權利管理中的委派和角色
在 Microsoft Entra ID 中,您可以使用角色模型透過身分識別治理來大規模管理存取權。
- 您可以使用存取套件來代表組織中的 組織角色,例如「銷售代表」。 代表組織角色的存取套件會包含銷售代表在多個資源之間通常需要的所有存取許可權。
- 應用程式可以定義自己的角色。 例如,如果您有銷售應用程式,且該應用程式在其資訊清單中包含應用程式角色 「salesperson」,則可 將該應用程式資訊清單中的該角色包含在存取套件中。 應用程式也可以在使用者可以同時擁有多個應用程式特定角色的情況下,使用安全性群組。
- 您可以使用角色委派管理存取。 如果您有銷售所需的所有存取套件目錄,您可以透過指派目錄特定角色,以指派某人負責該目錄。
本文討論如何使用角色來管理 Microsoft Entra 權利管理中的各層面,以控制權利管理資源的存取權。
根據預設,全域管理員角色或身分識別治理系統管理員角色中的使用者可以建立和管理權利管理的所有層面。 不過,屬於這些角色的使用者可能不知道需要存取套件的所有情況。 一般來說,這是在個別部門、小組或專案內,知道與其共同作業的對象、使用哪些資源和多長時間的使用者。 不需為非系統管理員授與不受限制的權限,您可以授與使用者完成其工作所需的最低權限,並避免建立衝突或不當的存取權限。
這段影片概述如何將 IT 管理員的存取治理委派給非管理員的使用者。
委派範例
若要瞭解您可能會在權利管理中委派存取治理的方法,舉例說明有助於理解。 假設您的組織中有下列管理員和經理。
作為 IT 系統管理員,Hana 在每個部門中都有連絡人 -- 行銷部門的 Mamta、財務部門的 Mark 和法務部門的 Joe,負責各自部門的資源和業務關鍵內容。
透過權利管理,您可將存取治理委派給這些非管理員,因為他們知道哪些使用者需要存取、存取多久及存取哪些資源。 委派給非系統管理員可確保由適當的人員管理其部門的存取權。
以下是 Hana 可以將存取治理委派給行銷、財務和法律部門的其中一種方式。
Hana 會建立新的 Microsoft Entra 安全性群組,並將 Mamta、Mark 和 Joe 新增為該群組的成員。
Hana 會將該群組新增至目錄建立者角色。
Mamta、Mark 和 Joe 現在可以為其部門建立目錄、新增其部門所需的資源,並在目錄中執行進一步委派。 他們看不到彼此的目錄。
Mamta 會建立 行銷 目錄,這是資源的容器。
Mamta 會將行銷部門擁有的資源新增至此目錄。
Mamta 可以將該部門的其他人新增為此目錄的目錄擁有者,以協助共用目錄管理責任。
Mamta 可以將行銷目錄中存取套件的建立和管理委派給行銷部門的專案經理。 他們可以將存取套件管理員角色指派給目錄上的存取套件管理員角色,以執行此動作。 存取套件管理員可以建立和管理存取套件,以及該目錄中的原則、要求和指派。 如果目錄允許,存取套件管理員可以設定原則,以從已連線的組織引進使用者。
下圖顯示具有行銷、財務和法律部門的資源目錄。 使用這些目錄時,項目經理可以為其小組或專案建立存取套件。
委派之後,行銷部門可能會有類似下表的角色。
| User | 組織角色 | Microsoft Entra 角色 | 權利管理角色 |
|---|---|---|---|
| Hana | IT 系統管理員 | 全域管理員或身分識別治理管理員 | |
| Mamta | 行銷經理 | User | 目錄建立者和目錄擁有者 |
| Bob | 行銷潛在客戶 | User | 目錄擁有者 |
| Jessica | 行銷專案經理 | User | 存取套件管理員 |
權利管理角色
權利管理具有下列角色,具有管理權利管理本身的權限,適用於所有目錄。
| 權利管理角色 | 角色定義識別碼 | 描述 |
|---|---|---|
| 目錄建立者 | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
建立及管理目錄。 通常為非全域管理員的 IT 管理員,或一組資源的資源擁有者。 建立目錄的人員會自動成為目錄的第一個目錄擁有者,而且可以新增更多目錄擁有者。 目錄建立者無法管理或查看其不擁有的目錄,而且無法將他們不擁有的資源新增至目錄。 如果目錄建立者需要管理另一個目錄或新增他們不擁有的資源,他們可以要求成為該目錄或資源的共同擁有者。 |
權利管理具有針對每個特定目錄定義的下列角色,以管理目錄內的存取套件和其他設定。 系統管理員或目錄擁有者可以將使用者、使用者群組或服務主體新增至這些角色。
| 權利管理角色 | 角色定義識別碼 | 描述 |
|---|---|---|
| 目錄擁有者 | ae79f266-94d4-4dab-b730-feca7e132178 |
編輯和管理目錄中的存取套件和其他資源。 通常是 IT 系統管理員或資源擁有者,或目錄擁有者選擇的使用者。 |
| 目錄讀取者 | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
檢視目錄中現有的存取套件。 |
