將組織角色模型移轉至 Microsoft Entra ID 控管
角色型存取控制 (RBAC) 提供分類使用者和 IT 資源的架構。 此架構可讓您明確表達其關聯性,以及適合該分類的存取權。 例如,透過指派給指定使用者職稱和專案指派的使用者屬性,使用者即可獲得使用者工作所需的工具存取權,以及使用者參與特定專案所需的資料。 使用者承擔不同的工作和不同的專案指派時,變更指定使用者職稱的屬性和專案時,會自動封鎖使用者存取先前職位所需的資源。
在 Microsoft Entra ID,您可以用數種方式利用角色模型,透過身分識別控管大規模管理存取。
- 您可以使用存取套件來代表組織中的組織角色,例如「銷售代表」。 代表組織角色的存取套件會包含銷售代表在多個資源之間通常需要的所有存取許可權。
- 應用程式可自行定義角色。 例如,如果您有銷售應用程式,且該應用程式在其資訊清單包含「銷售員」這個應用程式角色,則您可在存取套件包含該應用程式資訊清單中的角色。 應用程式也可以在使用者可以同時擁有多個應用程式特定角色的情況下,使用安全性群組。
- 您可以使用角色委派管理存取。 如果您有銷售所需的所有存取套件目錄,您可以透過指派目錄特定角色,以指派某人負責該目錄。
本文討論如何使用權利管理存取套件建立組織角色的模型,以便您將角色定義移轉至 Microsoft Entra ID,強制執行存取。
移轉組織角色模型
下列資料表說明,您可能熟悉之其他產品的組織角色定義概念,如何與權利管理的功能對應。
| 組織角色模型化的概念 | 權利管理中的聲明 |
|---|---|
| 委派角色管理 | 委派給目錄建立者 |
| 跨一或多個應用程式的權限集合 | 以資源角色建立存取套件 |
| 限制存取角色的持續時間可提供 | 將存取套件的原則生命週期設定,設為有到期日 |
| 個別角色指派 | 建立直接的存取套件指派 |
| 根據屬性 (例如其部門) 指派角色給使用者 | 建立存取套件的自動指派 |
| 使用者可以要求角色並取得核准 | 為可要求存取套件的人員設定原則設定 |
| 角色成員的存取重新認證 | 在存取套件原則設定週期性存取審查設定 |
| 區分職務職責 | 將兩個或多個存取套件定義為不相容 |
例如,組織可能有類似下列資料表的現有組織角色模型。
| 角色名稱 | 角色提供的權限 | 自動的角色指派 | 以要求為基礎的角色指派 | 職責區分檢查 |
|---|---|---|---|---|
| 銷售員 | 銷售小組的成員 | 是 | No | 無 |
| 銷售解決方案管理員 | 銷售應用程式中銷售員及解決方案管理員應用程式角色的權限 | 無 | 銷售員可以要求需要經理核准和每季審查 | 要求者不能是銷售客戶經理 |
| 銷售客戶經理 | 銷售應用程式中銷售員及帳戶管理員應用程式角色的權限 | 無 | 銷售員可以要求需要經理核准和每季審查 | 要求不能是銷售解決方案管理員 |
| 銷售支援 | 與銷售員相同的權限 | 無 | 任何銷售員都可以要求需要經理核准和每季審查 | 要求者不能是銷售員 |
這可以在 Microsoft Entra ID 控管中,以包含四個存取套件之存取套件目錄的方式表示。
| 存取套件 | 資源角色 | 原則 | 不相容的存取套件 |
|---|---|---|---|
| 銷售員 | 銷售小組的成員 | 自動指派 | |
| 銷售解決方案管理員 | 銷售應用程式中解決方案管理員應用程式角色 | 要求型 | 銷售客戶經理 |
| 銷售客戶經理 | 銷售應用程式中的帳戶管理員應用程式角色 | 要求型 | 銷售解決方案管理員 |
| 銷售支援 | 銷售小組的成員 | 要求型 | 銷售員 |
下幾節概述移轉、建立 Microsoft Entra ID 和 Microsoft Entra ID 控管成品的流程,以實作對等的組織角色模型存取。
將組織角色中權限被參考的應用程式連線到 Microsoft Entra ID
