教學課程:管理權利管理中資源的存取權
對員工所需的各種資源 (例如群組、應用程式和網站) 進行存取管理,對組織而言是很重要的功能。 您想要為員工授與維持其生產力所需的存取權,並且在不再需要時移除其存取權。
在本教學課程中,您將以 IT 系統管理員身分為 Woodgrove Bank 工作。 公司要求您建立行銷活動的資源套件,供內部使用者用來進行自助式要求。 要求不需經過核准,且使用者的存取權會在 30 天後到期。 在本教學課程中,行銷活動資源只是單一群組中的成員資格,但它可能是群組、應用程式或 SharePoint Online 網站的集合。
在本教學課程中,您會了解如何:
- 透過群組建立存取套件作為資源
- 允許您目錄中的使用者要求存取權
- 示範內部使用者如何要求存取套件
如需部署 Microsoft Entra 權利管理的程序 (包括建立您的第一個存取套件) 的逐步示範,請觀看下列影片:
本文的其餘部分會使用 Microsoft Entra 系統管理中心來設定和示範權利管理的使用方式。
必要條件
若要使用權利管理,您必須具有下列其中一個授權:
- Microsoft Entra ID P2 或 Microsoft Entra ID Governance
- Enterprise Mobility + Security (EMS) E5 授權
如需詳細資訊,請參閱授權需求。
步驟 1:設定使用者和群組
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
資源目錄會有一或多個共用的資源。 在此步驟中,您會在 Woodgrove Bank 目錄中建立名為行銷資源的群組,作為權利管理的目標資源。 您也會設定內部要求者。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
建立兩個使用者。 使用下列名稱或不同的名稱。
名稱 目錄角色 Admin1 至少是身分識別治理管理員。 此使用者可以是您目前登入的使用者。 Requestor1 User 建立 Microsoft Entra 安全性群組,名為 [行銷資源],而成員資格類型為 [已指派]。 此群組是權利管理的目標資源。 此群組一開始應不含任何成員。
步驟 2:建立存取套件
存取套件是小組或專案所需且受原則管理的資源組合。 存取套件會定義在名為目錄的容器中。 在此步驟中,您會在一般目錄中建立 行銷資源存取套件。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在 [存取套件] 頁面上,開啟存取套件。
如果您在開啟存取套件時看到 [拒絕存取],請確定您的目錄中有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權。
選取 [新增存取套件]。
在 [基本] 索引標籤上,輸入名稱為行銷活動的存取套件和活動資源的存取權這項描述。
讓 [目錄] 下拉式清單設為 [一般]。
選取 [下一步] 以開啟 [資源角色] 索引標籤。在此索引標籤上,選取要包含在存取套件中的資源和資源角色。 您可以選擇管理對群組和小組、應用程式和 SharePoint Online 網站的存取。 在此案例中,選取 [群組和小組]。
在 [選取群組] 窗格中,尋找並選取您先前建立的 [行銷資源] 群組。
根據預設,您會看到 [一般] 目錄內部的群組。 當您選取 [一般] 目錄 (您勾選 [查看全部] 和取方塊時會看到) 外部的群組時,該群組會新增至 [一般] 目錄。
選擇 [選取] 將群組新增至清單。
在 [角色] 下拉式清單中,選取 [成員]。 如果您選取 [擁有者] 角色,其可讓使用者新增或移除其他成員或擁有者。 如需為資源選取適當角色的詳細資訊,請參閱新增資源角色。
重要
新增至存取套件的可指派角色群組,將會使用 [可指派給角色] 子類型來表示。 如需詳細資訊,請參閱建立可指派角色群組一文。 請記住,一旦在存取套件目錄出現角色可指派的群組後,有權在權利管理中進行管理的系統管理使用者 (包括全域管理員角色中的使用者、身分識別治理管理員角色中的使用者和目錄的目錄擁有者) 將能夠控制目錄中的存取套件。這意味著這些使用者將可以選擇哪些人員能被新增至這些群組。 如果您沒有看到想要新增的可指派角色群組,或無法新增,請確定您擁有必要的 Microsoft Entra 角色和權利管理角色,才能執行此作業。 您可能需要要求具有必要角色的人員將資源新增至您的目錄。 如需詳細資訊,請參閱將資源新增至目錄的必要角色。
注意
當您使用 組動態成員資格 時,您不會看到擁有者以外的其他任何角色。 這是原廠設定。
選取 [下一步] 以開啟 [要求] 索引標籤。在 [要求] 索引標籤上,您會建立要求原則。 原則會定義存取套件的存取規則或準則。 您會建立允許資源目錄中的特定使用者要求此存取套件的原則。
