共用方式為


在權利管理中建立存取套件

存取套件可讓您只要將資源和原則設定一次,就能在存取套件存在期間內自動管理存取權。 本文說明如何建立存取套件。

概觀

所有存取套件都必須位於稱為目錄的容器中。 目錄定義您可以新增至存取套件的資源。 若未指定目錄,存取套件就會放入一般目錄中。 目前,您無法將現有的存取套件移至不同的目錄。

存取套件可用來將存取權指派給目錄中多個資源的角色。 如果您是系統管理員或目錄擁有者,可在建立存取套件時將資源新增至目錄。 您還可以在建立存取套件後新增資源,指派給存取套件的使用者也將收到其他資源。

如果您是存取套件管理員,則無法將自己擁有的資源新增至目錄。 您受限於使用目錄中可用的資源。 如果需要將資源新增至目錄,您可以請求目錄擁有者。

所有存取套件都至少必須有一個原則來將使用者指派給它們。 原則會指定可要求存取套件的人員以及核准和生命週期設定,或是如何自動指派存取。 當您建立存取套件時,可針對目錄中的使用者、針對不在目錄中的使用者,或僅針對系統管理員直接指派,來建立初始原則。

行銷目錄範例圖表,其中包含其資源及其存取套件。

以下高階步驟可用來建立具有初始原則的存取套件:

  1. 在 Identity Governance 中,開始進行建立存取套件的流程。

  2. 選取要放置存取套件的目錄,並確定其具有必要的資源。

  3. 將資源角色從目錄中的資源新增至您的存取套件。

  4. 為可要求存取的使用者指定初始原則。

  5. 在該原則中指定核准設定和生命週期設定。

接著,在建立存取套件之後,您可以變更隱藏的設定新增或移除資源角色,以及新增其他原則

開始進行建立流程

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

    提示

    可完成此工作的其他最低權限角色包括目錄擁有者或存取套件管理員。

  2. 瀏覽至 [身分識別治理]>[權利管理]>[存取套件]

  3. 選取 [新增存取套件]

    螢幕擷取畫面:顯示用於在 Microsoft Entra 系統管理中心建立新存取套件的按鈕。

設定基本

在 [基本] 索引標籤上,請提供存取套件的名稱,並指定要在哪個目錄中建立存取套件。

  1. 輸入存取套件的顯示名稱和描述。 使用者在提交存取套件要求時會看到此資訊。

  2. 在 [目錄] 下拉式清單中,選取要放置存取套件的目錄。 例如,您可能有一位目錄擁有者,負責管理所有可要求的行銷資源。 在此案例中,您可以選取行銷目錄。

    您只會看到您有權在其中建立存取套件的目錄。 若要在現有目錄中建立存取套件,您至少必須是 Identity Governance 系統管理員。 或者,您必須是目錄擁有者或該目錄中的存取套件管理員。

    螢幕擷取畫面:顯示新存取套件的基本資訊。

    如果您至少是 Identity Governance 系統管理員或目錄建立者,而且您想要在未列出的新目錄中建立存取套件,選取 [建立新目錄]。 輸入目錄名稱和描述,然後選取 [建立]

    您建立的存取套件及其包含的所有資源都會新增至新目錄。 之後,您可以新增更多目錄擁有者,或將屬性新增至您放置於目錄中的資源。 若要深入了解如何編輯特定目錄資源和必要角色的屬性清單,請參閱在目錄中新增資源屬性

  3. 選取 [下一步: 資源角色]

選取資源角色

在 [資源角色] 索引標籤上,請選取要加入存取套件中的資源。 要求並收到存取套件的使用者會得到存取套件中的所有資源角色,例如群組成員資格。

如果您不確定要包含哪些資源角色,您可以在建立存取套件時略過新增資源角色的步驟,然後新增資源角色

  1. 選取您要新增的資源類型 ([群組和小組]、[應用程式] 或 [SharePoint 網站])。

  2. 在出現的 [選取應用程式] 面板中,從清單中選取一或多個資源。

    螢幕擷取畫面:顯示用於為新存取套件中的資源角色選取應用程式的面板。

    如果您在一般目錄 (Catalog) 或新目錄 (Catalog) 中建立存取套件,就能夠從您擁有的目錄 (Directory) 中選擇任何資源。 您至少必須是 Identity Governance 系統管理員或目錄建立者。

