Share via

變更權利管理中存取套件的核准和要求者信息設定

  • 發行項

每個存取套件都必須有一或多個存取套件指派原則,使用者才能獲指派存取權。 在 Microsoft Entra 系統管理中心建立存取套件時,Microsoft Entra 系統管理中心會自動建立該存取套件的第一個存取套件指派原則。 此原則會決定誰可以要求存取權,以及任何人是否必須核准存取權。

身為存取套件管理員,您可以隨時編輯現有原則或新增要求存取權的新原則,變更存取套件的核准和要求者資訊設定。

本文說明如何透過存取套件的原則,變更現有存取套件的核准和要求者資訊設定。

Approval

在 [核准] 區段中,您會指定使用者要求此存取套件時是否需要核准。 核准設定的運作方式如下:

  • 只有其中一個選取的核准者或後援核准者需要核准單一階段核准的要求。
  • 每個階段中只有一個選取的核准者需要核准要求,要求才能繼續進行下一個階段。
  • 如果某個階段中選取的其中一個核准者拒絕該階段中另一個核准者核准要求,或者如果沒有核准,要求就會終止,且使用者不會收到存取權。
  • 核准者可以是指定的使用者或群組成員、要求者的管理員、內部贊助者或外部贊助者,視原則控管存取權的人員而定。

如需如何將核准者新增至要求原則的示範,請觀看下列影片:

如需如何將多階段核准新增至要求原則的示範,請觀看下列影片:

變更現有存取套件指派原則的核准設定

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

請遵循下列步驟,透過原則指定存取套件要求的核准設定:

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

    提示

    可完成此工作的其他最低許可權角色包括目錄擁有者和存取套件指派管理員。

  2. 流覽至身分識別治理>權利管理>存取套件。

  3. 在 [ 存取套件] 頁面上,開啟存取套件。

  4. 選取要編輯的原則,或將新原則新增至存取套件

    1. 如果您想要建立新的原則,請選取 [原則 ],然後 選取 [新增 原則]。
    2. 選取您想要編輯的原則,然後選取 [ 編輯]。

  5. 移至 [ 要求 ] 索引標籤。

  6. 若要要求核准所選使用者的要求,請將 [需要核准 ] 切換為 [ ]。 或者,若要自動核准要求,請將切換設定為 [否]。 如果原則允許來自組織外部的外部使用者要求存取權,您應該要求核准,因此會監督誰正在新增至貴組織的目錄。

  7. 若要要求使用者提供要求存取套件的理由,請將 [要求者理由 ] 切換為 [ ]。

  8. 現在判斷要求是否需要單一或多階段核准。 將 [多少階段] 設定為所需的核准階段數目。

    存取套件 - 要求 - 核准設定

選取您需要多少階段之後,請使用下列步驟來新增核准者:

單一階段核准

  1. 新增第一個 核准者

    如果原則設定為控管目錄中使用者的存取權,您可以選取 [管理員] 作為核准者。 或者,從下拉功能表中選取 [選擇特定核准者] 之後,選取 [新增核准者] 以新增特定使用者。

    存取套件 - 要求 - 目錄中的使用者 - 第一個核准者

    如果此原則設定為控管不在目錄中之使用者的存取權,您可以選取 [外部贊助者] 或 [內部贊助者]。 或者,按兩下 [ 選擇特定核准者] 底下的 [新增核准者 或群組] 來新增特定使用者。

    存取套件 - 要求 - 針對目錄外的使用者 - 第一個核准者

  2. 如果您選取 [管理員 ] 作為第一個核准者,請選取 [新增後援] 以選取目錄中的一或多個使用者或群組,以作為後援核准者。 如果權利管理找不到要求存取權的使用者管理員,則後援核准者會收到要求。

    管理員是使用 Manager 屬性來找到權利管理。 屬性位於 Microsoft Entra ID 中的使用者配置檔中。 如需詳細資訊,請參閱 使用 Microsoft Entra ID 新增或更新使用者的配置文件資訊。

