将访问治理委托给权利管理中的访问包管理者
若要委托目录中访问包的创建和管理,请将用户添加到访问包管理者角色。 访问包管理者必须熟悉用户请求访问目录中资源的需求。 例如,如果目录用于项目,则项目主管可能是该目录的访问包管理者。 访问包管理者无法向目录添加资源,但他们可以管理目录中的访问包和策略。 委托给访问包管理者后,这个人将负责管理:
- 用户对目录中的资源具有什么角色
- 谁需要访问权限
- 谁需要批准访问请求
- 项目将持续多久
他们可以创建访问包和策略,包括引用现有连接组织的策略。 创建其访问包后,他们可让其他用户请求或拥有这些访问包。
除了目录所有者和访问包管理员角色之外,还可以将用户添加到目录读取者角色(提供对目录的仅查看访问权限)或访问包分配管理者角色(使用户能够更改分配,但不能访问包或策略)。
以目录所有者的身份,委托给访问包管理者
提示
本文中的步骤可能因开始使用的门户而略有不同。
遵循以下步骤将用户分配给访问包管理者角色:
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者。
浏览到“标识治理”>“权利管理”>“目录”。
在“目录”页中,打开要将管理员添加到的目录。
在左侧菜单中,选择“角色和管理员”。
选择“添加访问包管理者”,以选择这些角色的成员。
选择“选择”以添加这些成员。
删除访问包管理者
按照以下步骤将用户从访问包管理者角色中删除:
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
提示
可以完成此任务的其他最低特权角色包括目录所有者。
浏览到“标识治理”>“权利管理”>“目录”。
在“目录”页中,打开要将管理员添加到的目录。
在左侧菜单中,选择“角色和管理员”。
在要删除的访问包管理者旁边添加一个复选标记。
选择“删除” 。