變更權利管理中存取套件的資源角色
身為存取套件管理員,您可以隨時變更存取套件中的資源,而不必擔心布建使用者對新資源的存取權,或從先前的資源移除其存取權。 本文說明如何變更現有存取套件的資源角色。
這段影片提供如何變更存取套件的概觀。
檢查目錄是否有資源
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
如果您需要將資源新增至存取套件,您應該檢查存取套件目錄中是否有可用的資源。 如果您是存取套件管理員,即使您擁有資源,也無法將資源新增至目錄。 您只能使用目錄中可用的資源。
必要角色: 全域管理員、身分識別治理系統管理員、目錄擁有者或存取套件管理員
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>存取] 套件。
在 [ 存取套件] 頁面上,開啟您想要檢查的存取套件,以確保其目錄具有必要的資源。
在左側功能表中,選取 [目錄 ],然後開啟目錄。
在左側功能表中,選取 [資源 ] 以查看此目錄中的資源清單。
如果資源尚未在目錄中,而且您是系統管理員或目錄擁有者,您可以將 資源新增至目錄。 您可以新增的資源類型為群組、已與目錄整合的應用程式,以及 SharePoint Online 網站。 例如:
- 群組可以是雲端建立 Microsoft 365 群組 或雲端建立的 Microsoft Entra 安全組。 源自 內部部署的 Active Directory 的群組無法指派為資源,因為其擁有者或成員無法在 Microsoft Entra ID 中變更屬性。 若要讓使用者存取使用AD安全組成員資格的應用程式,請在 Microsoft Entra ID 中建立新的群組、設定AD的群組回寫,以及讓該群組寫入AD。 在 Microsoft Entra 識別符中,無法修改源自 Exchange Online 作為通訊群組的群組。
- 應用程式可以是 Microsoft Entra 企業應用程式,其中包括軟體即服務應用程式(SaaS)應用程式、使用不同目錄或資料庫的內部部署應用程式,以及與 Microsoft Entra ID 整合的您自己的應用程式。 如果您的應用程式尚未與您的 Microsoft Entra 目錄整合,請參閱 控管環境中 應用程式的存取權,並將 應用程式與 Microsoft Entra ID 整合。
- 網站可以是 SharePoint Online 網站或 SharePoint Online 網站集合。
如果您是存取套件管理員,而且需要將資源新增至目錄,您可以要求目錄擁有者加以新增。
判斷要包含在存取套件中的資源角色
資源角色是與資源相關聯的許可權集合,並由資源定義。 如果您從每個目錄的資源將資源角色新增至您的存取套件,就可以將資源指派給使用者。 您可以新增群組、小組、應用程式和 SharePoint 網站所提供的資源角色。 當使用者收到存取套件指派時,它們會新增至存取套件中的所有資源角色。
當他們失去存取套件指派時,就會從存取套件中的所有資源角色中移除它們。
注意
如果使用者已新增至權利管理以外的資源,而且即使使用者稍後收到存取套件 assignemtsn 和其存取套件指派過期,他們仍需要保留存取權,則請勿將資源角色新增至存取套件。
如果您想要某些使用者接收的資源角色與其他角色不同,則必須在目錄中建立多個存取套件,並針對每個資源角色使用不同的存取套件。 您也可以將存取套件標示為 彼此不相容 ,讓用戶無法要求存取會授與他們過多存取權的套件。
特別是,應用程式可以有多個應用程式角色。 當您將應用程式的應用程式角色新增為存取套件的資源角色時,如果該應用程式具有多個應用程式角色,您必須為存取套件中的這些使用者指定適當的角色。
注意
如果應用程式有多個應用程式角色,且該應用程式有多個角色位於存取套件中,則使用者將會收到所有應用程式包含的角色。 相反地,如果您想要用戶只擁有一些應用程式的角色,則必須在目錄中建立多個存取套件,並針對每個應用程式角色使用不同的存取套件。
此外,應用程式也可以依賴安全組來表示許可權。 例如,應用程式可能有單一應用程式角色 User ,也會檢查兩個群組的成員資格 - 一個 Ordinary Users 群組和一個 Administrative Access 群組。 應用程式的用戶必須是這兩個群組之一的成員。 如果您要設定使用者可以要求任一權限,則您會放入目錄三個資源:應用程式、群組 Ordinary Users 和群組 Administrative Access。 然後,您會在該目錄中建立兩個存取套件,並指出每個存取套件 與其他套件不相容 :
- 具有兩個資源角色、應用程式應用程式角色
User和群組成員資格的第一個存取套件Ordinary Users - 具有兩個資源角色、應用程式應用程式角色
User和群組成員資格的第二個存取套件Administrative Access
檢查使用者是否已指派給資源角色
