对于组织而言,管理对员工所需的所有资源(例如组、应用程序和站点)的访问是一项非常重要的功能。 你需要为员工授予适当的访问权限级别,使他们保持工作效率,同时,在不再需要时删除这些访问权限。
本教程假设你在 Woodgrove Bank 担任 IT 管理员。 该组织要求你为某项市场营销活动创建一个内部用户可用于自助服务请求的资源包。 请求不需要经过审批,用户的访问权限将在 30 天后过期。 在本教程中,市场活动资源仅仅是一个组中的成员身份,但也可能是多个组、应用程序或 SharePoint Online 站点的集合。
在本教程中,你将了解如何执行以下操作:
- 创建包含组(用作资源)的访问包
- 允许目录中的用户请求访问
- 演示内部用户如何请求该访问包
本文的其余部分使用Microsoft Entra 管理中心配置和演示权利管理。
先决条件
若要使用权利管理,必须具有以下某个许可证:
- Microsoft Entra ID P2 或 Microsoft Entra ID 治理
- 企业移动性 + 安全性 (EMS) E5 许可证
有关详细信息,请参阅许可证要求。
步骤 1:设置用户和组
某个资源目录包含一个或多个可共享的资源。 在此步骤中,请在 Woodgrove Bank 目录中创建一个名为“市场营销资源”的组,该组是权利管理的目标资源 。 您还设置了一个内部请求者。
至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>访问包。
创建两个用户。 使用以下名称或不同的名称。
名称 目录角色 Admin1 至少是身份治理管理员。 此用户可以是你当前登录的用户。 Requestor1 用户 创建名为 市场资源 的 Microsoft Entra 安全组,其成员身份类型为分配 。 此组是权利管理的目标资源。 该组一开始应该不包含任何成员。
步骤 2:创建访问包
访问包是团队或项目所需的且受策略制约的资源捆绑包 。 在名为 catalogs 的容器中定义访问包。 在此步骤中,请在“常规”目录中创建一个“市场营销活动”访问包 。
至少以 Identity Governance Administrator 身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。
浏览到 ID 治理>权限管理>访问权限包。
在“访问包”页上,打开访问包。
如果在打开访问包时看到访问被拒绝,请确保在您的目录中存在 Microsoft Entra ID P2 或 Microsoft Entra ID 治理 许可证。
选择“新建访问包”。
在“基本信息”选项卡上,输入名称“营销活动访问包”和说明“活动资源的访问权限”。
请将“目录”下拉列表保留为“常规”。
选择“下一步”打开“资源角色”选项卡。在此选项卡上,选择要包含在访问包中的资源和资源角色。 可以选择管理对组和团队、应用程序和SharePoint Online 网站的访问权限。 在此情境中,请选择组和团队。
在“选择组”窗格中,找到并选择之前创建的“市场营销资源”组。
默认情况下,会看到“常规”目录内部的组。 选择“常规”目录外部的组(选中“全部查看”复选框即可显示)时,该组会添加到“常规”目录。
选择“选择”将该组添加到列表中。
在“角色”下拉列表中,选择“成员”。 如果选择“所有者”角色,则允许用户添加或删除其他成员或所有者。 若要详细了解如何为资源选择适当的角色,请参阅添加资源角色。
重要
添加到访问包的角色可分配组是使用“可分配给角色”子类型来指出的。 请记住,一旦访问包目录中存在可分配角色的组,具备在权利管理中进行管理能力的管理用户,包括具有全局管理员角色的用户、标识监管管理员角色的用户和目录所有者,将能够控制目录中的访问包,从而可以选择将谁添加到这些组中。 如果未看到要添加的角色分配组或无法添加,请确保您具有执行该操作所需的 Microsoft Entra 角色和权限管理角色。 你可能需要请具有必需角色的用户将该资源添加到你的目录中。 有关详细信息,请参阅将资源添加到目录所需的角色。
注意
使用 动态成员身份组 时,除了所有者之外,你看不到任何其他可用角色。 这是设计的结果。
选择“下一步”打开“请求”选项卡。在“请求”选项卡上,创建请求策略。 策略定义有关访问某个访问包的规则或准则。 请创建一个使资源目录中的特定用户能够请求此访问包的策略。
在“可以请求访问权限的用户”部分,选择“针对目录中的用户”,然后选择“特定用户和组”。
选择“添加用户和组”。
