權利管理是一種身分識別治理 (部分機器翻譯) 功能,可讓組織透過將存取要求工作流程、存取指派、檢閱和到期自動化,以大規模管理身分識別與存取生命週期。
組織中的人員需要存取各種群組、應用程式和 SharePoint Online 網站,才能執行其作業。 隨著需求變更,管理此存取變成一項挑戰。 新增應用程式或身份需要更多存取權限。 當您與外部組織共同作業時,此案例會變得更複雜。 您可能不知道其他組織中有誰需要存取您所在組織的資源,對方也不知道您所在組織使用了哪些應用程式、群組或網站。
權限管理能幫助你更有效率地管理對群組、應用程式和 SharePoint Online 網站的存取,這些網站涵蓋內部身份,也適用於組織外需要存取這些資源的身份。 你也可以在預覽版中使用權限管理,為代理 ID 指派群組、API 權限和角色。
為何要使用權利管理?
企業組織通常會面臨管理員工存取資源的挑戰,例如:
- 身份可能不知道自己、其直屬下屬或贊助代理人應該擁有什麼樣的存取權限,即使知道,也可能難以找到合適的人選來核准他們的存取權限
- 一旦資源存取被發現並指派,身份就能比其業務需求更長時間保留存取權限
這些問題對於需要來自其他組織存取的身份來說更加複雜,例如來自供應鏈組織或其他商業夥伴的外部身份。 例如:
- 沒有人會認識其他組織的目錄中能夠向自己發出邀請的所有特定人員
- 即使他們能邀請這些身份,組織裡的人可能也不會記得要一致管理所有身份的存取權限
權利管理可協助解決這些挑戰。 想了解更多關於客戶如何使用權益管理的資訊,可以閱讀 密西西比州醫療補助、 Storebrand及 Microsoft數位安全與韌性團隊 的案例研究。 下面這段影片會概述權利管理及其價值:
權利管理有哪些功能?
以下是權利管理的一些功能:
- 控制誰能透過多階段審核取得應用程式、群組、Teams、SharePoint 網站、SAP IAG 存取權限及其他資源的存取權,並確保身份不會因限時指派和定期存取審查而無限期保留存取權。
- 根據身份屬性如部門或成本中心,自動賦予身份存取權,當屬性改變時移除身份的存取權。
- 給予代理人ID所需資源的存取權,並允許代理人ID的贊助者確保只有在需要時才會維持存取權限。
- 向非管理員委派建立存取套件的能力。 這些存取套件包含身份可請求的資源,委派的存取套件管理者可定義政策,規定身份可請求的規則、誰必須核准存取權限及存取過期時間。
- 選擇可申請存取權限的相關組織。 當一個尚未在目錄中的身份申請存取並獲得批准時,他們會自動被邀請進入你的目錄並分配存取權限。 其存取權到期時,如果未獲得任何其他存取套件指派,其在您目錄中的 B2B 帳戶就會自動遭到移除。
注意
如果你準備好嘗試權利管理,可以先從我們的 教學開始,建立你的第一個存取套件。
您也可以閱讀常見案例或觀看影片,包括
- 如何在您的組織中部署權利管理 (英文)
- 如何監視及擴縮您對權利管理的使用 (英文)
- 如何在權利管理中委派
什麼是存取套件,我可以使用存取套件來管理哪些資源?
權利管理引進了存取套件的概念。 存取套件是所有資源的組合,包含身份者在專案或執行任務時所需的存取權限。 存取套件可用來管理內部身份的存取權限,也可用於來自組織外部的身份。
以下是你可以管理身份存取權限的資源類型,並透過權利管理:
- Microsoft Entra 安全性群組的成員資格
- Microsoft 365 群組和小組的成員資格
- 對象為 Microsoft Entra 企業應用程式的指派,包括 SaaS 應用程式和支援同盟/單一登入和/或佈建的自訂整合應用程
- SharePoint Online 網站的成員資格
- API 權限,適用於擁有代理 ID 或服務主體的代理,預覽版為 Microsoft Entra 代理 ID 的一部分
- SAP IAG 業務角色及其他存取權限預覽
您也可以控制對依賴 Microsoft Entra 安全性群組或 Microsoft 365 群組之其他資源的存取權。 例如:
- 你可以透過使用 Microsoft Entra 安全群組,並在存取套件中設定基於 群組的授權 ,來為 Microsoft 365 提供身份授權。
- 你可以透過在存取套件中使用 Microsoft Entra 安全群組,並為該群組建立 Azure 角色指派 ,來授權身份管理 Azure 資源。
- 你可以透過使用可指派給 Microsoft Entra 角色的群組,並指 派一個 Microsoft Entra 角色給該群組,來授權身份管理 Microsoft Entra 角色。
如何控制誰能夠獲得存取權?