    注意

    您可以將組動態成員資格群組新增至目錄和存取套件。 不過,在管理存取套件中的動態群組資源時,您只能選取擁有者角色。

    如果您正在現有目錄中建立存取套件,則可選取目錄中已有的任何資源,而不需成為該資源的擁有者。

    如果您至少是 Identity Governance 系統管理員或目錄擁有者,就會有其他選項,可選取您擁有或管理、但尚未在目錄中的資源。 如果您選取位於目錄 (Directory) 但目前不在所選目錄 (Catalog) 的資源,這些資源也會新增至該目錄 (Catalog),以供其他目錄 (Catalog) 系統管理員用來建置存取套件。 若要查看目錄 (Directory) 中可新增至目錄 (Catalog) 的所有資源,選取面板頂端的 [查看全部] 核取方塊。 如果您只想選取目前位於所選取目錄 (Catalog) 的資源,則讓 [查看全部] 核取方塊保持已清除的狀態 (預設狀態)。

  3. 在 [角色] 清單中,選取您想要針對資源指派給使用者的角色。 如需如何針對資源選取適當角色的詳細資訊,請參閱如何判斷要包含在存取套件中的資源角色

    螢幕擷取畫面:顯示新存取套件的資源角色選取。

  4. 選取 [下一步: 要求]

建立初始原則

在 [要求] 索引標籤上,建立第一個原則來指定可要求存取套件的人員。 您也可以為該原則設定核准設定。 稍後,使用這個初始原則建立存取套件之後,您可以 新增更多原則 ,以允許其他使用者群組使用自己的核准設定來要求存取套件,或自動指派存取權。

螢幕擷取畫面:顯示新存取套件的 [要求] 索引標籤。

視您希望要求此存取套件的使用者而定,請執行下列其中一章節的步驟 允許目錄中的使用者要求存取套件允許不在目錄中的使用者要求存取套件僅允許系統管理員直接指派。 如果您不確定需要哪些要求或核准設定,您可以規劃為已擁有基礎資源存取權的使用者建立指派,或計劃使用存取套件自動指派原則來自動化存取,然後選取直接指派原則作為初始原則。

允許目錄中的使用者要求存取套件

如果您想要讓目錄中的使用者能夠要求此存取套件,請使用下列步驟。 定義要求原則時,您可以指定個別使用者或 (更常見) 使用者群組。 例如,組織可能已經有全體員工之類的群組。 如果已在原則中為可要求存取的使用者新增該群組,則該群組的所有成員皆可要求存取。

  1. 在 [可要求存取的使用者] 區段中,選取 [您目錄中的使用者]

    選取此選項時會出現新選項,讓您能夠從目錄中進一步挑選可要求此存取套件的人員。

    螢幕擷取畫面:顯示用於允許目錄中的使用者與群組要求存取套件的選項。

  2. 選取下列其中一個選項:

    選項 描述
    特定使用者與群組 如果只希望您在目錄中指定的使用者和群組才能要求此存取套件,請選擇此選項。
    所有成員 (不含來賓) 如果要讓目錄中的所有成員使用者都能要求此存取套件,請選擇此選項。 此選項不包括您可能已邀請加入目錄的任何來賓使用者。
    所有使用者 (含來賓) 如果要讓目錄中的所有成員使用者和來賓使用者都能要求此存取套件,請選擇此選項。

    來賓使用者是已透過 Microsoft Entra B2B 受邀加入目錄的外部使用者。 如需成員使用者和來賓使用者之間有何差異的詳細資訊,請參閱 Microsoft Entra ID 中的預設使用者權限是什麼?

