在權利管理中建立存取套件
存取套件可讓您進行一次性的資源和原則設定,以自動管理存取套件生命週期的存取權。 本文說明如何建立存取套件。
概觀
所有存取套件都必須位於稱為目錄的容器中。 目錄會定義您可以新增至存取套件的資源。 如果您未指定目錄,您的存取套件會進入一般目錄。 目前,您無法將現有的存取套件移至不同的目錄。
存取套件可用來將存取權指派給目錄中多個資源的角色。 如果您是系統管理員或目錄擁有者,您可以在建立存取套件時,將資源新增至目錄。 您也可以在建立存取套件之後新增資源,而指派給存取套件的使用者也會接收其他資源。
如果您是存取套件管理員,則無法將擁有的資源新增至目錄。 您只能使用目錄中可用的資源。 如果您需要將資源新增至目錄,您可以詢問目錄擁有者。
所有存取套件都必須有至少一個原則,使用者才能指派給他們。 原則會指定誰可以要求存取套件,以及核准和生命周期設定,或如何自動指派存取權。 當您建立存取套件時,您可以為目錄中的使用者、不在目錄中的使用者,或僅針對系統管理員直接指派建立初始原則。
以下是使用初始原則建立存取套件的高階步驟:
在 [身分識別治理] 中,啟動建立存取套件的程式。
選取您要放置存取套件的目錄,並確定其具有必要的資源。
將資源角色從目錄中的資源新增至您的存取套件。
為可要求存取權的使用者指定初始原則。
在該原則中指定核准設定和生命周期設定。
然後,建立存取套件之後,您可以 變更隱藏的設定、 新增或移除資源角色,以及 新增其他原則。
啟動建立程式
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
若要完成下列步驟,您需要全域 管理員 istrator、Identity Governance 管理員 istrator、目錄擁有者或存取套件管理員的角色。
以至少身分識別治理 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>存取] 套件。
選取 [ 新增存取套件]。
設定基本概念
在 [ 基本] 索引 標籤上,您會提供存取套件的名稱,並指定要在其中建立存取套件的目錄。
輸入存取套件的顯示名稱和描述。 當使用者提交存取套件要求時,會看到這項資訊。
在 [ 目錄 ] 下拉式清單中,選取您要放置存取套件的目錄。 例如,您可能有目錄擁有者來管理所有可要求行銷資源的目錄擁有者。 在此情況下,您可以選取營銷目錄。
您只會看到您有權在 中建立存取套件的目錄。 若要在現有的目錄中建立存取套件,您必須是全域 管理員 istrator 或 Identity Governance 管理員 istrator。 或者,您必須是目錄擁有者或存取該目錄中的套件管理員。
如果您是全域 管理員 istrator、Identity Governance 管理員 istrator 或目錄建立者,而且您想要在未列出的新目錄中建立存取套件,請選取 [建立新目錄]。 輸入目錄名稱和描述,然後選取 [ 建立]。
您要建立的存取套件及其中包含的任何資源,會新增至新的目錄。 稍後,您可以新增更多目錄擁有者,或將屬性新增至您放入目錄中的資源。 若要深入瞭解如何編輯特定目錄資源和必要角色的屬性清單,請參閱 在目錄中新增資源屬性。
選取 [ 下一步:資源角色]。
選取資源角色
在 [ 資源角色] 索引標籤上,您可以選取要包含在存取套件中的資源。 要求和接收存取套件的使用者將會收到存取套件中的所有資源角色,例如群組成員資格。
如果您不確定要包含哪些資源角色,您可以在建立存取套件時略過新增角色,然後 稍後再加以新增 。
選取您想要新增的資源類型(群組和 Teams、 應用程式或 SharePoint 網站)。
在出現的 [ 選取應用程式] 面板中,從清單中選取一或多個資源。
如果您要在一般目錄中建立存取套件或新的目錄,您可以從您擁有的目錄中選擇任何資源。 您必須至少是全域管理員、身分識別治理 管理員 istrator 或目錄建立者。
注意
您可以將動態群組新增至目錄和存取套件。 不過,當您在存取套件中管理動態群組資源時,只能選取擁有者角色。