在“选择用户和组”窗格中,选择前面创建的“Requestor1”用户 。
选择“选择”将该用户添加到列表中。
向下滚动到“批准”和“启用请求”部分 。
请将“需要批准”设置为“否” 。
对于“启用请求”,选择“是”以使此访问包在创建后能够被立即请求。
如果你的组织设置为接收已验证的 ID,则可以通过一个选项来配置访问包,以要求请求者提供已验证的 ID。
选择“下一步”打开“请求者信息”选项卡。
在“请求者信息”选项卡上,可以提问以从请求者那里收集详细信息。 这些问题显示在请求表单上,可以设置为必需或可选问题。 还能够指定员工经理是否可以代表他们提出请求,以及如果他们提出请求,是否需要批准。 如果策略允许经理代表员工提出请求,经理将代表员工而不是自己回答问题。 有关此选项的详细信息,请参阅:代表其他用户请求访问包(预览版)。 在此场景中,系统不要求你包含访问包的请求者信息,因此可将这些框留空。 选择“下一步”打开“生命周期”选项卡。
在“生命周期”选项卡上,指定用户的访问包分配何时过期。 还可以指定是否允许用户将其分配延期。 在“过期”部分中:
- 将“访问包分配过期时间”设置为“天数”。
- 将“任务过期时间”设置为 30 天。
- 保留“用户可以请求特定的时间线”默认值为“是”。
- 将“进行访问审核”设置为“否”。
跳过“自定义扩展”步骤。
选择“下一步”打开“查看 + 创建”选项卡。
在“查看 + 创建”选项卡中,选择“创建”。 几分钟后,应会看到一条通知指出已成功创建访问包。
在“市场营销活动”访问包的左侧菜单中,选择“概述”。
复制My Access portal link。
您需要在下一步骤中使用此链接。
步骤 3:请求访问权限
在这个步骤中,作为内部请求者执行操作,并请求访问访问包。 请求者使用名为“我的访问权限门户”的站点来提交其请求。 在“我的访问权限门户”中,请求者可以提交访问包的请求、查看他们已有权访问的访问包,以及查看其请求历史记录。 当新来宾在 MyAccess 中请求访问包时,其首选语言会根据请求时的 MyAccess 浏览器语言进行标记。 这使得新来宾能够以其理解的语言接收电子邮件通信。
必备角色: 内部请求者
注销 Microsoft Entra 管理中心。
在新浏览器窗口中,导航到在前面步骤中复制的“我的访问权限门户链接”。
以 Requestor1 身份登录到“我的访问权限门户”。
你应该看到名为“市场营销活动”的访问权限包。
在“业务理由”框中,键入理由“我正在处理新的市场营销活动”。
选择“提交”。
在左侧菜单中,选择“请求历史记录”以确认请求是否已送达。 有关更多详细信息,请选择查看。
步骤 4:验证是否已分配访问权限
在此步骤中,请确认是否为“内部请求者”分配了访问包,并且他们现在是否是“市场营销资源”组的成员。
注销“我的访问门户”。
以 Admin1 身份登录到 Microsoft Entra 管理中心,该管理员至少是 Identity Governance Administrator。
提示
可以完成此任务的其他最低特权角色包括“目录所有者”和“访问包管理员”。
浏览到 ID 治理>权限管理>访问包。
找到并选择营销活动访问包。
在左侧菜单中,选择“请求”。
你应会看到 Requestor1,以及状态为“已交付”的初始策略 。
选择该请求以查看请求详细信息。
在左侧导航中,选择Entra ID。
选择群组并打开市场营销资源群组。
选择“成员”。
应会看到,Requestor1 已列为成员。
步骤 5:清理资源
在此步骤中,您需要撤销之前所做的更改并删除市场营销活动访问包。
在 Microsoft Entra 管理中心,作为至少具有Identity Governance Administrator角色的用户,选择ID Governance。
打开营销活动访问包。
选择“任务”。
对于“Requestor1”,请选择省略号 (...),然后选择“删除访问权限”。 在显示的消息中,选择“是”。
几分钟后,状态将从“已交付”更改为“已过期”。
选择资源角色。
对于“市场营销资源”,请选择省略号 (…),然后选择“删除资源角色”。 在显示的消息中,选择“是”。
打开访问包列表。
对于“市场营销活动”,请选择省略号 (…),然后选择“删除”。 在显示的消息中,选择“是”。
在“身份”中删除您创建的任何用户,例如 Requestor1 和 Admin1。
删除“市场营销资源”组 。
后续步骤
请继续学习下一篇文章,了解权利管理中常用的方案步骤。