權利管理中的委派和角色
在 Microsoft Entra ID 中,您可以使用角色模型透過身分識別控管大規模管理存取權。
- 您可以使用存取套件來代表 組織中的組織角色 ,例如「銷售代表」。 代表組織角色的存取套件會包含銷售代表在多個資源之間通常需要的所有訪問許可權。
- 應用程式 可以定義自己的角色。 例如,如果您有銷售應用程式,且該應用程式在其指令清單中包含應用程式角色 「salesperson」,則可以 在存取套件中包含該應用程式指令清單中的該角色。 應用程式也可以在使用者可以同時擁有多個應用程式特定角色的情況下,使用安全組。
- 您可以使用角色來委派系統管理存取權。 如果您有銷售所需的所有存取套件目錄,您可以指派某人負責該目錄,方法是指派目錄特定角色。
本文討論如何使用角色來管理 Microsoft Entra 權利管理內的層面,以控制權利管理資源的存取權。
根據預設,全域 管理員 istrator 角色或 Identity Governance 管理員 istrator 角色中的使用者可以建立和管理權利管理的所有層面。 不過,這些角色中的使用者可能不知道需要存取套件的所有情況。 一般來說,這是在個別部門、小組或專案內,知道與其共同作業的對象、使用哪些資源和多長時間的使用者。 不需為非系統管理員授與不受限制的權限,您可以授與使用者完成其工作所需的最低權限,並避免建立衝突或不當的存取權限。
這段影片概述如何將IT系統管理員的存取控管委派給非系統管理員的使用者。
委派範例
若要瞭解如何在權利管理中委派存取控管,它有助於考慮範例。 假設您的組織具有下列系統管理員和管理員。
身為 IT 系統管理員,Hana 在每個部門都有聯繫人-- Mamta 在 Marketing、Mark in Finance 和 Joe 法律中負責其部門資源和業務關鍵內容。
透過權利管理,您可以將存取控管委派給這些非系統管理員,因為它們是知道哪些使用者需要存取權、多久和哪些資源的人員。 委派給非系統管理員可確保由適當的人員管理其部門的存取權。
以下是 Hana 可以將存取權委派給行銷、財務和法律部門的其中一種方式。
Hana 會建立新的 Microsoft Entra 安全組,並將 Mamta、Mark 和 Joe 新增為群組的成員。
Hana 會將該群組新增至目錄建立者角色。
Mamta、Mark 和 Joe 現在可以為其部門建立目錄、新增其部門所需的資源,並在目錄中執行進一步委派。 他們看不到彼此的目錄。
Mamta 會 建立 Marketing 目錄,這是資源的容器。
Mamta 會將行銷部門擁有的資源新增至此目錄。
Mamta 可以將該部門的其他人新增為此目錄的目錄擁有者,以協助共用目錄管理責任。
Mamta 可以將營銷目錄中存取套件的建立和管理委派給行銷部門的項目經理。 她可以將這些角色指派給目錄上的存取套件管理員角色,以執行此動作。 存取套件管理員可以建立和管理存取套件,以及該目錄中的原則、要求和指派。 如果目錄允許,存取套件管理員可以設定原則,以從已連線的組織引進使用者。
下圖顯示具有營銷、財務和法律部門的資源目錄。 使用這些目錄,項目經理可以為其小組或專案建立存取套件。
委派之後,行銷部門可能會有類似下表的角色。
| User | 組織角色 | Microsoft Entra 角色 | 權利管理角色 |
|---|---|---|---|
| 漢娜 | IT 系統管理員 | 全域管理員或身分識別治理系統管理員 | |
| Mamta | 營銷經理 | User | 目錄建立者和目錄擁有者 |
| Bob | 營銷潛在客戶 | User | 目錄擁有者 |
| 潔西卡 | 營銷項目經理 | User | 存取套件管理員 |
權利管理角色
權利管理具有下列角色,具有管理權利管理本身的許可權,適用於所有目錄。
| 權利管理角色 | 角色定義標識碼 | 描述 |
|---|---|---|
| 目錄建立者 | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
建立和管理目錄。 一般而言,不是全域管理員的IT系統管理員,或資源集合的資源擁有者。 建立目錄的人員會自動成為目錄的第一個目錄擁有者,而且可以新增更多目錄擁有者。 目錄建立者無法管理或查看其不擁有的目錄,而且無法將他們不擁有的資源新增至目錄。 如果目錄建立者需要管理另一個目錄或新增他們不擁有的資源,他們可以要求成為該目錄或資源的共同擁有者。 |
權利管理具有針對每個特定目錄定義的下列角色,用於管理目錄內的存取套件和其他組態。 系統管理員或目錄擁有者可以將使用者、使用者群組或服務主體新增至這些角色。
| 權利管理角色 | 角色定義標識碼 | 描述 |
|---|---|---|
| 目錄擁有者 | ae79f266-94d4-4dab-b730-feca7e132178 |
編輯和管理目錄中的存取套件和其他資源。 通常是 IT 系統管理員或資源擁有者,或目錄擁有者已選擇的使用者。 |
| 目錄讀取器 | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