當系統管理員將資源角色新增至存取套件時,已經屬於該資源角色但沒有存取套件指派的使用者,將會保留在資源角色中,但不會指派給存取套件。 例如,如果使用者是群組的成員,然後建立存取套件,並將該群組的成員角色新增至存取套件,則使用者不會自動收到存取套件的指派。
如果您希望擁有資源角色成員資格的使用者也指派給存取套件,則可以 使用 Microsoft Entra 系統管理中心,或透過 Graph 或 PowerShell 大量將使用者 指派給存取套件。 您指派給存取套件的使用者也會接收存取套件中其他資源角色的存取權。 不過,當處於資源角色的使用者在新增至存取套件之前已有存取權,當他們的存取套件指派遭到移除時,他們就會從該資源角色中移除。
新增資源角色
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator、目錄擁有者或存取套件管理員
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>存取] 套件。
在 [ 存取套件] 頁面上,開啟您要新增資源角色的存取套件。
在左側功能表中,選取 [資源角色]。
選取 [新增資源角色 ] 以開啟 [新增資源角色以存取套件] 頁面。
視您是否要新增群組或小組的成員資格而定,存取應用程式、SharePoint 網站或 Microsoft Entra 角色(預覽版)會執行下列其中一個資源角色區段中的步驟。
新增群組或小組資源角色
當使用者獲派存取套件時,您可以讓權利管理自動將使用者新增至 Microsoft Teams 中的群組或小組。
- 當群組或小組的成員資格是屬於存取套件一部分的資源角色,且使用者被指派給該存取套件時,如果使用者尚未存在,則會將該使用者新增為該群組或小組的成員。
- 當使用者的存取套件指派到期時,除非他們目前擁有另一個包含相同群組或小組的存取套件指派,否則會從群組或小組中移除。
您可以選取任何 Microsoft Entra 安全組或 Microsoft 365 群組。 可管理群組之系統管理員角色中的使用者可以將任何群組新增至目錄;如果目錄擁有者是群組的擁有者,則可以將任何群組新增至目錄。 選取群組時,請記住下列 Microsoft Entra 條件約束:
- 當使用者,包括來賓,新增為群組或小組的成員時,他們可以看到該群組或小組的所有其他成員。
- Microsoft Entra ID 無法變更使用 Microsoft Entra 連線 從 Windows Server Active Directory 同步處理的群組成員資格,或是在 Exchange Online 中建立為通訊群組的成員資格。 如果您打算管理對使用AD安全組之應用程式的存取權,請參閱 如何使用權利管理來設定群組回寫。
- 新增或移除成員,無法更新動態群組的成員資格,因此動態群組成員資格不適用於權利管理。
- Microsoft 365 群組有額外的限制,如系統管理員 Microsoft 365 群組 概觀中所述,包括每個群組的 100 個擁有者限制、可同時存取群組交談數目的限制,以及每個成員 7,000 個群組。
如需詳細資訊,請參閱比較群組和 Microsoft 365 群組 和 Microsoft Teams。
在 [新增資源角色以存取套件] 頁面上,選取 [群組和 Teams] 以開啟 [選取群組] 窗格。
選取您要包含在存取套件中的群組和小組。
選取選取。
選取群組或小組之後,[ 子類型 ] 資料行會列出下列其中一個子類型:
子類型 描述 安全性 用於授與資源的存取權。 Distribution 用於將通知傳送給一組人員。 Microsoft 365 未啟用Teams的 Microsoft 365 群組。 用於公司內外用戶之間的共同作業。 球隊 已啟用Teams的 Microsoft 365 群組。 用於公司內外用戶之間的共同作業。 在 [角色] 清單中,選取 [擁有者] 或 [成員]。
您通常會選取 [成員] 角色。 如果您選取 [擁有者] 角色,則用戶會成為群組的擁有者,這可讓這些使用者新增或移除其他成員或擁有者。
選取 [新增]。
任何具有現有存取套件指派的用戶,都會在新增存取套件之後自動成為此群組或小組的成員(或擁有者)。 如需詳細資訊,請參閱 套用變更的時間。
新增應用程式資源角色
當使用者獲派存取套件時,您可以讓 Microsoft Entra 識別元自動將使用者存取權指派給 Microsoft Entra 企業應用程式,包括 SaaS 應用程式、內部部署應用程式,以及與 Microsoft Entra ID 整合的組織應用程式。 對於透過同盟單一登錄與 Microsoft Entra ID 整合的應用程式,Microsoft Entra ID 會為指派給應用程式的用戶發出同盟令牌。
如果您的應用程式尚未與您的 Microsoft Entra 目錄整合,請參閱 控管環境中 應用程式的存取權,並將 應用程式與 Microsoft Entra ID 整合。
