套件中。相反地，請使用群組型授權，為需要存取這些服務的使用者建立適當的授權。
如果應用程式僅支援個人 Microsoft 帳戶使用者進行驗證，而且不支援您目錄中的組織帳戶，則該應用程式沒有應用程式角色，也無法新增至存取套件目錄。
若要讓群組成為存取套件中的資源，該群組必須能夠在 Microsoft Entra ID 中進行修改。由於無法在 Microsoft Entra ID 中變更群組擁有者或成員屬性，因此源自內部部署 Active Directory 的群組無法指派為資源。源自 Exchange Online 的群組亦是如此，這是因為您也無法在 Microsoft Entra ID 中修改通訊群組。
SharePoint Online 文件庫和個別文件無法新增為資源。相反地，請建立 Microsoft Entra 安全性群組 (部分機器翻譯)，並在存取套件中納入該群組和網站角色，然後在 SharePoint Online 中使用該群組來控制文件庫或文件的存取權。
如果已將使用者指派給您想透過存取套件管理的資源，請確定已將使用者指派給具有適當原則的存取套件。例如，您可以在存取套件中納入群組中已經有使用者的群組。如果群組中的使用者需要繼續保有存取權，則必須擁有適當的存取套件原則，才能繼續存取群組。您可以要求使用者要求包含該資源的存取套件，或直接將其指派給存取套件，以指派存取套件。如需詳細資訊，請參閱存取套件的變更要求和核准設定。
移除小組成員時，系統也會從 Microsoft 365 群組中將其移除。移除小組的交談功能方面可能會延遲。如需詳細資訊，請參閱群組成員資格。

存取套件

如果您在嘗試刪除存取套件或原則時發現有錯誤訊息指出有作用中指派的，但未看到任何有指派的使用者，請確認是否有任何最近刪除的使用者仍有指派。使用者帳戶可在使用者刪除後 30 天的期間內還原。

外部使用者

當外部使用者想要求存取套件的存取權時，請務必使用存取套件中的「我的存取權」入口網站連結。如需詳細資訊，請參閱要求存取套件的共用連結。如果外部使用者只是造訪 myaccess.microsoft.com，且並未使用「我的存取權」入口網站的完整連結，則會在自己的組織中 (不是您的組織) 看到適用的存取套件。
如果外部使用者無法要求存取套件的存取權，或無法存取資源，請務必檢查您的外部使用者設定。
如果新的外部使用者先前尚未登入您的目錄，但收到包含 SharePoint Online 網站的存取套件，則直到這些外部使用者在 SharePoint Online 中佈建帳戶之前，其存取套件會顯示為未完整傳遞。如需共用設定的詳細資訊，請參閱檢閱 SharePoint Online 外部共用設定。

要求

當使用者想要求存取套件的存取權時，請務必使用存取套件的「我的存取權」入口網站連結。如需詳細資訊，請參閱要求存取套件的共用連結。
如果您在設為私人或無痕模式的瀏覽器中開啟「我的存取權」入口網站，可能會與登入行為相互衝突。造訪「我的存取權」入口網站時，建議您不要使用設為私人或無痕模式的瀏覽器。
當不在您目錄中的使用者登入「我的存取權」入口網站並要求存取套件時，請務必使用其組織帳戶進行驗證。組織帳戶可以是資源目錄中的帳戶，或包含在存取套件其中一個原則中的目錄。如果使用者的帳戶不是組織帳戶，或驗證所在的目錄未包含在原則中，則使用者無法看到存取套件。如需詳細資訊，請參閱要求存取套件的存取權。
如果使用者遭到封鎖而無法登入資源目錄，則無法在「我的存取權」入口網站中要求存取權。您必須先從使用者的設定檔中移除登入區塊，才能要求存取權。若要移除登入區塊，請在 Microsoft Entra 系統管理中心，依序選取 [身分識別] 和 [使用者]，選取使用者，然後選取 [設定檔]。編輯 [設定] 區段，並將 [封鎖登入] 變更為 [否]。如需詳細資訊，請參閱使用 Microsoft Entra ID 新增或更新使用者的設定檔資訊 (部分機器翻譯)。您也可以檢查使用者是否因為 Microsoft Entra ID Protection 風險偵測而遭到封鎖。
在「我的存取權」入口網站中，如果使用者同時是要求者和核准者，則不會在 [核准] 頁面上看到其存取套件的要求資訊。這是刻意的行為，因為使用者無法核准自己的要求。請確定使用者要求的存取套件已在原則上設定其他核准者。如需詳細資訊，請參閱存取套件的變更要求和核准設定。

