教學課程:透過核准程序將外部使用者加入 Microsoft Entra ID
您可以透過權利管理的方式加入外部使用者。 此功能可讓外部使用者要求存取一組資源,而且您可以在使用者取得目錄的存取權之前,先在此功能設定核准機制。 若外部使用者是透過權利加入,您就可以透過存取套件管理其生命週期。 當他們的最後一個存取套件到期時,系統會從您的目錄中移除它們。
在本教學課程中,您的身分是 WoodGrove Bank 的 IT 系統管理員。 有人要求您建立存取套件,讓業務團隊合作的組織外部合作夥伴加入。 他們需要存取稱為 外部共同作業的Teams群組。 共同作業組織的內部贊助者需要核准。 此外,您知道合作夥伴存取權必須在 60 天後到期。 若要使用權利管理,您必須具有下列其中一個授權:
- Microsoft Entra ID P2 或 Microsoft Entra ID Governance
- Enterprise Mobility + Security (EMS) E5 授權
如需詳細資訊,請參閱授權需求。
步驟 1:設定基本資料
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可完成此工作的其他最低權限角色包括目錄擁有者、使用者管理員和存取套件管理員。
瀏覽至 [身分識別控管] > [權利管理] > [存取套件]。
若在選取存取套件時看到 [拒絕存取] 頁面,請確定目錄中有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權。
選取 [新增存取套件]。
在 [基本資料] 索引標籤上,輸入名稱外部使用者套件與描述外部使用者等待核准的存取權。
您可以保留 [目錄] 下拉式清單的 [一般] 設定。
步驟 2:設定資源
選取 [下一步] 以開啟 [資源角色] 索引標籤。
在此索引標籤上,您可以選取要包含在存取套件中的資源和資源角色。
選取 [群組與小組],並搜尋您的群組外部共同作業。
步驟 3:設定要求
選取 [下一步] 以開啟 [要求] 索引標籤。
在此索引標籤上,您會建立要求原則。 原則會定義存取套件的存取規則或準則。 您會建立允許資源目錄中的特定使用者要求此存取套件的原則。
在 [可要求存取的使用者] 區段中,選取 [不在您目錄中的使用者],然後選取 [所有使用者 (所有連線組織 + 任何新的外部使用者)]。
因為任何尚未在您目錄中的使用者都可以檢視並提交此存取套件的要求,所以 [需要核准] 設定必須為 [是]。
下列設定可讓您設定外部使用者的核准方式:
將 [Require requestor justification] \(需要要求者理由\) 保留為 [是]。
將 [How many stages] \(階段數目\) 保留為 [1]。
針對 [核准者案例],選取 [ 內部贊助者]。 此選項來自已設定的連線組織,您可以在其中贊助合作的特定組織。 這可讓您在組織中,將連線組織內的指定人員設定為核准者。
將 [Decision must be made in how many days?] \(必須在幾天內決定?\) 保留為 [14]。
將 [Require approver justification] \(需要核准者理由\) 保留為 [是]。
將 [Enable new requests and assignments] \(啟用新的要求與指派\) 設定為 [是],允許在建立此存取套件時立即予以要求。
步驟 4:設定要求者資訊
選取 [下一步] 以開啟 [要求者資訊] 索引標籤
在此畫面上,您可以提出額外的問題,以收集要求者的詳細資訊。 這些問題會顯示在其要求表單上,且可以設為必填或選填。 您可以暫時將其保留為空白。
步驟 5:設定生命週期
選取 [下一步] 以開啟 [生命週期] 索引標籤
在 [到期日] 區段中,將 [Access package assignment expire] \(存取套件指派到期\) 設定為 [天數]。
將 [指派有效期限] 設定為 [60] 天。 此欄位會決定您的來賓使用者何時必須更新其存取權。
您也可以設定 [存取權檢閱],以定期檢查來賓是否仍然需要存取套件的存取權。 檢閱可以是自我檢閱,或是您可以為此工作設定特定檢閱。 如需詳細資訊,請參閱存取權檢閱。
步驟 6:檢閱並建立存取套件
選取 [下一步] 以開啟 [檢閱 + 建立] 索引標籤。
在此畫面上,您可以先檢閱存取套件的設定,再加以建立。 若有任何問題,您可以使用索引標籤瀏覽至建立體驗中的某個點以進行編輯。
做好選擇後,請選取 [建立]。 幾分鐘後,您應該會看到已成功建立存取套件的通知。
建立之後,系統會將您帶到存取套件的 [ 概觀 ] 頁面。 您可以在此處找到我的存取權入口網站連結,並可在此複製值。 與您的外部使用者共用此連結,他們即可要求此套件以開始共同作業。
步驟 7:清理資源
在此步驟中,您可以刪除 [External user package] \(外部使用者套件\) 存取套件。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可完成此工作的其他最低權限角色包括存取套件管理員。
瀏覽至 [身分識別控管] > [權利管理] > [存取套件]。
開啟 [External user package] \(外部使用者套件\) 存取套件。
選取 [資源角色]。
選取您新增至此存取套件的 [外部共同作業] 群組,然後在 [詳細資料] 窗格中選取 [移除資源角色]。 在隨即出現的訊息中,選取 [是]。
開啟存取套件的清單。
針對 [External user package] \(外部使用者套件\),選取省略符號 (...),然後選取 [刪除]。 在隨即出現的訊息中,選取 [是]。
下一步
了解如何建立存取套件以管理其他資源類型 (例如應用程式與網站) 的存取權。 教學課程 - 管理權利管理中資源的存取權