檢視目錄中現有的存取套件。 |
| 存取套件管理員 | 7f480852-ebdc-47d4-87de-0d8498384a83 |
編輯和管理目錄中所有現有的存取套件。 |
| 存取套件指派管理員 | e2182095-804a-4656-ae11-64734e9b7ae5 |
編輯和管理所有現有的存取套件指派。 |
此外,選擇的核准者和存取套件的要求者具有許可權,但不是角色。
| Right | 描述 |
|---|---|
| 核准者 | 原則授權核准或拒絕存取套件的要求,但無法變更存取套件定義。 |
| 要求者 | 由存取套件的原則授權,以要求該存取套件。 |
下表列出權利管理角色可以在權利管理中執行的工作。
| Task | 管理 | 目錄建立者 | 目錄擁有者 | 存取套件管理員 | 存取套件指派管理員 |
|---|---|---|---|---|---|
| 委派給目錄建立者 | ✔️ | ||||
| 新增已連線的組織 | ✔️ | ||||
| [建立新的目錄] | ✔️ | ✔️ | |||
| 將資源新增至目錄 | ✔️ | ✔️ | |||
| 新增目錄擁有者 | ✔️ | ✔️ | |||
| 編輯目錄 | ✔️ | ✔️ | |||
| 刪除目錄 | ✔️ | ✔️ | |||
| 委派給存取套件管理員 | ✔️ | ✔️ | |||
| 拿掉存取套件管理員 | ✔️ | ✔️ | |||
| 在目錄中建立新的存取套件 | ✔️ | ✔️ | ✔️ | ||
| 變更存取套件中的資源角色 | ✔️ | ✔️ | ✔️ | ||
| 建立和編輯原則,包括外部共同作業的原則 | ✔️ | ✔️ | ✔️ | ||
| 直接將使用者指派給存取套件 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 從存取套件直接移除使用者 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 檢視誰具有存取套件的指派 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 檢視存取套件的要求 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 檢視要求的傳遞錯誤 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 重新處理要求 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 取消擱置的要求 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 隱藏存取套件 | ✔️ | ✔️ | ✔️ | ||
| 刪除存取套件 | ✔️ | ✔️ | ✔️ |
若要判斷工作的最低特殊許可權角色,您也可以在 Microsoft Entra ID 中依系統管理員工作參考 管理員 istrator 角色。
將資源新增至目錄所需的角色
全域管理員可以在目錄中新增或移除任何群組(雲端建立的安全組或雲端建立的 Microsoft 365 群組)、應用程式或 SharePoint Online 網站。
注意
已獲指派用戶系統管理員角色的使用者將無法再建立目錄,也無法在他們不擁有的目錄中管理存取套件。 身為目錄擁有者的用戶系統管理員可以在他們擁有的目錄中新增或移除任何群組或應用程式,但設定為可指派給目錄角色的群組除外。 如需角色可指派群組的詳細資訊,請參閱 在 Microsoft Entra 識別碼中建立可指派角色的群組。 如果貴組織中的使用者已獲指派用戶系統管理員角色,以在權利管理中設定目錄、存取套件或原則,您應該改為將這些使用者指派身 分識別治理系統管理員 角色。
對於不是全域管理員的使用者,若要將群組、應用程式或 SharePoint Online 網站新增至目錄,該使用者必須同時能夠對該資源執行動作,並且成為目錄權利管理中的目錄擁有者角色。 用戶可以執行資源動作的最常見方式,就是在 Microsoft Entra 目錄角色中,可讓他們管理資源。 或者,對於擁有者的資源,用戶可以藉由指派為資源的擁有者來執行動作。
權利管理會在使用者將資源新增至目錄時檢查的動作如下:
- 若要新增安全組或 Microsoft 365 群組:必須允許使用者執行
microsoft.directory/groups/members/update和microsoft.directory/groups/owners/update動作 - 若要新增應用程式:用戶必須允許執行
microsoft.directory/servicePrincipals/appRoleAssignedTo/update動作 - 若要新增 SharePoint Online 網站:用戶必須是 SharePoint 管理員 istrator,或位於 SharePoint Online 網站角色中,讓他們能夠管理網站中的許可權
