权利管理是一种标识治理功能,通过自动执行访问请求工作流、访问分配、审核和过期,使组织能够大规模管理标识和访问生命周期。
组织内部人员需要访问各种组、应用程序和 SharePoint Online 站点来执行他们的工作。 随着需求的变化,管理此访问颇有难度。 新增应用或身份需要更多访问权限。 当与外部组织协作时,这种情况会变得更加复杂。 你可能不知道另一组织中的哪些人需要访问你的组织的资源,他们可能也不知道你的组织正在使用哪些应用程序、组或站点。
权限管理可以帮助您更高效地管理组、应用程序和SharePoint Online网站的访问,以获取内部身份,以及组织外需要访问这些资源的身份。
为什么要使用权利管理?
企业组织在管理员工对资源的访问时经常面临挑战,例如:
- 身份可能不知道自己、直属下属或所赞助的代理人应拥有什么访问权限,即使知道,也可能难以找到合适的人选来批准他们的访问权限
- 一旦资源访问被发现并分配,身份可以比其业务需求更长时间地保留访问权限
这些问题对于需要来自其他组织访问的身份来说更加复杂,比如来自供应链组织或其他业务合作伙伴的外部身份。 例如:
- 没有人可能知晓其他组织目录中的所有特定个人,因此有可能无法邀请到他们
- 即使他们能邀请这些身份,组织里也没人会记得如何一致管理所有身份的访问权限
权利管理可以帮助解决这些难题。 想了解更多关于客户如何使用权益管理的信息,可以阅读 密西西比州医疗补助、 Storebrand及 Microsoft数字安全与韧性团队 的案例研究。
可以使用权利管理做什么?
以下是权利管理的一些功能:
- 控制谁可以通过多阶段审批访问应用程序、群组、Teams 和 SharePoint 网站,并确保身份不会通过限时分配和定期访问审查无限期保留访问权限。
- 根据部门或成本中心等身份属性,自动赋予身份访问这些资源的权限,并在属性发生变化时移除身份的访问权限。
- 将创建访问包的功能委托给非管理员。 这些访问包包含身份可以请求的资源,委派访问包管理器可以定义策略,规则中包含身份请求、谁必须批准访问权限以及访问何时到期。
- 选择关联的组织,其身份可以请求访问权限。 当一个尚未进入你目录的身份请求访问并被批准时,他们会自动被邀请进入你的目录并分配访问权限。 当他们的访问权限到期时,如果他们没有收到其他访问包分配,可以自动删除他们在你的目录中的 B2B 帐户。
注意
如果你已准备好试用权利管理,可以从关于创建你的第一个访问包的教程开始。
还可以阅读常用方案。
什么是访问包,可使用它们管理哪些资源?
权利管理引入了“访问包”的概念。 访问包是身份处理项目或完成任务所需的所有资源和访问权限的捆绑包。 访问包可以用来管理内部身份的访问,也可以用于组织外部的身份。
以下是你可以通过权限管理管理身份访问的资源类型:
- Microsoft Entra 安全组的成员身份
- Microsoft 365 组和团队的成员身份
- 分配到 Microsoft Entra 企业应用程序的内容,包括 SaaS 应用程序和支持联合/单一登录和/或预配的自定义集成应用程序
- SharePoint Online 站点的成员身份
你还可以控制对依赖于 Microsoft Entra 安全组或 Microsoft 365 组的其他资源的访问权限。 例如:
- 您可以通过在访问包中使用 Microsoft Entra 安全组并为该组配置 基于组的许可 ,为 Microsoft 365 赋予身份许可。
- 你可以通过在访问包中使用 Microsoft Entra 安全组,并为该组创建 Azure 角色分配 ,赋予身份管理 Azure 资源的权限。
- 你可以通过在访问包中使用可分配Microsoft的组来管理Microsoft Entra 角色,并赋予 该组一个Microsoft Entra 角色,从而赋予身份权限来管理 Entra 角色。
如何控制谁获得访问权限?
