在權利管理中建立和管理資源目錄
本文說明如何在權利管理中建立和管理資源和存取套件目錄。
建立目錄
目錄是資源和存取套件的容器。 當您想要將相關資源和存取套件分組時,您可以建立目錄。 系統管理員可以建立目錄。 此外,已委派 目錄建立者 角色的使用者可以為其擁有的資源建立目錄。 建立目錄的非系統管理員會成為第一個目錄擁有者。 目錄擁有者可以將更多使用者、使用者群組或應用程式服務主體新增為目錄擁有者。
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator 或 Catalog 建立者
注意
獲指派使用者 管理員 istrator 角色的使用者將無法再建立目錄,也無法在他們不擁有的目錄中管理存取套件。 如果貴組織中的使用者獲指派使用者 管理員 istrator 角色,以在權利管理中設定目錄、存取套件或原則,您應該改為將這些使用者指派為 Identity Governance 系統管理員角色。
若要建立目錄:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>目錄]。
選取 [ 新增目錄]。
輸入目錄的唯一名稱,並提供描述。
使用者會在存取套件的詳細資料中看到此資訊。
如果您希望此目錄中的存取套件可在使用者建立后立即要求,請將 [已啟用] 設定為 [是]。
如果您想要允許連線組織外部目錄中的用戶能夠要求此目錄中的存取套件,請將 [為外部使用者啟用] 設定為 [是]。 存取套件也必須有原則,允許使用者從連線的組織要求。 如果此目錄中的存取套件僅適用於目錄中已有的使用者,請將 [為外部使用者啟用] 設定為 [否]。
選取 [建立] 以建立目錄。
以程序設計方式建立目錄
有兩種方式可以透過程序設計方式建立目錄。
使用 Microsoft Graph 建立目錄
您可以使用 Microsoft Graph 建立目錄。 具有委派 EntitlementManagement.ReadWrite.All
許可權的應用程式,或具有 EntitlementManagement.ReadWrite.All
應用程式許可權的應用程式,具有適當角色的使用者可以呼叫 API 來 建立目錄。
使用 PowerShell 建立目錄
您也可以使用 New-MgEntitlementManagementCatalog
Microsoft Graph PowerShell Cmdlet for Identity Governance 模組 2.2.0 版或更新版本的 Cmdlet,在 PowerShell 中建立目錄。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
將資源新增到目錄
若要在存取套件中包含資源,資源必須存在於目錄中。 您可以新增至目錄的資源類型為群組、應用程式和 SharePoint Online 網站。
群組可以是雲端建立 Microsoft 365 群組 或雲端建立的 Microsoft Entra 安全組。
應用程式可以是 Microsoft Entra 企業應用程式,其中包括軟體即服務 (SaaS) 應用程式、內部部署應用程式,以及與 Microsoft Entra ID 整合的您自己的應用程式。
如果您的應用程式尚未與 Microsoft Entra ID 整合,請參閱 控管您環境中 應用程式的存取權,並將 應用程式與 Microsoft Entra ID 整合,並在將應用程式新增至目錄之前,將應用程式新增至目錄。
如需如何為具有多個角色的應用程式選取適當資源的詳細資訊,請參閱 如何判斷要包含在存取套件中的資源角色。
網站可以是 SharePoint Online 網站或 SharePoint Online 網站集合。
注意
依網站名稱或確切 URL 搜尋 SharePoint 網站,因為搜尋方塊區分大小寫。
必要角色: 請參閱 將資源新增至目錄的必要角色。
若要將資源新增至目錄:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>目錄]。
在 [ 目錄] 頁面上,開啟您要新增資源的目錄。
在左側功能表上,選取 [ 資源]。
選取 [ 新增資源]。
選取資源類型 群組和 Teams、 應用程式或 SharePoint 網站。
如果您沒有看到想要新增或無法新增資源的資源,請確定您具有必要的 Microsoft Entra 目錄角色和權利管理角色。 您可能需要讓具有必要角色的人員將資源新增至目錄。 如需詳細資訊,請參閱 將資源新增至目錄的必要角色。
選取您要新增至目錄之類型的一或多個資源。
當您完成時,請選取 [ 新增]。
這些資源現在可以包含在目錄內的存取套件中。
在目錄中新增資源屬性
屬性是要求者在提交存取要求之前,要求者必須回答的必要欄位。 這些屬性的解答會向核准者顯示,並在 Microsoft Entra ID 中的用戶物件上加上戳記。
注意
在資源上設定的所有屬性都需要答案,才能提交包含該資源的存取套件要求。 如果要求者未提供答案,則不會處理其要求。
若要要求存取要求的屬性:
選取 左側功能表上的 [資源 ],目錄中會出現資源清單。
選取您要新增屬性之資源旁邊的省略號,然後選取 [ 需要屬性]。
選取屬性類型:
- 內 建包含 Microsoft Entra 使用者配置檔屬性。
- 目錄架構延伸模組 可讓您在 Microsoft Entra 使用者中儲存更多數據。 您可以藉由 建立擴充屬性來擴充架構。 在布建或單一登錄期間,用戶對象的這些擴充屬性可用來將宣告傳送給應用程式。
如果您選擇 [ 內建],請從下拉式清單中選取屬性。 如果您選擇 [目錄架構延伸模組],請在文字框中輸入屬性名稱。
