將存取控管委派給權利管理中的目錄建立者

目錄是資源和存取套件的容器。 當您想要將相關資源和存取套件分組時，您可以建立目錄。 根據預設，全域管理員或身分識別控管系統管理員可以 建立目錄，也可以將其他使用者新增為目錄擁有者。

注意

為遵循最低權限存取原則，建議您儘可能在權利管理中使用身分識別治理系統管理員角色。

組織可以使用三種方式委派目錄：

• 在試驗專案中開始使用時，身分識別治理系統管理員可以 建立 和管理目錄。 稍後，從試驗環境移至生產環境時，他們可以 將非管理者指派為目錄擁有者，讓這些使用者能夠繼續維護原則。
• 如果資源沒有擁有者，則系統管理員可以建立目錄、將這些資源新增至每個目錄，然後 將非管理者指派為目錄中的擁有者。 這樣可讓不是系統管理員，也不是資源擁有者的使用者管理自己對這些資源的存取原則。
• 如果資源具有擁有者，則系統管理員可以將使用者集合 (例如 All Employees 動態群組) 指派給目錄建立者角色，讓位於該群組和擁有資源的使用者可以為自己的資源建立目錄。

本文說明如何委派給非系統管理員的使用者，讓他們能建立自己的目錄。 您可以將這些使用者新增至 Microsoft Entra 權利管理定義的目錄建立者角色。 您可以新增個別使用者，也可以新增成員能建立目錄的群組。 建立目錄之後，您可以將他們所擁有的資源新增至其目錄。 他們可以建立存取套件和原則，包括參考現有 連線組織 的原則。

如果您有現有的目錄要委派，請繼續閱讀 建立和管理資源目錄 一文。

以 IT 管理員的身分，委派給目錄建立者

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

請遵循下列步驟，將使用者指派給目錄建立者角色。

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別治理]>[權利管理]>[設定]。

3. 選取編輯。

   

4. 在 [委派權利管理] 區段中，選取 [新增目錄建立者]，以選取您要委派此權利管理角色的使用者或群組。

5. 選取選取。

6. 選取 [儲存]。

允許受委派的角色存取 Microsoft Entra 系統管理中心

若要允許受委派的角色 (例如目錄建立者和存取套件管理員) 存取 Microsoft Entra 系統管理中心以管理存取套件，您應該檢查系統管理入口網站設定。

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[使用者]>[使用者設定]。

3. 請確定 [限制 Microsoft Entra 管理入口網站的存取權] 設定為 [否]。

   

以程式設計方式管理角色指派

您也可以使用 Microsoft Graph 來檢視及更新目錄建立者和權利管理目錄特定角色指派。 作為具有擁有委派 EntitlementManagement.ReadWrite.All 權限的應用程式的適當角色之使用者，可以呼叫 [圖形 API] 以 列出權利管理的角色定義，以及 列出那些角色定義的角色指派。

若要擷取指派給目錄建立者角色 (定義識別碼為 ba92d953-d8e0-4e39-a797-0cbedb0a89e8 的角色) 的使用者和群組清單，請使用 Graph 查詢：

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal

下一步

• 建立及管理資源的目錄
• 將存取治理委派給存取套件管理員
• 將存取治理委派給資源擁有者