使用 Microsoft Entra 权利管理来管理外部访问

使用权利管理功能来管理标识和访问生命周期。 你可以自动化访问请求工作流、访问分配、评审和过期设置。 委派的非管理员使用权利管理创建访问包，来自其他组织的外部用户可以请求访问该包。 可配置单阶段和多阶段的审批工作流来评估请求，并通过定期评审为用户预配限时访问权限。 将权利管理用于基于策略的外部帐户预配和撤销预配。

了解详细信息：

• 权利管理是什么？
• 什么是访问包，可使用它们管理哪些资源？
• 什么是预配？

准备阶段

本文是 10 篇系列文章中的第 6 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

启用权利管理

以下关键概念对于了解权利管理非常重要。

访问包

访问包是权利管理的基础：它是由策略管理的资源分组，供用户协作处理项目或执行其他任务。 例如，访问包可能包括：

• 访问 SharePoint 网站
• 企业应用程序，包括自定义的内部应用和服务型软件 (SaaS) 应用（如 Salesforce）
• Microsoft Teams
• Microsoft 365 组

目录

访问包位于目录中。 如果要对相关资源和访问包进行分组，并委托其管理，请创建一个目录。 首先将资源添加到目录，然后可将资源添加到访问包。 例如，你可以创建一个“财务”目录，并将其管理委派给财务团队的某个成员。 然后，此人可以添加资源、创建访问包并管理访问审批。

了解详细信息：

• 在权利管理中创建和管理资源目录
• 权利管理中的委托和角色
• 将资源添加到目录

下图显示了一个典型的治理生命周期，其中外部用户获得了对访问包的访问权限，该权限附有过期时间。

自助服务外部访问

可通过 Microsoft Entra“我的访问权限”门户使访问包可用，让外部用户能够请求访问。 策略确定谁可以请求访问包。 请参阅在权利管理中请求访问某个访问包。

你指定允许谁请求访问包：

• 连接的组织
  • 请参阅在权利管理中添加连接的组织
• 已配置的连接的组织
• 来自组织的用户
• 你的租户中的成员或来宾用户

审批

访问包可以包含强制访问审批。 审批可以是单阶段或多阶段的，由策略决定。 如果内部用户和外部用户需要访问同一个包，可以为各个类别的已连接的组织以及内部用户设置不同的访问策略。

重要

实现外部用户的审批过程。

过期时间

访问包可以包含为访问设置的到期日期或天数。 当访问包过期并且访问结束时，可以删除代表用户的 B2B 来宾用户对象或阻止其登录。 对于外部用户，建议对访问包强制实施过期时间。 并非所有访问包都有过期时间。

重要

对于没有过期时间的包，请定期执行访问评审。

访问评审

访问包可能需要定期访问评审，这需要包所有者或受托人来证明用户的访问需求持续存在。 请参阅通过访问评审管理来宾访问权限。

在安排评审之前，请确定以下各项条件：

• 谁
  • 持续访问的条件
  • 审阅者
• 频率
  • 内置选项包括每月、每季度、每年两次或每年一次
  • 对于支持外部访问的包，建议每季度一次或更频繁地进行评审

重要

访问包评审的目的是检查通过权利管理授予的访问权限。 设置其他流程，在权利管理之外评审外部用户的访问权限。

了解详细信息：规划 Microsoft Entra 访问评审部署。

使用权利管理自动化

• 使用 Microsoft Entra 权利管理 API
• accessPackage 资源类型
• Microsoft Entra 访问评审
• connectedOrganization 资源类型
• entitlementManagementSettings 资源类型

外部访问治理建议

最佳做法

建议采用以下做法，使用权利管理治理外部访问。

• 对于具有一个或多个业务合作伙伴的项目，请创建并使用访问包以帮助他们加入，并为其提供对资源的访问权限。
  • 在权利管理中创建新访问包
• 如果你在目录中有 B2B 用户，可以将它们分配到访问包。
• 可通过 Azure 门户或 Microsoft Graph 分配访问权限
  • 在权利管理中查看、添加和删除访问包的分配
  • 在权利管理中创建新访问包

标识治理 - 设置

如果用户的访问包过期，请使用标识治理–设置从目录中删除他们。 以下设置适用于已通过权利管理加入的用户。

委托目录和包管理

可以将目录和包管理委托给业务所有者，他们掌握有关应能访问的人员的详细信息。 请参阅权利管理中的委托和角色

强制实施访问包过期时间

可以为外部用户强制实施访问过期。 请参阅在权利管理中更改访问包的生命周期设置。

• 对于基于项目的访问包的结束日期，请使用“过期日期”设置日期。
  • 否则，建议有效时长不超过 365 天，除非是多年期的项目
• 允许用户延长访问权限期限
  • 需要审批才能授予延期

强制实施来宾访问包评审

可以强制评审来宾访问包，以避免来宾进行不当访问。 请参阅通过访问评审管理来宾访问权限。

• 强制季度评审
• 对于合规性相关的项目，请将评审者设置为评审，而不是让外部用户自行评审。
  • 可以使用访问包管理器作为评审者
• 对于不那么敏感的项目，用户自行评审可减少移除不再与组织协作的用户的权限的负担。

了解详细信息：在权利管理中治理外部用户的访问权限

后续步骤

请参阅以下系列文章，了解如何保护对资源的外部访问。 建议遵循列出的顺序。

1. 使用 Microsoft Entra ID 确定外部访问的安全态势

2. 发现组织中外部协作的当前状态

3. 为外部资源访问创建安全性计划

4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

5. 通过 Microsoft Entra B2B 协作过渡到受治理的协作

6. 使用 Microsoft Entra 权利管理来管理外部访问（本文）

7. 使用条件访问策略管理对资源的外部访问

8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户