身為存取套件管理員,您可以隨時編輯存取套件指派要求的原則,或將新原則新增至存取套件,藉以變更可要求存取套件的使用者。 本文說明如何變更現有存取套件指派原則的要求設定。
在一或多個原則中選擇
指定誰可以要求存取套件,是透過使用政策來達成的。 在建立新原則或編輯存取套件的現有原則之前,您必須先決定存取套件需要多少個原則。
在建立存取套件時,您可以指定要求、核准和生命週期設定,這些設定會儲存在存取套件的第一個原則上。 大部分的存取套件只有一個原則用於使用者的存取要求,但一個存取套件可以有多個原則。 如果您想要允許不同組的使用者在不同的要求和核准設定下被指派,您可以為存取套件建立多個策略。
例如,您不能使用單一原則將內部和外部使用者指派給相同的存取套件。 但是,您可以在相同的存取套件中建立兩個原則,一個供內部使用者使用,另一個供外部使用者使用。 如果有多個政策適用於使用者的請求,系統會在他們提出要求時提示他們選擇希望指派的政策。 下圖顯示有兩個原則的存取套件。
除了使用者要求存取的原則之外,您也可以有自動指派的原則,以及系統管理員或目錄擁有者直接指派的原則。
我需要多少個原則?
| 情境 | 政策數量 |
|---|---|
| 我希望目錄中的所有使用者都能有存取套件的相同要求和核准設定 | 一 |
| 我希望特定連線組織中的所有使用者都能夠要求存取套件 | 一 |
| 我希望目錄中的使用者和目錄外的使用者都能申請存取套件。 | 二 |
| 我想為某些使用者指定不同的核准設定 | 每個使用者群組各一個 |
| 我希望有些使用者的存取套件指派有到期期限,而其他使用者可以延長存取權 | 每個使用者群組各一個 |
| 我要讓某些使用者可要求存取權,其他使用者則由系統管理員指派存取權 | 二 |
| 我想要讓組織中的某些使用者自動接收存取權、組織中的其他使用者能夠進行要求,以及其他使用者由系統管理員指派存取權 | 三 |
如需套用多個原則時所用優先順序邏輯的資訊,請參閱多個原則。
開啟現有的存取套件,新增一個具有不同要求設定的原則
如有一組使用者應該具有不同的要求和核准設定,您可能需要建立新的原則。 請遵循下列步驟,開始將新原則新增至現有的存取套件:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至「身份識別治理」>「權限管理」>「存取套件」。
在 [存取套件] 頁面上,開啟您要編輯的存取套件。
依序選取 [原則] 和 [新增原則]。
在 [基本] 索引標籤上,輸入原則的名稱和描述。
選取 [下一步] 以開啟 [要求] 索引標籤。
變更 [可要求存取的使用者] 設定。 使用下列各節中的步驟,將設定變更為下列其中一個選項:
您目錄中的使用者
如果要讓目錄中的使用者要求此存取套件,請遵循下列步驟。 定義要求原則時,您可以指定個別使用者,或較常見的使用者群組。 例如,您的組織可能已經有一個群組,例如 [所有員工]。 如果為了讓使用者要求存取權而在原則中新增該群組,則該群組的所有成員皆可要求存取權。
在 [可要求存取的使用者] 區段中,選取 [您目錄中的使用者]。
選取此選項時會出現新的選項,可從目錄中進一步挑選誰可以要求此存取套件。
選取下列其中一個選項:
描述 特定使用者與群組 如果只希望您在目錄中指定的使用者和群組才能要求此存取套件,請選擇此選項。 所有成員 (不含來賓) 如果要讓目錄中的所有成員使用者都能要求此存取套件,請選擇此選項。 此選項不包括您可能已邀請加入目錄的任何來賓使用者。 所有使用者 (含來賓) 如果要讓目錄中的所有成員使用者和來賓使用者都能要求此存取套件,請選擇此選項。 來賓使用者係指經 Microsoft Entra B2B 邀請加入目錄的外部使用者。 如需成員使用者和來賓使用者之間有何差異的詳細資訊,請參閱 Microsoft Entra ID 中的預設使用者權限是什麼?。