  3. 如果您選取 [特定使用者與群組],請選取 [新增使用者與群組]

  4. 在 [選取使用者與群組] 窗格上,選取您要新增的使用者與群組。

    螢幕擷取畫面:顯示用於為存取套件選取使用者與群組的窗格。

  5. 選擇 [選取] 以新增使用者與群組。

  6. 往下跳到指定核准設定一節。

允許不在目錄中的使用者要求存取套件

位於另一個 Microsoft Entra 目錄或網域的使用者可能尚未受邀加入您的目錄。 您必須在 [共同作業限制] 中將 Microsoft Entra 目錄設定為允許邀請。 如需詳細資訊,請參閱設定外部共同作業設定

若使用者的要求已獲核准或不需要核准、但該使用者尚未在您的目錄中,系統將為其建立來賓使用者帳戶。 來賓將受到邀請,但不會收到邀請電子郵件。 相反地,他們將在傳遞其存取套件指派時收到電子郵件。 之後,當該來賓使用者因為最後一個指派到期或遭到取消而不再有任何存取套件指派時,該帳戶將遭到封鎖而無法登入,且隨後遭到刪除。 封鎖和刪除的發生屬於預設行為。

如果您想要讓來賓使用者在即使沒有存取套件指派時,也能無限期地留在目錄中,您可以變更權利管理設定的設定。 如需來賓使用者物件的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性

如果您想要允許不在目錄中的使用者要求此存取套件,請遵循下列步驟:

  1. 在 [可要求存取的使用者] 區段中,選取 [不在目錄中的使用者]

    選取此選項時會出現新的選項。

    螢幕擷取畫面:顯示用於允許不在目錄中的使用者與群組要求存取套件的選項。

  2. 選取下列其中一個選項:

    選項 描述
    特定已連線的組織 如果要從管理員先前新增的組織清單中選擇,請選擇此選項。 所選組織中的所有使用者都可以要求此存取套件。
    所有已連線的組織 如果所有設定的連線組織其所有使用者都可以要求此存取套件,請選擇此選項。
    所有使用者 (所有已連線的組織 + 任何新的外部使用者) 如果任何使用者都可要求此存取套件,且 B2B 允許清單或封鎖清單設定應優先於任何新的外部使用者,則選擇此選項。

    已連線的組織是與您有關聯的外部 Microsoft Entra 目錄或網域。

  3. 如果您選取 [特定已連線的組織],請選取 [新增目錄],從管理員先前新增的已連線組織清單中選擇。

  4. 輸入名稱或網域名稱,以搜尋先前已連線的組織。

    螢幕擷取畫面:顯示用於針對存取套件要求選取目錄的搜尋方塊。

    如果您想要共同作業的組織不在清單中,您可以要求系統管理員,將其新增為已連線的組織。 如需詳細資訊,請參閱新增已連線的組織

  5. 如果您選取了 [所有已連線組織],則應該確認目前已設定並打算納入範圍內的已連線組織清單。

  6. 如果您選取了 [所有使用者],則必須在 [核准] 區段中設定核准,因為此範圍會允許網際網路上的任何身分識別要求存取。

  7. 選取所有已連線的組織之後,選擇 [選取]

    所選已連線組織中的所有使用者都能要求此存取套件。 這包括來自與組織相關聯之所有子網域的 Microsoft Entra ID 中的使用者,除非 Azure B2B 允許清單或封鎖清單會封鎖那些網域。 如果您指定社交識別提供者網域 (例如 live.com),則來自社交識別提供者的任何使用者都能夠要求此存取套件。 如需詳細資訊,請參閱允許或封鎖對特定組織的 B2B 使用者的邀請

  8. 往下跳到指定核准設定一節。

僅允許系統管理員直接指派

如果要略過存取要求,並允許管理員直接將特定使用者指派給此存取套件,請遵循下列步驟。 使用者不必要求存取套件。 您仍然可以設定生命週期設定,但沒有任何要求設定。

  1. 在 [可要求存取的使用者] 區段中,選取 [無 (僅限管理員直接指派)]

    螢幕擷取畫面:顯示僅允許系統管理員直接指派存取套件的選項。

    建立存取套件之後,您可以將特定的內部和外部使用者直接指派給存取套件。 如果您指定外部使用者,系統就會在目錄中建立來賓使用者帳戶。 如需有關直接指派使用者的資訊,請參閱檢視、新增及移除存取套件的指派

  2. 往下跳至 [啟用要求] 區段。

指定核准設定

在 [核准] 區段中,指定當使用者要求此存取套件時是否需要核准。 核准設定的運作方式如下:

  • 若為單階段核准,僅其中一個選定核准者或後援核准者需要核准要求。
  • 針對兩階段核准,只需要每個階段的其中一個選定核准者核准要求即可。
  • 視原則的存取控管而定,核准者可以是管理員、使用者的贊助者、內部贊助者或外部贊助者。
  • 單階段或兩階段核准不需要每個選定核准者的核准。
  • 核准決策以哪位核准者最先審核要求為準。

如需如何將核准者新增至要求原則的示範,請觀看下列影片:

如需示範如何將多階段核准新增至要求原則,請觀看下列影片:

請遵循下列步驟,指定有關要求存取套件的核准設定:

  1. 如需核准來自所選使用者的要求,請將 [需要核准] 切換至 [是]。 或者,若要自動核准要求,請切換至 [否]。 如果原則允許來自組織外部的外部使用者要求存取,您應該要求核准,以監督要新增至組織目錄的人員。

  2. 如需使用者說明要求存取套件的理由,請將 [需要要求者理由] 切換至 [是]

  3. 判斷要求需要單階段還是兩階段核准。 如需單階段核准,將 [有多少階段] 切換開關設定為 [1],如需兩階段核准,設定為 [2],如需三階段核准,則設定為 [3]

    螢幕擷取畫面:顯示存取套件要求的核准設定。

選取階段數之後,使用下列步驟來新增核准者。

單階段核准

  1. 新增 [第一個核准者] 資訊:

    • 如果原則設定為 [目錄中的使用者],您可以選取 [由管理員擔任核准者] 或 [由贊助者擔任核准者]。 或者,您也可以選取 [選擇特定核准者],然後選取 [新增核准者],以新增特定使用者。

      若要在 [核准] 中使用 [由贊助者擔任核准者],您必須擁有 Microsoft Entra ID 控管授權。 如需詳細資訊,請參閱比較 Microsoft Entra ID 正式推出的功能

      螢幕擷取畫面:顯示在將原則設定為目錄中的使用者時第一個核准者的選項。

    • 如果將原則設定為 [不在目錄中的使用者],您可以選取 [外部贊助者] 或 [內部贊助者]。 或者,您也可以選取 [選擇特定核准者],然後選取 [新增核准者],以新增特定使用者。

      螢幕擷取畫面:顯示在將原則設定為不在目錄中的使用者時第一個核准者的選項。

  2. 如果您選取 [主管] 作為第一個核准者,請選取 [新增後援],在目錄中選取一或多個使用者或群組作為後援核准者。 如果權利管理無法針對要求存取的使用者找到管理員,後援核准者就會收到要求。

    權利管理會使用管理員屬性來尋找管理員。 該屬性位於 Microsoft Entra ID 的使用者設定檔中。 如需詳細資訊,請參閱新增或更新使用者的設定檔資訊和設定

  3. 如果您選取了 [贊助者] 來擔任第一個核准者,選取 [新增後援],以在目錄中選取一或多個使用者或群組作為後援核准者。 如果權利管理無法針對要求存取的使用者找到贊助者,後援核准者就會收到要求。

    權利管理會使用贊助者屬性來尋找贊助者。 該屬性位於 Microsoft Entra ID 的使用者設定檔中。 如需詳細資訊,請參閱新增或更新使用者的設定檔資訊和設定

  4. 如果您選取 [選擇特定核准者],請選取 [新增核准者],在目錄中選取一或多個使用者或群組作為核准者。

  5. 在 [必須在多少天內做出決策?] 方塊中,指定核准者必須在多少天內審核對此存取套件的要求。

    如果未在這段時間內核准要求,系統便會自動拒絕該要求。 然後,使用者必須提交另一個存取套件要求。

  6. 如需要求核准者說明其決策的理由,將 [需要核准者理由] 設定為 [是]

    其他核准者和要求者可以看到理由。

兩階段核准

如果您選取了兩階段核准,就需要新增第二個核准者:

  1. 新增 [第二個核准者] 資訊:

    • 如果使用者位於您的目錄中,您可以選取 [由贊助者擔任核准者]。 或者,也可以從下拉式功能表中,選取 [選擇特定核准者],然後選取 [新增核准者],以新增特定使用者。