下表列出一些角色組合,其中包括可讓使用者在這些角色組合中將資源新增至目錄的動作。 若要從目錄移除資源,您也必須具有角色或擁有權,且這些動作相同。
| Microsoft Entra 目錄角色 | 權利管理角色 | 可以新增安全組 | 可以新增 Microsoft 365 群組 | 可以新增應用程式 | 可以新增 SharePoint Online 網站 |
|---|---|---|---|---|---|
| 全域管理員 | n/a | ✔️ | ✔️ | ✔️ | ✔️ |
| Identity Governance 管理員 istrator | n/a | ✔️ | |||
| 群組管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
| Intune 管理員 istrator | 目錄擁有者 | ✔️ | ✔️ | ||
| Exchange 系統管理員 | 目錄擁有者 | ✔️ | |||
| SharePoint 管理員 istrator | 目錄擁有者 | ✔️ | ✔️ | ||
| 應用程式系統管理員 | 目錄擁有者 | ✔️ | |||
| 雲端應用程式 管理員 istrator | 目錄擁有者 | ✔️ | |||
| User | 目錄擁有者 | 只有當群組擁有者 | 只有當群組擁有者 | 只有當應用程式擁有者 |
來賓使用者生命週期的委派管理
一般而言,具有來賓邀請者許可權角色的使用者可以邀請個別外部使用者加入組織,而且可以使用外部共同作業設定來變更此設定。
若要管理外部共同作業,事先可能不知道共同作業專案的個別外部使用者,將與外部組織合作的使用者指派給權利管理角色,可讓他們設定目錄、存取其外部共同作業的套件和原則。 這些設定可讓他們共同作業的外部使用者要求並新增至組織的目錄和存取套件。
- 若要允許來自已連線組織的外部目錄中的用戶能夠要求目錄中的存取套件,外部使用者的目錄設定必須設定為 [是]。 變更此設定可以由目錄的系統管理員或目錄擁有者完成。
- 存取套件也必須為不在目錄中的用戶設定原則。 此原則可由目錄的系統管理員、目錄擁有者或存取套件管理員建立。
- 具有該原則的存取套件可讓用戶在範圍中要求存取權,包括尚未在您的目錄中的使用者。 如果其要求已核准,或不需要核准,則會自動將使用者新增至您的目錄。
- 如果原則設定為 [ 所有使用者],且使用者不屬於現有已連線組織的一部分,則會自動建立新的建議連線組織。 您可以 檢視已連線的組織 清單,並移除不再需要的組織。
您也可以設定當權利管理帶來的外部用戶遺失其最後一個指派給任何存取套件時,會發生什麼事。 您可以在管理外部使用者的生命週期的設定中封鎖他們登入此目錄,或移除其來賓帳戶。
限制委派的系統管理員為不在目錄中的用戶設定原則
您可以藉由將來賓邀請設定變更為特定系統管理員角色,防止不在系統管理角色中的使用者邀請個別來賓、外部共同作業設定,並將 [啟用來賓自助式註冊] 設定為 [否]。
若要防止委派的使用者設定權利管理,讓外部使用者要求外部共同作業,請務必將此限制式傳達給所有全域系統管理員、身分識別控管系統管理員、目錄建立者和目錄擁有者,因為他們能夠變更目錄,因此他們不會不小心允許新或更新目錄中的新共同作業。 他們應該確保目錄已設定 為 [為外部使用者 啟用] 設定為 [否],且沒有任何存取套件搭配原則,可讓使用者不在目錄中要求。
您可以在 Microsoft Entra 系統管理中心檢視目前為外部使用者啟用的目錄清單。
以至少身分識別治理 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>目錄]。
將 [為外部用戶啟用] 的篩選設定變更為 [是]。
如果其中任何一個目錄具有非零數目的存取套件,這些存取套件可能會有非目錄中用戶的原則。
以程序設計方式管理權利管理角色的角色指派
您也可以使用 Microsoft Graph 來檢視及更新目錄建立者和權利管理目錄特定角色指派。 具有委派 EntitlementManagement.ReadWrite.All 許可權的應用程式具有適當角色的使用者,可以呼叫 Graph API 來 列出權利管理的角色定義 ,以及 列出角色指派 給這些角色定義。
例如,若要檢視已指派特定使用者或群組的權利管理特定角色,請使用 Graph 查詢來列出角色指派,並提供使用者或群組的標識碼做為查詢篩選的值 principalId ,如同 in
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq '10850a21-5283-41a6-9df3-3d90051dd111'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
對於目錄特定的角色, appScopeId 回應中的 會指出用戶獲指派角色的目錄。 此回應只會擷取該主體在權利管理中對角色的明確指派,它不會傳回透過目錄角色擁有訪問許可權的使用者,或透過指派給角色之群組的成員資格來傳回結果。