如果您選取 [特定使用者與群組],請選取 [新增使用者與群組]。
在 [選取使用者與群組] 窗格中,選取您要新增的使用者和群組。
選取 [ 選取 ] 以新增使用者和群組。
如果您想要要求核准,請使用在權利管理中變更存取套件的核准設定中的步驟來設定核准設定。
不在目錄中的使用者
不在目錄中的使用者是指位於另一個 Microsoft Entra 目錄或網域中的使用者。 這些使用者可能尚未受邀加入您的目錄。 您必須在 [共同作業限制] 中將 Microsoft Entra 目錄設定為允許邀請。 如需詳細資訊,請參閱設定外部共同作業設定。
注意
對於尚未在您目錄中的使用者,只要其請求已被核准或自動核准,就會為其建立一個來賓使用者帳戶。 來賓會受邀請,但不會收到邀請電子郵件。 而是在接獲存取套件指派時才會收到電子郵件。 後來,當此來賓使用者不再有任何存取套件指派時 (因為最後一個指派已過期或取消),預設將禁止此來賓使用者帳戶登入,隨後就刪除帳戶。 如果希望即使來賓使用者沒有存取套件指派,也能無限期留在目錄中,您可以在權利管理設定中變更設定。 如需來賓使用者物件的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。
如果要讓不在目錄中的使用者要求此存取套件,請遵循下列步驟:
在 [可要求存取的使用者] 區段中,選取 [不在目錄中的使用者]。
選取此選項時會出現新的選項。
選取可要求存取權的使用者是否需要與現有的已連線組織,或網際網路上的任何人建立關聯。 已連線的組織是指與您有既有關係的組織,其可能有外部 Microsoft Entra 目錄或其他識別提供者。 選取下列其中一個選項:
描述 特定已連線的組織 如果要從管理員先前新增的組織清單中選擇,請選擇此選項。 所選組織中的所有使用者都可以要求此存取套件。 所有已設定的連線組織 如果所有設定的連線組織其所有使用者都可以要求此存取套件,請選擇此選項。 只有已設定連線組織的使用者可以要求存取套件,因此,如果使用者不是來自與現有已連線組織相關聯的Microsoft Entra 租使用者、網域或身分識別提供者,他們將無法要求。 所有使用者 (所有已連線的組織 + 任何新的外部使用者) 如果網際網路上的任何使用者都得以要求此存取套件,請選擇此選項。 如果這些使用者不屬於您目錄中的連線組織,則系統會在使用者要求套件時自動為其建立連線的組織。 自動建立的已連線組織處於 建議 狀態。 如需已建議狀態的詳細資訊,請參閱連線組織的狀態屬性。 如果您選取 [特定已連線的組織],請選取 [新增目錄],從管理員先前新增的已連線組織清單中選擇。
輸入名稱或網域名稱,以搜尋先前已連線的組織。
如果清單中沒有您要合作共同的組織,您可以要求管理員將此組織新增為已連線的組織。 如需詳細資訊,請參閱新增已連線的組織。
選取所有已連線的組織後,請按一下 選取。
注意
所選已連線組織中的所有使用者都可以要求此存取套件。 對於具有 Microsoft Entra 目錄的已連線組織,除非 Azure B2B 允許或拒絕清單封鎖了所有與 Microsoft Entra 相關聯的已驗證網域,否則來自這些網域的使用者都可以要求。 如需詳細資訊,請參閱允許或封鎖對特定組織的 B2B 使用者的邀請。
接下來,使用權利管理中變更存取套件核准設定的步驟,設定核准流程,以明確指定誰應該核准來自非您組織之用戶的請求。
無 (僅限系統管理員直接指派)
如果要略過存取要求,並允許管理員直接將特定使用者指派給此存取套件,請遵循下列步驟。 使用者不必要求存取套件。 您仍然可以設定生命週期設定,但沒有任何要求設定。
