将访问治理委托给权利管理中的访问包管理者

若要委托目录中访问包的创建和管理,请将用户添加到访问包管理者角色。 访问包管理者必须熟悉用户请求访问目录中资源的需求。 例如,如果目录用于项目,则项目主管可能是该目录的访问包管理者。 访问包管理者无法向目录添加资源,但他们可以管理目录中的访问包和策略。 委托给访问包管理者后,这个人将负责管理:

  • 用户对目录中的资源具有什么角色
  • 谁需要访问权限
  • 谁需要批准访问请求
  • 项目将持续多久

他们可以创建访问包和策略,包括引用现有连接组织的策略。 创建其访问包后,他们可让其他用户请求或拥有这些访问包。

除了目录所有者和访问包管理员角色之外,还可以将用户添加到目录读取者角色(提供对目录的仅查看访问权限)或访问包分配管理者角色(使用户能够更改分配,但不能访问包或策略)。

以目录所有者的身份,委托给访问包管理者

提示

本文中的步骤可能因开始使用的门户而略有不同。

遵循以下步骤将用户分配给访问包管理者角色:

  1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心

    提示

    可以完成此任务的其他最低特权角色包括目录所有者。

  2. 浏览到“标识治理”>“权利管理”>“目录”。

  3. 在“目录”页中,打开要将管理员添加到的目录。

  4. 在左侧菜单中,选择“角色和管理员”。

    目录角色和管理员

  5. 选择“添加访问包管理者”,以选择这些角色的成员。

  6. 选择“选择”以添加这些成员。

删除访问包管理者

按照以下步骤将用户从访问包管理者角色中删除:

  1. 至少以标识治理管理员身份登录到 Microsoft Entra 管理中心

    提示

    可以完成此任务的其他最低特权角色包括目录所有者。

  2. 浏览到“标识治理”>“权利管理”>“目录”。

  3. 在“目录”页中,打开要将管理员添加到的目录。

  4. 在左侧菜单中,选择“角色和管理员”。

  5. 在要删除的访问包管理者旁边添加一个复选标记。

  6. 选择“删除” 。

后续步骤