      螢幕擷取畫面:顯示在將原則設定為目錄中的使用者時第二個核准者的選項。

    • 如果使用者不在目錄中,請選取 [內部贊助者] 或 [外部贊助者] 作為第二個核准者。 選取核准者之後,新增後援核准者。

      螢幕擷取畫面:顯示在將原則設定為不在目錄中的使用者時第二個核准者的選項。

  2. 在 [必須在多少天內做出決策?] 方塊中,指定第二個核准者必須在多少天內核准要求。

  3. 將 [需要核准者理由] 切換開關設定為 [是] 或 [否]

三階段核准

如果您選取了三階段核准,則需要新增第三個核准者:

  1. 新增 [第三個核准者] 資訊:

    如果使用者在您的目錄中,選取 [選擇特定核准者]>[新增核准者],以將特定使用者新增為第三個核准者。

    螢幕擷取畫面:顯示在將原則設定為目錄中的使用者時第三個核准者的選項。

  2. 在 [必須在多少天內做出決策?] 方塊中,指定第二個核准者必須在多少天內核准要求。

  3. 將 [需要核准者理由] 切換開關設定為 [是] 或 [否]

替代核准者

您可以指定替代核准者,類似於指定可核准要求的第一個和第二個核准者。 擁有替代核准者,有助於確保在要求到期 (逾時) 之前核准或拒絕要求。 您可以針對兩階段核准的第一個核准者和第二個核准者列出替代核准者。

當您指定替代核准者時,如果第一個或第二個核准者無法核准或拒絕要求,系統就會將擱置的要求轉送給替代核准者。 要求會根據您在原則設定期間指定的轉送排程來傳送。 核准者會收到一封電子郵件來核准或拒絕擱置的要求。

要求轉送給替代核准者之後,第一個或第二個核准者仍可核准或拒絕要求。 替代核准者會使用同一個我的存取權網站來核准或拒絕擱置的要求。

您可以列出要成為核准者和替代核准者的人員或人員群組。 請務必編列不同人群來擔任第一個、第二個和替代核准者。 例如,如果您已將 Alice 和 Bob 列為第一個核准者,則將 Carol 和 Dave 列為替代核准者。

使用下列步驟將替代核准者新增至存取套件:

  1. 在 [第一個核准者]、[第二個核准者] 或兩者之下,選取 [顯示進階要求設定]

    螢幕擷取畫面:選取 [顯示進階要求設定]。

  2. 將 [如果未採取任何動作,要轉送到其他核准者嗎?] 切換開關設定為 [是]

  3. 選取 [新增替代核准者],然後從清單中選取替代核准者。

    螢幕擷取畫面:顯示進階要求設定,包括用於新增替代核准者的連結。

    如果您選取 [管理員] 作為第一個核准者,[替代核准者] 方塊中會出現額外的選項:[第二層管理員擔任替代核准者]。 如果您選取此選項,就必須新增後援核准者作為轉送要求的對象,以防系統找不到第二層管理員。

  4. 在 [在幾天後轉送到替代核准者] 方塊中,輸入核准者必須在多少天內核准或拒絕要求。 如果沒有核准者在要求持續時間結束前核准或拒絕要求,要求就會到期 (逾時)。 然後,使用者必須提交另一個存取套件要求。

只有在要求持續時間過了一半後,才能在一天後將要求轉送給替代核准者。 主要核准者的決策必須在至少四天後逾時。 如果要求在三天內逾時,則沒有足夠時間可將要求轉送給替代核准者。

在此範例中,要求的存在時間為 14 天。 要求持續時間會在第 7 天過了一半。 因此,無法在第 8 天之前轉送要求。

此外,也無法在要求存在時間的最後一天轉送要求。 因此,在此範例中,可以轉送要求的最後一天是第 13 天。

啟用要求

  1. 如果您想要讓要求原則中的使用者能夠立即要求存取套件,將 [啟用新的要求與指派] 切換開關設定為 [是]

    存取套件建立完畢後,未來隨時都可以啟用。

    如果您選取 [無 (僅限系統管理員直接指派)],並將 [啟用新的要求與指派] 設定為 [否],系統管理員就無法直接指派此存取套件。

    螢幕擷取畫面:顯示用於啟用新要求和指派的選項。

  2. 移至下一節,以了解如何將驗證識別碼需求新增至您的存取套件。 否則,請選取 [下一步]。

新增驗證識別碼需求

如果您想要將驗證識別碼需求新增至存取套件原則,請使用下列步驟。 想要存取存取套件的使用者必須先出示所需的驗證識別碼,才能成功提交其要求。 若要了解如何使用 Microsoft Entra 驗證識別碼服務來設定租用戶,請參閱 Microsoft Entra 驗證識別碼簡介