注意
User.mobile 電話 屬性是敏感性屬性,只能由某些系統管理員更新。 若要深入瞭解 神秘 可以更新敏感性用戶屬性?。
選取您想要要求者用於其答案的回應格式。 答案格式包括 短文字、 多重選擇和 長文字。
如果您選取多個選擇,請選取 [編輯並本地化 ] 來設定答案選項。
- 在出現的 [檢視/編輯問題] 窗格中,輸入您想要在 [回應值] 方塊中回答問題時要提供給要求的回應選項。
- 選取回應選項的語言。 如果您選擇更多語言,您可以將回應選項本地化。
- 輸入您需要的回應數目,然後選取 [ 儲存]。
如果您想要在直接指派和自助要求期間編輯屬性值,請選取 [ 是]。
注意
- 如果您在 [屬性值為可編輯] 方塊中選取 [否],而屬性值是空的,則使用者可以輸入該屬性的值。 儲存之後,就無法編輯值。
- 如果您在 [屬性值為可編輯] 方塊中選取 [否],而且屬性值不是空的,則使用者無法在直接指派和自助要求期間編輯預先存在的值。
如果您想要新增當地語系化,請選取 [新增本地化]。
在 [ 新增問題 本地化] 窗格中,選取您要本地化所選屬性相關問題之語言的語言代碼。
在您所設定的語言中,於 [ 本地化] 文本框中 輸入問題。
新增所需的所有當地語系化之後,請選取 [ 儲存]。
在 [需要屬性] 頁面上完成 所有屬性 信息之後,請選取 [ 儲存]。
新增多地理位置 SharePoint 網站
如果您已啟用 SharePoint 的多地理位置 ,請選取您要從中選取網站的環境。
然後選取您要新增至目錄的網站。
以程序設計方式將資源新增至目錄
您也可以使用 Microsoft Graph 將資源新增至目錄。 具有委派 EntitlementManagement.ReadWrite.All
許可權的應用程式,具有適當角色或目錄和資源擁有者的使用者可以呼叫 API 來 建立 resourceRequest。 具有應用程式許可權和變更資源許可權 EntitlementManagement.ReadWrite.All
的應用程式,例如 Group.ReadWrite.All
,也可以將資源新增至目錄。
使用 PowerShell 將資源新增至目錄
您也可以使用New-MgEntitlementManagementResourceRequest
適用於身分識別治理模組 2.1.x 版或更新模組版本的 Microsoft Graph PowerShell Cmdlet,將資源新增至 PowerShell 中的目錄。 下列範例示範如何使用 Microsoft Graph PowerShell Cmdlet 模組 2.4.0 版,將群組新增至目錄作為資源。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
從目錄移除資源
您可以從目錄移除資源。 只有在資源未用於任何目錄的存取套件時,才能從目錄中移除資源。
必要角色: 請參閱 將資源新增至目錄的必要角色。
若要從目錄移除資源:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>目錄]。
在 [ 目錄] 頁面上,開啟您要從中移除資源的目錄。
在左側功能表上,選取 [ 資源]。
選取您想要移除的資源。
選取 [移除]。 選擇性地選取省略號 (...),然後選取 [ 移除資源]。
新增更多目錄擁有者
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
建立目錄的用戶會成為第一個目錄擁有者。 若要委派目錄的管理,請將使用者新增至目錄擁有者角色。 新增更多目錄擁有者有助於共享目錄管理責任。
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator 或目錄擁有者
若要將使用者指派給目錄擁有者角色:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>目錄]。
在 [ 目錄] 頁面上,開啟您要新增系統管理員的目錄。
在左側功能表上,選取 [ 角色和系統管理員]。
選取 [新增擁有者 ] 以選取這些角色的成員。
選取 [ 選取 ] 以新增這些成員。
編輯目錄
您可以編輯目錄的名稱和描述。 使用者會在存取套件的詳細資料中看到此資訊。
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator 或目錄擁有者
若要編輯目錄:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>目錄]。
在 [ 目錄] 頁面上,開啟您要編輯的目錄。
在目錄的 [ 概觀] 頁面上,選取 [ 編輯]。
編輯目錄的名稱、描述或啟用的設定。
選取 [儲存]。
刪除目錄
您只能在目錄沒有任何存取套件的情況下將其刪除。
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator 或目錄擁有者
若要移除目錄:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>目錄]。
在 [ 目錄] 頁面上,開啟您要刪除的目錄。
在目錄的 [ 概觀] 頁面上,選取 [ 刪除]。
在出現的消息框中,選取 [ 是]。
以程式設計方式刪除目錄
您也可以使用 Microsoft Graph 刪除目錄。 具有委派 EntitlementManagement.ReadWrite.All
許可權的應用程式具有適當角色的使用者可以呼叫 API 來 刪除 accessPackageCatalog。