變更權利管理中存取套件的要求設定
身為存取套件管理員,您可以編輯存取套件指派要求的原則,或將新的原則新增至存取套件,來變更隨時可以要求存取套件的使用者。 本文說明如何變更現有存取套件指派原則的要求設定。
在一或多個原則之間選擇
您指定誰可以要求存取套件的方式是使用原則。 在建立新的原則或編輯存取套件中的現有原則之前,您必須判斷存取套件需要多少原則。
當您建立存取套件時,您可以指定儲存在存取套件第一個原則上的要求、核准和生命周期設定。 大部分的存取套件都有單一原則可供使用者要求存取,但單一存取套件可以有多個原則。 如果您想要允許使用不同要求和核准設定來授與不同使用者集合指派,您會為存取套件建立多個原則。
例如,單一原則無法用來將內部和外部使用者指派給相同的存取套件。 不過,您可以在相同的存取套件中建立兩個原則,一個用於內部使用者,另一個用於外部使用者。 如果有多個原則會套用至使用者要求,則會在要求時提示他們選取想要指派的原則。 下圖顯示具有兩個原則的存取套件。
除了讓使用者要求存取的原則之外,您也可以有自動指派的原則,以及系統管理員或目錄擁有者直接指派的原則。
我需要多少個原則?
| 案例 | 原則數目 |
|---|---|
| 我希望目錄中的所有使用者都有存取套件的相同要求和核准設定 | 一 |
| 我希望特定連線組織中的所有用戶能夠要求存取套件 | 一 |
| 我想要允許目錄中的使用者,以及目錄外部的使用者要求存取套件 | 二 |
| 我想要為某些使用者指定不同的核准設定 | 每個使用者群組各一個 |
| 我希望某些使用者存取套件指派到期,而其他使用者可以擴充其存取權 | 每個使用者群組各一個 |
| 我希望某些使用者要求存取權,以及系統管理員指派存取權的其他使用者 | 二 |
| 我希望組織中的某些用戶自動接收存取權、組織中的其他用戶能夠要求,以及系統管理員指派存取權的其他使用者 | 三 |
如需多個原則套用時所使用的優先順序邏輯相關信息,請參閱 多個原則。
開啟現有的存取套件,並新增具有不同要求設定的新原則
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
如果您有一組用戶應該有不同的要求和核准設定,您可能需要建立新的原則。 請遵循下列步驟,開始將新原則新增至現有的存取套件:
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator、目錄擁有者或存取套件管理員
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>存取] 套件。
在 [ 存取套件] 頁面上,開啟您要編輯的存取套件。
選取 [原則],然後選取 [新增原則]。
在 [ 基本] 索引 標籤上,輸入原則的名稱和描述。
選取 [下一步 ] 以開啟 [ 要求] 索引標籤。
變更可要求存取設定的使用者。 使用下列各節中的步驟,將設定變更為下列其中一個選項:
針對目錄中的使用者
如果您想要允許目錄中的用戶能夠要求此存取套件,請遵循下列步驟。 定義要求原則時,您可以指定個別使用者,或更常見的使用者群組。 例如,您的組織可能已經有一個群組,例如 [所有員工]。 如果該群組新增至原則中,供可以要求存取權的使用者,則該群組的任何成員接著都可以要求存取權。
在 [ 可要求存取 權的使用者] 區段中,按兩下 目錄中的 [使用者]。
當您選取此選項時,新的選項會出現在目錄中進一步精簡誰可以要求此存取套件。
選取下列其中一個選項:
描述 特定使用者和群組 如果您只想要目錄中指定能夠要求此存取套件的使用者和群組,請選擇此選項。 所有成員(不包括來賓) 如果您要目錄中的所有成員用戶能夠要求此存取套件,請選擇此選項。 這個選項不包含您可能已邀請到目錄的任何來賓使用者。 所有使用者(包括來賓) 如果您想要目錄中的所有成員使用者和來賓用戶能夠要求此存取套件,請選擇此選項。 來賓用戶會參考已透過 Microsoft Entra B2B 邀請到目錄的外部使用者。 如需成員使用者與來賓用戶之間差異的詳細資訊,請參閱 Microsoft Entra ID 中的預設使用者許可權為何?。
