Hozzáférési csomag hozzárendeléseinek megtekintése, hozzáadása és eltávolítása a jogosultságkezelésben
A jogosultságkezelésben láthatja, hogy ki lett hozzárendelve hozzáférési csomagokhoz, szabályzatukhoz, állapotukhoz és felhasználói életciklusukhoz (előzetes verzió). Ha egy hozzáférési csomag rendelkezik egy megfelelő szabályzattal, közvetlenül is hozzárendelhet felhasználót egy hozzáférési csomaghoz. Ez a cikk a hozzáférési csomagok hozzárendeléseinek megtekintését, hozzáadását és eltávolítását ismerteti.
Előfeltételek
A jogosultságkezelés használatához és a felhasználók hozzáférési csomagokhoz való hozzárendeléséhez az alábbi licencek egyikével kell rendelkeznie:
- Microsoft Entra ID P2
- Enterprise Mobility + Security (EMS) E5 licenc
- Microsoft Entra ID-kezelés előfizetés
Feladattal rendelkezők megtekintése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Előfeltétel-szerepkör: Globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator, katalógustulajdonos, Access-csomagkezelő vagy Access-csomag-hozzárendelés-kezelő
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyisson meg egy hozzáférési csomagot.
Válassza a Hozzárendelések lehetőséget az aktív hozzárendelések listájának megtekintéséhez.
Válasszon ki egy adott hozzárendelést a további részletek megtekintéséhez.
Ha meg szeretné tekinteni azon hozzárendelések listáját, amelyekhez nem volt megfelelően kiépítve az összes erőforrásszerepkör, válassza ki a szűrő állapotát, és válassza a Kézbesítés lehetőséget.
A kézbesítési hibákkal kapcsolatos további részleteket a felhasználó kéréseinek megkeresésével tekintheti meg a Kérések lapon.
A lejárt hozzárendelések megtekintéséhez válassza ki a szűrő állapotát, és válassza a Lejárt lehetőséget.
A szűrt lista CSV-fájljának letöltéséhez válassza a Letöltés lehetőséget.
Hozzárendelések programozott megtekintése
Hozzárendelések megtekintése a Microsoft Graph használatával
A hozzárendeléseket hozzáférési csomagban is lekérheti a Microsoft Graph használatával. A delegált EntitlementManagement.Read.All
vagy EntitlementManagement.ReadWrite.All
engedéllyel rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező felhasználók meghívhatják az API-t az accessPackageAssignments listázásához. Az alkalmazás engedélyével EntitlementManagement.Read.All
vagy EntitlementManagement.ReadWrite.All
engedélyével rendelkező alkalmazások ezzel az API-val is lekérhetik a hozzárendeléseket az összes katalógusban.
A Microsoft Graph az eredményeket lapokban adja vissza, és az eredmények következő oldalára mutató hivatkozást ad vissza a @odata.nextLink
tulajdonságban az egyes válaszokkal együtt, amíg az eredmények összes lapját be nem olvasták. Az összes eredmény elolvasásához továbbra is meg kell hívnia a Microsoft Graphot az @odata.nextLink
egyes válaszokban visszaadott tulajdonsággal, amíg a @odata.nextLink
tulajdonság már nem lesz visszaadva, ahogyan azt az alkalmazás Microsoft Graph-adatainak lapozása ismerteti.
Bár az identitásszabályozási rendszergazdák több katalógusból is lekérhetik a hozzáférési csomagokat, ha a felhasználó vagy az alkalmazásszolgáltatásnév csak katalógusspecifikus delegált rendszergazdai szerepkörökhöz van hozzárendelve, a kérésnek egy szűrőt kell megadnia egy adott hozzáférési csomag jelzéséhez, például: $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'
.