  3. 如果您選取 [ 選擇特定核准者],請選取 [ 新增核准者 ] 以選擇目錄中的一或多個使用者或群組,以成為核准者。

  4. 您必須在 [決策] 底下的 方塊中,指定核准者必須檢閱此存取套件要求的天數。

    如果此期間內未核准要求,系統會自動拒絕要求。 用戶必須提交另一個存取套件要求。

  5. 若要要求核准者為其決策提供理由,請將 [需要核准者理由] 設定為 [ ]。

    其他核准者和要求者可以看到理由。

多階段核准

如果您選取多階段核准,則必須為每個額外階段新增核准者。

  1. 新增第二個 核准者

    如果使用者位於您的目錄中,請選取 [選擇特定核准者] 底下的 [ 新增核准者 ],將特定使用者新增為第二個核准者。

    存取套件 - 要求 - 目錄中的使用者 - 第二個核准者

    如果使用者不在目錄中,請選取 [內部贊助者] 或 [外部贊助] 作為第二個核准者。 選取核准者之後,請新增後援核准者。

    存取套件 - 要求 - 針對目錄外的使用者 - 第二個核准者

  2. 指定第二個核准者必須在 [決策] 底 下的方塊中核准要求的天數?

  3. 將 [需要核准者理由] 切換為 [是] 或 []。

    您也可以選擇為三階段核准程式新增額外的階段。 例如,您可能想要讓員工的經理成為存取套件的第一個階段核准者。 但是,存取套件中的其中一個資源包含機密資訊。 在此情況下,您可以將資源擁有者指定為第二個核准者,並將安全性檢閱者指定為第三個核准者。 這可讓安全性小組對流程進行監督,以及根據資源擁有者不知道的風險準則拒絕要求的能力。

  4. 新增第三個 核准者

    如果使用者位於您的目錄中,請按兩下 [ 選擇特定核准者] 底下的 [新增核准者 ],將特定使用者新增為第三個核准者。

    如果使用者不在目錄中,您也可以選擇 [ 內部贊助者 ] 或 [外部贊助者 ] 作為第三個核准者。 選取核准者之後,請新增後援核准者。

    注意

      如同第二個階段,如果使用者位於您的目錄中,且在核准的第一個階段或第二個階段中選取 [管理員為核准者] ,您只會看到選項來選取第三階段核准的特定核准者。
      如果您要將經理指定為第三個核准者,您可以在先前的核准階段中調整您的選擇,以確保未選取 [管理員為核准者] 。 然後,您應該會在下拉式清單中看到 [管理員] 作為核准者** 的選項。
      如果使用者不在目錄中,且您尚未選取 [內部贊助者] 或 [外部贊助者] 作為先前階段的核准者,您會看到他們作為 [第三個核准者] 的選項。 否則,您只能選取 [選擇特定核准者]。

  5. 指定第三個核准者必須在 [決策] 底 下的方塊中核准要求的天數?

  6. 將 [需要核准者理由] 切換為 [是] 或 []。

替代核准者

您可以指定替代核准者,類似於指定可在每個階段核准要求的主要核准者。 擁有替代核准者將有助於確保要求在到期前已核准或拒絕(逾時)。 您可以將替代核准者與每個階段的主要核准者一起列出。

藉由在階段指定替代核准者,如果主要核准者無法核准或拒絕要求,則會根據您在原則設定期間指定的轉送排程,將擱置的要求轉送給替代核准者。 他們會收到一封電子郵件來核准或拒絕擱置的要求。

將要求轉送至替代核准者之後,主要核准者仍然可以核准或拒絕要求。 替代核准者使用相同的「我的存取權」網站來核准或拒絕擱置的要求。

您可以將人員或人員群組列出為核准者和替代核准者。 請確定您將不同的人員集合列出為第一個、第二組,以及替代核准者。 例如,如果您將 Alice 和 Bob 列為第一階段核准者,請將 Carol 和 Dave 列為替代核准者。 使用下列步驟將替代核准者新增至存取套件:

