教程:管理对权利管理中资源的访问权限
对于组织而言,管理对员工所需的所有资源(例如组、应用程序和站点)的访问是一项非常重要的功能。 你需要为员工授予适当的访问权限级别,使他们保持工作效率,同时,在不再需要时删除这些访问权限。
本教程假设你在 Woodgrove Bank 担任 IT 管理员。 该组织要求你为某项市场营销活动创建一个内部用户可用于自助服务请求的资源包。 请求不需要经过审批,用户的访问权限将在 30 天后过期。 对于本教程,市场营销活动资源只是单个组中的成员身份,但也可以是组、应用程序或 SharePoint Online 站点的集合。
在本教程中,你将了解如何执行以下操作:
- 创建包含组(用作资源)的访问包
- 允许目录中的用户请求访问
- 演示内部用户如何请求该访问包
本文的余下部分使用 Microsoft Entra 管理中心配置和演示权利管理。
先决条件
若要使用权利管理,必须具有以下某个许可证:
- Microsoft Entra ID P2 或 Microsoft Entra ID 治理
- 企业移动性 + 安全性 (EMS) E5 许可证
有关详细信息,请参阅许可证要求。
步骤 1:设置用户和组
提示
本文中的步骤可能因开始使用的门户而略有不同。
某个资源目录包含一个或多个可共享的资源。 在此步骤中,请在 Woodgrove Bank 目录中创建一个名为“市场营销资源”的组,该组是权利管理的目标资源 。 另外设置一个内部请求者。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“访问包”。
创建两个用户。 使用以下名称或不同的名称。
名称 目录角色 Admin1 至少是标识治理管理员。 此用户可以是你当前登录的用户。 Requestor1 用户 创建一个名为“市场营销资源”的 Microsoft Entra 安全组,其成员身份类型为“已分配”。 此组是权利管理的目标资源。 该组一开始应该不包含任何成员。
步骤 2:创建访问包
访问包是团队或项目所需的且受策略制约的资源捆绑包 。 在名为 catalogs 的容器中定义访问包。 在此步骤中,请在“常规”目录中创建一个“市场营销活动”访问包 。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者和访问包管理者。
浏览到“标识治理”>“权利管理”>“访问包”。
在“访问包”页上,打开访问包。
打开访问包时,如果看到“拒绝访问”,请确保目录中存在 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证。
选择“新建访问包”。
在“基本信息”选项卡上,键入名称“市场营销活动”访问包和说明“访问活动的资源” 。
将“目录”下拉列表保留设置为“常规”。
选择“下一步”打开“资源角色”选项卡。在此选项卡上,选择要包含在访问包中的资源和资源角色。 可以选择管理对组和团队、应用程序和 SharePoint Online 网站的访问。 在此方案中,选择“组和团队”。
在“选择组”窗格中,找到并选择之前创建的“市场营销资源”组。
默认情况下,会看到“常规”目录内部的组。 选择“常规”目录外部的组(选中“全部查看”复选框即可显示)时,该组会添加到“常规”目录。
选择“选择”将该组添加到列表中。
在“角色”下拉列表中,选择“成员”。 如果选择“所有者”角色,则允许用户添加或删除其他成员或所有者。 若要详细了解如何为资源选择适当的角色,请参阅添加资源角色。
重要
添加到访问包的可分配角色组是使用“可分配给角色”子类型来指出的。 请记住,对于可以在权利管理中进行管理的管理用户(包括全局管理员角色、标识监管管理员角色和目录的目录所有者中的用户),只要访问包目录中存在可分配角色的组,他们就可以控制目录中的访问包,进而可以选择添加到这些组的人员。 如果没有看到想要添加的可分配角色的组,或者无法添加它,请确保你具有所需的 Microsoft Entra 角色和权利管理角色来执行此操作。 你可能需要请具有必需角色的用户将该资源添加到你的目录中。 有关详细信息,请参阅将资源添加到目录所需的角色。
注意
使用动态成员资格组时,不会看到除所有者外的任何其他可用角色。 这是设计的结果。
选择“下一步”打开“请求”选项卡。在“请求”选项卡上,创建请求策略。 策略定义有关访问某个访问包的规则或准则。 请创建一个使资源目录中的特定用户能够请求此访问包的策略。
