分享方式:


使用 Microsoft Entra 權利管理來管理外部存取

使用權利管理功能來管理身分識別與存取生命週期。 您可以自動執行存取要求工作流程、存取指派、檢閱和到期。 委派的非管理員會使用權利管理來建立存取套件,讓其他組織的外部使用者可以要求存取。 您可以設定一和多個階段的核准工作流程來評估要求,並使用週期性檢閱來佈建使用者,以獲得限時的存取權。 針對以原則為基礎的外部帳戶佈建和取消佈建使用權利管理。

深入了解:

開始之前

本文是一系列 10 篇文章中的第 6 篇文章。 建議您依序檢閱文章。 移至後續步驟一節,以查看整個系列。

啟用權利管理

下列重要概念對瞭解權利管理相當重要。

存取套件

存取套件是權利管理的基礎:原則控管資源的分組可讓使用者在專案上共同作業或執行其他工作。 例如,存取套件可能包括:

  • 存取 SharePoint 網站
  • 企業應用程式,包括您的自訂內部和軟體即服務 (SaaS) 應用程式,例如 Salesforce
  • Microsoft Teams
  • Microsoft 365 群組

目錄

存取套件位於目錄。 當您想要將相關的資源和存取套件進行分組,並委派其管理時,您要建立目錄。 首先,將資源新增至目錄,接下來便可將資源新增至存取套件。 例如,您可以建立財務目錄,並將其管理委派給財務小組的成員。 該人員可以新增資源、建立存取套件,以及管理存取核准。

深入了解:

下圖顯示外部使用者存取具有到期日存取套件的典型治理生命週期。

外部使用者治理週期的圖表。

自助外部存取

您可以透過 Microsoft Entra 我的存取權入口網站來提供存取套件,讓外部使用者得以要求存取權。 原則會決定可以要求存取套件的人員。 請參閱在權利管理中要求存取套件的存取權

您可以指定允許可以要求存取套件的人員:

核准

存取套件可包括強制核准存取。 核准可以是單一或多階段,並由原則決定。 如果內部和外部使用者都需要存取相同的套件,您可以針對已連線組織的類別和針對內部使用者設定存取原則。

重要

為外部使用者實作核准程序。

到期

存取套件可以包含到期日或您為存取設定的天數。 當存取套件到期而且存取結束時,就可以刪除或封鎖代表使用者登入的 B2B 來賓使用者物件。 建議您針對外部使用者強制執行存取套件的到期日。 並非所有存取套件都有到期日。

重要

對於沒有到期日的套件,請執行一般存取權檢閱。

存取權檢閱

存取套件可能需要定期存取權檢閱,這需要套件擁有者或受指派者證明使用者需要持續存取。 請參閱使用存取權檢閱來管理來賓存取權

在您設定檢閱之前,請先決定下列準則:

  • 何人
    • 持續存取的準則
    • 審閱者
  • 頻率
    • 內建選項為每月、每季、每半年或每年
    • 針對支援外部存取的套件,建議您選擇每季或更頻繁的檢閱

重要

存取套件檢閱會檢查透過權利管理授與的存取權。 設定其他程序,以檢閱權利管理以外的外部使用者存取權。

深入了解:規劃 Microsoft Entra 存取權檢閱部署

使用權利管理自動化

外部存取治理建議

最佳作法

我們建議下列做法,使用權利管理來治理外部存取。

身分識別控管 - 設定

當使用者的存取套件到期時,使用身分識別控管 - 設定來移除目錄中的使用者。 下列設定適用於使用權利管理上線的使用者。

管理外部使用者生命週期之設定和項目的螢幕擷取畫面。

委派目錄和套件管理

您可以將目錄和套件管理委派給較了解誰應該存取的商務擁有者。 請參閱權利管理中的委派和角色

角色和系統管理員下選項和項目的螢幕擷取畫面。

強制執行存取套件到期

您可以強制執行外部使用者的存取到期。 請參閱在權利管理中變更存取套件的生命週期設定

到期的選項和項目螢幕擷取畫面。

  • 針對以專案為基礎的存取套件結束日期,請使用 [開始日期] 來設定日期。
    • 否則,我們建議到期時間不超過 365 天,除非是多年專案
  • 允許使用者延期存取權
    • 要求核准以授與延期

強制執行來賓存取套件檢閱

您可以強制執行來賓存取套件的檢閱,以避免來賓的不當存取。 請參閱使用存取權檢閱來管理來賓存取權

新增存取套件下選項和項目的螢幕擷取畫面。

  • 強制執行每季檢閱
  • 對於合規性相關專案,請將檢閱者設定為檢閱者,而不是針對外部使用者進行自我檢閱。
    • 您可以使用存取套件管理員作為檢閱者
  • 對於較不敏感的專案,使用者自我檢閱可降低從不再與組織合作的使用者移除存取權的負擔。

深入了解:在權利管理中管理外部使用者的存取權

下一步

使用以下一系列文章來了解如何保護資源的外部存取。 建議您遵循列出的順序。

  1. 使用 Microsoft Entra ID 判斷外部存取安全性態勢

  2. 探索您目前組織中外部共同作業的狀態

  3. 建立外部資源存取的安全性方案

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的群組保護外部存取的安全性

  5. 使用 Microsoft Entra B2B 共同作業來轉換為受控的共同作業

  6. 使用 Microsoft Entra 權利管理來管理外部存取 (您在這裡)

  7. 使用條件式存取原則管理外部資源存取

  8. 使用敏感度標籤控制對 Microsoft Entra ID 中的外部資源存取

  9. 使用 Microsoft Entra ID 保護對 Microsoft Teams、SharePoint 和商務用 OneDrive 的外部存取

  10. 將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