應用程式可以在其指令清單中定義多個應用程式角色,並透過 應用程式角色 UI 進行管理。 當您將應用程式的應用程式角色新增為存取套件的資源角色時,如果該應用程式具有多個應用程式角色,您必須為該存取套件中的那些使用者指定適當的角色。 如果您正在開發應用程式,您可以在如何:設定企業應用程式 SAML 令牌中發出的角色宣告,深入了解這些角色如何新增至您的應用程式。 如果您使用 Microsoft 驗證連結庫,也有程式 碼範例 說明如何使用應用程式角色進行存取控制。
注意
如果應用程式有多個應用程式角色,且該應用程式有多個角色位於存取套件中,則使用者將會收到所有應用程式包含的角色。 相反地,如果您想要用戶只擁有一些應用程式的角色,則必須在目錄中建立多個存取套件,並針對每個應用程式角色使用不同的存取套件。
一旦應用程式角色是存取套件的資源:
- 將使用者指派給該存取套件時,如果使用者尚未存在,則會新增至該應用程式角色。 如果應用程式需要屬性,則會將從要求收集的屬性值寫入使用者。
- 當使用者的存取套件指派到期時,除非他們有另一個包含該應用程式角色的存取套件指派,否則會從應用程式中移除其存取權。 如果應用程式需要屬性,則會從用戶中移除這些屬性。
以下是選取應用程式時的一些考慮:
- 應用程式也可以將群組指派給其應用程式角色。 您可以選擇新增群組來取代應用程式及其在存取套件中的角色,不過,在我的存取入口網站中,使用者看不到應用程式作為存取套件的一部分。
- Microsoft Entra 系統管理中心也可以針對無法選取為應用程式的服務顯示服務主體。 特別是 Exchange Online 和 SharePoint Online 是服務,不是目錄中具有資源角色的應用程式,因此不能包含在存取套件中。 請改用群組型授權,為需要存取這些服務的使用者建立適當的授權。
- 僅支援個人 Microsoft 帳戶使用者進行驗證,且不支援目錄中的組織帳戶、沒有應用程式角色且無法新增至存取套件目錄的應用程式。
在 [ 新增資源角色以存取套件 ] 頁面上,選取 [ 應用程式 ] 以開啟 [選取應用程式] 窗格。
選取您要包含在存取套件中的應用程式。
選取選取。
在 [ 角色] 清單中,選取應用程式角色。
選取 [新增]。
新增存取套件時,具有現有指派給存取套件的任何使用者,都會自動獲得此應用程式的存取權。 如需詳細資訊,請參閱 套用變更的時間。
新增 SharePoint 網站資源角色
Microsoft Entra ID 可以在使用者獲指派存取套件時,自動將存取權指派給 SharePoint Online 網站或 SharePoint Online 網站集合。
在 [新增資源角色以存取套件] 頁面上,選取 [SharePoint 網站] 以開啟 [選取 SharePoint Online 網站] 窗格。
選取您要包含在存取套件中的 SharePoint Online 網站。
選取選取。
在 [ 角色] 列表中,選取 SharePoint Online 網站角色。
選取 [新增]。
新增存取套件時,具有現有存取套件指派的任何使用者都會自動獲得此 SharePoint Online 網站的存取權。 如需詳細資訊,請參閱 套用變更的時間。
新增 Microsoft Entra 角色指派
當使用者需要額外的許可權來存取貴組織的資源時,您可以透過存取套件指派這些許可權,以管理這些許可權。 藉由使用權利管理將 Microsoft Entra 角色指派給員工和來賓,您可以查看用戶的權利,以快速判斷指派給該使用者的角色。 當您在存取套件中包含 Microsoft Entra 角色作為資源時,您也可以指定該角色指派是否為「合格」或「作用中」。
透過存取套件指派 Microsoft Entra 角色有助於有效率地大規模管理角色指派,並改善角色指派生命週期。
注意
我們建議您使用 Privileged Identity Management,為使用者提供 Just-In-Time 存取權,以執行需要提高許可權的工作。 這些許可權是透過標示為「特殊許可權」的 Microsoft Entra 角色來提供,在我們的檔中如下:Microsoft Entra 內建角色。 權利管理更適合指派使用者一組資源,其中包括 Microsoft Entra 角色,這是執行工作所需的資源組合。 指派給存取套件的使用者通常會對資源擁有更長期的存取權。 雖然我們建議您透過 Privileged Identity Management 管理高許可權角色,但您可以透過權利管理中的存取套件來設定這些角色的資格。
請遵循下列步驟,將 Microsoft Entra 角色納入存取套件中的資源:
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至身分識別治理>權利管理>存取套件。
