Menampilkan, menambahkan, dan menghapus tugas untuk paket akses dalam pengelolaan pemberian hak

  • Artikel

Dalam pengelolaan pemberian hak, Anda dapat melihat siapa yang telah ditetapkan untuk mengakses paket, kebijakan, status, dan siklus hidup pengguna mereka (pratinjau). Jika paket akses memiliki kebijakan yang sesuai, Anda juga dapat langsung menetapkan pengguna ke paket akses. Artikel ini menjelaskan cara menampilkan, menambahkan, dan menghapus penugasan untuk paket akses.

Prasyarat

Untuk menggunakan pengelolaan pemberian hak dan menetapkan pengguna untuk mengakses paket, Anda harus memiliki salah satu lisensi berikut:

  • Microsoft Entra ID P2
  • Lisensi Enterprise Mobility + Keamanan (EMS) E5
  • langganan Tata Kelola ID Microsoft Entra

Menampilkan siapa yang memiliki penugasan

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, Manajer paket akses, atau Manajer penetapan paket akses

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pada halaman Paket akses, buka paket akses.

  4. pilih Penugasan untuk melihat daftar tugas aktif.

    List of assignments to an access package

  5. pilih tugas tertentu untuk melihat detail tambahan.

  6. Untuk melihat daftar tugas yang tidak memiliki semua peran sumber daya yang disediakan dengan benar, pilih status filter dan pilih Mengirim.

    Anda dapat melihat detail tambahan tentang kesalahan pengiriman dengan menemukan permintaan pengguna yang sesuai di halaman Permintaan.

  7. Untuk melihat tugas yang kedaluwarsa, pilih status filter dan pilih Kedaluwarsa.

  8. Untuk mengunduh file CSV dari daftar yang difilter, pilih Unduh.

Menampilkan penugasan secara terprogram

Menampilkan penugasan dengan Microsoft Graph

Anda juga dapat mengambil penugasan dalam paket akses menggunakan Microsoft Graph. Pengguna dengan peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.Read.All atau EntitlementManagement.ReadWrite.All yang didelegasikan dapat memanggil API untuk mencantumkan accessPackageAssignments. Aplikasi yang memiliki izin aplikasi EntitlementManagement.Read.All atau izin EntitlementManagement.ReadWrite.All juga dapat menggunakan API ini untuk mengambil tugas di semua katalog.

Microsoft Graph akan mengembalikan hasil di halaman, dan akan terus mengembalikan referensi ke halaman hasil berikutnya di @odata.nextLink properti dengan setiap respons, hingga semua halaman hasil telah dibaca. Untuk membaca semua hasil, Anda harus terus memanggil Microsoft Graph dengan @odata.nextLink properti yang dikembalikan di setiap respons hingga @odata.nextLink properti tidak lagi dikembalikan, seperti yang dijelaskan dalam halaman data Microsoft Graph di aplikasi Anda.

Meskipun administrator tata kelola identitas dapat mengambil paket akses dari beberapa katalog, jika perwakilan layanan pengguna atau aplikasi ditetapkan hanya untuk peran administratif terdelegasi khusus katalog, permintaan harus menyediakan filter untuk menunjukkan paket akses tertentu, seperti: $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'.

Menampilkan penugasan dengan PowerShell

Anda juga dapat mengambil tugas ke paket akses di PowerShell dengan Get-MgEntitlementManagementAssignment cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0 untuk mengambil semua tugas ke paket akses tertentu. Cmdlet ini mengambil ID paket akses sebagai parameter, yang termasuk dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage. Pastikan saat menggunakan Get-MgEntitlementManagementAccessPackage cmdlet untuk menyertakan -All bendera untuk menyebabkan semua halaman penugasan dikembalikan.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Kueri sebelumnya mengembalikan tugas yang kedaluwarsa dan pengiriman serta tugas yang dikirimkan. Jika Anda ingin mengecualikan tugas yang kedaluwarsa atau mengirimkan, Anda dapat menggunakan filter yang menyertakan ID paket akses serta status tugas. Skrip ini mengilustrasikan menggunakan filter untuk mengambil hanya tugas dalam status Delivered untuk paket akses tertentu. Skrip kemudian akan menghasilkan file assignments.csvCSV , dengan satu baris per penugasan.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Menetapkan pengguna secara langsung