您需要全域系統管理員角色,才能將驗證識別碼需求新增至要求原則中的存取套件。 Identity Governance 系統管理員、使用者管理員、目錄擁有者或存取套件管理員尚無法新增驗證識別碼需求。

  1. 選取 [+ 新增簽發者],然後從 Microsoft Entra 驗證識別碼網路選取簽發者。 如果您想要向使用者發出自己的認證,您可以在從應用程式核發 Microsoft Entra 驗證識別碼認證中找到指示。

    螢幕擷取畫面:顯示用於針對存取套件選取簽發者的窗格。

  2. 選取您想要讓使用者在要求過程中出示的認證類型。

    螢幕擷取畫面:顯示用於選取存取套件認證類型的區域。

    如果您選取來自某一個簽發者的多個認證類型,使用者就必須出示所有選定類型的認證。 同樣地,如果您包含多個簽發者,使用者就必須出示來自您在原則中所包含之每個簽發者的認證。 若要為使用者提供選項以出示來自各種簽發者的不同認證,則針對您將接受的每個簽發者或認證類型設定個別原則。

  3. 選取 [新增],以將驗證識別碼需求新增至存取套件原則。

將要求者資訊新增至存取套件

  1. 移至 [要求者資訊] 索引標籤,然後選取 [問題] 索引標籤。

  2. 在 [問題] 方塊中,輸入您想要詢問要求者的問題。 這個問題也稱為顯示字串。

  3. 如果您想要新增自己的當地語系化選項,選取 [新增當地語系化]

    螢幕擷取畫面:顯示用於為要求者輸入問題的方塊。

    在 [新增當地語系化的問題] 窗格上:

    1. 針對 [語言代碼],選取您要用來將問題當地語系化之語言的語言代碼。
    2. 在 [已當地語系化的文字] 方塊中,以您設定的語言輸入問題。
    3. 當您完成新增所需的所有當地語系化之後,選取 [儲存]

    螢幕擷取畫面:顯示問題的當地語系化選取項目。

  4. 針對 [回答格式],選取您希望要求者在回答時使用的格式。 回答格式包括:[短文字]、[選擇題] 和 [長文字]

  5. 如果選取 [選擇題],則選取 [編輯和當地語系化] 按鈕來設定回答選項。

    螢幕擷取畫面:顯示選取 [選擇題] 作為回答格式,以及用於編輯和當地語系化回答選項的按鈕。

    在 [檢視/編輯問題] 窗格上:

    1. 在 [回答值] 方塊中,輸入當要求者回答問題時您想要提供的回應選項。
    2. 在 [語言] 方塊中,選取回應選項的語言。 如果您選擇額外語言,您可以當地語系化回應選項。
    3. 選取 [儲存]。

    螢幕擷取畫面:顯示用於編輯和當地語系化選擇題答案的選項。

  6. 如需要求者在要求存取存取套件時回答此問題,選取 [必要] 核取方塊。

  7. 選取 [屬性] 索引標籤,以檢視存取套件中新增的資源所關聯的屬性。

    注意

    若要新增或更新存取套件的資源屬性,請移至 [目錄] ,並找出與存取套件相關聯的目錄。 若要深入了解如何編輯特定目錄資源和必要角色的屬性清單,請參閱在目錄中新增資源屬性

  8. 選取 [下一步]。

指定生命週期

在 [生命週期] 索引標籤上,請指定使用者對存取套件的指派何時到期。 您也可以指定使用者是否可以將指派延期。

  1. 在 [到期] 區段中,將 [存取套件指派到期] 設定為 [日期]、[天數]、[時數] 或 [永不]

    • 若為 [日期],請選取未來的到期日。
    • 針對 [天數],指定 0 到 3660 天之間的數字。
    • 針對 [時數],指定多少個小時。

    根據您的選取項目,使用者對存取套件的指派會在特定日期到期、其獲得核准後幾天到期或永遠不會到期。

  2. 如果您想要讓使用者為其存取要求特定的開始和結束日期,針對 [使用者可以要求特定時間軸] 切換開關選取 [是]

