权利管理是什么?
权利管理是一种标识治理功能,通过自动执行访问请求工作流、访问分配、审核和过期,使组织能够大规模管理标识和访问生命周期。
组织内部人员需要访问各种组、应用程序和 SharePoint Online 站点来执行他们的工作。 随着需求的变化,管理此访问颇有难度。 添加了新的应用程序或用户需要更多访问权限。 当与外部组织协作时,这种情况会变得更加复杂。 你可能不知道另一组织中的哪些人需要访问你的组织的资源,他们可能也不知道你的组织正在使用哪些应用程序、组或站点。
权利管理可帮助你更加高效地管理内部用户及需要访问这些资源的组织外部的用户对组、应用程序和 SharePoint Online 站点的访问权限。
为什么要使用权利管理?
企业组织在管理员工对资源的访问时经常面临挑战,例如:
- 用户可能不知道他们应该具有哪些访问权限,即使知道,他们也可能很难找到相应的人员来审批他们的访问权限
- 用户设法获得对某一资源的所需访问权限后,他们可能会将该访问权限保留很长一段时间,从而超出业务目的所需的时长
对于需要从其他组织进行访问的用户(例如来自供应链组织或其他业务合作伙伴的外部用户)而言,问题会变得更加复杂。 例如:
- 没有人可能知晓其他组织目录中的所有特定个人,因此有可能无法邀请到他们
- 即使他们能够邀请这些用户,但该组织中可能没有人会记得以一致地方式管理用户的全部访问权限
权利管理可以帮助解决这些难题。 要详细了解客户如何使用权利管理,请阅读 Mississippi Division of Medicaid、Storebrand、Nippon Express Co., Ltd 和 Microsoft 数字安全和弹性团队案例研究。 此视频概述了权利管理及其价值:
可以使用权利管理做什么?
以下是权利管理的一些功能:
- 通过多阶段批准控制谁可以访问应用程序、组、Teams 和 SharePoint 网站,并确保用户不会通过限时分配和定期访问评审无限期地保留访问权限。
- 根据用户的属性(如部门或成本中心)自动授予用户访问这些资源的权限,并在这些属性更改时移除用户的访问权限。
- 将创建访问包的功能委托给非管理员。 这些访问包包含用户可以请求的资源,并且接受委托的访问包管理员可以使用用户可以请求的规则来定义策略、谁必须审批其访问权限以及访问权限到期时间。
- 选择哪些已连接的组织的用户可以请求访问权限。 当目录外的用户请求访问权限并获得批准后,系统将自动邀请他们进入目录并为其分配访问权限。 当他们的访问权限到期时,如果他们没有收到其他访问包分配,可以自动删除他们在你的目录中的 B2B 帐户。
注意
如果你已准备好试用权利管理,可以从关于创建你的第一个访问包的教程开始。
还可以阅读常见方案或观看视频,包括
什么是访问包,可使用它们管理哪些资源?
权利管理引入了“访问包”的概念。 访问包是包含用户在处理项目或执行其任务时所需的访问权限的所有资源的捆绑包。 访问包可用于管理员工的访问,还可用于管理来自组织外部的用户的访问。
以下是可以使用权利管理来管理用户对其访问权限的资源类型:
- Microsoft Entra 安全组的成员身份
- Microsoft 365 组和团队的成员身份
- 分配到 Microsoft Entra 企业应用程序的内容,包括 SaaS 应用程序和支持联合/单一登录和/或预配的自定义集成应用程序
- SharePoint Online 站点的成员身份
你还可以控制对依赖于 Microsoft Entra 安全组或 Microsoft 365 组的其他资源的访问权限。 例如:
- 可以通过在访问包中使用 Microsoft Entra 安全组,并为该组配置基于组的许可,为用户提供 Microsoft 365 许可证。
- 可以通过在访问包中使用 Microsoft Entra 安全组,并为该组创建 Azure 角色分配,为用户提供管理 Azure 资源的权限。
- 可通过后列方式授予用户管理 Microsoft Entra 角色的权限:使用可向其分配访问包中 Microsoft Entra 角色的组并将 Microsoft Entra 角色分配给该组。
如何控制谁获得访问权限?