Dalam beberapa kasus, Anda mungkin ingin langsung menetapkan pengguna tertentu ke paket akses sehingga pengguna tidak perlu melalui proses permintaan paket akses. Untuk secara langsung menetapkan pengguna, paket akses harus memiliki kebijakan yang memungkinkan penugasan langsung administrator.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, Manajer paket akses, atau Manajer penetapan paket akses

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pada halaman Paket akses buka paket akses.

  4. Di menu sebelah kiri, pilih Tugas.

  5. Pilih Penetapan baru untuk membuka Tambahkan pengguna ke paket akses.

    Assignments - Add user to access package

  6. Dalam daftar Pilih kebijakan, pilih kebijakan yang akan diatur dan dilacak oleh permintaan dan siklus hidup pengguna di masa mendatang. Jika Anda ingin pengguna yang dipilih memiliki pengaturan kebijakan yang berbeda, Anda bisa memilih Buat kebijakan baru untuk menambahkan kebijakan baru.

  7. Setelah Anda memilih kebijakan, Anda dapat Menambahkan pengguna untuk memilih pengguna yang ingin Anda tetapkan ke paket akses ini, di bawah kebijakan yang dipilih.

    Catatan

    Jika Anda memilih kebijakan dengan pertanyaan, Anda hanya dapat menetapkan pengguna satu per satu.

  8. Atur tanggal dan waktu yang Anda inginkan untuk memulai dan mengakhiri tugas pengguna yang dipilih. Jika tanggal berakhir tidak disediakan, pengaturan siklus hidup kebijakan akan digunakan.

  9. Secara opsional, berikan justifikasi untuk penugasan langsung Anda untuk penyimpanan rekaman.

  10. Jika kebijakan yang dipilih menyertakan informasi pemohon tambahan, pilih Tampilkan pertanyaan untuk menjawabnya atas nama pengguna, lalu pilih Simpan.

    Assignments - click view questions

    Assignments - questions pane

  11. Klik Tambahkan untuk secara langsung menetapkan pengguna yang dipilih ke paket akses.

    Setelah beberapa saat, pilih Refresh untuk melihat pengguna di daftar Penugasan.

Catatan

Saat menetapkan pengguna ke paket akses, administrator perlu memverifikasi bahwa pengguna memenuhi syarat untuk paket akses tersebut berdasarkan persyaratan kebijakan yang ada. Jika tidak, pengguna tidak akan berhasil ditugaskan ke paket akses. Jika paket akses berisi kebijakan yang mengharuskan permintaan pengguna disetujui, pengguna tidak dapat langsung ditetapkan ke paket tanpa persetujuan yang diperlukan dari pemberi persetujuan yang ditunjuk.

Langsung menetapkan pengguna apa pun (Pratinjau)

Pengelolaan pemberian hak juga memungkinkan Anda untuk secara langsung menetapkan pengguna eksternal ke paket akses untuk mempermudah kolaborasi dengan mitra. Untuk melakukan ini, paket akses harus memiliki kebijakan yang memungkinkan pengguna yang belum berada di direktori Anda meminta akses.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, Manajer paket akses, atau Manajer penetapan paket akses

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pada halaman Paket akses, buka paket akses.

