共用方式為


什麼是權利管理?

權利管理是一種身分識別治理 (部分機器翻譯) 功能,可讓組織透過將存取要求工作流程、存取指派、檢閱和到期自動化,以大規模管理身分識別與存取生命週期。

組織中的人員需要存取各種群組、應用程式和 SharePoint Online 網站,才能執行其作業。 隨著需求變更,管理此存取變成一項挑戰。 新增應用程式,或者使用者需要更多存取權限。 當您與外部組織共同作業時,此案例會變得更複雜。 您可能不知道其他組織中有誰需要存取您所在組織的資源,對方也不知道您所在組織使用了哪些應用程式、群組或網站。

權利管理可協助您更有效率地管理內部使用者對群組、應用程式和 SharePoint Online 網站的存取,此外,也能對組織外部需要存取那些資源的使用者做到這一點。

為何要使用權利管理?

企業組織通常會面臨管理員工存取資源的挑戰,例如:

  • 使用者可能不知道他們應該擁有哪些存取權,即使他們知道,也可能難以找到適當人員來核准其存取權
  • 一旦使用者找到並獲得資源的存取權,其可能會不斷存取,而超過正常業務行為所需的時間

對於需要從其他組織進行存取的使用者 (例如,來自供應鏈組織或其他商業合作夥伴的外部使用者) 來說,這些問題相當複雜。 例如:

  • 沒有人會認識其他組織的目錄中能夠向自己發出邀請的所有特定人員
  • 即使他們可以邀請這些使用者,該組織中也不會有任何人會記得以一致的方式管理所有使用者的存取權

權利管理可協助解決這些挑戰。 若要深入了解客戶一直以來如何使用權利管理,您可以閱讀 Mississippi Division of MedicaidStorebrandNippon Express Co., Ltd Microsoft 數位安全性與韌性團隊案例研究。 下面這段影片會概述權利管理及其價值:

權利管理有哪些功能?

以下是權利管理的一些功能:

  • 使用多階段核准來控制誰可以存取應用程式、群組、Teams 和 SharePoint 網站,並透過有時限的指派和週期性的存取權檢閱,確保使用者不會無限期地保留存取權。
  • 根據使用者如部門或成本中心等屬性,自動授與使用者存取這些資源的權限,並在這些屬性變更時移除使用者的存取權。
  • 向非管理員委派建立存取套件的能力。 這些存取套件包含使用者可以要求的資源,受到委派的存取套件管理員可以定義原則,其中包含哪些使用者可以提出要求、誰必須核准其存取權,以及存取權何時到期的規則。
  • 選取其使用者可以要求存取權的已連線組織。 當還未在您目錄中的使用者要求存取權並獲得核准時,系統會自動邀請他們進入您的目錄並為其指派存取權。 其存取權到期時,如果未獲得任何其他存取套件指派,其在您目錄中的 B2B 帳戶就會自動遭到移除。

注意

如果您已準備好試用權利管理,則可以從我們的建立您的第一個存取套件教學課程來入門。

您也可以閱讀常見案例或觀看影片,包括

什麼是存取套件,我可以使用存取套件來管理哪些資源?

權利管理引進了存取套件的概念。 使用者在處理專案或執行其工作時需要各種存取權,而存取套件集結了具有這些存取權的所有資源。 存取套件可用來控管您員工的存取權,也可以用於管理來自組織外部的使用者。

以下是您可以使用權利管理來管理使用者存取權的資源類型:

  • Microsoft Entra 安全性群組的成員資格
  • Microsoft 365 群組和小組的成員資格
  • 對象為 Microsoft Entra 企業應用程式的指派,包括 SaaS 應用程式和支援同盟/單一登入和/或佈建的自訂整合應用程
  • SharePoint Online 網站的成員資格

您也可以控制對依賴 Microsoft Entra 安全性群組或 Microsoft 365 群組之其他資源的存取權。 例如:

  • 您可以使用存取套件中的 Microsoft Entra 安全性群組,並為該群組設定群組型授權,為使用者提供 Microsoft 365 的授權。
  • 您可以使用存取套件中的 Microsoft Entra 安全性群組,並為該群組建立 Azure 角色指派,為使用者提供用來管理 Azure 資源的存取權。
  • 您可以使用可在存取套件中指派給 Microsoft Entra 角色的群組,並且指派 Microsoft Entra 角色給該群組,為使用者提供用來管理 Microsoft Entra 角色的存取權。

如何控制誰能夠獲得存取權?

