权利管理是一项实体治理功能,通过自动化access请求工作流、access分配、评审和过期,组织能够大规模管理标识和access生命周期。
组织中的人员需要访问各种组、应用程序和SharePoint Online 网站才能执行其工作。 随着需求的变化,管理此access具有挑战性。 添加新应用程序或标识需要更多access权限。 当与外部组织协作时,这种情况会变得更加复杂。 你可能不知道组织中的谁需要access组织的资源,他们不知道组织正在使用的应用程序、组或站点。
权利管理可帮助你更高效地管理对内部标识的组、应用程序和SharePoint Online 网站的访问权限,以及组织外部需要访问这些资源的标识。 你也可以在预览版中使用权限管理,为代理ID分配组、API权限和角色。
为什么要使用权利管理?
管理员工access资源时,企业组织经常面临挑战,例如:
- 标识可能不知道他们、他们的直接报告或他们发起的代理应该拥有哪些access,即使他们这样做,他们也可能很难找到合适的个人来批准他们的access
- 发现和分配资源access后,标识可以保留access比业务需求所需的时间长
对于需要从另一个组织access的标识(例如来自供应链组织或其他业务合作伙伴的外部标识)而言,这些问题会复杂化。 例如:
- 没有人可能知晓其他组织目录中的所有特定个人,因此有可能无法邀请到他们
- 即使他们能够邀请这些标识,该组织中的任何人都可能记得一致地管理所有标识access
权利管理可以帮助解决这些难题。 若要详细了解客户如何使用权利管理,可以在 < Microsoft 案例研究中阅读医疗补助01>StorebrandDigital Security and Resilience 团队。 此视频概述了权利管理及其价值:
可以使用权利管理做什么?
以下是权利管理的一些功能:
- 通过多阶段审批,控制谁可以访问应用程序、组、Teams、SharePoint网站、SAP IAG 访问权限和其他资源,并确保标识不会通过时间限制的分配和定期访问评审无限期地保留访问权限。
- 根据部门或成本中心等标识属性自动向这些资源提供标识access,并在这些属性发生更改时删除标识的access。
- 为代理 ID 提供access所需的资源,并允许代理 ID 的发起人确保仅在需要时维护access。
- 委托给非管理员,能够创建access包。 这些access包包含标识可以请求的资源,委派access包管理器可以使用标识可以请求的规则来定义策略,谁必须批准其access,以及何时access过期。
- 选择其标识可以请求access的连接组织。 当目录中尚不存在的标识请求access并且获得批准时,它们将自动邀请到目录中并分配access。 当其access过期时,如果没有其他access包分配,则可以自动删除目录中的 B2B 帐户。
注意
如果已准备好尝试权利管理,可以使用我们的 tutorial get started创建第一个access包。
还可以阅读常见方案或观看视频,包括
什么是access包,以及可以使用它们管理哪些资源?
权利管理引入了 access 包的概念。 access包是包含标识access标识需要处理project或执行其任务的所有资源的捆绑包。 Access包可用于管理内部标识的access,以及来自组织外部的标识。
下面是可以使用权利管理来管理标识access的资源类型:
- Microsoft Entra安全组的成员身份
- Microsoft 365 组和 Teams 的成员身份
- 分配给Microsoft Entra企业应用程序,包括 SaaS 应用程序和支持联合/单一登录和/或预配的自定义集成应用程序
- SharePoint Online 网站的成员身份
- 使用代理 ID 或服务主体的代理的 API 权限,作为Microsoft Entra 智能体 ID的一部分预览版
- 预览版中 SAP IAG 业务角色和其他access权限
还可以控制对依赖于Microsoft Entra安全组或Microsoft 365 组的其他资源的访问。 例如:
- 可以使用访问包中的Microsoft Entra安全组为Microsoft 365提供标识许可证,并为该组配置基于组的许可。
- 可以通过在访问包中使用Microsoft Entra安全组并为该组创建Azure角色分配来授予标识管理Azure资源的权限。
- 可以使用可分配给访问包中Microsoft Entra角色的组,< >将Microsoft Entra角色分配给该组来授予标识访问权限来管理Microsoft Entra角色。
How do I控制谁得到access?
使用访问包时,管理员或委托的访问包管理器会列出资源(组、应用和站点、Microsoft Entra角色和 API 权限),以及标识对这些资源所需的角色。
Access包还包括一个或多个 policies。 策略定义分配给access包的规则或防护措施。 每个策略都可用于确保只有适当的标识能够进行access分配,并且access在未续订时限制为过期。
access 包和 policies 的 
可以为标识设置策略来请求access。 在这些类型的策略中,管理员或access package manager定义
- 已存在的标识(通常是员工或已邀请的来宾),或有资格请求access的外部标识的合作伙伴组织
- 审批过程和可以批准或拒绝access标识
- 在分配过期之前,标识的access分配的持续时间(一旦获得批准)
还可以通过管理员、
下图显示了权利管理中不同元素的示例。 它显示了一个目录,其中包含两个示例access包。
- Access包 1包含单个组作为资源。 Access是使用一个策略定义的,该策略允许目录中的一组标识请求access。
- Access 包 2包括组、应用程序和SharePoint Online 网站作为资源。 Access使用两个不同的策略定义。 第一个策略允许目录中的一组标识请求access。 第二个策略允许外部目录中的标识请求access。
何时应使用access包?