如果您選取 [ 特定使用者和群組],請按兩下 [ 新增使用者和群組]。
在 [選取使用者和群組] 窗格中,選取您要新增的使用者和群組。
按兩下 [ 選取 ] 以新增使用者和群組。
如果您想要要求核准,請使用在權利管理中變更存取套件的核准設定中的步驟來設定核准設定。
移至 [ 啟用要求 ] 區段。
針對不在目錄中的使用者
不在目錄中 的使用者是指位於另一個 Microsoft Entra 目錄或網域的使用者。 這些使用者可能尚未受邀加入您的目錄。 Microsoft Entra 目錄必須設定為允許共同作業限制中的邀請。 如需詳細資訊,請參閱設定外部共同作業設定。
注意
系統會為尚未在您的目錄中核准或自動核准要求的使用者建立來賓用戶帳戶。 系統會邀請來賓,但不會收到邀請電子郵件。 相反地,當他們的存取套件指派傳遞時,他們會收到電子郵件。 根據預設,當該來賓使用者不再有任何存取套件指派時,因為其上次指派已過期或已取消,該來賓用戶帳戶將會遭到封鎖而無法登入,並隨後刪除。 如果您想要讓來賓用戶無限期地保留在目錄中,即使他們沒有存取套件指派,您也可以變更權利管理設定的設定。 如需來賓用戶對象的詳細資訊,請參閱 Microsoft Entra B2B 共同作業用戶的屬性。
如果您要允許目錄中的使用者要求此存取套件,請遵循下列步驟:
在 [ 可要求存取 權的使用者] 區段中,按兩下 [針對不在目錄中的使用者]。
當您選取此選項時,會出現新的選項。
選取可要求存取權的使用者是否需要與現有的已連線組織建立關聯,或可以是因特網上的任何人。 已連線的組織是您與 預先存在的關聯性,其可能有外部 Microsoft Entra 目錄或其他識別提供者。 選取下列其中一個選項:
描述 特定連線的組織 如果您想要從先前新增的組織清單中選取此選項。 所選組織的所有使用者都可以要求此存取套件。 所有已設定的連線組織 如果所有已設定連線組織的所有使用者都可以要求此存取套件,請選擇此選項。 只有已設定連線組織的使用者可以要求存取套件,因此,如果使用者不是來自與現有已連線組織相關聯的 Microsoft Entra 租使用者、網域或身分識別提供者,他們將無法要求。 所有使用者 (所有已連線的組織 + 任何新的外部使用者) 如果因特網上有任何使用者應該能夠要求此存取套件,請選擇此選項。 如果他們不屬於您目錄中的已連線組織,當他們要求套件時,系統會自動為其建立連線的組織。 自動建立的已連線組織將會處於 建議 狀態。 如需建議狀態的詳細資訊,請參閱 已連線組織的狀態屬性。 如果您選取 [ 特定已連線的組織],請按兩下 [新增目錄 ] 以從您系統管理員先前新增的已連線組織清單中選取。
輸入名稱或功能變數名稱,以搜尋先前連線的組織。
如果您想要共同作業的組織不在清單中,您可以要求系統管理員將它新增為已連線的組織。 如需詳細資訊,請參閱 新增已連線的組織。
選取所有已連線的組織之後,請按兩下 [ 選取]。
注意
來自所選連線組織的所有使用者都可以要求此存取套件。 對於具有 Microsoft Entra 目錄的已連線組織,除非 Azure B2B 允許或拒絕清單封鎖這些網域,否則所有與 Microsoft Entra 目錄相關聯的已驗證網域的使用者都可以要求。 如需詳細資訊,請參閱 允許或封鎖來自特定組織的 B2B 用戶邀請。
接下來,使用權利管理中存取套件的變更核准設定中的步驟來設定核准設定,以指定誰應該核准非貴組織中的使用者要求。
移至 [ 啟用要求 ] 區段。
無 (僅限系統管理員直接指派)
如果您想要略過存取要求,並允許系統管理員直接將特定使用者指派給此存取套件,請遵循下列步驟。 使用者不需要要求存取套件。 您仍然可以設定生命周期設定,但沒有要求設定。
