在權利管理中建立和管理資源目錄

本文說明如何在權利管理中建立及管理資源和存取套件目錄。

建立目錄

目錄是資源和存取套件的容器。 當您想要將相關資源和存取套件分組時，您可以建立目錄。 系統管理員可以建立目錄。 此外，獲委派 目錄建立者 角色的使用者，可以為其擁有的資源建立目錄。 建立目錄的非系統管理員會成為第一個目錄擁有者。 目錄擁有者可以將更多使用者、使用者群組或應用程式服務主體新增為目錄擁有者。

若要建立目錄：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

   提示

   可完成此工作的其他最低權限角色包括目錄建立者。 獲指派使用者系統管理員角色的使用者將無法再建立目錄，也無法管理非其所屬目錄中的存取套件。 如果您組織中的使用者獲指派使用者系統管理員角色，以便在權利管理中設定目錄、存取套件或原則，您應該改為將身分識別治理系統管理員角色指派給這些使用者。

2. 瀏覽至 [身分識別治理]>[權利管理]>[目錄]。

   

3. 選取 [新增目錄]。

4. 輸入目錄的唯一名稱，並提供描述。

   使用者會在存取套件的詳細資料中看到此資訊。

5. 如果您希望此目錄中的存取套件可供使用者在建立之後立即要求，請將 [啟用] 設定為 [是]。

6. 如果您要允許連線組織外部目錄中的使用者能夠要求此目錄中的存取套件，請將 [為外部使用者啟用] 設定為 [是]。 存取套件也必須有原則，允許使用者從連線組織提出要求。 如果此目錄中的存取套件僅供目錄中的使用者使用，請將 [為外部使用者啟用] 設定為 [否]。

   

7. 選取 [建立] 來建立目錄。

以程式設計方式建立目錄

有兩種方式可以透過程式設計方式建立目錄。

使用 Microsoft Graph 建立目錄

您可以使用 Microsoft Graph 來建立目錄。 對於獲委派 EntitlementManagement.ReadWrite.All 權限的應用程式，或具有 EntitlementManagement.ReadWrite.All 應用程式權限的應用程式而言具有適當角色的使用者，可以呼叫 API 來 建立目錄。

使用 PowerShell 建立目錄

您也可以在 PowerShell 中使用 New-MgEntitlementManagementCatalog Cmdlet，從 適用於身分識別治理的 Microsoft Graph PowerShell Cmdlet 模組 2.2.0 版或更新版本建立目錄。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

將資源新增到目錄

若要在存取套件中包含資源，資源必須存在於目錄中。 您可以新增至目錄的資源類型為群組、應用程式和 SharePoint Online 網站。

• 群組可以是雲端建立的 Microsoft 365 群組或雲端建立的 Microsoft Entra 安全性群組。

  • 源自內部部署 Active Directory 的群組無法指派為資源，因為無法在 Microsoft entra ID 中變更其擁有者或成員屬性。 若要讓使用者存取使用 AD 安全性群組成員資格的應用程式，請在 Microsoft Entra ID 中建立新的安全性群組、設定 群組回寫至 AD，使該群組能夠寫入 AD，讓雲端建立的群組可供 AD 型應用程式使用。

  • 源自 Exchange Online 作為通訊群組的群組無法在 Microsoft Entra ID 中修改，因此無法新增至目錄。

• 應用程式可以是 Microsoft Entra 企業應用程式，其中包括軟體即服務 (SaaS) 應用程式、內部部署應用程式，以及您自己與 Microsoft Entra ID 整合的應用程式。

  • 如果您的應用程式尚未與 Microsoft Entra ID 整合，請參閱 控管環境中應用程式的存取 ，整合應用程式與 Microsoft Entra ID，並在將應用程式新增至目錄之前，將應用程式新增至目錄。