如果您要在現有的目錄中建立存取套件,您可以選取目錄中已有的任何資源,而不需要成為該資源的擁有者。
如果您是全域系統管理員、身分識別治理 管理員 istrator 或目錄擁有者,則可以選擇選取您擁有或管理但尚未在目錄中的資源。 如果您選取目錄中的資源,但目前不在選取的目錄中,這些資源也會新增至目錄,讓其他目錄管理員使用 來建置存取套件。 若要查看目錄中可新增至目錄的所有資源,請選取 面板頂端的 [查看所有] 複選框。 如果您想要只選取目前在所選取目錄中的資源,請保留 [全部查看] 複選框已清除 (預設狀態)。
在 [ 角色] 清單中,選取您想要為資源指派使用者的角色。 如需為資源選取適當角色的詳細資訊,請參閱 如何判斷要包含在存取套件中的資源角色。
選取 [ 下一步:要求]。
建立要求原則
在 [ 要求] 索引標籤上,您可以建立第一個原則來指定誰可以要求存取套件。 您也會設定核准設定。 稍後,您可以建立更多要求原則,以允許其他使用者群組使用自己的核准設定來要求存取套件。
視您想要要求此存取套件的使用者而定,請執行下列其中一節中的步驟。
允許目錄中的使用者要求存取套件
如果您想要允許目錄中的用戶能夠要求此存取套件,請使用下列步驟。 當您定義要求原則時,您可以指定個別使用者或(更常見的)使用者群組。 例如,您的組織可能已經有一個群組,例如 [所有員工]。 如果在原則中新增該群組給可要求存取權的使用者,該群組的任何成員就可以要求存取權。
在 [ 可要求存取 權的使用者] 區段中,選取 [針對目錄中的使用者]。
當您選取此選項時,會出現新的選項,讓您可以精簡目錄中可要求此存取套件的人員。
選取下列其中一個選項:
選項 描述 特定使用者和群組 如果您只想要目錄中指定能夠要求此存取套件的使用者和群組,請選擇此選項。 所有成員(不包括來賓) 如果您要目錄中的所有成員用戶能夠要求此存取套件,請選擇此選項。 這個選項不包含您可能已邀請到目錄的任何來賓使用者。 所有使用者(包括來賓) 如果您想要目錄中的所有成員使用者和來賓用戶能夠要求此存取套件,請選擇此選項。 來賓使用者是已透過 Microsoft Entra B2B 受邀加入目錄的外部使用者。 如需成員使用者與來賓用戶之間差異的詳細資訊,請參閱 Microsoft Entra ID 中的預設使用者許可權為何?。
如果您選取 [ 特定使用者和群組],請選取 [ 新增使用者和群組]。
在 [ 選取使用者和群組 ] 窗格中,選取您要新增的使用者和群組。
選擇 [ 選取 ] 以新增使用者和群組。
跳到 [ 指定核准設定 ] 區段。
允許使用者不在您的目錄中要求存取套件
位於另一個 Microsoft Entra 目錄或網域的使用者可能尚未受邀加入您的目錄。 Microsoft Entra 目錄必須設定為允許共同作業限制中的邀請。 如需詳細資訊,請參閱設定外部共同作業設定。
系統會為尚未在您的目錄中核准或不需要核准的使用者建立來賓用戶帳戶。 系統會邀請來賓,但不會收到邀請電子郵件。 相反地,他們會在傳遞存取套件指派時收到電子郵件。 稍後,當該來賓使用者不再有任何存取套件指派,因為上次指派已過期或已取消時,帳戶將會遭到封鎖而無法登入,並隨後刪除。 預設會發生封鎖和刪除。
如果您希望來賓用戶無限期地保留在目錄中,即使他們沒有存取套件指派,您也可以變更權利管理設定的設定。 如需來賓用戶對象的詳細資訊,請參閱 Microsoft Entra B2B 共同作業用戶的屬性。
如果您要允許目錄中的使用者要求存取套件,請遵循下列步驟:
在 [ 可要求存取 權的使用者] 區段中,選取 [針對不在目錄中的使用者]。
當您選取此選項時,會出現新的選項。
選取下列其中一個選項:
選項 描述 特定連線的組織 如果您想要從先前新增的組織清單中選取此選項。 所選組織的所有使用者都可以要求此存取套件。 所有連線的組織 如果所有已設定連線組織的所有使用者都可以要求此存取套件,請選擇此選項。 所有使用者 (所有已連線的組織 + 任何新的外部使用者) 如果任何使用者可以要求此存取套件,而且任何新的外部使用者都應該優先使用 B2B 允許清單或封鎖清單設定,請選擇此選項。 線上的組織是與您有關聯性的外部 Microsoft Entra 目錄或網域。