Hozzárendelések megtekintése a PowerShell-lel
A PowerShellben egy hozzáférési csomaghoz is lekérheti a feladatokat a Get-MgEntitlementManagementAssignment
Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 2.1.x-es vagy újabb modulverziójából. Ez a szkript bemutatja, hogy a Microsoft Graph PowerShell-parancsmagok modul 2.4.0-s verziójával lekérheti az összes hozzárendelést egy adott hozzáférési csomaghoz. Ez a parancsmag paraméterként veszi fel a hozzáférési csomag azonosítóját, amelyet a Get-MgEntitlementManagementAccessPackage
parancsmag válasza tartalmaz. Ügyeljen arra, hogy amikor a parancsmagot használja a Get-MgEntitlementManagementAccessPackage
-All
jelölő hozzáadásához, a hozzárendelések összes lapját visszaadja.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
Az előző lekérdezés lejárt, és feladatokat, valamint kézbesített hozzárendeléseket ad vissza. Ha ki szeretné zárni a lejárt vagy a hozzárendeléseket, használhat egy szűrőt, amely tartalmazza a hozzáférési csomag azonosítóját és a hozzárendelések állapotát. Ez a szkript egy szűrő használatával mutatja be, hogy csak az adott hozzáférési csomaghoz tartozó állapotban Delivered
lévő hozzárendeléseket kérje le. A szkript ezután létrehoz egy CSV-fájlt assignments.csv
, amely hozzárendelésenként egy sort tartalmaz.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Felhasználó közvetlen hozzárendelése
Bizonyos esetekben érdemes lehet adott felhasználókat közvetlenül hozzárendelni egy hozzáférési csomaghoz, hogy a felhasználóknak ne kelljen végighaladnia a hozzáférési csomag kérésének folyamatán. A felhasználók közvetlen hozzárendeléséhez a hozzáférési csomagnak olyan szabályzattal kell rendelkeznie, amely lehetővé teszi a rendszergazdák közvetlen hozzárendelését.
Előfeltétel-szerepkör: Globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator, katalógustulajdonos, Access-csomagkezelő vagy Access-csomag-hozzárendelés-kezelő
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyisson meg egy hozzáférési csomagot.
A bal oldali menüben válassza a Hozzárendelések lehetőséget.
Válassza az Új hozzárendelés lehetőséget a Felhasználó hozzáadása csomag eléréséhez való megnyitásához.
A Szabályzat kiválasztása listában válassza ki azt a szabályzatot, amelyet a felhasználók jövőbeli kérelmei és életciklusa szabályozni és nyomon követni fog. Ha azt szeretné, hogy a kijelölt felhasználók eltérő házirend-beállításokkal rendelkezzenek, új szabályzat hozzáadásához válassza az Új szabályzat létrehozása lehetőséget.
Miután kiválasztott egy szabályzatot, a kiválasztott szabályzat alatt kiválaszthatja a felhasználókat, amelyekhez hozzá szeretné rendelni ezt a hozzáférési csomagot.
Feljegyzés
Ha kérdéseket tartalmazó szabályzatot választ, egyszerre csak egy felhasználót rendelhet hozzá.
Adja meg azt a dátumot és időpontot, amikor a kijelölt felhasználók hozzárendelése elkezdődik és befejeződik. Ha nincs megadva a befejezési dátum, a szabályzat életciklus-beállításai lesznek használatban.
Szükség esetén meg kell indokolni a közvetlen hozzárendelést a nyilvántartáshoz.
Ha a kiválasztott szabályzat további kérelmezői információkat is tartalmaz, válassza a Kérdések megtekintése lehetőséget, hogy a felhasználók nevében válaszoljon rájuk, majd válassza a Mentés lehetőséget.
A Hozzáadás gombra kattintva közvetlenül hozzárendelheti a kijelölt felhasználókat a hozzáférési csomaghoz.
Néhány pillanat múlva a Frissítés gombra kattintva megtekintheti a felhasználókat a Hozzárendelések listában.