  3. 選取 [顯示進階到期設定] 以顯示更多設定。

    螢幕擷取畫面:顯示存取套件的生命週期到期設定。

  4. 若要允許使用者將其指派延期,將 [允許使用者延期存取權] 設定為 [是]

    如果原則中允許延期,使用者會 14 天前收到一封電子郵件,然後在前一天,將其存取套件指派設定為過期。 該電子郵件會提示使用者將指派延期。 使用者在要求延期時必須仍在原則的範圍內。

    此外,如果原則有明確的指派結束日期,而且使用者提交要求來將存取權延期,則要求中的延期日期必須在指派到期當天或之前。 您用來向使用者授與存取套件存取權的原則,會定義延期日期是在指派到期日當天或之前。 例如,如果原則指出指派設定為 6 月 30 日到期,則使用者可要求的最長延期時間為 6 月 30 日。

    如果使用者的存取權已延期,使用者將無法在指定的延期日期 (以建立原則之使用者所在時區設定的日期) 之後要求該存取套件。

  5. 如需核准來授與延期,請將 [需要核准來授與延期] 設定為 [是]

    此核准將使用您在 [要求] 索引標籤上指定的相同核准設定。

  6. 選取 [下一步] 或 [更新]

檢閱並建立存取套件

在 [檢閱 + 建立] 索引標籤上,您可以檢閱設定並檢查是否有任何驗證錯誤。

  1. 檢閱存取套件的設定。

    螢幕擷取畫面:顯示存取套件設定的摘要。

  2. 選取 建立 以建立存取套件及其初始原則。

    新的存取套件會出現在存取套件清單中。

  3. 如果存取套件旨在讓原則範圍內的所有人都能看見,則將存取套件的 [隱藏] 設定保持為 [否]。 或者,如果您預定只允許具有直接連結的使用者要求存取套件,編輯存取套件,將 [隱藏] 設定變更為 [是]。 然後,複製用來要求存取套件的連結,並與需要存取的使用者共用此連結。

  4. 接下來,您可以將 新增更多原則 至存取套件、 設定職責區分檢查,或 直接指派使用者

以程式設計方式建立存取套件

有兩種方式能以程式設計方式建立存取套件:透過 Microsoft Graph,以及透過適用於 Microsoft Graph 的 PowerShell Cmdlet。

使用 Microsoft Graph 建立存取套件

您可以使用 Microsoft Graph 來建立存取套件。 如果使用者在具有 EntitlementManagement.ReadWrite.All 委派權限的應用程式中擔任適當的角色,則可以呼叫 API 以便:

  1. 列出目錄中的資源,以及針對還不在目錄中的任何資源建立 accessPackageResourceRequest
  2. 擷取目錄中每個資源的角色和範圍。 後續建立 resourceRoleScope 時,將使用此角色清單來選取角色。
  3. 建立 accessPackage
  4. 針對存取套件中需要的每個資源角色建立 resourceRoleScope
  5. 針對存取套件中需要的每個原則建立 assignmentPolicy

使用 Microsoft PowerShell 建立存取套件

您也可以在 PowerShell 中,使用來自適用於 Identity Governance 的 Microsoft Graph PowerShell Cmdlet \(英文\) 模組的 Cmdlet 建立存取套件。

首先,擷取您想要包含在存取套件中之目錄的識別碼,以及該目錄中的資源及其範圍和角色。 使用類似於下列範例的指令碼:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

然後,建立存取套件:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

建立存取套件後,為其指派資源角色。 例如,如果您想將稍早傳回的資源中的第一個資源角色作為新存取套件的資源角色,而該角色有一個ID,您可以使用類似以下的腳本:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

如果角色沒有 ID,則請勿在請求載荷中包含 role 結構的 id 參數。

最後,建立原則。 在此原則中,只有系統管理員或存取套件指派管理員可以指派存取權,而且不會檢閱存取權。 如需更多範例,請參閱透過 PowerShell 建立指派原則建立 assignmentPolicy



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

如需更多資訊,請參閱使用 PowerShell 為具有單一角色的應用程式,在權利管理中建立存取套件

下一步