如果您選取 [ 特定已連線的組織],請選取 [新增目錄 ],以從您系統管理員先前新增的已連線組織清單中選取。
輸入名稱或功能變數名稱,以搜尋先前連線的組織。
如果您想要共同作業的組織不在清單中,您可以要求系統管理員將它新增為已連線的組織。 如需詳細資訊,請參閱 新增已連線的組織。
如果您選取 [ 所有已連線的組織],則應該向全域管理員確認目前已設定並計劃處於範圍內的已連線組織清單。
如果您選取 [ 所有使用者],則必須在 [核准] 區段中設定核准,因為此範圍會允許因特網上的任何身分識別要求存取權。
選取所有已連線的組織之後,請選擇 [ 選取]。
來自所選連線組織的所有用戶都能夠要求此存取套件。 這包括與組織相關聯之所有子域的 Microsoft Entra ID 使用者,除非 Azure B2B 允許清單或封鎖清單封鎖這些網域。 如果您指定社交識別提供者網域,例如 live.com,則來自社交識別提供者的任何使用者都能夠要求此存取套件。 如需詳細資訊,請參閱 允許或封鎖來自特定組織的 B2B 用戶邀請。
跳到 [ 指定核准設定 ] 區段。
僅允許系統管理員直接指派
如果您想要略過存取要求,並允許系統管理員直接將特定使用者指派給此存取套件,請遵循下列步驟。 使用者不需要要求存取套件。 您仍然可以設定生命周期設定,但沒有要求設定。
在 [可以要求存取權的使用者] 區段中,選取 [無] (僅限系統管理員直接指派)。
建立存取套件之後,您可以直接將特定的內部和外部使用者指派給它。 如果您指定外部使用者,則會在目錄中建立來賓用戶帳戶。 如需直接指派使用者的相關信息,請參閱 檢視、新增和移除存取套件的指派。
跳到 [ 啟用要求 ] 區段。
指定核准設定
在 [ 核准 ] 區段中,您會指定使用者要求此存取套件時是否需要核准。 核准設定的運作方式如下:
- 只有其中一個選取的核准者或後援核准者需要核准單一階段核准的要求。
- 每個階段中只有一個選取的核准者需要核准兩個階段核准的要求。
- 核准者可以是經理、用戶贊助者、內部贊助者或外部贊助者,視原則的存取控管而定。
- 對於單一階段或兩個階段核准,不需要每個選取核准者的核准。
- 核准決策是根據核准者先檢閱要求。
如需如何將核准者新增至要求原則的示範,請觀看下列影片:
如需如何將多重階段核准新增至要求原則的示範,請觀看下列影片:
請遵循下列步驟來指定存取套件要求的核准設定:
若要要求核准所選使用者的要求,請將 [需要核准 ] 切換為 [ 是]。 或者,若要自動核准要求,請將切換設定為 [否]。 如果原則允許來自組織外部的外部使用者要求存取權,您應該要求核准,因此會監督誰正在新增至貴組織的目錄。
若要要求使用者提供要求存取套件的理由,請將 [要求者理由 ] 切換為 [ 是]。
判斷要求是否需要單一階段或兩個階段核准。 將 [單一階段核准的階段數目] 切換為 1、2 個用於雙階段核准,或 3 個階段核准。
選取階段數目之後,請使用下列步驟來新增核准者。
單一階段核准
新增第一個核准者資訊:
如果原則設定為 [針對目錄中的使用者],您可以選取 [管理員] 作為核准者 或 [贊助者] 作為核准者。 或者,您可以選取 [選擇特定核准者],然後選取 [新增核准者],以新增特定使用者。
若要使用贊助者作為核准者,您必須擁有 Microsoft Entra ID 控管 授權。 如需詳細資訊,請參閱 比較 Microsoft Entra ID 的一般可用功能。
如果原則設定為 [ 針對不在目錄中的使用者],您可以選取 [外部贊助者 ] 或 [內部贊助者]。 或者,您可以選取 [選擇特定核准者],然後選取 [新增核准者],以新增特定使用者。
如果您選取 [管理員 ] 作為第一個核准者,請選取 [新增後援] 以選取目錄中的一或多個使用者或群組,以作為後援 核准者。 如果權利管理找不到要求存取權之使用者的管理員,則後援核准者會收到要求。