使用存取套件時,管理員或委派的存取套件管理員會列出資源(群組、應用程式與網站、Microsoft Entra 角色及 API 權限),以及這些資源的身份所需的角色。
存取套件也包含一或多個「原則」。 原則會定義要指派給存取套件的規則或護欄。 每個政策都可以用來確保只有適當的身份才能擁有存取權,且若不續約,存取權將有時間限制。
你可以為身份設定申請存取權的政策。 在這類原則中,系統管理員或存取套件管理員會定義
- 無論是已存在的身份(通常是員工或已受邀的來賓),或是有資格申請存取權限的外部身份合作組織
- 核准流程以及能夠核准或拒絕存取的身份
- 身份存取指派在核准後的期限,直到該指派到期
你也可以設定政策讓身份被分配存取權限,無論是 由管理員、 根據規則自動分配,或是透過生命週期工作流程。
該圖表舉例說明了權利管理中的不同元素。 其會顯示一個目錄,其中包含兩個範例存取套件。
- 存取套件 1 包含單一群組來作為資源。 存取是以一個政策定義,使目錄中的一組身份能夠請求存取。
- 存取套件 2 包含群組、應用程式和 SharePoint Online 網站作為資源。 存取權是透過兩個不同的原則定義。 第一個政策允許目錄中的一組身份請求存取。 第二種政策允許外部目錄中的身份申請存取權限。
何時應使用存取套件?
存取套件不會取代其他存取指派機制。 其最適合用於如下的情況:
- 將存取原則定義從第三方企業角色管理移轉至 Microsoft Entra ID。
- 身份需要特定任務的時限存取權限。 例如,您可以使用群組型授權和動態群組來確保所有員工都擁有 Exchange Online 信箱,然後在員工需要額外存取權限的情況下使用存取套件。 例如,從另一個部門讀取部門資源的權限。
- 需要由人員的經理或其他指定對象核准的存取。
- 組織中某一特定部門的人員在擔任該工作角色期間,應自動獲得存取權指派,但組織中其他部門或業務合作夥伴組織的人員也可以要求權取權。
- 部門想要管理自己的資源存取原則,而不需要 IT 介入。
- 兩個或多個組織正在合作一個專案,因此需要透過 Microsoft Entra B2B 將同一組織的多個身份帶入,才能存取另一個組織的資源。
如何委派存取權?
存取套件會定義在名為目錄的容器中。 您可以為所有存取套件設定單一目錄,或者您也能指定個人進行建立並擁有自己的目錄。 系統管理員可以將資源新增至任何目錄,但是非系統管理員只能將其擁有的資源新增至目錄。 目錄擁有者可以新增其他身份,作為目錄共同擁有者或存取套件管理者。 權利管理中的委派和角色一文會進一步說明這些案例。
術語摘要
若要進一步了解權利管理及其文件,您可以參閱下列字詞清單。
| 詞彙 | 描述 |
|---|---|
| 存取套件 | 小組或專案所需且受原則控管的資源組合。 存取套件一律包含在目錄中。 你會為身份需要自行申請存取權限的情況建立一個新的存取套件。 |
| 存取要求 | 在存取套件中存取資源的要求。 要求通常會經過核准工作流程。 若核准,請求身份會獲得存取套件指派。 |
| 指派 | 將存取套件指派給身份,確保該身份擁有該存取套件的所有資源角色。 存取套件指派通常會有到期時間限制。 |
| 目錄 | 相關資源和存取套件的容器。 目錄可用於委派,讓非系統管理員可以建立自己的存取套件。 目錄擁有者可以將自己擁有的資源新增至目錄。 目錄可以有標準特權等級,或包含常規資源的目錄,或是特權等級,包含賦予提升權限的資源。 |
| 目錄建立者 | 一群被授權創建新目錄的身份。 當非管理員身份被授權成為目錄建立者建立新目錄時,他們會自動成為該目錄的擁有者。 |
| 已連線的組織 | 與您有關聯性的外部 Microsoft Entra 目錄或網域。 連接組織的身份可以在政策中指定為允許請求存取的權限。 |
| 原則 | 一組規則定義存取生命週期,例如身份如何取得存取權、誰可以核准,以及透過指派擁有多久的存取權限。 原則會連結至存取套件。 例如,一個存取套件可能有兩種政策——一項是員工申請存取,另一項是外部身份申請存取。 |
| 資源 | 資產,例如 Office 群組、安全群組、應用程式或 SharePoint Online 網站,並有身份可被授予權限的角色。 |
| 資源目錄 | 包含一或多個要共用資源的目錄。 |
| 資源角色 | 與資源相關聯並由資源定義的權限集合。 群組有兩個角色:成員和擁有者。 SharePoint 網站一般會有三個角色,但可能會有其他自訂角色。 應用程式可以有自訂角色。 |
授權需求
此功能需要您組織的使用者 Microsoft Entra ID Governance 或 Microsoft Entra Suite 訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶進行作業。 如需詳細資訊,請參閱每個功能的文章以取得詳細資料。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念。
指派代理程式存取套件的授權要求(預覽版)
Microsoft Entra Agent ID 是 Microsoft Agent 365 的一部分。 兩者皆可透過 Microsoft 365 中的 Frontier 程式 取得。 要使用這些功能,您必須持有 Microsoft 365 Copilot 的授權,並且已啟用 Frontier 給使用者使用。
請依照 Frontier 入門指南 操作,或依以下步驟確認 Frontier 是否啟用:
- 以帳單管理員身份登入 Microsoft 365 管理中心。
- 瀏覽 Copilot>設定> 使用者存取>Copilot Frontier,並確保使用者已啟用。 如果你看不到這些選項,請聯絡你的管理員檢查你的 Microsoft 365 Copilot 授權。
下一步
- 如果您有興趣使用 Microsoft Entra 系統管理中心來管理資源的存取,請參閱教學課程:管理資源的存取 - Microsoft Entra。
- 如果您有興趣使用 Microsoft Graph 來管理資源的存取,請參閱教學課程:管理資源的存取 - Microsoft Graph
- 常見場景