Access包不会替换用于access分配的其他机制。 它们最适合用于如下所述的情况:
- 将访问策略定义从第三方参与角色管理迁移到Microsoft Entra ID。
- 标识需要特定任务的限时access。 例如,可以使用基于组的许可和动态组来确保所有员工都有一个Exchange Online邮箱,然后对员工需要更多访问权限的情况使用访问包。 例如,从其他部门读取部门资源的权限。
- 需要批准人员经理或其他指定个人的Access。
- Access,在担任该职务期间,应自动分配给组织特定部分的人员,但也可以供组织中的其他地方或业务合作伙伴组织中的人员请求。
- 部门希望管理自己的资源access策略,而无需 IT 参与。
- 两个或多个组织正在对项目进行协作,因此,需要通过 Microsoft Entra B2B 引入一个组织中的多个标识才能访问另一个组织的资源。
How do I委托access?
Access包在名为 catalogs 的容器中定义。 可以为所有access包创建单个目录,也可以指定个人创建并拥有自己的目录。 管理员可以将资源添加到任何目录,但非管理员只能将自己拥有的资源添加到目录。 目录所有者可以将其他标识添加为目录共同所有者或access包管理器。 可通过权利管理中的委托和角色一文进一步了解这些场景。
术语摘要
为了更好地理解权利管理及其文档,可以参考以下术语列表。
| 术语 | 说明 |
|---|---|
| 访问包 | 团队或project需要且受策略管理的资源捆绑。 access包始终包含在目录中。 为标识需要自行请求access的方案创建新的access包。 |
| access请求 | 请求access access包中的资源。 通常会为请求执行审批工作流。 如果获得批准,请求标识将收到access包分配。 |
| 分配 | 将access包分配给标识可确保该标识具有该access包的所有资源角色。 Access包分配通常具有过期前的时间限制。 |
| 目录 | 相关资源和access包的容器。 目录用于委派,以便非管理程序可以创建自己的access包。 目录所有者可以将其拥有的资源添加到目录。 |
| 目录创建者 | 一组被授权创建新目录的身份。 当被授权成为目录创建者的非管理员身份创建新目录时,他们会自动成为该目录的所有者。 |
| 连接的组织 | 与外部Microsoft Entra目录或域有关系。 可以将已连接组织的标识指定在策略中,以允许请求access。 |
| 政策 | 定义access生命周期的一组规则,例如标识如何获取access、谁可以批准,以及他们通过分配access多长时间。 策略链接到access包。 例如,access包可以有两个策略-一个策略供员工请求access,另一个策略供外部标识请求access。 |
| 资源 | 资产(例如 Office 组、安全组、应用程序或 SharePoint Online 站点)具有可向其授予标识权限的角色。 |
| 资源目录 | 包含一个或多个可共享的资源的目录。 |
| 资源角色 | 与资源关联并由资源定义的权限的集合。 组具有两种角色 - 成员和所有者。 SharePoint站点通常具有三个角色,但可能具有其他自定义角色。 应用程序可以具有自定义角色。 |
许可要求
此功能需要组织的用户Microsoft Entra ID 治理或Microsoft Entra 套件订阅。 此功能中的某些功能可以使用 Microsoft Entra ID P2 订阅进行操作。 有关详细信息,请参阅每项功能的相关文章。 若要查找适合你的要求的许可证,请参阅 Microsoft Entra ID 治理 许可基础知识。
将代理分配到access包的许可证要求(预览版)
Microsoft Entra 智能体 ID是Microsoft Entra中的产品,提供用于创建和管理代理标识和代理标识蓝图的平台。 代理 ID 适用于所有Microsoft Entra客户。
与 Microsoft Agent 365 集成使代理能够跨Microsoft 365服务和企业工作流运行,这需要每个用户的 Microsoft Agent 365 许可证。 有关定价详细信息,请参阅 Microsoft Agent 365 计划和定价。
Microsoft Entra中为代理启用安全功能的技术要求需要 Microsoft 365 E5 或以下许可:
- 代理的常规访问:Microsoft Entra ID P1
- 代理的 ID 保护:Microsoft Entra ID P2
- 代理的ID 治理:Microsoft Entra ID P1
- 代理的Network 控件:Microsoft Entra Internet 访问,包含在Microsoft Entra 套件中或单独获得许可。 有关详细信息,请参阅 什么是全局安全访问。
后续步骤
- 如果有兴趣使用 Microsoft Entra 管理中心 管理对资源的访问,请参阅 Tutorial:管理对资源的访问 - Microsoft Entra。
- 如果有兴趣使用 Microsoft Graph 管理对资源的访问,请参阅 Tutorial:管理对资源的访问 - Microsoft Graph
- 常见方案