| 存取套件管理員 | 7f480852-ebdc-47d4-87de-0d8498384a83 |
編輯和管理目錄中所有現有的存取套件。 |
| 存取套件指派管理員 | e2182095-804a-4656-ae11-64734e9b7ae5 |
編輯和管理所有現有的存取套件指派。 |
此外,選擇的核准者和存取套件的要求者雖然不是角色,但有權限。
| Right | 描述 |
|---|---|
| 核准者 | 原則授權核准或拒絕存取套件的要求,但無法變更存取套件定義。 |
| 要求者 | 由存取套件的原則授權,以要求該存取套件。 |
下表列出權利管理角色可以在權利管理中執行的工作。
| Task | 身分識別控管系統管理員 | 目錄建立者 | 目錄擁有者 | 存取套件管理員 | 存取套件指派管理員 |
|---|---|---|---|---|---|
| 委派給目錄建立者 | ✔️ | ||||
| 新增連線組織 (部分機器翻譯) | ✔️ | ||||
| [建立新的目錄] | ✔️ | ✔️ | |||
| 將資源新增至目錄 | ✔️ | ✔️ | |||
| 新增目錄擁有者 | ✔️ | ✔️ | |||
| 編輯目錄 | ✔️ | ✔️ | |||
| 刪除目錄 | ✔️ | ✔️ | |||
| 委派給存取套件管理員 | ✔️ | ✔️ | |||
| 移除存取套件管理員 | ✔️ | ✔️ | |||
| 在目錄中建立新的存取套件 | ✔️ | ✔️ | ✔️ | ||
| 變更存取套件中的資源角色 | ✔️ | ✔️ | ✔️ | ||
| 建立和編輯原則,包括外部共同作業的原則 | ✔️ | ✔️ | ✔️ | ||
| 直接將使用者指派給存取套件 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 直接從存取套件移除使用者 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 檢視誰已指派給存取套件 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 檢視存取套件的要求 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 檢視要求的傳遞錯誤 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 重新處理要求 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 取消擱置的要求 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 隱藏存取套件 | ✔️ | ✔️ | ✔️ | ||
| 刪除存取套件 | ✔️ | ✔️ | ✔️ |
若要判斷工作的最低權限角色,您也可以參考 Microsoft Entra ID 中按管理員工作分類的系統管理員角色。
注意
如果存取套件原則需要核准,則已獲指派存取套件指派管理員角色的使用者在直接指派使用者時,無法再略過核准設定。 如果您遇到需要略過核准的案例,建議您在存取套件上建立第二個原則,該原則不需要核准,且範圍僅限於需要存取權的使用者。
將資源新增至目錄所需的角色
全域管理員可以在目錄中新增或移除任何群組 (雲端建立的安全性群組,或雲端建立的 Microsoft 365 群組)、應用程式或 SharePoint Online 網站。
注意
已指派為使用者系統管理員角色的使用者,無法再建立目錄或在其未擁有的目錄中管理存取套件。 如果使用者系統管理員為目錄所有者,則可在其擁有的目錄中新增或移除任何群組或應用程式,但設定為可指派給目錄角色的群組除外。 如需角色可指派群組的詳細資訊,請參閱 在 Microsoft Entra ID 中建立可指派角色的群組。 如果您組織中的使用者已獲指派使用者系統管理員角色,可在權利管理中設定目錄、存取套件或原則,則您應該改為將身分識別治理系統管理員角色指派給這些使用者。
對於不是全域管理員的使用者,若要將群組、應用程式或SharePoint Online 網站新增至目錄,該使用者必須同時擁有在該資源上執行能力的動作,並且成為目錄權利管理中的目錄擁有者角色。 使用者可以執行資源動作的最常見方式,就是在 Microsoft Entra 目錄角色中,可讓他們管理資源。 或者,對於有擁有者的資源,使用者可以藉由獲指派為資源的擁有者來執行動作。
權利管理會在使用者將資源新增至目錄時檢查的動作如下:
- 若要新增安全性群組或 Microsoft 365 群組: 必須允許使用者執行
microsoft.directory/groups/members/update和microsoft.directory/groups/owners/update動作 - 若要新增應用程式: 使用者必須允許執行
microsoft.directory/servicePrincipals/appRoleAssignedTo/update動作 - 若要新增 SharePoint Online 網站: 使用者必須是 SharePoint 系統管理員,或作為 SharePoint Online 網站角色,讓他們能夠管理網站中的權限