權利管理會使用 Manager屬性來尋找管理員 。 屬性位於 Microsoft Entra ID 中的使用者配置檔中。 如需詳細資訊,請參閱 新增或更新使用者的配置檔資訊和設定。
如果您選取 [贊助者 ] 作為第一個核准者,請選取 [新增後援] 以選取目錄中的一或多個使用者或群組作為後援 核准者。 如果權利管理找不到要求存取權之用戶的贊助者,則後援核准者會收到要求。
權利管理會使用 [贊助者] 屬性來尋找贊助者 。 屬性位於 Microsoft Entra ID 中的使用者配置檔中。 如需詳細資訊,請參閱 新增或更新使用者的配置檔資訊和設定。
如果您選取 [ 選擇特定核准者],請選取 [新增核准者 ] 以選取目錄中的一或多個使用者或群組,以成為核准者。
在 [決策必須在多少天? ] 方塊中,指定核准者必須檢閱此存取套件要求的天數。
如果此期間內未核准要求,系統會自動予以拒絕。 然後,用戶必須提交另一個存取套件要求。
若要要求核准者為其決策提供理由,請將 [需要核准者理由] 設定為 [是]。
其他核准者和要求者可以看到理由。
雙階段核准
如果您選取了兩個階段核准,則需要新增第二個核准者:
新增第二個 核准者 資訊:
如果使用者位於您的目錄中,您可以選取 [贊助者] 作為核准者。 或者,從下拉功能表中選取 [選擇特定核准者],然後選取 [新增核准者],以新增特定使用者。
如果使用者不在目錄中,請選取 [內部贊助者] 或 [外部贊助者] 作為第二個核准者。 選取核准者之後,請新增後援核准者。
在 [ 決策必須在多少天? ] 方塊中,指定第二個核准者必須核准要求的天數。
將 [需要核准者理由] 切換為 [是] 或 [否]。
三階段核准
如果您選取了三個階段核准,則需要新增第三個核准者:
新增第三個 核准者 資訊:
如果使用者位於您的目錄中,請選取 [選擇特定核准者][新增核准者>],將特定使用者新增為第三個核准者。
在 [ 決策必須在多少天? ] 方塊中,指定第二個核准者必須核准要求的天數。
將 [需要核准者理由] 切換為 [是] 或 [否]。
替代核准者
您可以指定替代核准者,類似於指定可以核准要求的第一個和第二個核准者。 擁有替代核准者可協助確保要求在到期前已核准或拒絕(逾時)。 您可以列出第一個核准者的替代核准者,以及第二個核准者進行雙階段核准。
當您指定替代核准者時,如果第一個或第二個核准者無法核准或拒絕要求,則擱置的要求會轉送給替代核准者。 要求會根據您在原則設定期間指定的轉送排程傳送。 核准者會收到一封電子郵件來核准或拒絕擱置的要求。
將要求轉送至替代核准者之後,第一個或第二個核准者仍然可以核准或拒絕要求。 替代核准者使用相同的 「我的存取 權」網站來核准或拒絕擱置的要求。
您可以將人員或人員群組列出為核准者和替代核准者。 請確定您將不同的人員集合列出為第一個、第二組,以及替代核准者。 例如,如果您將 Alice 和 Bob 列為第一個核准者,請將 Carol 和 Dave 列為替代核准者。
使用下列步驟將替代核准者新增至存取套件:
在 [第一個核准者]、 [第二個核准者] 或兩者下,選取 [ 顯示進階要求設定]。
將 [如果未採取任何動作,請轉送至替代核准者?] 切換為 [是]。
選取 [ 新增替代核准者],然後從列表中選取替代核准者。
如果您選取 [管理員] 作為第一個核准者,[替代核准者] 方塊中會出現額外的選項:第二層管理員作為替代核准者。 如果您選取此選項,則必須新增後援核准者,以將要求轉寄至 ,以防系統找不到第二層管理員。
在 [ 轉寄至替代核准者] 方塊之後的天數 方塊中,輸入核准者必須核准或拒絕要求的天數。 如果沒有核准者在要求持續時間之前核准或拒絕要求,要求就會過期(逾時)。 然後,用戶必須提交另一個存取套件要求。
要求只能在要求持續時間達到半壽後一天轉送給替代核准者。 主要核准者的決定必須在至少四天后逾時。 如果要求逾時小於或等於三天,則沒有足夠的時間將要求轉送給替代核准者。
在此範例中,要求的持續時間為14天。 要求持續時間會在第 7 天達到半生。 因此,要求不能早於第8天轉送。
此外,要求期間的最後一天無法轉送要求。 因此,在此範例中,可以轉送要求的最新是第 13 天。