Feljegyzés
Amikor felhasználókat rendel egy hozzáférési csomaghoz, a rendszergazdáknak ellenőriznie kell, hogy a felhasználók a meglévő szabályzatkövetelmények alapján jogosultak-e a hozzáférési csomagra. Ellenkező esetben a felhasználók nem lesznek sikeresen hozzárendelve a hozzáférési csomaghoz. Ha a hozzáférési csomag olyan szabályzatot tartalmaz, amely megköveteli a felhasználói kérések jóváhagyását, a felhasználók nem rendelhetők közvetlenül a csomaghoz a kijelölt jóváhagyó(k) szükséges jóváhagyása(i) nélkül.
Bármely felhasználó közvetlen hozzárendelése (előzetes verzió)
A jogosultságkezelés lehetővé teszi a külső felhasználók közvetlen hozzárendelését egy hozzáférési csomaghoz, hogy megkönnyítse a partnerekkel való együttműködést. Ehhez a hozzáférési csomagnak rendelkeznie kell egy szabályzattal, amely lehetővé teszi, hogy a címtárban még nem szereplő felhasználók hozzáférést kérjenek.
Előfeltétel-szerepkör: Globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator, katalógustulajdonos, Access-csomagkezelő vagy Access-csomag-hozzárendelés-kezelő
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyisson meg egy hozzáférési csomagot.
A bal oldali menüben válassza a Hozzárendelések lehetőséget.
Válassza az Új hozzárendelés lehetőséget a Felhasználó hozzáadása csomag eléréséhez való megnyitásához.
A Házirend kiválasztása listában válassza ki azt a szabályzatot, amely engedélyezi, hogy a címtárban nem szereplő felhasználók számára legyen beállítva
Válassza ki bármelyik felhasználót. Megadhatja, hogy mely felhasználókat szeretné hozzárendelni ehhez a hozzáférési csomaghoz.
Adja meg a felhasználó nevét (nem kötelező) és a felhasználó e-mail-címét (kötelező).
Feljegyzés
- A hozzáadni kívánt felhasználónak a szabályzat hatókörébe kell tartoznia. Ha például a szabályzat meghatározott kapcsolt szervezetekre van állítva, a felhasználó e-mail-címének a kiválasztott szervezet(ek) tartományából kell származnia. Ha a hozzáadni kívánt felhasználó e-mail-címe jen@foo.com de a kijelölt szervezet tartománya bar.com, akkor nem fogja tudni hozzáadni a felhasználót a hozzáférési csomaghoz.
- Hasonlóképpen, ha úgy állítja be a házirendet, hogy az tartalmazza az összes konfigurált kapcsolt szervezetet, a felhasználó e-mail-címének az egyik konfigurált csatlakoztatott szervezettől kell származnia. Ellenkező esetben a felhasználó nem lesz hozzáadva a hozzáférési csomaghoz.
- Ha bármilyen felhasználót szeretne hozzáadni a hozzáférési csomaghoz, akkor a házirend konfigurálásakor minden felhasználót (minden csatlakoztatott szervezetet és külső felhasználót) ki kell választania.
Adja meg azt a dátumot és időpontot, amikor a kijelölt felhasználók hozzárendelése elkezdődik és befejeződik. Ha nincs megadva befejezési dátum, a rendszer a szabályzat életciklus-beállításait használja.
A Hozzáadás gombra kattintva közvetlenül hozzárendelheti a kijelölt felhasználókat a hozzáférési csomaghoz.
Néhány pillanat múlva a Frissítés gombra kattintva megtekintheti a felhasználókat a Hozzárendelések listában.
Felhasználók közvetlen hozzárendelése programozott módon
Felhasználó hozzárendelése hozzáférési csomaghoz a Microsoft Graph használatával
Közvetlenül is hozzárendelhet egy felhasználót egy hozzáférési csomaghoz a Microsoft Graph használatával. A delegált EntitlementManagement.ReadWrite.All
engedéllyel rendelkező alkalmazással vagy az alkalmazás engedélyével rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező EntitlementManagement.ReadWrite.All
felhasználók meghívhatják az API-t egy accessPackageAssignmentRequest létrehozásához. Ebben a kérésben a requestType
tulajdonság értékének kell lennie adminAdd
, a assignment
tulajdonság pedig egy olyan struktúra, amely a targetId
hozzárendelt felhasználót tartalmazza.
