将访问治理委托给权利管理中的访问包管理者

若要委托目录中访问包的创建和管理，请将用户添加到访问包管理者角色。 访问包管理者必须熟悉用户请求访问目录中资源的需求。 例如，如果目录用于项目，则项目主管可能是该目录的访问包管理者。 访问包管理者无法向目录添加资源，但他们可以管理目录中的访问包和策略。 委托给访问包管理者后，这个人将负责管理：

• 用户对目录中的资源具有什么角色
• 谁需要访问权限
• 谁需要批准访问请求
• 项目将持续多久

他们可以创建访问包和策略，包括引用现有连接组织的策略。 创建其访问包后，他们可让其他用户请求或拥有这些访问包。

除了目录所有者和访问包管理员角色之外，还可以将用户添加到目录读取者角色（提供对目录的仅查看访问权限）或访问包分配管理者角色（使用户能够更改分配，但不能访问包或策略）。

以目录所有者的身份，委托给访问包管理者

遵循以下步骤将用户分配给访问包管理者角色：

1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。

   提示

   可以完成此任务的其他最低特权角色包括目录所有者。

2. 浏览到“标识治理”>“权利管理”>“目录”。

3. 在“目录”页中，打开要将管理员添加到的目录。

4. 在左侧菜单中，选择“角色和管理员”。

   

5. 选择“添加访问包管理者”，以选择这些角色的成员。

6. 选择“选择”以添加这些成员。

删除访问包管理者

按照以下步骤将用户从访问包管理者角色中删除：

1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。

   提示

   可以完成此任务的其他最低特权角色包括目录所有者。

2. 浏览到“标识治理”>“权利管理”>“目录”。

3. 在“目录”页中，打开要将管理员添加到的目录。

4. 在左侧菜单中，选择“角色和管理员”。

5. 在要删除的访问包管理者旁边添加一个复选标记。

6. 选择“删除” 。

后续步骤

• 创建新的访问包