在 [存取套件] 頁面上,開啟您要新增資源角色的存取套件,然後選取 [ 資源角色]。
在 [新增資源角色以存取套件] 頁面上,選取 [Microsoft Entra 角色 ][預覽] 以開啟 [選取 Microsoft Entra 角色] 窗格。
選取您要包含在存取套件中的 Microsoft Entra 角色。
在 [角色] 列表中,選取 [合格成員] 或 [作用中成員]。
選取 [新增]。
注意
如果您選取 [合格],使用者將會成為該角色的資格,而且可以使用 Microsoft Entra 系統管理中心的 Privileged Identity Management 來啟用其指派。 如果您選取 [ 作用中],用戶將擁有作用中角色指派,直到他們不再具有存取套件的存取權為止。 針對標記為「特殊許可權」的 Entra 角色,您只能選取 [合格]。 您可以在這裡找到特殊許可權角色的清單: Microsoft Entra 內建角色。
若要以程式設計方式新增 Microsoft Entra 角色,請參閱: 以程式設計方式將 Microsoft Entra 角色新增為存取套件中的資源。
以程序設計方式新增資源角色
有兩種方式可以透過 Microsoft Graph 和適用於 Microsoft Graph 的 PowerShell Cmdlet,以程式設計方式將資源角色新增至存取套件。
使用 Microsoft Graph 將資源角色新增至存取套件
您可以使用 Microsoft Graph 將資源角色新增至存取套件。 具有委派 EntitlementManagement.ReadWrite.All 許可權的應用程式具有適當角色的使用者可以呼叫 API:
- 列出目錄中 的資源,併為 目錄中尚未使用的任何資源建立 accessPackageResourceRequest 。
- 擷取目錄中每個資源的角色和範圍。 接著,此角色清單將用來選取角色,在後續建立 resourceRoleScope 時。
- 為存取套件中所需的每個資源角色建立 resourceRoleScope 。
使用 Microsoft PowerShell 將資源角色新增至存取套件
您也可以使用身分識別治理模組 2.1.x 版或更新模組版本的 Microsoft Graph PowerShell Cmdlet,將資源角色新增至 PowerShell 中的存取套件。
首先,擷取目錄的標識碼,以及該目錄中的資源及其範圍和角色,您想要包含在存取套件中。 使用類似下列範例的腳本。 這假設目錄中有單一應用程式資源。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
然後,將該資源的資源角色指派給存取套件。 例如,如果您想要包含稍早傳回作為存取套件資源角色之資源的第一個資源角色,您會使用類似下列的腳本。
$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams
拿掉資源角色
必要角色:全域 管理員 istrator、Identity Governance 管理員 istrator、目錄擁有者或存取套件管理員
以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別治理>權利管理>存取] 套件。
在 [ 存取套件] 頁面上,開啟您要移除資源角色的存取套件。
在左側功能表中,選取 [資源角色]。
在資源角色清單中,尋找您想要移除的資源角色。
選取省略號 (...),然後選取 [ 移除資源角色]。
任何具有現有存取套件指派的使用者,都會在移除存取套件時自動撤銷此資源角色的存取權。
套用變更時
在權利管理中,Microsoft Entra ID 會每天處理存取套件中指派和資源的大量變更。 因此,如果您進行指派或變更存取套件的資源角色,最多可能需要 24 小時的時間,該變更才會在 Microsoft Entra ID 中進行,再加上將這些變更傳播至其他 Microsoft Online Services 或已連線 SaaS 應用程式所需的時間。 如果您的變更只影響幾個對象,變更可能需要幾分鐘的時間才會套用在 Microsoft Entra ID 中,之後其他 Microsoft Entra 元件就會偵測到該變更並更新 SaaS 應用程式。 如果您的變更會影響數千個物件,則變更需要較長的時間。 例如,如果您有具有 2 個應用程式和 100 個使用者指派的存取套件,而且您決定將 SharePoint 網站角色新增至存取套件,則可能會有延遲,直到所有使用者都屬於該 SharePoint 網站角色。 您可以透過 Microsoft Entra 稽核記錄、Microsoft Entra 布建記錄和 SharePoint 網站稽核記錄來監視進度。
當您移除小組成員時,他們也會從 Microsoft 365 群組中移除。 從小組的聊天功能中移除可能會延遲。 如需詳細資訊,請參閱 群組成員資格。