  • 如需如何為具有多個角色的應用程式選取適當資源的詳細資訊，請參閱 如何判斷存取套件中要包含那些資源角色。

• 網站可以是 SharePoint Online 網站或 SharePoint Online 網站集合。

注意

依網站名稱或確切 URL 搜尋 SharePoint 網站，因為搜尋方塊會區分大小寫。

必要角色：請參閱將資源新增至目錄的必要角色。

若要將資源新增至目錄：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別治理]>[權利管理]>[目錄]。

3. 在 [目錄] 頁面上開啟您要新增資源的目錄。

4. 在左側功能表中，選取 [資源]。

5. 選取 [新增資源]。

6. 選取資源類型：群組和 Teams、應用程式或 SharePoint 網站。

   如果您沒有看到想要新增的資源或無法新增資源，請確定您具有必要的 Microsoft Entra 目錄角色和權利管理角色。 您可能需要要求具有必要角色的人員將資源新增至您的目錄。 如需詳細資訊，請參閱將資源新增至目錄的必要角色。

7. 選取您要新增至目錄的一或多個類型資源。

   

8. 完成之後，選取 [新增]。

   這些資源現在可以包含在目錄內的存取套件中。

在目錄中新增資源屬性

屬性是要求者在提交其存取要求之前將會要求回答的欄位。 這些屬性的解答會向核准者顯示，並在 Microsoft Entra ID 中的使用者物件上加上戳記。

注意

在資源上設定的所有屬性都需要答案，才能提交包含該資源的存取套件要求。 如果要求者未提供答案，則不會處理其要求。

若要要求存取要求的屬性：

1. 選取左側功能表上的 [資源]，目錄中的資源清單隨即出現。

2. 選取您要在其中新增屬性的資源旁的省略符號，然後選取 [需要屬性]。

   

3. 選取屬性類型：

   1. 內建 包含 Microsoft Entra 使用者設定檔屬性。
   2. 目錄結構描述延伸模組 提供一種方式，在 Microsoft Entra 使用者中儲存更多資料。 您可以藉由 建立擴充屬性 來擴充結構描述。 在佈建或單一登入期間，使用者物件的這些擴充屬性可用來將宣告傳送給應用程式。

4. 如果您選擇 [內建]，請從下拉式清單中選取屬性。 如果您選擇 [目錄結構描述延伸模組]，請在文字方塊中輸入屬性名稱。

   注意

   User.mobilePhone 屬性是敏感性屬性，只能由某些系統管理員更新。 若要深入瞭解，請參閱 誰可以更新敏感性使用者屬性？。

5. 選取您希望要求者用於其答案的答案格式。 答案格式包括：「短文字」、「複選」和「長文字」。

6. 如果您選取複選，請選取 [編輯和當地語系化] 以設定答案選項。

   1. 在出現的 [檢視/編輯問題] 窗格中，輸入當要求者在 [答案值] 方塊中回答問題時，您要提供給要求者的回應選項。
   2. 選取回應選項的語言。 如果您選擇更多語言，您可以當地語系化回應選項。
   3. 輸入所需數量的回應，然後選取 [儲存]。

7. 如果您想要在直接指派和自助式要求期間讓屬性值成為可編輯的，請選取 [是]。

   注意

   

   • 如果您在 [屬性值是可編輯的] 方塊中選取 [否]，而且屬性值是空的，使用者可以輸入該屬性的值。 儲存之後，就無法編輯此值。
   • 如果您在 [屬性值是可編輯的] 方塊中選取 [否]，而且屬性值不是空白，則使用者無法在直接指派和自助式要求期間編輯預先存在的值。

   

8. 如果您想要新增當地語系化，請選取 [新增當地語系化]。

   1. 在 [新增當地語系化的問題] 窗格中，選取您要將所選取屬性相關問題當地語系化的語言代碼。

   2. 在您設定的語言中，於 [已當地語系化的文字] 方塊中輸入問題。

   3. 新增您所需的所有當地語系化之後，請選取 [儲存]。

      