使用访问包时,管理员或受委托的访问包管理员会列出资源(组、应用和站点)以及用户需要用于这些资源的角色。
访问包还包括一个或多个策略。 策略定义分配给访问包的规则或防护措施。 可以使用每个策略来确保只有适当的用户才能获得访问权限分配,并且访问权限有时间限制,如果不续订,则会过期。
你可以设置允许用户请求访问权限的策略。 在这些类型的策略中,管理员或访问包管理员定义以下项:
- 已有的用户(通常为员工或已邀请的来宾)或可以请求访问权限的来自合作伙伴组织的外部用户
- 审批流程以及可以批准或拒绝访问的用户
- 用户的访问权限分配在获得批准后、分配到期之前的持续时间
还可以通过策略为用户分配访问权限,可以是由管理员分配、根据规则自动分配,也可以是通过生命周期工作流分配。
下图显示了权利管理中不同元素的示例。 其中显示了一个包含两个示例访问包的目录。
- 访问包 1 中只有一个组,并充当资源。 它通过一个策略定义访问权限,该策略允许目录中的一组用户请求访问权限。
- 访问包 2 包含组、应用程序和 SharePoint Online 站点作为资源。 它通过两个不同策略定义访问权限。 第一个策略允许目录中的一组用户请求访问权限。 第二个策略允许外部目录中的用户请求访问权限。
应在何时使用访问包?
访问包并不能取代其他的访问分配机制。 它们最适合用于如下所述的情况:
- 将访问策略定义从第三方企业角色管理迁移到 Microsoft Entra ID。
- 用户需要限时的访问权限来执行特定任务。 例如,你可以使用基于组的许可和动态组来确保所有员工都有 Exchange Online 邮箱,然后在员工需要更多访问权限的情况下使用访问包。 例如,从其他部门读取部门资源的权限。
- 访问权限需要员工经理或其他制定人员的批准。
- 在组织的特定部分中的人员担任该工作角色期间应自动为其分配,但还允许组织的其他地方或业务合作伙伴组织中的人员请求的访问权限。
- 部门希望自己管理自己的资源访问策略,不希望 IT 参与。
- 两个或多个组织在一个项目上进行协作,因此,需要通过 Microsoft Entra B2B 引入一个组织中的多个用户,使其能够访问其他组织的资源。
如何委托访问权限?
在名为 catalogs 的容器中定义访问包。 可以为所有访问包使用单个目录,也可以指定某些个人来创建并拥有其自己的目录。 管理员可以将资源添加到任何目录,但非管理员只能将自己拥有的资源添加到目录。 目录所有者可以将其他用户添加为目录共同所有者或访问包管理员。 可通过权利管理中的委托和角色一文进一步了解这些场景。
术语摘要
为了更好地理解权利管理及其文档,可以参考以下术语列表。
Term | 说明 |
---|---|
访问包 | 团队或项目所需的且受策略约束的资源的捆绑包。 访问包始终包含在目录中。 对于用户需要请求访问权限的场景,需要创建一个新的访问包。 |
访问请求 | 请求访问访问包中的资源的请求。 通常会为请求执行审批工作流。 如果获得批准,请求的用户将收到访问包分配。 |
分配 | 向用户分配访问包可确保该用户具有该访问包的所有资源角色。 访问包分配通常具有时间限制,也即会过期。 |
目录 | 相关资源和访问包的容器。 目录用于委托,以便非管理员可以创建自己的访问包。 目录所有者可以将其拥有的资源添加到目录。 |
目录创建者 | 有权创建新目录的用户的集合。 当已获授权成为目录创建者的非管理员用户创建新目录时,他们将自动成为该目录的所有者。 |
连接的组织 | 你与之有关联的外部 Microsoft Entra 目录或域。 可以在策略中将连接的组织中的用户指定为有权请求访问权限。 |
policy | 定义访问生命周期的一组规则,例如用户获取访问权限的方式、可以审批的人员以及用户通过分配具有的访问权限时长。 策略会链接到访问包。 例如,访问包可以有两个策略,一个用于员工请求访问权限,另一个用于外部用户请求访问权限。 |
resource | 一种资产(例如 Office 组、安全组、应用程序或 SharePoint Online 站点),包含可向用户授予(相应角色权限)的角色。 |
资源目录 | 包含一个或多个可共享的资源的目录。 |
资源角色 | 与资源关联并由资源定义的权限的集合。 组具有两种角色 - 成员和所有者。 SharePoint 站点通常具有三种角色,但也可能具有其他自定义角色。 应用程序可以具有自定义角色。 |
许可要求
此功能要求提供组织用户的 Microsoft Entra ID 治理或 Microsoft Entra 套件订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。 有关详细信息,请参阅每项功能的相关文章。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
后续步骤
- 如果希望使用 Microsoft Entra 管理中心来管理对资源的访问,请参阅教程:管理对资源的访问 - Microsoft Entra。
- 如果希望使用 Microsoft Graph 管理对资源的访问,请参阅教程:管理对资源的访问 - Microsoft Graph
- 常见方案