將組織角色模型遷移至Microsoft Entra ID 控管來管理存取權
角色型存取控制 (RBAC) 提供分類使用者和 IT 資源的架構。 此架構可讓您明確其關聯性,以及根據該分類所適用的存取權限。 例如,藉由指派給指定使用者職稱和專案指派的使用者屬性,使用者可以獲得使用者作業所需的工具存取權,以及使用者需要參與特定專案的資料。 當使用者假設不同的作業和不同的專案指派時,變更指定使用者職稱的屬性和專案會自動封鎖對使用者先前位置所需的資源存取。
在 Microsoft Entra ID 中,您可以使用數種方式使用角色模型,透過身分識別控管大規模管理存取權。
- 您可以使用存取套件來代表組織中的組織角色,例如「銷售代表」。 代表組織角色的存取套件會包含銷售代表在多個資源之間通常需要的所有存取權限。
- 應用程式 可以定義自己的角色 。 例如,如果您有銷售應用程式,且該應用程式在其資訊清單中包含應用程式角色 「salesperson」,則可以 在存取套件 中包含該應用程式資訊清單中的該角色。 應用程式也可以在使用者可以同時擁有多個應用程式特定角色的情況下,使用安全性群組。
- 您可以使用角色來 委派系統管理存取 權。 如果您有銷售所需的所有存取套件目錄,您可以指派某人負責該目錄,方法是指派目錄特定角色。
本文討論如何使用權利管理存取套件建立組織角色的模型,以便您將角色定義遷移至 Microsoft Entra ID 以強制執行存取。
移轉組織角色模型
下表說明您在其他產品中可能熟悉的組織角色定義概念如何對應至權利管理功能。
| 組織角色模型化的概念 | 權利管理中的標記法 |
|---|---|
| 委派的角色管理 | 委派給目錄建立者 |
| 跨一或多個應用程式的許可權集合 | 使用資源角色建立存取套件 |
| 限制角色提供的存取持續時間 | 將存取套件的原則生命週期設定設為到期日 |
| 角色的個別指派 | 建立存取套件的直接指派 |
| 根據屬性指派角色給使用者(例如其部門) | 建立存取套件的自動指派 |
| 使用者可以要求並核准角色 | 設定誰可以要求存取套件的原則設定 |
| 角色成員的存取權重新認證 | 在存取套件原則中設定週期性存取權檢閱設定 |
| 角色之間的職責區隔 | 將兩個或多個存取套件定義為不相容 |
例如,組織可能有類似下表的現有組織角色模型。
| 角色名稱 | 角色提供的許可權 | 自動指派給角色 | 以要求為基礎的角色指派 | 職責檢查的分離 |
|---|---|---|---|---|
| 售貨員 | 銷售 小組成員 | 是 | No | 無 |
| 銷售解決方案管理員 | Salesperson 和 Sales 應用程式中解決方案管理員 應用程式角色的許可權 | 無 | 銷售人員可以要求,需要經理核准和每季檢閱 | 要求者不能是 銷售帳戶管理員 |
| 銷售帳戶管理員 | Salesperson 和 Sales 應用程式中的帳戶管理員 應用程式角色許可權 | 無 | 銷售人員可以要求,需要經理核准和每季檢閱 | 要求不能是 銷售解決方案管理員 |
| 銷售支援 | 與 Salesperson 相同的許可權 | 無 | 任何非銷售人員都可以要求、需要經理核准和每季檢閱 | 要求者不能是 銷售人員 |
這可以在Microsoft Entra ID 控管中表示為包含四個存取套件的存取套件目錄。
| 存取套件 | 資源角色 | 原則 | 不相容的存取套件 |
|---|---|---|---|
| 售貨員 | 銷售 小組成員 | 自動指派 | |
| 銷售解決方案管理員 | Sales 應用程式中的解決方案管理員 應用程式角色 | 要求型 | 銷售帳戶管理員 |
| 銷售帳戶管理員 | Sales 應用程式中的帳戶管理員 應用程式角色 | 要求型 | 銷售解決方案管理員 |
| 銷售支援 | 銷售 小組成員 | 要求型 | 售貨員 |
下一節概述移轉程式、建立 Microsoft Entra 識別碼和Microsoft Entra ID 控管成品,以實作組織角色模型的對等存取。
