教學課程:管理權利管理中資源的存取權

  • 文章

管理所有員工所需的資源存取權,例如群組、應用程式和網站,對於組織而言是一項重要功能。 您想要授與員工所需的適當存取層級,並在不再需要存取權時移除其存取權。

在本教學課程中,您會以IT系統管理員身分使用 Woodgrove Bank。 系統要求您為營銷活動建立一組資源,供內部使用者用來進行自助式要求。 要求不需要核准,且使用者的存取權會在 30 天后到期。 在本教學課程中,行銷活動資源只是單一群組的成員資格,但可能是群組、應用程式或SharePoint Online 網站的集合。

Diagram that shows the scenario overview.

在本教學課程中,您會了解如何:

  • 使用群組作為資源建立存取套件
  • 允許目錄中的使用者要求存取權
  • 示範內部使用者如何要求存取套件

如需部署 Microsoft Entra 權利管理程式的逐步示範,包括建立您的第一個存取套件,請觀看下列影片:

本文的其餘部分會使用 Microsoft Entra 系統管理中心來設定及示範權利管理。

必要條件

若要使用權利管理,您必須擁有下列其中一個授權:

  • Microsoft Entra ID P2 或 Microsoft Entra ID 控管
  • Enterprise Mobility + Security (EMS) E5 授權

如需詳細資訊,請參閱 授權需求

步驟 1:設定使用者和群組

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

資源目錄有一或多個要共用的資源。 在此步驟中,您會在 Woodgrove Bank 目錄中建立名為 Marketing 資源的 群組,該群組是權利管理的目標資源。 您也會設定內部要求者。

必要角色:全域管理員或身分識別治理 管理員 istrator

Diagram that shows the users and groups for this tutorial.

  1. 以至少身分識別治理 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至身分識別治理>權利管理>存取套件。

  3. 建立兩個使用者。 使用下列名稱或不同的名稱。

    名稱 目錄角色
    管理員 1 全域管理員或 Identity Governance 管理員 istrator。 此使用者可以是您目前登入的使用者。
    Requestor1 User

  4. 建立名為 Marketing 資源的 Microsoft Entra 安全組,其成員資格類型為 Assigned 此群組是權利管理的目標資源。 群組應該是要啟動的成員空白。

步驟 2:建立存取套件

存取套件是小組或專案需要且受原則控管的資源組合。 存取套件定義於稱為 目錄的容器中。 在此步驟中,您會在一般目錄中建立營銷活動存取套件。

必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator、Catalog owner 或 Access 套件管理員

Diagram that describes the relationship between the access package elements.

  1. 以至少身分識別治理 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>權利管理>存取] 套件。

  3. 在 [ 存取套件] 頁面上,開啟存取套件。

  4. 如果您在看到拒絕存取時開啟存取套件,請確定目錄中有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權。

  5. 選取 [ 新增存取套件]。

    Screenshots that shows how to create an access package.

  6. 在 [基本] 索引標籤上,輸入 [營銷活動存取套件] 名稱,並描述行銷活動資源的存取權

  7. 將 [ 目錄 ] 下拉式清單保留為 [ 一般]。

    Screenshot showing how to set the basic of the access policy.

  8. 選取 [下一步 ] 以開啟 [ 資源角色] 索引標籤 。在此索引標籤上,選取要包含在存取套件中的資源和資源角色。 您可以選擇管理群組和小組、應用程式和 SharePoint Online 網站的存取權。 在此案例中,選取 [ 群組和 Teams]。

    Screenshot showing how to select groups and teams.

  9. 在 [ 選取群組 ] 窗格中,尋找並選取您稍早建立的 營銷資源 群組。

    根據預設,您會在一般目錄內看到群組。 當您選取 [一般] 目錄外部的群組時,可以看到您是否核 取 [查看所有 ] 複選框,它會新增至 [一般] 目錄。

    Screenshot that shows how to select the groups

  10. 選擇 [ 選取 ] 將群組新增至清單。

  11. 在 [ 角色] 下拉式清單中,選取 [ 成員]。 如果您選取 [擁有者] 角色,它可讓使用者新增或移除其他成員或擁有者。 如需選取資源適當角色的詳細資訊,請參閱 新增資源角色

    Screenshot the shows how to select the member role.

    重要

    新增至存取套件的角色可指派群組將會使用可指派給角色的子類型來指出。 如需詳細資訊,請參閱 建立可指派角色的群組 一文。 請記住,一旦可指派角色的群組出現在存取套件目錄中,能夠管理權利管理的系統管理使用者,包括全域 管理員 istrator 角色中的使用者、身分識別治理 管理員 istrator 角色中的使用者,以及目錄的目錄擁有者,將能夠控制目錄中的存取套件, 允許他們選擇可新增至這些群組的人員。 如果您沒有看到想要新增或無法新增的角色指派群組,請確定您擁有執行這項作業所需的 Microsoft Entra 角色和權利管理角色。 您可能需要要求具有必要角色的人員將資源新增至您的目錄。 如需詳細資訊,請參閱 將資源新增至目錄的必要角色。

    注意

    使用 動態群組 時,除了擁有者之外,您不會看到任何其他可用的角色。 這是原廠設定。 Screenshots that shows a dynamic group available roles.

  12. 選取 [下一步 ] 以開啟 [ 要求] 索引標籤。在 [要求] 索引標籤上,您可以建立要求原則。 原則會定義存取套件的規則或護欄。 您可以建立原則,以允許資源目錄中的特定使用者要求此存取套件。

  13. 在 [ 可要求存取 權的使用者] 區段中,選取 [針對目錄中 的使用者],然後選取 [ 特定使用者和群組]。

    Screenshot of the access package requests tab.