透過存取套件,系統管理員或受委派的存取套件管理員可列出資源 (群組、應用程式和網站),以及使用者要使用這些資源所需的角色。

存取套件也包含一或多個「原則」。 原則會定義要指派給存取套件的規則或護欄。 每個原則均可用於確保只有適當的使用者能夠具有存取權指派,而存取權有時間限制,若未更新即會到期。

圖表:存取套件和原則。

您可以有原則讓使用者要求存取。 在這類原則中,系統管理員或存取套件管理員會定義

  • 既有的使用者 (通常是員工或已邀請的來賓),或符合要求存取權之外部使用者的合作夥伴組織
  • 核准流程以及可核准或拒絕存取的使用者
  • 使用者的存取權指派一經核可,在指派到期前的持續時間

您也可以為獲指派存取權 (由系統管理員指派、根據規則自動指派或透過生命週期工作流程指派) 的使用者設定原則。

該圖表舉例說明了權利管理中的不同元素。 其會顯示一個目錄,其中包含兩個範例存取套件。

  • 存取套件 1 包含單一群組來作為資源。 存取權是透過一個原則定義,其可讓目錄中的一組使用者要求存取權。
  • 存取套件 2 包含群組、應用程式和 SharePoint Online 網站作為資源。 存取權是透過兩個不同的原則定義。 第一個原則可讓目錄中的一組使用者要求存取權。 第二個原則可讓外部目錄中的使用者要求存取權。

權利管理概觀圖

何時應使用存取套件?

存取套件不會取代其他存取指派機制。 其最適合用於如下的情況:

  • 將存取原則定義從第三方企業角色管理移轉至 Microsoft Entra ID。
  • 使用者需要特定工作的有限時間存取權。 例如,您可以使用群組型授權和動態群組來確保所有員工都擁有 Exchange Online 信箱,然後在員工需要額外存取權限的情況下使用存取套件。 例如,從另一個部門讀取部門資源的權限。
  • 需要由人員的經理或其他指定對象核准的存取。
  • 組織中某一特定部門的人員在擔任該工作角色期間,應自動獲得存取權指派,但組織中其他部門或業務合作夥伴組織的人員也可以要求權取權。
  • 部門想要管理自己的資源存取原則,而不需要 IT 介入。
  • 兩個以上的組織共同合作進行一項專案,因此,一個組織中的多個使用者必須透過 Microsoft Entra B2B 來進入以便存取另一個組織的資源。

如何委派存取權?

存取套件會定義在名為目錄的容器中。 您可以為所有存取套件設定單一目錄,或者您也能指定個人進行建立並擁有自己的目錄。 系統管理員可以將資源新增至任何目錄,但是非系統管理員只能將其擁有的資源新增至目錄。 目錄擁有者可以將其他使用者新增為目錄共同擁有者,或新增為存取套件管理員。 權利管理中的委派和角色一文會進一步說明這些案例。

術語摘要

若要進一步了解權利管理及其文件,您可以參閱下列字詞清單。

詞彙 描述
存取套件 小組或專案所需且受原則控管的資源組合。 存取套件一律包含在目錄中。 在使用者必須要求存取權的情況下,您會建立新的存取套件。
存取要求 在存取套件中存取資源的要求。 要求通常會經過核准工作流程。 若通過核准,提出要求的使用者便會獲得存取套件指派。
指派 將存取套件指派給使用者可確保使用者擁有該存取套件的所有資源角色。 存取套件指派通常會有到期時間限制。
catalog 相關資源和存取套件的容器。 目錄可用於委派,讓非系統管理員可以建立自己的存取套件。 目錄擁有者可以將自己擁有的資源新增至目錄。
目錄建立者 已獲授權而可建立新目錄的使用者集合。 當獲授權而成為目錄建立者的非系統管理員使用者建立新的目錄時,其會自動成為該目錄的擁有者。
已連線的組織 與您有關聯性的外部 Microsoft Entra 目錄或網域。 已連線組織中的使用者可以在原則中指定為允許要求存取權。
原則 定義存取生命週期的一組規則,例如使用者如何取得存取權、誰可以核准,以及使用者可以透過指派存取多久。 原則會連結至存取套件。 例如,存取套件可能有兩個原則:一個供員工要求存取權,第二個則供外部使用者要求存取權。
resource 資產 (例如 Office 群組、安全性群組、應用程式或 SharePoint Online 網站),其角色可授與權限給使用者。
資源目錄 包含一或多個要共用資源的目錄。
資源角色 與資源相關聯並由資源定義的權限集合。 群組有兩個角色:成員和擁有者。 SharePoint 網站一般會有三個角色,但可能會有其他自訂角色。 應用程式可以有自訂角色。

授權需求

此功能需要您組織的使用者 Microsoft Entra ID Governance 或 Microsoft Entra Suite 訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶進行作業。 如需詳細資訊,請參閱每個功能的文章以取得詳細資料。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基本概念

下一步