  1. 在階段的核准者底下,選取 [ 顯示進階要求設定]。

    存取套件 - 原則 - 顯示進階要求設定

  2. 將 [ 如果未採取任何動作,請轉送至替代核准者?] 切換為 [ ]。

  3. 選取 [新增替代核准者 ],然後從列表中選取替代核准者。

    存取套件 - 原則 - 新增替代核准者

    如果您針對 [第一個核准者] 選取 [管理員] 作為核准者,您將會有額外的選項: [第二層管理員] 作為替代核准者,可在 [替代核准者] 欄位中選擇。 如果您選擇此選項,則必須新增後援核准者,以在系統找不到第二層管理員的情況下,將要求轉送至 。

  4. 在 [ 轉寄至替代核准者] 方塊之後的多少天 方塊中,放入核准者必須核准或拒絕要求的天數。 如果沒有核准者在要求持續時間之前核准或拒絕要求,要求就會過期(逾時),而且用戶必須提交另一個存取套件要求。

    要求只能在要求起始後的一天轉送給替代核准者。 若要使用替代核准,要求逾時至少需要 4 天。

啟用要求

  1. 如果您想要將存取套件立即提供給要求原則中的使用者使用,請將 [啟用] 切換開關移至 [ ]。

    完成建立存取套件之後,您隨時都可以在未來啟用它。

    如果您選取 [無] (僅限系統管理員直接指派),且您設定為 [否],則系統管理員無法直接指派此存取套件。

    存取套件 - 原則 - 啟用原則設定

  2. 選取 [下一步]。

收集其他要求者資訊以供核准

若要確保使用者能夠存取正確的存取套件,您可以要求者在要求時回答自定義文字欄位或多重選擇問題。 然後,系統會向核准者顯示這些問題,以幫助他們做出決定。

  1. 移至 [ 要求者資訊 ] 索引標籤,然後選取 [問題 ] 子索引卷標。

  2. 針對 [問題] 方塊中的問題,輸入您想要詢問要求者,也稱為顯示字串。

    存取套件 - 原則 - 啟用要求者資訊設定

  3. 如果需要存取套件的使用者社群沒有通用慣用的語言,您可以改善要求存取 myaccess.microsoft.com 的用戶體驗。 若要改善體驗,您可以為不同語言提供替代的顯示字串。 例如,如果使用者的網頁瀏覽器設定為西班牙文,而且您已設定西班牙文顯示字串,則會將這些字串顯示給要求的使用者。 若要設定要求的當地語系化,請選取 [ 新增本地化]。

    1. 一旦在 [ 新增問題 本地化] 窗格中,選取 您要本地化問題之語言的語言 代碼。
    2. 在您設定的語言中,在 [ 當地語系化] 文字框中 輸入問題。
    3. 新增所需的所有當地語系化之後,請選取 [ 儲存]。

    存取套件 - 原則 - 設定本地化文字

  4. 選取您想要要求者接聽的回應格式。 答案格式包括: 短文字多重選擇長文字

    存取套件 - 原則 - 選取 [編輯並本地化多重選擇答案格式]

  5. 如果選取 [多重選擇],請在 [編輯和本地化] 按鈕上選取以設定答案選項。

    1. 選取 [編輯並本地化] 之後, [檢視/編輯問題 ] 窗格隨即開啟。
    2. 在回答 [回應值] 方塊中回答問題時,輸入您想要提供給要求的響應選項。
    3. 視需要輸入盡可能多的回應。
    4. 如果您想要為 [多重選擇] 選項新增自己的當地語系化,請 選取您要本地化特定選項之語言的選擇性語言代碼
    5. 在您設定的語言中,於 [本地化] 文本框中輸入 選項。
    6. 新增每個 [多重選擇] 選項所需的所有本地化之後,請選取 [ 儲存]。

    存取套件 - 原則 - 輸入多個選擇選項

  6. 如果您想要包含文字解答的語法檢查,您也可以指定自定義的 regex 模式。
    新增 regex 本地化原則的螢幕快照。 如果您想要包含文字解答的語法檢查,您也可以指定自定義的 regex 模式。

  7. 若要要求要求要求者在要求存取套件時回答這個問題,請選取 [必要] 底下的複選框。

  8. 根據您的需求填寫其餘索引標籤(例如生命週期)。

在存取套件的原則中設定要求者信息之後,即可檢視要求者的響應問題。 如需有關查看要求者資訊的指引,請參閱 檢視要求者的問題解答。

下一步