如果組織角色用於指派控制非 Microsoft SaaS 應用程式、內部部署應用程式或您自己雲端應用程式存取的權限,則您必須將應用程式連線到 Microsoft Entra ID。
為了讓代表組織角色的存取套件,能夠參照應用程式的角色作為要在角色中包含的權限,對於具有多個角色並支援 SCIM 等新式標準的應用程式,您應該整合應用程式與 Microsoft Entra ID,並確保應用程式的角色列在應用程式資訊清單中。
如果應用程式只有單一角色,您仍應將應用程式與 Microsoft Entra ID 整合。 針對不支援 SCIM 的應用程式,Microsoft Entra ID 可以將使用者寫入應用程式現有的目錄或 SQL 資料庫,或將 AD 使用者新增至 AD 群組。
在組織角色中填入應用程式和使用者範圍規則所使用的 Microsoft Entra 結構描述
如果角色定義包含表單的聲明「具有這些屬性值的所有使用者都會自動指派給角色」或「允許使用這些屬性值的使用者要求」,則您必須確保 Microsoft Entra ID 有這些屬性。
您可以擴充 Microsoft Entra 結構描述,然後透過 Microsoft Entra Connect,或是從 Workday 或 SuccessFactors 等 HR 系統填入這些屬性。
建立委派的目錄
如果委派持續維護角色,為您將委派之組織的每個部分建立目錄,即可委派存取套件的管理。
如果您有多個目錄要建立,可以使用 PowerShell 指令碼建立每個目錄。
如果您不打算委派存取套件的管理,則可以將存取套件保留在單一目錄。
將資源新增至目錄
現在您已識別目錄,接著將代表組織角色之存取套件中包含的應用程式、群組或網站新增至目錄。
如果您有許多資源,可以使用 PowerShell 指令碼將每項資源新增至目錄。
建立對應至組織角色定義的存取套件
每個組織角色定義都可以使用該目錄中存取套件的方式表示。
您可以使用 PowerShell 指令碼在目錄建立存取套件。
建立存取套件之後,您就可以將目錄中資源的一或多個角色連結至存取套件。 這代表組織角色的權限。
此外,您將建立直接指派的原則,作為該存取套件的一部分,可用來追蹤已擁有個別組織角色指派的使用者。
建立現有個別組織角色指派的存取套件指派
如果部分使用者已經有組織角色成員資格,他們不會透過自動指派接收,則您應該為這些使用者針對相應的存取套件建立直接指派。
如果您有許多需要指派的使用者,可以使用 PowerShell 指令碼將每個使用者指派至存取套件。 這會將使用者連結到直接指派原則。
將原則新增至這些存取套件以進行自動指派
如果貴組織的角色定義包含根據使用者屬性的規則,根據該屬性自動指派和移除這些屬性的存取權,您可以使用自動指派原則來表示。 存取套件可以擁有最多一個自動指派原則。
如果您有許多角色定義,且每個都有一個角色定義,您可以使用 PowerShell 指令碼在每個存取套件中建立每個自動指派原則。
為區分職責將存取套件設定為不相容
如果您有職責區分限制,防範使用者在已經擁有組織角色時接下另一個組織角色,則將這些存取套件組合標示為不相容,即可防範使用者在權利管理要求存取權。
針對要標示為與另一個不相容的每個存取套件,您可以使用 PowerShell 指令碼將存取套件設定為不相容。
針對要允許要求的使用者,將原則新增至存取套件
如果尚未擁有組織角色的使用者可以要求承接角色並取得核准,則您也可以將權利管理設定為允許使用者要求存取套件。 您可以將其他原則新增至存取套件,並在每個原則中指定哪些使用者可以要求,以及誰必須核准。
在存取套件指派原則中設定存取審查
如果組織角色需要定期審查其成員資格,您可以在要求型直接指派原則中設定週期性存取審查。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應