下表列出一些角色組合,其中包括可讓使用者在這些角色組合中將資源新增至目錄的動作。 若要從目錄移除資源,您也必須具有角色或擁有權,且這些動作相同。
| Microsoft Entra 目錄角色 | 權利管理角色 | 可以新增安全性群組 | 可以新增 Microsoft 365 群組 | 可以新增應用程式 | 可以新增 SharePoint Online 網站 |
|---|---|---|---|---|---|
| 全域管理員 | n/a | ✔️ | ✔️ | ✔️ | ✔️ |
| 身分識別控管管理員 | n/a | ✔️ | |||
| 群組管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
| Intune 管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
| Exchange 系統管理員 | 目錄擁有者 | ✔️ | |||
| SharePoint 管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
| 應用程式系統管理員 | 目錄擁有者 | ✔️ | |||
| 雲端應用程式系統管理員 | 目錄擁有者 | ✔️ | |||
| User | 目錄擁有者 | 只有當群組擁有者 | 只有當群組擁有者 | 只有當應用程式擁有者 |
來賓使用者生命週期的委派管理
一般而言,具有來賓邀請者權限角色的使用者可以邀請個別外部使用者加入組織,而且可以使用外部共同作業設定來變更此設定。
若要在事先可能不知道共同作業專案個別外部使用者的情況下管理外部共同作業,將與外部組織合作的使用者指派給權利管理角色,可讓他們設定用於外部共同作業的目錄、存取其套件和原則。 這些設定可讓他們共同作業的外部使用者要求並新增至組織的目錄和存取套件。
- 若要允許來自已連線組織的外部目錄中的使用者能夠要求目錄中的存取套件,[針對外部使用者啟用] 的目錄設定必須設定為 [是]。 變更此設定可以由目錄的系統管理員或目錄擁有者完成。
- 存取套件也必須為不在目錄中的使用者設定原則。 此原則可由目錄的系統管理員、目錄擁有者或存取套件管理員建立。
- 具有該原則的存取套件可讓範圍中的使用者能夠要求存取權,包括還不在您目錄中的使用者。 如果其要求已核准,或不需要核准,則會自動將使用者新增至您的目錄。
- 如果原則設定適用於 [所有使用者],且使用者不屬於現有已連線組織的一部分,則系統會自動建立新的建議連線組織。 您可以檢視連線組織清單 (部分機器翻譯) 並移除不再需要的組織。
您也可以設定當權利管理帶來的外部使用者遺失其最後一個指派給任何存取套件時,會發生什麼事。 您可以在設定中封鎖他們登入此目錄,或移除其來賓帳戶,以管理外部使用者的生命週期。
限制委派的系統管理員不得為不在目錄中的使用者設定原則
在外部共同作業設定中,您可以將來賓邀請設定這項設定變更為特定系統管理員角色,並將 [啟用來賓自助式註冊] 設定為 [無],以防止不屬於系統管理角色的使用者邀請個別來賓。
若要防止委派的使用者設定權利管理,讓外部使用者要求外部共同作業,請務必將此限制式傳達給所有全域系統管理員、身分識別治理系統管理員、目錄建立者和目錄擁有者 (因為他們能夠變更目錄),以免他們不小心允許新目錄或更新目錄中的新共同作業。 他們應該確保目錄已設定如下:[為外部使用者啟用] 設定為 [無],且沒有任何存取套件具有允許不在目錄中的使用者進行要求的原則。
您可以在 Microsoft Entra 系統管理中心檢視目前針對外部使用者啟用的目錄清單。
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [權利管理] > [目錄]。
將 [針對外部使用者啟用] 的篩選設定變更為 [是]。
如果其中任何一個目錄的存取套件數不為零,這些存取套件可能會有針對不在目錄中使用者的原則。
以程序設計方式管理權利管理角色的角色指派
您也可以使用 Microsoft Graph 來檢視及更新目錄建立者和權利管理目錄特定角色指派。 作為具有擁有委派 EntitlementManagement.ReadWrite.All 權限的應用程式的適當角色之使用者,可以呼叫 [圖形 API] 以 列出權利管理的角色定義,以及 列出那些角色定義的角色指派。
例如,若要檢視已指派特定使用者或群組的權利管理特定角色,請使用 Graph 查詢來列出角色指派,並提供使用者或群組的識別碼作為 principalId 查詢篩選的值,如以下所示
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
針對目錄特定的角色,回應中的 appScopeId 會指出使用者獲指派角色的目錄。 此回應只會擷取該主體在權利管理中對角色的明確指派,且針對透過目錄角色或透過指派給角色之群組的成員資格,而擁有存取許可權的使用者,它則不會傳回結果。