在 [可要求存取的使用者] 區段中,選取 [無 (僅限管理員直接指派)]。
建立存取套件之後,您可以將特定的內部和外部使用者直接指派給存取套件。 如果您指定外部使用者,系統就會在目錄中建立來賓使用者帳戶。 如需直接指派使用者的資訊,請參閱檢視、新增及移除存取套件的指派。
注意
將使用者指派給存取套件時,系統管理員必須根據現有的原則需求,驗證使用者是否符合該存取套件的資格。 否則,使用者將不會被成功指派到存取套件中。 如果存取套件包含需要核准使用者要求的原則,則在獲得指定核准者的必要核准之前,使用者無法直接被指派至套件。
開啟及編輯現有原則的要求設定
若要變更存取套件的要求和核准設定,您必須開啟具有這些設定的對應原則。 請依照下列步驟開啟及編輯存取套件指派原則的要求設定:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
提示
可以完成此工作的其他最低權限角色包括目錄擁有者和存取套件管理員。
瀏覽至 [身分識別治理]>[權利管理]>[存取套件]。
在 [存取套件] 頁面上,開啟您要編輯其原則要求設定的存取套件。
選取 [ 原則 ],然後選取您要編輯的原則。
[策略詳細資料] 窗格會在頁面底部開啟。
選取 [編輯] 以編輯原則。
選取 [要求] 索引標籤,以開啟要求設定。
使用前幾節中的步驟,視需要變更要求設定。
啟用請求
如果要讓要求原則中的使用者能夠立即請求存取套件,請將 [啟用] 切換至 [是]。
存取套件建立完畢後,未來隨時都可以啟用。
如果您選取 [無 (僅限管理員直接指派)],並將 [啟用] 設為 [否],則管理員無法直接指派此存取套件。
選取 [下一步]。
如果您會需要要求者在要求存取套件的存取權時提供其他資訊,請使用在權利管理中變更存取套件的核准和要求者資訊設定中的步驟來設定要求者資訊。
設定生命週期設定。
如果您要編輯原則,請選取 [更新]。 如果您要新增原則,請選取 [ 建立]。
以程式設計方式建立存取套件指派原則
有兩種方式能以程式設計方式建立存取套件的指派原則,透過 Microsoft Graph 和透過 PowerShell cmdlets for Microsoft Graph。
透過 Graph 建立存取套件的指派原則
您可以使用 Microsoft Graph 來建立原則。 如果使用者具有適當的角色,並且使用已獲授予 EntitlementManagement.ReadWrite.All 權限的應用程式,或是具有目錄角色或 EntitlementManagement.ReadWrite.All 權限的應用程式,則可呼叫建立指派政策 API。
透過 PowerShell 建立存取套件的指派原則
您也可以在 PowerShell 中使用 Identity Governance 相關的 Microsoft Graph PowerShell cmdlet 模組版本 2.1.x 或更新版本的 cmdlet 來建立存取套件。
下列腳本示範如何建立政策以直接指派存取套件。 在此原則中,只有系統管理員可以指派存取權,而且不會進行核准或檢閱存取權。 如需如何建立自動指派原則的範例,請參閱建立自動指派原則,並建立 assignmentPolicy 以取得更多範例。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
防止具有不相容存取權的使用者提出要求
除了政策檢查誰可以提出請求之外,您可能想要進一步限制存取,以避免已經透過群組或其他存取套件擁有存取權的使用者獲得過度的存取權限。
如果您想要設定使用者在已經被指派另一個存取套件或已經是某群組的成員時,無法要求存取套件,請使用設定存取套件的分權檢查步驟。