連線應用程式,其許可權在組織角色中參考至 Microsoft Entra ID
如果您的組織角色用來指派控制非 Microsoft SaaS 應用程式、內部部署應用程式或您自己的雲端應用程式存取權的許可權,則您必須將應用程式連線到 Microsoft Entra ID。
若要讓代表組織角色的存取套件能夠將應用程式的角色視為要納入角色的許可權,對於具有多個角色並支援 SCIM 等新式標準的應用程式,您應該 將應用程式與 Microsoft Entra ID 整合,並確保應用程式的角色列在應用程式資訊清單中。
如果應用程式只有單一角色,則您仍 應將應用程式與 Microsoft Entra ID 整合。 對於不支援 SCIM 的應用程式,Microsoft Entra ID 可以將使用者寫入應用程式現有的目錄或 SQL 資料庫,或將 AD 使用者新增至 AD 群組。
填入應用程式和組織角色中使用者範圍規則所使用的 Microsoft Entra 架構
如果您的角色定義包含表單的語句「所有具有這些屬性值的使用者都會自動指派給角色」或「允許使用這些屬性值的使用者」,則您必須確保這些屬性存在於 Microsoft Entra ID 中。
您可以 擴充 Microsoft Entra 架構 ,然後透過 Microsoft Entra 連線或 Workday 或 SuccessFactors 等 HR 系統,從內部部署 AD 填入這些屬性。
建立委派的目錄
如果委派角色的持續維護,您可以為您要委派的組織每個部分建立目錄 ,以 委派存取套件的管理。
如果您有多個要建立的目錄,您可以使用 PowerShell 腳本來 建立每個目錄 。
如果您不打算委派存取套件的管理,則可以將存取套件保留在單一目錄中。
將資源新增至目錄
現在您已識別目錄,接著 將代表組織角色之存取套件中包含的應用程式、群組或網站 新增至目錄。
如果您有許多資源,您可以使用 PowerShell 腳本將 每個資源新增至目錄 。
建立對應至組織角色定義的存取套件
每個組織角色定義都可以使用該目錄中的 存取套件 來表示。
您可以使用 PowerShell 腳本在 目錄中 建立存取套件。
建立存取套件之後,您會將目錄中資源的一或多個角色連結至存取套件。 這代表組織角色的許可權。
此外,您將 建立直接指派 的原則,作為該存取套件的一部分,可用來追蹤已擁有個別組織角色指派的使用者。
建立現有個別組織角色指派的存取套件指派
如果您的部分使用者已經有組織角色成員資格,則他們不會透過自動指派接收,則您應該 為這些使用者建立直接指派 給對應的存取套件。
如果您有許多需要指派的使用者,您可以使用 PowerShell 腳本將 每個使用者指派給存取套件 。 這會將使用者連結到直接指派原則。
將原則新增至這些存取套件以進行自動指派
如果您的組織角色定義包含以使用者屬性為基礎的規則,以根據這些屬性自動指派和移除存取權,您可以使用自動指派原則 來表示。 存取套件最多可以有一個自動指派原則。
如果您有許多角色定義,每個角色定義都有一個角色定義,您可以使用 PowerShell 腳本在每個 存取套件中建立每個自動指派原則 。
將存取套件設定為不相容,以區分職責
如果您有職責限制區隔,以防止使用者在擁有另一個組織角色時採取一個組織角色,則您可以藉由 將這些存取套件組合標示為不相容 ,以防止使用者在權利管理中要求存取權。
針對要標示為與另一個不相容的每個存取套件,您可以使用 PowerShell 腳本將 存取套件設定為不相容 。
新增原則以存取允許使用者要求套件
如果尚未擁有組織角色的使用者可以要求並核准擔任角色,則您也可以設定權利管理以允許使用者要求存取套件。 您可以將 其他原則新增至存取套件 ,並在每個原則中指定哪些使用者可以要求,以及誰必須核准。
在存取套件指派原則中設定存取權檢閱
如果您的組織角色需要定期檢閱其成員資格,您可以在 要求型和直接指派原則中設定週期性存取權檢閱 。