Felhasználó hozzárendelése hozzáférési csomaghoz a PowerShell-lel
Felhasználót rendelhet egy hozzáférési csomaghoz a PowerShellben a New-MgEntitlementManagementAssignmentRequest
Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 2.1.x-es vagy újabb modulverziójából származó parancsmaggal. Ez a szkript a Microsoft Graph PowerShell-parancsmagok 2.4.0-s verziójának használatát mutatja be.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
A címtárban lévő több felhasználót is hozzárendelhet egy hozzáférési csomaghoz a PowerShell használatával a New-MgBetaEntitlementManagementAccessPackageAssignment
Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 2.4.0-s vagy újabb verziójának parancsmagjával. Ez a parancsmag a paramétereket veszi fel
- a hozzáférési csomag azonosítója, amely a parancsmag válaszában
Get-MgEntitlementManagementAccessPackage
szerepel, - a hozzáférési csomag-hozzárendelési szabályzat azonosítója, amely a parancsmag válaszában
assignmentpolicies
szerepel aGet-MgEntitlementManagementAccessPackage
mezőben lévő szabályzatban, - a célfelhasználók objektumazonosítói sztringtömbként vagy a
Get-MgGroupMember
parancsmagból visszaadott felhasználói tagok listájaként.
Ha például biztosítani szeretné, hogy a csoport jelenlegi tagjai is hozzárendeljenek egy hozzáférési csomaghoz, ezzel a parancsmaggal kéréseket hozhat létre azoknak a felhasználóknak, akik jelenleg nem rendelkeznek hozzárendelésekkel. Vegye figyelembe, hogy ez a parancsmag csak hozzárendeléseket hoz létre; nem távolítja el azoknak a felhasználóknak a hozzárendeléseit, akik már nem tagjai a csoportnak.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Ha olyan felhasználóhoz szeretne hozzárendelni egy feladatot, aki még nem szerepel a címtárában, használhatja a New-MgBetaEntitlementManagementAccessPackageAssignmentRequest
Microsoft Graph PowerShell-parancsmagok identitásszabályozási bétamoduljának 2.1.x-es vagy újabb bétamodul-verzióját. Ez a szkript a Graph-profil beta
és a Microsoft Graph PowerShell-parancsmagok 2.4.0-s verziójának használatát mutatja be. Ez a parancsmag a paramétereket veszi fel
- a hozzáférési csomag azonosítója, amely a parancsmag válaszában
Get-MgEntitlementManagementAccessPackage
szerepel, - a hozzáférési csomag-hozzárendelési szabályzat azonosítója, amely a
assignmentpolicies
parancsmag válaszában szereplő mezőben szerepel aGet-MgEntitlementManagementAccessPackage
szabályzatban, - a célfelhasználó e-mail-címe.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Hozzáférési hozzárendelés konfigurálása életciklus-munkafolyamat részeként
A Microsoft Entra Életciklus Munkafolyamatok szolgáltatásban hozzáadhat egy felhasználói hozzáférési csomag-hozzárendelési feladatot egy előkészítési munkafolyamathoz. A feladat megadhat egy hozzáférési csomagot, amelyhez a felhasználóknak rendelkezniük kell. Amikor a munkafolyamat egy felhasználó számára fut, a rendszer automatikusan létrehoz egy hozzáférési csomag-hozzárendelési kérelmet.
Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
Keresse meg az identitásszabályozási>életciklus munkafolyamatait.>
Válasszon ki egy alkalmazottat a munkafolyamat előkészítéséhez vagy áthelyezéséhez.
Válassza a Tevékenységek lehetőséget, és válassza a Tevékenység hozzáadása lehetőséget.
