权利管理中的常见方案

可以通过多种方式配置组织的权利管理。 但是,如果你刚开始使用,了解适用于管理员、目录所有者、访问包管理者、审批者和请求者的常见方案会很有帮助。

委托

管理员:委托资源管理权

  1. 观看视频:从 IT 委托到部门经理
  2. 将用户委托到目录创建者角色

目录创建者:委托资源管理权

目录所有者:委托资源管理权

  1. 将共同所有者添加到目录
  2. 将资源添加到目录

目录所有者:委托访问包的管理

  1. 观看视频:从目录所有者委托到访问包管理者
  2. 将用户委托到访问包管理者角色

管控组织中用户的访问权限

管理员:自动分配员工访问权限

  1. 创建新的访问包
  2. 将组、团队、应用程序或 SharePoint 站点添加到访问包
  3. 添加自动分配策略

管理员:通过生命周期工作流分配员工访问权限

  1. 创建新的访问包
  2. 将组、团队、应用程序或 SharePoint 站点添加到访问包
  3. 添加直接分配策略
  4. 将一项任务“请求用户访问包分配”添加到用户加入时的工作流
  5. 将一项任务“移除用户访问包分配”添加到用户离开时的工作流

访问包管理者:允许组织中的员工请求资源的访问权限

  1. 创建新的访问包
  2. 将组、团队、应用程序或 SharePoint 站点添加到访问包
  3. 添加请求策略以允许目录中的用户请求访问权限
  4. 指定过期设置

请求者:请求对资源的访问权限

  1. 登录到“我的访问权限”门户
  2. 查找访问包
  3. 请求访问权限

审批者:审批对资源的请求

  1. 在“我的访问权限”门户中打开请求
  2. 批准或拒绝访问请求

请求者:查看你已有权访问的资源

  1. 登录到“我的访问权限”门户
  2. 查看活动访问包

管控组织外部用户的访问权限

管理员:与外部合作伙伴组织协作

  1. 了解外部用户访问权限的工作方式
  2. 查看外部用户的设置
  3. 添加与外部组织的连接

访问包管理者:与外部合作伙伴组织协作

  1. 创建新的访问包
  2. 将组、团队、应用程序或 SharePoint 站点添加到访问包
  3. 添加请求策略以允许不在目录中的用户请求访问权限
  4. 指定过期设置
  5. 复制用于请求访问包的链接
  6. 将该链接发送到外部合作伙伴联系人,以便与其用户共享

请求者:以外部用户身份请求资源的访问权限

  1. 查找从联系人收到的访问包链接
  2. 登录到“我的访问权限”门户
  3. 请求访问权限

审批者:审批对资源的请求

  1. 在“我的访问权限”门户中打开请求
  2. 批准或拒绝访问请求

请求者:查看你已有权访问的资源

  1. 登录到“我的访问权限”门户
  2. 查看活动访问包

日常管理

管理员:查看提议和配置的已连接组织

  1. 查看所连接组织的列表

访问包管理者:更新项目的资源

  1. 观看视频:日常管理:事情已变化
  2. 打开访问包
  3. 添加或删除组、团队、应用程序或 SharePoint 站点

访问包管理者:更新项目的持续时间

  1. 观看视频:日常管理:事情已变化
  2. 打开访问包
  3. 打开生命周期设置
  4. 更新过期设置

访问包管理者:更新审批项目访问权限的方式

  1. 观看视频:日常管理:事情已变化
  2. 打开现有策略的请求设置
  3. 更新审批设置

访问包管理者:更新项目人员

  1. 观看视频:日常管理:事情已变化
  2. 删除不再需要访问权限的用户
  3. 打开现有策略的请求设置
  4. 添加需要访问权限的用户

访问包管理者:将特定用户直接分配到访问包

  1. 如果用户需要不同的生命周期设置,请将新策略添加到访问包
  2. 将特定用户直接分配到访问包

分配和报表

管理员:查看给谁分配了访问包

  1. 打开访问包
  2. 查看分配
  3. 将报表和日志存档

管理员:查看分配给用户的资源

  1. 查看用户的访问包
  2. 查看用户的资源分配

编程管理

你也可以使用 Microsoft Graph 来管理访问包、目录、策略、请求和分配。 相应角色中的用户通过具有委托的 EntitlementManagement.Read.AllEntitlementManagement.ReadWrite.All 权限的应用程序可以调用权利管理 API。 有关详细信息,请参阅教程:管理对资源的访问 - Microsoft Graph。 具有 EntitlementManagement.Read.AllEntitlementManagement.ReadWrite.All 应用程序权限的应用程序也可使用其中许多 API 函数,只是不能管理目录和访问包中的资源。 只需在特定目录中运行的应用程序可以添加到目录的“目录所有者”或“目录读取者”角色,以获得在该目录中进行更新或读取的授权

后续步骤