將存取控管委派給權利管理中的目錄建立者
目錄是資源和存取套件的容器。 當您想要將相關資源和存取套件分組時,您可以建立目錄。 根據預設,全域 管理員 istrator 或 Identity Governance 管理員 istrator 可以建立目錄,而且可以將其他使用者新增為目錄擁有者。
注意
在最低許可權存取之後,建議您盡可能在權利管理中使用 Identity Governance 管理員 istrator 角色。
組織可以使用目錄委派三種方式:
- 開始使用試驗專案時,身分識別控管系統管理員可以 建立 和管理目錄。 稍後,從試驗移至生產環境時,他們可以將 非管理者指派給目錄的擁有者來委派目錄,以便這些用戶能夠繼續維護原則。
- 如果有沒有擁有者的資源,則系統管理員可以建立目錄、將這些資源新增至每個目錄,然後將 非管理者指派為目錄的擁有者。 這可讓不是系統管理員且不是資源擁有者的使用者管理這些資源自己的存取原則。
- 如果資源具有擁有者,則系統管理員可以將使用者集合,例如
All Employees動態群組指派給目錄建立者角色,讓位於該群組和擁有資源的使用者可以為自己的資源建立目錄。
本文說明如何將委派給非系統管理員的使用者,以便建立自己的目錄。 您可以將這些使用者新增至 Microsoft Entra 權利管理定義的目錄建立者角色。 您可以新增個別使用者,也可以新增成員之後能夠建立目錄的群組。 建立目錄之後,您可以將他們所擁有的資源新增至其目錄。 他們可以建立存取套件和原則,包括參考現有 已連線組織的原則。
如果您有要委派的現有目錄,請在建立和管理資源目錄一文中繼續操作。
身為 IT 系統管理員,委派給目錄建立者
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
請遵循下列步驟,將使用者指派給目錄建立者角色。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理設定]。>
選取編輯。
在 [委派權利管理] 區段中,選取 [新增目錄建立者] 以選取您要委派此權利管理角色的使用者或群組。
選取選取。
選取 [儲存]。
允許委派的角色存取 Microsoft Entra 系統管理中心
若要允許委派的角色,例如目錄建立者和存取套件管理員,以存取 Microsoft Entra 系統管理中心來管理存取套件,您應該檢查系統管理入口網站設定。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別用戶使用者>設定]。
請確定 [ 限制對 Microsoft Entra 系統管理入口網站的 存取] 設定為 [否]。
以程序設計方式管理角色指派
您也可以使用 Microsoft Graph 來檢視及更新目錄建立者和權利管理目錄特定角色指派。 作為具有擁有委派 EntitlementManagement.ReadWrite.All 權限的應用程式的適當角色之使用者,可以呼叫 [圖形 API] 以 列出權利管理的角色定義,以及 列出那些角色定義的角色指派。
若要擷取指派給目錄建立者角色的使用者和群組清單,請使用 ba92d953-d8e0-4e39-a797-0cbedb0a89e8Graph 查詢:
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=roleDefinitionId eq 'ba92d953-d8e0-4e39-a797-0cbedb0a89e8'&$expand=principal