啟用要求
如果您想要將存取套件立即提供給要求原則中的使用者使用,請將 [ 啟用新要求和指派 ] 切換為 [是]。
完成建立存取套件之後,您隨時都可以在未來啟用它。
如果您選取 [無] (僅限系統管理員直接指派),並將 [啟用新要求和指派] 設定為 [否],則系統管理員無法直接指派此存取套件。
移至下 一節 ,瞭解如何將已驗證的標識符需求新增至您的存取套件。 否則,請選取 [下一步]。
新增已驗證的標識碼需求
如果您想要將已驗證的標識碼需求新增至存取套件原則,請使用下列步驟。 想要存取存取套件的用戶必須先出示必要的已驗證標識符,才能成功提交其要求。 若要瞭解如何使用 Microsoft Entra 驗證識別碼 服務設定租使用者,請參閱 Microsoft Entra 驗證識別碼 簡介。
您需要全域管理員角色,才能將已驗證的標識碼需求新增至存取套件。 身分識別治理系統管理員、使用者管理員、目錄擁有者或存取套件管理員尚無法新增已驗證的標識符需求。
選取 [+ 新增簽發者],然後從 Microsoft Entra 驗證識別碼 網络選取簽發者。 如果您想要向使用者發出自己的認證,您可以在從應用程式發出認證 Microsoft Entra 驗證識別碼 問題中找到指示。
選取您希望使用者在要求程式期間呈現的認證類型。
如果您從一個簽發者選取多個認證類型,使用者將需要顯示所有選取類型的認證。 同樣地,如果您包含多個簽發者,用戶必須從原則中包含的每個簽發者出示認證。 若要為使用者提供不同簽發者的不同認證選項,請針對您將接受的每個簽發者或認證類型設定個別的原則。
選取 [新增 ] 以將已驗證的標識符需求新增至存取套件原則。
將要求者資訊新增至存取套件
移至 [ 要求者資訊 ] 索引標籤,然後選取 [問題] 索引標籤 。
在 [ 問題 ] 方塊中,輸入您想要詢問要求者的問題。 這個問題也稱為顯示字串。
如果您想要新增自己的當地語系化選項,請選取 [新增本地化]。
在 [ 新增問題 本地化] 窗格上:
- 針對 [ 語言代碼],選取您要本地化問題之語言的語言代碼。
- 在 [ 本地化文本框 ] 中,以您所設定的語言輸入問題。
- 當您完成新增所需的所有本地化時,請選取 [ 儲存]。
針對 [ 回應格式],選取您想要要求者回應的格式。 答案格式包括 簡短文字、 多重選擇和 長文字。
如果您選取了多個選擇,請選取 [ 編輯並本地化] 按鈕來設定答案選項。
在 [ 檢視/編輯問題 ] 窗格上:
- 在 [ 回應值] 方塊中,輸入您在要求者回答問題時想要給予的響應選項。
- 在 [ 語言] 方塊中,選取回應選項的語言。 如果您選擇其他語言,則可以將回應選項當地語系化。
- 選取 [儲存]。
若要要求要求者在要求存取套件時回答這個問題,請選取 [ 必要] 複選框。
選取 [ 屬性] 索引 標籤,以檢視與您新增至存取套件之資源相關聯的屬性。
注意
若要新增或更新存取套件資源的屬性,請移至 目錄 ,並尋找與存取套件相關聯的目錄。 若要深入瞭解如何編輯特定目錄資源和必要角色的屬性清單,請參閱 在目錄中新增資源屬性。
選取 [下一步]。
指定生命週期
在 [ 生命週期] 索引標籤上,您可以指定使用者指派存取套件到期的時間。 您也可以指定使用者是否可以擴充其指派。
在 [到期] 區段中,將 [存取套件指派到期] 設定為 [日期]、[天數]、[時數] 或 [永不]。
- 針對 [ 日期],選取未來的到期日。
- 針對 [天數],指定從0到3660天的數位。
- 針對 [時數],指定小時數。
根據您的選擇,使用者對存取套件的指派會在特定日期、核准或永遠不會過期。
如果您希望使用者要求其存取的特定開始和結束日期,請針對 [使用者可以要求特定時程表] 切換選取 [是]。
選取 [ 顯示進階到期設定 ] 以顯示更多設定。
若要允許使用者擴充其指派,請將 [允許使用者擴充存取權] 設定為 [是]。
如果原則中允許擴充功能,使用者就會在14天前收到電子郵件,然後在前一天,其存取套件指派會設定為到期。 電子郵件會提示用戶擴充指派。 用戶必須在要求擴充功能時仍位於原則的範圍內。