9. 在 [需要屬性] 頁面上完成所有屬性資訊之後，請選取 [儲存]。

新增多地理位置 SharePoint 網站

1. 如果您已啟用 SharePoint 的多地理位置，請選取您想要從中選取網站的環境。

   

2. 然後選取您要新增至目錄的網站。

以程式設計方式將資源新增至目錄

您也可以使用 Microsoft Graph 將資源新增至目錄。 對於獲委派 EntitlementManagement.ReadWrite.All 權限的應用程式而言具有適當角色的使用者或目錄和資源擁有者，可以呼叫 API 來 建立 resourceRequest。 具有應用程式權限 EntitlementManagement.ReadWrite.All 和變更資源權限 (例如 Group.ReadWrite.All) 的應用程式，也可以將資源新增至目錄。

使用 PowerShell 將資源新增至目錄

您也可以使用 適用於身分識別治理的 Microsoft Graph PowerShell Cmdlet 模組 2.1.x 版或更新模組版本中的 New-MgEntitlementManagementResourceRequest Cmdlet，在 PowerShell 中將資源新增至目錄。 下列範例示範如何使用 Microsoft Graph PowerShell Cmdlet 模組 2.4.0 版，將群組新增至目錄作為資源。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

從目錄中移除資源

您可以從目錄中移除資源。 只有當資源不是在任何目錄的存取套件中使用時，才可以從目錄移除該資源。

必要角色：請參閱將資源新增至目錄的必要角色。

若要從目錄中移除資源：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別治理]>[權利管理]>[目錄]。

3. 在 [目錄] 頁面上，開啟您要從中移除資源的目錄。

4. 在左側功能表中，選取 [資源]。

5. 選取您要移除的資源。

6. 選取 [移除]。 選擇性選取省略符號 (...)，然後選取 [移除資源]。

新增更多目錄擁有者

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

建立目錄的使用者會成為第一個目錄擁有者。 若要委派目錄的管理，請將使用者新增至目錄擁有者角色。 新增更多目錄擁有者有助於分享目錄管理責任。

若要將使用者指派給目錄擁有者角色：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

   提示

   可完成此工作的其他最低權限角色包括目錄擁有者。

2. 瀏覽至 [身分識別治理]>[權利管理]>[目錄]。

3. 在 [目錄] 頁面上，開啟您要新增系統管理員的目錄。

4. 在左側功能表中，選取 [角色和管理員]。

   

5. 選取 [新增擁有者]，以選取這些角色的成員。

6. 選取 [選取] 以新增這些成員。

編輯目錄

您可以編輯目錄的名稱和描述。 使用者會在存取套件的詳細資料中看到此資訊。

若要編輯目錄：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

   提示

   可完成此工作的其他最低權限角色包括目錄建立者。

2. 瀏覽至 [身分識別治理]>[權利管理]>[目錄]。

3. 在 [目錄] 頁面上，開啟您要編輯的目錄。

4. 在目錄的 [概觀] 頁面上，選取 [編輯]。

5. 編輯目錄的名稱、描述或啟用的設定。

   

6. 選取 [儲存]。

刪除目錄

您只能在目錄沒有任何存取套件的情況下將其刪除。

若要刪除目錄：

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

   提示

   可完成此工作的其他最低權限角色包括目錄建立者。

2. 瀏覽至 [身分識別治理]>[權利管理]>[目錄]。

3. 在 [目錄] 頁面上開啟您要刪除的目錄。

4. 在目錄的 [概觀] 頁面上，選取 [刪除]。

5. 在出現的訊息方塊中，選取 [是]。

以程式設計方式刪除目錄

您也可以使用 Microsoft Graph 來刪除目錄。 如果使用者具備適當的角色，能夠使用已委派 EntitlementManagement.ReadWrite.All 權限的應用程式，即可呼叫 API 來刪除 accessPackageCatalog。

下一步

將存取治理委派給存取套件管理員