  4. Di menu sebelah kiri, pilih Tugas.

  5. Pilih Penetapan baru untuk membuka Tambahkan pengguna ke paket akses.

  6. Dalam daftar Pilih kebijakan, pilih kebijakan yang memungkinkan yang diatur ke Untuk pengguna yang tidak ada do direktori Anda

  7. Pilih Pengguna apa pun. Anda dapat menentukan pengguna mana yang ingin Anda tetapkan ke paket akses ini. Assignments - Add any user to access package

  8. Masukkan Nama pengguna (opsional), lalu Alamat email pengguna (diwajibkan).

    Catatan

    • Pengguna yang ingin Anda tambahkan harus berada dalam cakupan kebijakan. Misalnya, jika kebijakan Anda diatur ke Organisasi yang terhubung tertentu, alamat email pengguna harus berasal dari domain organisasi yang dipilih. Jika pengguna yang Anda coba tambahkan memiliki alamat email jen@foo.com, tetapi domain organisasi yang dipilih adalah bar.com, Anda tidak akan dapat menambahkan pengguna ke paket akses.
    • Demikian pula, jika Anda mengatur kebijakan Anda untuk menyertakan Semua organisasi terhubung yang dikonfigurasi, alamat email pengguna harus dari salah satu organisasi terhubung yang dikonfigurasi. Jika tidak, pengguna tidak akan ditambahkan ke paket akses.
    • Jika Anda ingin menambahkan pengguna ke paket akses, Anda harus memastikan bahwa Anda memilih Semua pengguna (Semua organisasi yang terhubung + pengguna eksternal) saat mengonfigurasi kebijakan.

  9. Atur tanggal dan waktu yang Anda inginkan untuk memulai dan mengakhiri tugas pengguna yang dipilih. Jika tanggal selesai tidak disediakan, pengaturan siklus hidup kebijakan akan digunakan.

  10. Klik Tambahkan untuk secara langsung menetapkan pengguna yang dipilih ke paket akses.

  11. Setelah beberapa saat, pilih Refresh untuk melihat pengguna di daftar Penugasan.

Menetapkan pengguna secara langsung secara terprogram

Menetapkan pengguna ke paket akses dengan Microsoft Graph

Anda juga dapat langsung menetapkan pengguna ke paket akses menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All , atau aplikasi dengan EntitlementManagement.ReadWrite.All izin aplikasi, dapat memanggil API untuk membuat accessPackageAssignmentRequest. Dalam permintaan ini, nilai properti requestType harus adminAdd, dan properti assignment adalah struktur yang berisi targetId dari pengguna yang ditetapkan.

Menetapkan pengguna ke paket akses dengan PowerShell

Anda dapat menetapkan pengguna ke paket akses di PowerShell dengan New-MgEntitlementManagementAssignmentRequest cmdlet dari modul cmdlet Microsoft Graph PowerShell untuk Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Anda juga dapat menetapkan beberapa pengguna yang ada di direktori Anda ke paket akses menggunakan PowerShell dengan New-MgBetaEntitlementManagementAccessPackageAssignment cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.4.0 atau yang lebih baru. Untuk parameter, cmdlet ini mengambil

  • ID paket akses, yang termasuk dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage,
  • ID kebijakan penetapan paket akses, yang disertakan dalam kebijakan di assignmentpolicies bidang dalam respons dari Get-MgEntitlementManagementAccessPackage cmdlet,
  • ID objek dari pengguna target, baik sebagai larik untai (karakter), atau sebagai daftar anggota pengguna yang dikembalikan dari cmdlet Get-MgGroupMember.

Misalnya, jika Anda ingin memastikan semua pengguna yang saat ini menjadi anggota grup juga memiliki penugasan di paket akses, Anda dapat menggunakan cmdlet ini untuk membuat permintaan bagi pengguna yang saat ini tidak memiliki penugasan. Perhatikan bahwa cmdlet ini hanya akan membuat tugas; tidak menghapus tugas untuk pengguna yang tidak lagi menjadi anggota grup.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Jika Anda ingin menambahkan tugas untuk pengguna yang belum berada di direktori, Anda dapat menggunakan New-MgBetaEntitlementManagementAccessPackageAssignmentRequest cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul beta Tata Kelola Identitas versi 2.1.x atau versi modul beta yang lebih baru. Skrip ini menggambarkan menggunakan profil Grafik beta dan modul cmdlet Microsoft Graph PowerShell versi 2.4.0. Untuk parameter, cmdlet ini mengambil