  14. 選取 [ 新增使用者和群組]。

  15. 在 [選取使用者和群組] 窗格中,選取您稍早建立的 Requestor1 使用者。

    Screenshot of select users and groups.

  16. 選擇 [ 選取 ] 將使用者新增至清單。

  17. 向下卷動至 [核准] 和 [啟用要求] 區段。

  18. 保留 [ 需要核准 ] 設定為 [否]。

  19. 針對 [ 啟用要求],選取 [ ] 以在建立存取套件后立即要求此存取套件。

  20. 如果您的組織已設定為接收已驗證的標識碼,您可以選擇設定存取套件,要求者提供已驗證的標識碼。 若要深入瞭解,請參閱: 在權利管理中設定存取套件的已驗證標識元設定 (預覽)

    Screenshot of the Verified ID picker selection.

  21. 選取 [下一步 ] 以開啟 [要求者資訊 ] 索引卷標。

    Screenshots of the requests tab approval and enable requests settings.

  22. 在 [ 要求者資訊 ] 索引標籤上,您可以提出問題,從要求者收集更多資訊。 問題會顯示在要求表單上,而且可以是必要或選擇性的。 在此案例中,您尚未要求包含存取套件的要求者資訊,因此您可以將這些方塊保留空白。 選取 [下一步 ] 以開啟 [ 生命週期] 索引標籤。

  23. 在 [ 生命週期] 索引標籤上,您可以指定使用者指派存取套件到期的時間。 您也可以指定使用者是否可以擴充其指派。 在 [到期]段中:

    1. [存取套件指派] 設定為 [天數]。
    2. 將 [指派] 設定為 30 天后到期
    3. 將 [使用者可以要求特定的時程表預設值] 保留為 []。
    4. 將 [ 需要存取權檢閱 ] 設定為 [否]。

    Screenshot of the access package lifecycle tab

  24. 略過 [自定義擴充 功能] 步驟。

  25. 選取 [下一步 ] 以開啟 [ 檢閱 + 建立] 索引卷標。

  26. 在 [ 檢閱 + 建立] 索引標籤上,選取 [ 建立]。 幾分鐘后,您應該會看到已成功建立存取套件的通知。

  27. 在營銷活動存取套件的左側功能表中,選取 [ 概觀]。

  28. 複製 [ 我的存取入口網站] 連結

    您將在下一個步驟中使用此連結。

    Screenshot that demonstrates how to copy the link to the access policy.

步驟 3:要求存取權

在此步驟中,您會以內部要求者身分執行步驟,並要求存取套件的存取權。 要求者使用稱為「我的存取」入口網站的網站提交其要求。 「我的存取權」入口網站可讓要求者提交存取套件的要求、查看他們已有存取權的存取套件,以及檢視其要求歷程記錄。 當新的來賓要求 MyAccess 中的存取套件時,其慣用語言會根據要求時間的 MyAccess 瀏覽器語言加上戳記。 這可讓新來賓以他們了解的語言接收電子郵件通訊。

必要條件角色: 內部要求者

  1. 註銷 Microsoft Entra 系統管理中心。

  2. 在新瀏覽器視窗中,流覽至您在上一個步驟中複製的 [我的存取入口網站] 連結。

  3. 以 Requestor1 身分 登入我的存取入口網站

    您應該會看到 營銷活動 存取套件。

  4. 在 [商務理由] 方塊中,輸入我正在處理新營銷活動的理由

    Screenshot of the My Access portal listing the access packages.

  5. 選取 [提交]

  6. 在左側功能表中,選取 [要求歷程記錄 ] 以確認您的要求已傳遞。 如需詳細資訊,請選取 [ 檢視]。

    Screenshot of the My Access portal request history.

步驟 4:驗證已指派存取權

在此步驟中,您會確認內部要求者已獲派存取套件,而且他們現在是 Marketing 資源群組的成員

必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator、Catalog owner 或 Access 套件管理員

  1. 註銷我的存取入口網站。

  2. 以 管理員 1 身分登入 Microsoft Entra 系統管理中心

  3. 流覽至身分識別治理>權利管理>存取套件。

  4. 尋找並選取 [營銷活動 存取套件]。

  5. 在左側功能表中,選取 [ 要求]。

    您應該會看到 Requestor1 和初始原則,狀態為 [已傳遞]。

  6. 選取要求以查看要求詳細數據。

    Screenshot of the access package request details.

  7. 在左側導覽中,選取 [ 身分識別]。

  8. 選取 [群組 ],然後開啟 [ 營銷資源 ] 群組。

  9. 選取 [成員]

    您應該會看到 Requestor1 列為成員。

    Screenshot shows the requestor one has been added to the marketing resources group.

步驟 5:清除資源

在此步驟中,您會移除所做的變更,並刪除 營銷活動 存取套件。

必要角色:全域 管理員 istrator 或 Identity Governance 管理員 istrator

  1. 在 Microsoft Entra 系統管理中心 身分識別治理中。

  2. 開啟營銷活動存取套件。

  3. 選取 [指派]

  4. 針對 Requestor1,選取省略號 [...],然後選取 [ 移除存取權]。 在出現的訊息中,選取 [ ]。

    幾分鐘后,狀態會從 [已傳遞] 變更為 [已過期]。

  5. 選取 [資源角色]。

  6. 針對 [ 營銷資源],選取省略號 (...),然後選取 [ 移除資源角色]。 在出現的訊息中,選取 [ ]。

  7. 開啟存取套件清單。

  8. 針對 [營銷活動],選取省略號 [...],然後選取 [ 刪除]。 在出現的訊息中,選取 [ ]。

  9. 在 [身分識別] 中,刪除您建立的任何使用者,例如 Requestor1管理員 1

  10. 刪除營銷資源群組。

下一步

前進到下一篇文章,以瞭解權利管理中的常見案例步驟。

常見案例