在 可要求存取權的使用者 區段中,選取 您目錄中的使用者,然後選取 特定使用者和群組。
選取 [新增使用者和群組]。
在 [選取使用者和群組] 窗格中,選取您先前建立的使用者 Requestor1。
選擇 [選取] 將使用者新增至清單。
向下捲動至 [核准] 和 [啟用要求] 區段。
保留 [需要核准] 設定為 [否]。
針對 [啟用要求] 選取 [是],以便在建立此存取套件時立即予以要求。
如果您的組織已設定為接收已驗證的識別碼,您可以選擇設定存取套件,要求要求者提供已驗證的識別碼。 若要深入了解,請參閱:在權利管理中設定存取套件的已驗證識別碼設定 (預覽)
選取 [下一步] 以開啟 [Requestor information] \(要求者資訊\) 索引標籤。
在 [要求資訊] 索引標籤上,您可以詢問問題,以收集要求者的詳細資訊。 問題會顯示在要求表單上,而且可以是必要或選擇性。 您也可以指定是否允許員工的主管代為提交請求,以及是否需要在此情況下進行批准。 如果政策允許主管代替員工提交請求,則主管將代表員工回答問題,而非以自己的身份作答。 如需此選項的詳細資訊,請參閱:代表其他使用者要求存取套件(預覽)。 在此案例中,系統尚未要求您包括存取套件的要求者資訊,因此您可以將這些方塊空白。 選取 [下一步] 以開啟 [生命週期] 索引標籤。
在 [生命週期] 索引標籤上,請指定使用者對存取套件的指派何時到期。 您也可以指定使用者是否可以將指派延期。 在 [到期] 區段中:
- 將 [存取套件指派到期] 設定為 [天數]。
- 將 [指派到期時間] 設定為 30 天。
- 將 [使用者可以要求特定時間軸] 預設值 設定為 [是]。
- 將 [需要存取權檢閱] 設定為 [否]。
略過 [自訂延伸模組] 步驟。
選取 [下一步] 以開啟 [檢閱 + 建立] 索引標籤。
在 [檢閱 + 建立] 索引標籤中,選取 [建立]。 幾分鐘後,您應該會看到已成功建立存取套件的通知。
在行銷活動存取套件的左側功能表中,選取 [概觀]。
複製我的存取權入口網站連結。
您將在下一個步驟使用此連結。
步驟 3:要求存取
在此步驟中,您會以內部要求者的身分執行步驟,並要求存取套件的存取權。 要求者會使用名為「我的存取權入口網站」的網站提交其要求。 「我的存取權入口網站」可讓要求者提交存取套件的要求、查看他們已有存取權的存取套件,以及檢視其要求歷程記錄。 當新的來賓要求 MyAccess 中的存取套件時,其慣用語言會根據要求時間的 MyAccess 瀏覽器語言加上戳記。 這可讓新來賓以他們了解的語言接收電子郵件通訊。
必要角色:內部要求者
登出 Microsoft Entra 系統管理中心。
在新的瀏覽器視窗中,瀏覽至您在上一個步驟中複製的「我的存取權入口網站」連結。
以 Requestor1 的身分登入「我的存取權入口網站」。
您應該會看到行銷活動存取套件。
在 [業務理由] 方塊中,輸入「我正在處理新行銷活動」的理由。
選取 [提交]。
在左側功能表中選取 [要求歷程記錄],以確認您的要求已傳遞。 如需其他詳細資料,請選取 [檢視]。
步驟 4:驗證存取已指派
在此步驟中,您將確認已為內部要求者指派存取套件,且其現在已是行銷活動群組的成員。
登出「我的存取權入口網站」。
以 Admin1 的身分登入 Microsoft Entra 系統管理中心,該身分至少是身分識別治理管理員。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
找出並選取行銷活動存取套件。
在左側功能表中,選取 [要求]。
您應該會看到 Requestor1,以及狀態為「已傳遞」的初始原則。
選取要求,以查看要求詳細資料。
在左側導覽中,選取 [身分識別]。
選取 [群組],然後開啟 [行銷資源] 群組。
選取 [成員]。
您應該會看到 Requestor1 列為成員。
步驟 5:清理資源
在此步驟中,您將移除先前所做的變更,並刪除行銷活動存取套件。
在 Microsoft Entra 系統管理中心以至少是身分識別治理管理員的身分選取 [身分識別治理]。
開啟行銷活動存取套件。
選取 [指派]。
針對 Requestor1,選取省略符號 (...),然後選取 [移除存取權]。 在隨即出現的訊息中,選取 [是]。
經過一些時間,狀態會從「已傳遞」變更為「已過期」。
選取 [資源角色]。
針對 [行銷資源],選取省略符號 (...),然後選取 [移除資源角色]。 在隨即出現的訊息中,選取 [是]。
開啟存取套件的清單。
針對 [行銷活動],選取省略符號 (...),然後選取 [刪除]。 在隨即出現的訊息中,選取 [是]。
在 [身分識別] 中,刪除您建立的任何使用者,例如 Requestor1 和 Admin1。
刪除行銷資源群組。
下一步
前往下一篇文章,以了解權利管理的常見案例步驟。