此外,如果原則有明確的指派結束日期,而且使用者提交要求以擴充存取權,則要求中的延伸日期必須在指派到期時或之前。 您用來授與存取套件存取權的原則會定義延伸模組日期是在指派到期日或之前。 例如,如果原則指出指派設定為在 6 月 30 日到期,則使用者可以要求的擴充功能上限為 6 月 30 日。
如果使用者的存取權已擴充,他們將無法在指定的擴充日期之後要求存取套件(在建立原則的使用者時區所設定的日期)。
若要要求核准以授與延伸模組,請將 [需要核准] 設定 為 [ 是]。
此核准將會使用您在 [要求] 索引標籤上指定的相同核准設定。
選取 [下一步] 或 [更新]。
檢閱並建立存取套件
在 [ 檢閱 + 建立] 索引標籤上,您可以檢閱您的設定,並檢查是否有任何驗證錯誤。
檢閱存取套件的設定。
選取 [建立 ] 以建立存取套件。
新的存取套件會出現在存取套件清單中。
如果存取套件是要讓原則範圍內的所有人看見,則請將存取套件的 [隱藏] 設定保留為 [否]。 或者,如果您想要只允許具有直接連結的使用者要求存取套件,請編輯存取套件,將 [隱藏] 設定變更為 [是]。 然後 複製連結以要求存取套件 ,並與需要存取權的用戶共用。
以程式設計方式建立存取套件
有兩種方式可以透過程序設計方式建立存取套件:透過 Microsoft Graph 和適用於 Microsoft Graph 的 PowerShell Cmdlet。
使用 Microsoft Graph 建立存取套件
您可以使用 Microsoft Graph 建立存取套件。 具有委派 EntitlementManagement.ReadWrite.All
許可權的應用程式具有適當角色的使用者可以呼叫 API:
- 列出目錄中 的資源,併為 目錄中尚未使用的任何資源建立 accessPackageResourceRequest 。
- 擷取目錄中每個資源的角色和範圍。 接著,此角色清單將用來選取角色,在後續建立 resourceRoleScope 時。
- 建立 accessPackage。
- 為存取套件中所需的每個資源角色建立 resourceRoleScope 。
- 針對存取套件中所需的每個原則建立 assignmentPolicy 。
使用 Microsoft PowerShell 建立存取套件
您也可以使用適用於身分識別治理的 Microsoft Graph PowerShell Cmdlet 模組中的 Cmdlet,在 PowerShell 中建立存取套件。
首先,擷取目錄的標識碼,以及該目錄中的資源及其範圍和角色,您想要包含在存取套件中。 使用類似下列範例的文稿:
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
然後,建立存取套件:
$params = @{
displayName = "sales reps"
description = "outside sales representatives"
catalog = @{
id = $catalog.id
}
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params
建立存取套件之後,請將資源角色指派給它。 例如,如果您想要包含稍早傳回作為新存取套件資源角色之資源的第一個資源角色,您可以使用類似以下的腳本:
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams
最後,建立原則。 在此原則中,只有系統管理員或存取套件指派管理員可以指派存取權,而且沒有存取權檢閱。 如需更多範例,請參閱 透過PowerShell 建立指派原則和 建立 assignmentPolicy。
$pparams = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $ap.Id
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams