針對權利管理進行疑難排解
本文說明您應該檢查的一些專案,以協助您針對權利管理進行疑難排解。
系統管理
如果您在設定權利管理時收到拒絕存取訊息,而且您是全域系統管理員,請確定您的目錄具有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 (或 EMS E5) 授權 。 如果您最近已更新過期的 Microsoft Entra ID P2 或Microsoft Entra ID 控管訂閱,則可能需要 8 小時才能顯示此授權更新。
如果您的租使用者的 Microsoft Entra ID P2 或Microsoft Entra ID 控管授權已過期,則您將無法處理新的存取要求或執行存取權檢閱。
如果您在建立或檢視存取套件時收到拒絕存取訊息,而且您是目錄建立者群組的成員,您必須先 建立目錄 ,才能建立您的第一個存取套件。
資源
應用程式的角色是由應用程式本身所定義,且是在 Microsoft Entra ID 中管理。 如果應用程式沒有任何資源角色,權利管理會將使用者指派給 預設存取 角色。
Microsoft Entra 系統管理中心也可能針對無法選取為應用程式的服務顯示服務主體。 特別是 Exchange Online 和 SharePoint Online 是服務,不是目錄中具有資源角色的應用程式,因此不能包含在存取套件中。 請改用群組型授權,為需要存取這些服務的使用者建立適當的授權。
僅支援個人 Microsoft 帳戶使用者進行驗證,且不支援目錄中的組織帳戶、沒有應用程式角色且無法新增至存取套件目錄的應用程式。
若要讓群組成為存取套件中的資源,它必須能夠在 Microsoft Entra ID 中修改。 源自內部部署的 Active Directory的群組無法指派為資源,因為無法在 Microsoft Entra 識別碼中變更其擁有者或成員屬性。 在 Microsoft Entra 識別碼中,無法修改源自 Exchange Online 作為通訊群組的群組。
SharePoint Online 文件庫和個別檔無法新增為資源。 相反地,請建立 Microsoft Entra 安全性群組 ,並在存取套件中包含該群組和網站角色,而 SharePoint Online 則會使用該群組來控制文件庫或檔的存取權。
如果已將使用者指派給您想要使用存取套件管理的資源,請確定使用者已使用適當的原則指派給存取套件。 例如,您可能想要在群組中已有使用者的存取套件中包含群組。 如果群組中的這些使用者需要繼續存取,他們必須有適當的存取套件原則,這樣他們就不會失去群組的存取權。 您可以要求使用者要求包含該資源的存取套件,或直接將存取套件指派給存取套件,以指派存取套件。 如需詳細資訊,請參閱 變更存取套件 的要求和核准設定。
當您移除小組成員時,他們也會從 Microsoft 365 群組中移除。 從小組的聊天功能中移除可能會延遲。 如需詳細資訊,請參閱 群組成員資格 。
存取套件
- 如果您在嘗試刪除存取套件或原則時發現有錯誤訊息指出有作用中指派的,但未看到任何有指派的使用者,請確認是否有任何最近刪除的使用者仍有指派。 使用者帳戶可在使用者刪除後 30 天的期間內還原。
外部使用者
當外部使用者想要要求存取套件的存取權時,請確定他們使用的是 存取套件的 [我的存取入口網站] 連結 。 如需詳細資訊,請參閱 共用連結以要求存取套件 。 如果外部使用者只造訪 myaccess.microsoft.com ,且未使用完整的「我的存取」入口網站連結,則他們會看到自己組織中可用的存取套件,而不是在您的組織中。
如果外部使用者無法要求存取套件或無法存取資源,請務必檢查外部 使用者的 設定。
如果先前尚未登入目錄的新外部使用者收到包含 SharePoint Online 網站的存取套件,則在 SharePoint Online 中布建帳戶之前,其存取套件會顯示為未完全傳遞。 如需共用設定的詳細資訊,請參閱 檢閱 SharePoint Online 外部共用設定 。
要求
當使用者想要要求存取套件的存取權時,請確定他們使用的是 存取套件的 [我的存取入口網站] 連結 。 如需詳細資訊,請參閱 共用連結以要求存取套件 。
如果您以瀏覽器設定為私用或無痕模式開啟 [我的存取] 入口網站,這可能與登入行為衝突。 當您流覽 My Access 入口網站時,建議您不要在瀏覽器使用私人或無痕模式。
當目錄中尚未登入我的存取入口網站以要求存取套件的使用者時,請務必使用其組織帳戶進行驗證。 組織帳戶可以是資原始目錄中的帳戶,或包含在其中一個存取套件原則中的目錄中。 如果使用者的帳戶不是組織帳戶,或其驗證所在的目錄未包含在原則中,則使用者不會看到存取套件。 如需詳細資訊,請參閱 要求存取套件 的存取權。
如果使用者遭到封鎖而無法登入資原始目錄,他們將無法在我的存取入口網站中要求存取權。 使用者必須先從使用者設定檔中移除登入區塊,使用者才能要求存取權。 若要移除登入區塊,請在 Microsoft Entra 系統管理中心選取 [身分識別 ]、選取 [使用者 ]、選取使用者,然後選取 [ 設定檔 ]。 編輯 [設定] 區段,並將 [ 封鎖登入 ] 變更 為 [否 ]。 如需詳細資訊,請參閱 使用 Microsoft Entra ID 新增或更新使用者的設定檔資訊。 您也可以檢查使用者是否因為 Identity Protection 原則而遭到封鎖。
在 [我的存取] 入口網站中,如果使用者既是要求者和核准者,他們就不會在 [核准 ] 頁面上看到其存取套件 的要求。 此行為是刻意的 - 使用者無法核准自己的要求。 請確定他們要求的存取套件已在原則上設定其他核准者。 如需詳細資訊,請參閱 變更存取套件 的要求和核准設定。
檢視要求的傳遞錯誤
必要角色: 全域管理員、身分識別治理系統管理員、目錄擁有者、存取套件管理員或存取套件指派管理員
以至少身 分識別治理管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至身 分識別治理 > 權利管理 > 存取套件。
選取 [ 要求 ]。
選取您想要檢視的要求。
如果要求有任何傳遞錯誤,要求狀態將會是 [未傳遞 ] 或 [部分傳遞 ]。
如果有任何傳遞錯誤,則會在要求的詳細資料窗格中顯示傳遞錯誤計數。
選取計數以查看要求的所有傳遞錯誤。
重新處理要求
如果在觸發存取套件重新處理要求之後發生錯誤,您必須在系統重新處理要求時等候。 系統會嘗試多次重新處理數小時,因此您無法在這段期間強制重新處理。
您只能重新處理狀態為 [傳遞失敗 ] 或 [部分傳遞 ] 的要求 ,以及少於一周的完成日期。 否則,重新 處理 按鈕會呈現灰色。
如果在試用期間修正錯誤,要求狀態會變更為 [傳遞 ]。 要求將會重新處理,而不需要使用者執行其他動作。
如果在試用期間未修正錯誤,要求狀態可能是 傳遞失敗 或 部分傳遞 。 接著 ,您可以使用 [重新處理] 按鈕。 您將有七天的時間重新處理要求。
必要角色: 全域管理員、身分識別治理系統管理員、目錄擁有者、存取套件管理員或存取套件指派管理員
以至少身 分識別治理管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至 [ 身分識別治理 > 權利管理 > 存取套件 ] 以開啟存取套件。
選取 [ 要求 ]。
選取您要重新處理的要求。
在 [要求詳細資料] 窗格中,選取 [重新處理要求 ]。
解除擱置的要求
您只能取消尚未傳遞或傳遞失敗的擱置要求。否則,取消 按鈕會呈現灰色。
必要角色: 全域管理員、身分識別治理系統管理員、目錄擁有者、存取套件管理員或存取套件指派管理員
以至少身 分識別治理管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至 [ 身分識別治理 > 權利管理 > 存取套件 ] 以開啟存取套件。
選取 [ 要求 ]。
選取您想要取消的要求。
在 [要求詳細資料] 窗格中,選取 [ 取消要求 ]。
自動指派原則
- 每個自動指派原則最多可以包含 5000 位使用者在其規則範圍內。 規則範圍內的其他使用者可能無法獲指派存取權。
多個原則
權利管理遵循最低許可權最佳做法。 當使用者要求存取套用多個原則的存取套件時,權利管理包含邏輯,以協助確保更嚴格或更特定的原則優先于一般原則。 如果原則是泛型的,權利管理可能不會向要求者顯示原則,或可能會自動選取更嚴格的原則。
例如,請考慮目錄中有兩個原則的存取套件,其中這兩個原則都會套用至要求者。 第一個原則適用于包含要求者的特定使用者。 第二個原則適用于目錄中的所有使用者。 在此案例中,會自動為要求者選取第一個原則,因為它更嚴格。 要求者未提供選取第二個原則的選項。
套用多個原則時,會自動選取的原則,或向要求者顯示的原則是以下列優先順序邏輯為基礎:
原則優先順序 範圍 P1 目錄中的特定使用者和群組或特定連線的組織 P2 目錄中的所有成員(不包括來賓) P3 目錄中的所有使用者(包括來賓)或特定連線的組織 P4 所有已設定的已連線組織或所有使用者 (所有已連線的組織 + 任何新的外部使用者) 如果有任何原則位於較高優先順序的類別中,則會忽略優先順序較低的類別。 如需如何將相同優先順序的多個原則顯示給要求者的範例,請參閱 選取原則 。