分享方式:


在權利管理中設定存取套件的自動指派原則

您可以在 Microsoft Entra ID (Microsoft Entra 的一部分) 中,使用規則以根據使用者屬性來判斷存取套件指派。 在權利管理中,存取套件可以有多個原則,而且每個原則都會建立使用者取得存取套件指派的方式,以及多久時間。 您可以系統管理員身分提供成員資格規則來建立自動指派的原則,權利管理會遵循該原則來自動建立及移除指派。 類似於動態群組,建立自動指派原則時,系統會評估使用者屬性是否符合原則的成員資格規則。 當使用者的屬性變更時,就會針對成員資格變更處理存取套件中的這些自動指派原則規則。 然後,視使用者是否符合規則準則而定,新增或移除指派給使用者。

您最多可以在存取套件中擁有一個自動指派原則,而且原則只能由系統管理員建立。 (目錄擁有者和存取套件管理員無法建立自動指派原則。)

本文說明如何建立現有存取套件的存取套件自動指派原則。

開始之前

您需要再要指派存取範圍的使用者上填入屬性。 支援的屬性中所列的屬性,以及擴充屬性和自訂擴充屬性,是您可以在存取套件指派原則的規則準則中使用的屬性。 這些屬性可以藉由修補使用者SuccessFactorsMicrosoft Entra Connect 雲端同步處理Microsoft Entra Connect 同步等 HR 系統帶入 Microsoft Entra ID。每個原則最多可以包含 5,000 位使用者的規則。

授權需求

使用此功能需要 Microsoft Entra ID 控管授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基礎知識

建立自動指派原則

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

若要建立存取套件的原則,您必須從存取套件的原則索引標籤開始。請遵循下列步驟,為存取套件建立新的自動指派原則。

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[權利管理]>[存取套件]

  3. 在 [存取套件] 頁面上,開啟存取套件。

  4. 請選取 [原則],然後按一下 [新增自動指派原則],以建立新的原則。

  5. 您會在第一個索引標籤中指定規則。 選取編輯

  6. 使用成員資格規則產生器或按一下 [規則語法] 文字方塊中的 [編輯],提供動態成員資格規則。

    注意

    規則建立器可能無法顯示文字輸入框中建構的某些規則,而且您目前必須成為全域管理員角色才能驗證規則。 如需詳細資訊,請參閱 Microsoft Entra 系統管理中心的規則建立器

    存取套件自動指派原則規則設定的螢幕擷取畫面。

  7. 選取 [儲存] 以關閉動態成員資格規則編輯器。

  8. 根據預設,自動建立和移除指派的複選框應該保持核取狀態。

  9. 如果您希望使用者在超出範圍之後保留存取權一段時間,您能指定以小時或天數為單位的持續時間。 例如,當員工離職銷售部門時,您可以允許員工繼續保留存取權七天,讓他們能夠使用銷售應用程式,並將這些應用程式中資源的擁有權轉移給另一位員工。

  10. 選取 [下一步],以開啟 [自訂擴充功能] 索引標籤。

  11. 如果您的目錄中有您想要在原則指派或移除存取權時執行的自訂延伸模組,則可以將其新增至此原則。 然後選取下一步開啟 [檢閱] 索引標籤。

  12. 輸入原則的名稱和描述。

    存取套件自動指派原則檢閱索引標籤的螢幕擷取畫面。

  13. 選取 [建立] 以儲存原則。

    注意

    目前,權利管理會自動建立對應至每個原則的動態安全性群組,以評估範圍內的使用者。 除了權利管理本身之外,不應該修改這個群組。 此群組也可會由權利管理自動修改或刪除,因此請勿將此群組用於其他應用程式或案例。

  14. Microsoft Entra ID 會評估組織中屬於此規則範圍內的使用者,並為尚未指派至存取套件的使用者建立指派。 原則在其規則中最多可以包含 5,000 位使用者。 或許需要幾分鐘的時間才會進行評估,或後續更新使用者的屬性才會反映在存取套件指派中。

以程式設計方式建立自動指派原則

有兩種方式可以透過 Microsoft Graph 和 Microsoft PowerShell Cmdlet,以程式設計方式建立自動指派的存取套件指派原則。

透過 Graph 建立存取套件的指派原則

您可以使用 Microsoft Graph 來建立原則。 如果使用者具有適當的角色,能夠使用已委派 EntitlementManagement.ReadWrite.All 權限的應用程式,或是目錄角色中或具有 EntitlementManagement.ReadWrite.All 權限的應用程式,則可呼叫建立 assignmentPolicy API。 在您的要求承載中,包含原則的 displayNamedescriptionspecificAllowedTargetsautomaticRequestSettingsaccessPackage 屬性。

透過 PowerShell 建立存取套件的指派原則

您可以在 PowerShell 中,使用來自適用於 Identity Governance 的 Microsoft Graph PowerShell Cmdlet 模組版本 1.16.0 或更新版本的 Cmdlet 來建立原則。

下列文本說明如何使用 v1.0 設定檔來建立自動指派存取套件的原則。 如需更多範例,請參閱建立 assignmentPolicy

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

下一步