檢視要求的傳遞錯誤

以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

提示

可完成此工作的其他最低權限角色包括目錄擁有者、存取套件管理員和存取套件指派管理員。
瀏覽至 [Identity Governance] > [權利管理] > [存取套件]。
選取 [要求]。
選取您要檢視的要求。

如果要求有任何傳遞錯誤，則要求狀態會是 [未傳遞] 或 [已部分傳遞]。

如果有任何傳遞錯誤，則要求的詳細資料窗格中會顯示傳遞錯誤的計數。
選取計數以查看要求的所有傳遞錯誤。

重新處理要求

如果在觸發存取套件重新處理要求之後遇到錯誤，您必須等候系統重新處理要求。系統會在數小時內嘗試多次重新處理，所以您無法在這段時間內強制重新處理。

您只能重新處理狀態為 [傳遞失敗] 或 [已部分傳遞]，且完成日期少於一周的要求。否則，[重新處理] 按鈕會呈現灰色。

[重新處理] 按鈕已呈現灰色

如果在試用時間範圍內修正了錯誤，則要求狀態會變更為 [傳遞中]。要求會重新處理，而不需使用者執行進一步的動作。
如果未在試用時間範圍內修正錯誤，則要求狀態可能 [傳遞失敗] 或 [已部分傳遞]。然後，您可以使用 [重新處理] 按鈕。您將會有七天的時間重新處理要求。

以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

提示

可完成此工作的其他最低權限角色包括目錄擁有者、存取套件管理員和存取套件指派管理員。
瀏覽至 [Identity Governance] > [權利管理] > [存取套件]，以開啟存取套件。
選取 [要求]。
選取您要重新處理的要求。
在要求詳細資料窗格中，選取 [重新處理要求]。

取消擱置中的要求

您只能取消尚未傳遞或其傳遞失敗的擱置要求。否則，[取消] 按鈕會呈現灰色。

以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

提示

可完成此工作的其他最低權限角色包括目錄擁有者、存取套件管理員和存取套件指派管理員。
瀏覽至 [Identity Governance] > [權利管理] > [存取套件]，以開啟存取套件。
選取 [要求]。
選取您要取消的要求。
在要求詳細資料窗格中，選取 [取消要求]。

自動指派原則

每個自動指派原則最多可以包含其規則範圍內的15,000位使用者。規則範圍內的其他使用者可能無法獲受指派的存取權。

多個原則

權利管理遵循最低權限最佳做法。當使用者要求存取具有多個適用原則的存取套件時，權利管理會包含邏輯，以協助確保更嚴格或更具體的原則優先於一般原則。如果原則是一般的，權利管理可能不會對要求者顯示原則，或可能會自動選取更嚴格的原則。
例如，假設存取套件具有兩個適用於目錄中使用者的原則，其中這兩個原則適用於要求者。第一個原則適用於包含要求者的特定使用者。第二個原則適用於目錄中的所有使用者。在此案例中，系統會自動為要求者選取第一個原則，因為此原則更嚴格。要求者沒有選取第二個原則的選項。

當多個原則適用時，自動選取的原則或對要求者顯示的原則是以下列優先順序邏輯為基礎：

原則優先順序	範圍
P1	您目錄中的特定使用者和群組，或特定的連線組織
P2	您目錄中的所有成員 (不包括來賓)
P3	您目錄中的所有使用者 (包括來賓) 或特定的連線組織
P4	所有已設定的連線組織或所有使用者 (所有連線的組織 + 任何新的外部使用者)

如果有任何原則是在更高的優先順序類別中，則系統會忽略較低的優先順序類別。如需範例示範如何對要求者顯示多個具有相同優先順序的原則，請參閱選取原則。

下一步

控管外部使用者的存取 (部分機器翻譯)
檢視使用者在權利管理中如何取得存取權的報告

共用方式為