通过访问包,管理员或委派访问包管理器列出资源(组、应用和站点、Microsoft Entra角色和API权限),以及这些资源的身份所需角色。
访问包还包括一个或多个策略。 策略定义分配给访问包的规则或防护措施。 每个策略都可以用于确保只有合适的身份才能获得访问权限分配,且访问权限在不续期时有时间限制,即会失效。
你可以为身份设置策略来请求访问权限。 在这些类型的策略中,管理员或访问包管理员定义以下项:
- 无论是已有的身份(通常是员工或已受邀的嘉宾),还是有资格申请访问权限的外部身份的合作组织
- 审批流程以及可以批准或拒绝访问的身份
- 身份访问分配在批准后,在分配到期前的持续时间
你还可以设置政策,让身份获得访问权限,无论是 由管理员、 根据规则自动分配,还是通过生命周期工作流程。
下图显示了权利管理中不同元素的示例。 其中显示了一个包含两个示例访问包的目录。
- 访问包 1 中只有一个组,并充当资源。 访问通过策略定义,使目录中的一组身份能够请求访问。
- 访问包 2 包含组、应用程序和 SharePoint Online 站点作为资源。 它通过两个不同策略定义访问权限。 第一个策略允许目录中的一组身份请求访问。 第二个策略允许外部目录中的身份请求访问。
应在何时使用访问包?
访问包并不能取代其他的访问分配机制。 它们最适合用于如下所述的情况:
- 身份需要特定任务的限时访问。 例如,你可以使用基于组的许可和动态组来确保所有员工都有 Exchange Online 邮箱,然后在员工需要更多访问权限的情况下使用访问包。 例如,从其他部门读取部门资源的权限。
- 访问权限需要员工经理或其他制定人员的批准。
- 在组织的特定部分中的人员担任该工作角色期间应自动为其分配,但还允许组织的其他地方或业务合作伙伴组织中的人员请求的访问权限。
- 部门希望自己管理自己的资源访问策略,不希望 IT 参与。
- 两个或多个组织正在合作一个项目,因此需要通过Microsoft Entra B2B引入一个组织的多个身份,才能访问另一个组织的资源。
如何委托访问权限?
在名为 catalogs 的容器中定义访问包。 可以为所有访问包使用单个目录,也可以指定某些个人来创建并拥有其自己的目录。 管理员可以将资源添加到任何目录,但非管理员只能将自己拥有的资源添加到目录。 目录所有者可以添加其他身份,作为目录共同所有者或访问包管理器。 可通过权利管理中的委托和角色一文进一步了解这些场景。
术语摘要
为了更好地理解权利管理及其文档,可以参考以下术语列表。
| Term | 说明 |
|---|---|
| 访问包 | 团队或项目所需的且受策略约束的资源的捆绑包。 访问包始终包含在目录中。 你会为身份需要为自己请求访问的场景创建一个新的访问包。 |
| 访问请求 | 请求访问访问包中的资源的请求。 通常会为请求执行审批工作流。 如果获批,请求方身份会获得访问包分配。 |
| 分配 | 将访问包分配给身份确保该身份拥有该访问包的所有资源角色。 访问包分配通常具有时间限制,也即会过期。 |
| 目录 | 相关资源和访问包的容器。 目录用于委托,以便非管理员可以创建自己的访问包。 目录所有者可以将其拥有的资源添加到目录。 |
| 目录创建者 | 一组被授权创建新目录的身份。 当被授权成为目录创建者的非管理员身份创建新目录时,他们会自动成为该目录的所有者。 |
| 连接的组织 | 你与之有关联的外部 Microsoft Entra 目录或域。 连接组织的身份可以在策略中指定为请求访问的权限。 |
| 政策 | 一组规则定义访问生命周期,例如身份如何获得访问权限、谁可以批准以及通过赋值访问的时间长短。 策略会链接到访问包。 例如,一个访问包可能包含两种策略——一种是员工请求访问,另一种是外部身份请求访问。 |
| 资源 | 一个资产,比如Office组、安全组、应用程序或SharePoint Online站点,带有身份可以授予权限的角色。 |
| 资源目录 | 包含一个或多个可共享的资源的目录。 |
| 资源角色 | 与资源关联并由资源定义的权限的集合。 组具有两种角色 - 成员和所有者。 SharePoint 站点通常具有三种角色,但也可能具有其他自定义角色。 应用程序可以具有自定义角色。 |
许可要求
此功能要求提供组织用户的 Microsoft Entra ID 治理或 Microsoft Entra 套件订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。 有关详细信息,请参阅每项功能的相关文章。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
后续步骤
- 如果希望使用 Microsoft Entra 管理中心来管理对资源的访问,请参阅教程:管理对资源的访问 - Microsoft Entra。
- 如果希望使用 Microsoft Graph 管理对资源的访问,请参阅教程:管理对资源的访问 - Microsoft Graph
- 常见方案