在“可以请求访问权限的用户”部分,选择“针对目录中的用户”,然后选择“特定用户和组”。
选择“添加用户和组”。
在“选择用户和组”窗格中,选择前面创建的“Requestor1”用户 。
选择“选择”将该用户添加到列表中。
向下滚动到“批准”和“启用请求”部分 。
请将“需要批准”设置为“否” 。
对于“启用请求”,选择“是”,使此访问包在创建后立即获得请求。
如果你的组织设置为接收已验证的 ID,则可以通过一个选项来配置访问包,以要求请求者提供已验证的 ID。
选择“下一步”打开“请求者信息”选项卡。
在“请求者信息”选项卡上,可以提问以从请求者那里收集详细信息。 这些问题显示在请求表单上,可以设置为必需或可选问题。 还能够指定员工经理是否可以代表他们提出请求,以及如果他们提出请求,是否需要批准。 如果策略允许经理代表员工提出请求,经理将代表员工而不是自己回答问题。 有关此选项的详细信息,请参阅:代表其他用户请求访问包(预览版)。 在此场景中,系统不要求你包含访问包的请求者信息,因此可将这些框留空。 选择“下一步”打开“生命周期”选项卡。
在“生命周期”选项卡上,指定用户的访问包分配何时过期。 还可以指定是否允许用户将其分配延期。 在“过期”部分中:
- 将“访问包分配过期时间”设置为“天数”。
- 将“分配过期时间”设置为 30 天。
- 保留“用户可以请求特定的时间线”默认值为“是”。
- 将“需要访问评审”设置为“否”。
跳过“自定义扩展”步骤。
选择“下一步”打开“查看 + 创建”选项卡。
在“查看 + 创建”选项卡中,选择“创建”。 几分钟后,应会看到一条通知指出已成功创建访问包。
在“市场营销活动”访问包的左侧菜单中,选择“概述”。
复制“我的访问权限门户链接”。
在下一步骤中将要使用此链接。
步骤 3:请求访问权限
在此步骤中,你将内部请求者的身份执行步骤,并请求对访问包进行访问。 请求者使用名为“我的访问权限门户”的站点来提交其请求。 在“我的访问权限门户”中,请求者可以提交访问包的请求、查看他们已有权访问的访问包,以及查看其请求历史记录。 当新来宾在 MyAccess 中请求访问包时,其首选语言会根据请求时的 MyAccess 浏览器语言进行标记。 这使得新来宾能够以其理解的语言接收电子邮件通信。
必备角色: 内部请求者
退出登录 Microsoft Entra 管理中心。
在新浏览器窗口中,导航到在前面步骤中复制的“我的访问权限门户链接”。
以 Requestor1 身份登录到“我的访问权限门户”。
你应会看到“市场营销活动”访问包 。
在“业务理由”框中,键入理由“我正在处理新的市场营销活动”。
选择“提交”。
在左侧菜单中,选择“请求历史记录”以确认请求是否已送达。 有关更多详细信息,请选择“视图”。
步骤 4:验证是否已分配访问权限
在此步骤中,请确认是否为“内部请求者”分配了访问包,并且他们现在是否是“市场营销资源”组的成员。
从“我的访问权限门户”注销。
以 Admin1 身份(至少以标识治理管理员身份)登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括“目录所有者”和“访问包管理员”。
浏览到“标识治理”>“权利管理”>“访问包”。
找到并选择“市场营销活动”访问包。
在左侧菜单中,选择“请求”。
你应会看到 Requestor1,以及状态为“已交付”的初始策略 。
选择该请求以查看请求详细信息。
在左侧导航中选择“标识”。
选择“组”并打开“市场营销资源”组。
选择“成员”。
应会看到,Requestor1 已列为成员。
步骤 5:清理资源
在此步骤中,请删除所做的更改并删除“市场营销活动”访问包 。
打开“市场营销活动”访问包 。
选择“分配” 。
对于“Requestor1”,请选择省略号 (...),然后选择“删除访问权限”。 在显示的消息中,选择“是”。
几分钟后,状态将从“已交付”更改为“已过期”。
选择“资源角色”。
对于“市场营销资源”,请选择省略号 (…),然后选择“删除资源角色”。 在显示的消息中,选择“是”。
打开访问包列表。
对于“市场营销活动”,请选择省略号 (…),然后选择“删除”。 在显示的消息中,选择“是”。
在“标识”中删除创建的任何用户,例如 Requestor1 和 Admin1。
删除“市场营销资源”组 。
后续步骤
请继续学习下一篇文章,了解权利管理中常用的方案步骤。