使用訪問控制清單確保安全存取

已完成

在此單元中，您將瞭解如何確保您匯入至 Microsoft 365 的外部內容只能供特殊許可權的個人存取。

匯入具有正確許可權的外部內容

您儲存在 Microsoft 365 外部的資訊，可以由組織中的每個人存取，或只有一組選取的人員才能存取。 存取外部內容的許可權會儲存在外部系統中。

使用 Microsoft Graph 連接器匯入內容時，您可以從外部系統擷取內容及其許可權。 使用這項資訊，針對您匯入的每一項內容，您會建置 ACL) (訪問控制清單 ，並在將它匯入至 Microsoft 365 時將它包含在專案中。

設定匯入內容的許可權可讓您確保只有外部系統中指定的個人可以存取它。 使用 Graph 連接器匯入外部內容時，您有數個選項可確保可由可在外部系統中存取該內容的相同群組存取。

訪問控制清單的結構

訪問控制清單是訪問控制項目的陣列。 每個項目都包含三個元素：

1. 存取類型，指定專案是否用於授與或拒絕內容片段的存取權。
2. 類型，指定專案所描述的實體類型。 它可以是：
   1. Microsoft Entra 使用者
   2. Microsoft Entra 群組
   3. 租使用者中的每個人
   4. 來賓使用者以外的所有人
   5. 外部群組 (，也就是在外部系統中定義的群組)
3. 值，識別專案所描述的實體。

重要事項

每個匯入的項目都必須包含至少一個訪問控制專案。 您也可以包含多個專案，讓多個人員群組可以存取該專案。

讓我們看看一些常見的案例，瞭解如何確保正確存取匯入的內容。

案例 1：匯入可供組織中所有人使用的內容

其中一個最常見的案例是匯入可供組織中每個人使用的外部內容。 如果您要匯入這類內容，您可以在所有內容專案上使用下列訪問控制專案：

• 存取類型：授與
• 類型：所有人
• 值：所有人

案例 2：匯入僅適用於具有 Microsoft 365 單一登錄之外部系統特定人員群組的內容

如果您的外部系統使用 Microsoft 365 進行單一登錄，您的外部內容會受到來自 Microsoft Entra ID (先前 Azure Active Directory) 的使用者和群組保護。 在這種情況下，您可以定義使用者 (類型的訪問控制專案，如果您在參考 Entra 群組) 時，參考單一 Entra 使用者) 或群組 (。 您可以將值設定為參考 Microsoft Entra 使用者或群組的物件識別碼，例如：

• 存取類型：授與
• 類型：群組
• 值：12345678-1234-1234-1234-123456789012

案例 3：匯入僅適用於外部系統特定人員群組的內容，而不需要使用 Microsoft 365 進行單一登錄

如果您要從使用自己的使用者和群組保護內容的系統匯入內容，您仍然可以適當地保護匯入的內容，並使其僅供正確的人員使用。 在這種情況下，您會定義外部群組，以用來保護匯入的內容。 這些群組反映外部系統中定義的成員資格，但參考 Microsoft Entra 使用者和群組或其他外部群組。

讓外部許可權和訪問控制清單保持同步

您將內容匯入 Microsoft 365 的外部系統包含許可權的主要參考，以及可存取哪些內容的人員。 建置 Microsoft Graph 連接器時，您必須將這些許可權同步處理至匯入至 Microsoft 365 的內容，以確保其安全性。

如果您的外部系統在許可權變更時引發事件，您可以在匯入至 Microsoft 365 的外部內容上立即更新它們。 如果外部系統不支援事件，則您會建置一個經常執行的進程，以掃描變更的許可權並據此進行更新。 您應該包含視需要重新整理許可權的功能，這可讓您在發生這類需求時立即重新整理許可權。