Válassza a Felhasználói hozzáférési csomag hozzárendelésének kérése, majd a Hozzáadás lehetőséget.
Válassza ki az újonnan hozzáadott feladatot.
Válassza az Access-csomag kiválasztása lehetőséget, és válassza ki azt a hozzáférési csomagot, amelyhez új vagy áthelyezett felhasználókat kell hozzárendelni.
Válassza a Házirend kiválasztása lehetőséget, és válassza ki a hozzáférési csomag hozzárendelési szabályzatát a hozzáférési csomagban.
Válassza a Mentés lehetőséget.
Hozzárendelés eltávolítása
Eltávolíthat egy feladatot, amelyet egy felhasználó vagy egy rendszergazda korábban kért.
Előfeltétel-szerepkör: Globális Rendszergazda istrator, identitásszabályozási Rendszergazda istrator, katalógustulajdonos, Access-csomagkezelő vagy Access-csomag-hozzárendelés-kezelő
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyisson meg egy hozzáférési csomagot.
A bal oldali menüben válassza a Hozzárendelések lehetőséget.
Jelölje be annak a felhasználónak a jelölőnégyzetét, akinek a hozzárendelését el szeretné távolítani a hozzáférési csomagból.
Válassza az Eltávolítás gombot a bal oldali panel tetején.
Megjelenik egy értesítés, amely tájékoztatja, hogy a hozzárendelés el lett távolítva.
Hozzárendelés programozott eltávolítása
Hozzárendelés eltávolítása a Microsoft Graph használatával
A Microsoft Graph használatával egy felhasználó hozzáférési csomaghoz való hozzárendelését is eltávolíthatja. A delegált EntitlementManagement.ReadWrite.All
engedéllyel rendelkező alkalmazással vagy az alkalmazás engedélyével rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező EntitlementManagement.ReadWrite.All
felhasználók meghívhatják az API-t egy accessPackageAssignmentRequest létrehozásához. Ebben a kérelemben a requestType
tulajdonság értékének kell lennie adminRemove
, a assignment
tulajdonság pedig egy olyan struktúra, amely tartalmazza az id
eltávolítandó accessPackageAssignment
tulajdonságot.
Hozzárendelés eltávolítása a PowerShell-lel
A PowerShellben a felhasználó hozzárendelését eltávolíthatja a Parancsmaggal az New-MgEntitlementManagementAssignmentRequest
Identitásirányítási modul 2.1.x vagy újabb modulverziójának Microsoft Graph PowerShell-parancsmagjaiból. Ez a szkript a Microsoft Graph PowerShell-parancsmagok 2.4.0-s verziójának használatát mutatja be.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Hozzárendelés-eltávolítás konfigurálása életciklus-munkafolyamat részeként
A Microsoft Entra Életciklus Munkafolyamatok szolgáltatásban hozzáadhat egy felhasználói feladathoz tartozó Hozzáférési csomag eltávolítása hozzárendelést egy előkészítési munkafolyamathoz. Ez a feladat megadhat egy hozzáférési csomagot, amelyhez a felhasználó hozzárendelhető. Amikor a munkafolyamat egy felhasználó számára fut, a hozzáférési csomag hozzárendelése automatikusan törlődik.
Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
Keresse meg az identitásszabályozási>életciklus munkafolyamatait.>
Válasszon ki egy alkalmazotti előkészítési munkafolyamatot.
Válassza a Tevékenységek lehetőséget, és válassza a Tevékenység hozzáadása lehetőséget.
Válassza a Felhasználói hozzáférési csomag hozzárendelésének eltávolítása, majd a Hozzáadás lehetőséget.
Válassza ki az újonnan hozzáadott feladatot.
Válassza a Hozzáférési csomagok kiválasztása lehetőséget, és válasszon ki egy vagy több olyan hozzáférési csomagot, amelyből a felhasználókat el kell távolítani.
Válassza a Mentés lehetőséget.