  • ID paket akses, yang termasuk dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage,
  • ID kebijakan penetapan paket akses, yang disertakan dalam kebijakan di assignmentpolicies bidang dalam respons dari Get-MgEntitlementManagementAccessPackage cmdlet,
  • alamat email dari pengguna target.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Mengonfigurasi penetapan akses sebagai bagian dari alur kerja siklus hidup

Di fitur Alur Kerja Siklus Hidup Microsoft Entra, Anda bisa menambahkan tugas Penetapan paket akses pengguna ke alur kerja onboarding. Tugas dapat menentukan paket akses yang harus dimiliki pengguna. Saat alur kerja berjalan untuk pengguna, permintaan penetapan paket akses akan dibuat secara otomatis.

  1. Masuk ke pusat admin Microsoft Entra sebagai administrator global.

  2. Telusuri alur kerja> Siklus Hidup tata kelola>identitas.

  3. Pilih onboarding karyawan atau pindahkan alur kerja.

  4. Pilih Tugas dan pilih Tambahkan tugas.

  5. Pilih Minta penetapan paket akses pengguna dan pilih Tambahkan.

  6. Pilih tugas yang baru ditambahkan.

  7. Pilih Pilih Paket akses, dan pilih paket akses tempat pengguna baru atau pemindahan harus ditetapkan.

  8. Pilih Pilih Kebijakan, dan pilih kebijakan penetapan paket akses dalam paket akses tersebut.

  9. Pilih Simpan.

Menghapus penugasan

Anda dapat menghapus penugasan yang sebelumnya diminta oleh pengguna atau administrator.

Peran prasyarat: Administrator Global, Administrator Tata Kelola Identitas, Pemilik katalog, Manajer paket akses, atau Manajer penetapan paket akses

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

  2. Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.

  3. Pada halaman Paket akses, buka paket akses.

  4. Di menu sebelah kiri, pilih Tugas.

  5. Pilih kotak centang di sebelah pengguna yang tugasnya ingin Anda hapus dari paket akses.

  6. Pilih tombol Hapus di dekat bagian atas panel kiri.

    Assignments - Remove user from access package

    Pemberitahuan muncul yang memberi tahu Anda bahwa tugas telah dihapus.

Menghapus penugasan secara terprogram

Menghapus penugasan dengan Microsoft Graph

Anda juga dapat menghapus penugasan pengguna di paket akses menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All , atau aplikasi dengan EntitlementManagement.ReadWrite.All izin aplikasi, dapat memanggil API untuk membuat accessPackageAssignmentRequest. Dalam permintaan ini, nilai properti requestType harus adminRemove, dan properti assignment adalah struktur yang berisi properti id yang mengidentifikasi accessPackageAssignment yang sedang dihapus.

Menghapus penugasan dengan PowerShell

Anda dapat menghapus penugasan pengguna di PowerShell dengan New-MgEntitlementManagementAssignmentRequest cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Mengonfigurasi penghapusan penugasan sebagai bagian dari alur kerja siklus hidup

Di fitur Alur Kerja Siklus Hidup Microsoft Entra, Anda bisa menambahkan hapus penetapan paket akses untuk tugas pengguna ke alur kerja offboarding. Tugas tersebut dapat menentukan paket akses yang mungkin ditetapkan pengguna. Saat alur kerja berjalan untuk pengguna, maka penetapan paket akses mereka akan dihapus secara otomatis.

  1. Masuk ke pusat admin Microsoft Entra sebagai administrator global.

  2. Telusuri alur kerja> Siklus Hidup tata kelola>identitas.

  3. Pilih alur kerja offboarding karyawan.

  4. Pilih Tugas dan pilih Tambahkan tugas.

  5. Pilih Hapus penetapan paket akses untuk pengguna dan pilih Tambahkan.

  6. Pilih tugas yang baru ditambahkan.

  7. Pilih Pilih Paket akses, dan pilih satu atau beberapa paket akses tempat pengguna dilepas harus dihapus.

  8. Pilih Simpan.

Langkah berikutnya