在 [可以要求存取權的使用者] 區段中,按兩下 [無] (僅限系統管理員直接指派)。
建立存取套件之後,您可以直接將特定的內部和外部使用者指派給存取套件。 如果您指定外部使用者,則會在目錄中建立來賓用戶帳戶。 如需直接指派使用者的相關信息,請參閱 檢視、新增和移除存取套件的指派。
跳至 [ 啟用要求 ] 區段。
注意
將使用者指派給存取套件時,系統管理員必須根據現有的原則需求,確認使用者符合該存取套件的資格。 否則,使用者將不會成功指派給存取套件。 如果存取套件包含需要核准使用者要求的原則,則使用者無法在未經指定核准者的必要核准的情況下直接指派給套件。
開啟和編輯現有原則的要求設定
若要變更存取套件的要求和核准設定,您必須使用這些設定開啟對應的原則。 請遵循下列步驟來開啟和編輯存取套件指派原則的要求設定:
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator、Catalog owner 或 Access 套件管理員
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>存取] 套件。
在 [ 存取套件] 頁面上,開啟您要編輯其原則要求設定的存取套件。
選取 [ 原則 ],然後按下您要編輯的原則。
[原則詳細數據] 窗格會在頁面底部開啟。
選取 [編輯 ] 以編輯原則。
選取 [ 要求] 索引標籤以開啟要求設定。
使用上一節中的步驟,視需要變更要求設定。
移至 [ 啟用要求 ] 區段。
啟用要求
如果您想要將存取套件立即提供給要求原則中的使用者使用,請將 [啟用] 切換開關移至 [ 是]。
完成建立存取套件之後,您隨時都可以在未來啟用它。
如果您選取 [無] (僅限系統管理員直接指派),且您設定為 [否],則系統管理員無法直接指派此存取套件。
選取 [下一步]。
如果您想要要求要求者在要求存取套件時提供其他資訊,請使用在權利管理中變更存取套件的變更核准和要求者資訊設定中的步驟來設定要求者資訊。
設定生命周期設定。
如果您要編輯原則,請選取 [ 更新]。 如果您要新增原則,請選取 [ 建立]。
以程式設計方式建立存取套件指派原則
有兩種方式可以透過 Microsoft Graph 和適用於 Microsoft Graph 的 PowerShell Cmdlet,以程序設計方式建立存取套件指派原則。
透過 Graph 建立存取套件指派原則
您可以使用 Microsoft Graph 建立原則。 具有委派 EntitlementManagement.ReadWrite.All 許可權的應用程式,或是具有目錄角色或 EntitlementManagement.ReadWrite.All 許可權之應用程式之適當角色的使用者,可以呼叫 建立 assignmentPolicy API。
透過PowerShell建立存取套件指派原則
您也可以使用適用於身分識別治理模組 2.1.x 版或更新模組版本的 Microsoft Graph PowerShell Cmdlet 中的 Cmdlet,在 PowerShell 中建立存取套件。
下列腳本說明如何建立原則,以直接指派存取套件。 在此原則中,只有系統管理員可以指派存取權,而且沒有核准或存取權檢閱。 如需如何建立自動指派原則的範例,請參閱 建立自動指派原則 ,並 建立 assignmentPolicy 以取得更多範例。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
防止具有不相容存取權的使用者要求
除了原則檢查誰可以要求之外,您可能想要進一步限制存取,以避免已經透過群組或其他存取套件存取的使用者取得過多存取權。
如果您想要設定使用者無法要求存取套件、如果他們已經有另一個存取套件的指派,或是群組的成員,請使用設定職責區隔檢查存取套件的步驟。