Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso nella gestione entitlement
Nella gestione entitlement è possibile vedere chi è stato assegnato ai pacchetti di accesso, ai criteri, allo stato e al ciclo di vita dell'utente (anteprima). Se un pacchetto di accesso ha un criterio appropriato, è anche possibile assegnare direttamente l'utente a un pacchetto di accesso. Questo articolo descrive come visualizzare, aggiungere e rimuovere le assegnazioni per i pacchetti di accesso.
Prerequisiti
Per usare la gestione entitlement e assegnare gli utenti ai pacchetti di accesso, è necessario disporre di una delle licenze seguenti:
- Microsoft Entra ID P2
- Licenza di Enterprise Mobility + Security (EMS) E5
- Sottoscrizione di Microsoft Entra ID Governance
Visualizzare chi ha un'assegnazione
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Ruolo prerequisito: Global Amministrazione istrator, Identity Governance Amministrazione istrator, Catalog owner, Access package manager o Access package assignment manager
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Selezionare Assegnazioni per visualizzare un elenco di assegnazioni attive.
Selezionare un'assegnazione specifica per visualizzare altri dettagli.
Per visualizzare un elenco di assegnazioni che non hanno eseguito correttamente il provisioning di tutti i ruoli delle risorse, selezionare lo stato del filtro e selezionare Recapito.
È possibile visualizzare altri dettagli sugli errori di recapito individuando la richiesta corrispondente dell'utente nella pagina Richieste .
Per visualizzare le assegnazioni scadute, selezionare lo stato del filtro e selezionare Scaduto.
Per scaricare un file CSV dell'elenco filtrato, selezionare Scarica.
Visualizzare le assegnazioni a livello di codice
Visualizzare le assegnazioni con Microsoft Graph
È anche possibile recuperare le assegnazioni in un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con delega EntitlementManagement.Read.All o EntitlementManagement.ReadWrite.All autorizzazione può chiamare l'API per elencare accessPackageAssignments. Un'applicazione che dispone dell'autorizzazione EntitlementManagement.Read.All o EntitlementManagement.ReadWrite.All dell'autorizzazione dell'applicazione può anche usare questa API per recuperare le assegnazioni in tutti i cataloghi.
Microsoft Graph restituirà i risultati nelle pagine e continuerà a restituire un riferimento alla pagina successiva dei risultati nella @odata.nextLink proprietà con ogni risposta, fino a quando non vengono lette tutte le pagine dei risultati. Per leggere tutti i risultati, è necessario continuare a chiamare Microsoft Graph con la @odata.nextLink proprietà restituita in ogni risposta fino a quando la @odata.nextLink proprietà non viene più restituita, come descritto in Paging dei dati di Microsoft Graph nell'app.
Mentre un amministratore di Identity Governance può recuperare i pacchetti di accesso da più cataloghi, se l'utente o l'entità servizio dell'applicazione viene assegnata solo ai ruoli amministrativi delegati specifici del catalogo, la richiesta deve fornire un filtro per indicare un pacchetto di accesso specifico, ad esempio : $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'.
Visualizzare le assegnazioni con PowerShell
È anche possibile recuperare le assegnazioni a un pacchetto di accesso in PowerShell con il Get-MgEntitlementManagementAssignment cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.1.x o successiva. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0 per recuperare tutte le assegnazioni in un determinato pacchetto di accesso. Questo cmdlet accetta come parametro l'ID del pacchetto di accesso, incluso nella risposta del Get-MgEntitlementManagementAccessPackage cmdlet . Assicurarsi che quando si usa il Get-MgEntitlementManagementAccessPackage cmdlet per includere il -All flag per fare in modo che vengano restituite tutte le pagine delle assegnazioni.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
La query precedente restituisce le assegnazioni scadute e le assegnazioni recapitate. Se si desidera escludere assegnazioni scadute o di recapito, è possibile usare un filtro che include l'ID pacchetto di accesso e lo stato delle assegnazioni. Questo script illustra l'uso di un filtro per recuperare solo le assegnazioni nello stato Delivered per un determinato pacchetto di accesso. Lo script genererà quindi un file assignments.csvCSV con una riga per ogni assegnazione.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Assegnare direttamente un utente
In alcuni casi, potrebbe essere necessario assegnare direttamente utenti specifici a un pacchetto di accesso in modo che gli utenti non devono eseguire il processo di richiesta del pacchetto di accesso. Per assegnare direttamente gli utenti, il pacchetto di accesso deve avere un criterio che consenta le assegnazioni dirette dell'amministratore.
Ruolo prerequisito: Global Amministrazione istrator, Identity Governance Amministrazione istrator, Proprietario del catalogo, Gestione pacchetti di Access o Gestione assegnazione pacchetti di Access
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Nel menu a sinistra selezionare Assegnazioni.
Selezionare Nuova assegnazione per aprire Aggiungi utente al pacchetto di accesso.
Nell'elenco Seleziona criteri selezionare un criterio per cui le richieste e il ciclo di vita futuri degli utenti verranno regolati e monitorati. Se si desidera che gli utenti selezionati abbiano impostazioni di criteri diverse, è possibile selezionare Crea nuovi criteri per aggiungere un nuovo criterio.
Dopo aver selezionato un criterio, sarà possibile aggiungere utenti per selezionare gli utenti a cui si vuole assegnare questo pacchetto di accesso, nei criteri scelti.
Nota
Se si seleziona un criterio con domande, è possibile assegnare un solo utente alla volta.
Impostare la data e l'ora in cui si vuole che l'assegnazione degli utenti selezionati inizi e termini. Se non viene specificata una data di fine, verranno usate le impostazioni del ciclo di vita del criterio.
Facoltativamente, fornire una giustificazione per l'assegnazione diretta per la conservazione dei record.
Se il criterio selezionato include informazioni aggiuntive sul richiedente, selezionare Visualizza domande per rispondere per conto degli utenti, quindi selezionare Salva.
Selezionare Aggiungi per assegnare direttamente gli utenti selezionati al pacchetto di accesso.
Dopo alcuni istanti, selezionare Aggiorna per visualizzare gli utenti nell'elenco Assegnazioni.
Nota
Quando si assegnano utenti a un pacchetto di accesso, gli amministratori dovranno verificare che gli utenti siano idonei per tale pacchetto di accesso in base ai requisiti dei criteri esistenti. In caso contrario, gli utenti non verranno assegnati correttamente al pacchetto di accesso. Se il pacchetto di accesso contiene criteri che richiedono l'approvazione delle richieste utente, gli utenti non possono essere assegnati direttamente al pacchetto senza approvazioni necessarie dai responsabili approvazione designati.
Assegnare direttamente qualsiasi utente (anteprima)
La gestione entitlement consente anche di assegnare direttamente utenti esterni a un pacchetto di accesso per semplificare la collaborazione con i partner. A tale scopo, il pacchetto di accesso deve disporre di un criterio che consenta agli utenti non ancora nella directory di richiedere l'accesso.
Ruolo prerequisito: Global Amministrazione istrator, Identity Governance Amministrazione istrator, Proprietario del catalogo, Gestione pacchetti di Access o Gestione assegnazione pacchetti di Access
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Nel menu a sinistra selezionare Assegnazioni.
Selezionare Nuova assegnazione per aprire Aggiungi utente al pacchetto di accesso.
Nell'elenco Seleziona criteri selezionare un criterio che consente di impostare su Per gli utenti che non si trovano nella directory
Selezionare Qualsiasi utente. È possibile specificare gli utenti da assegnare a questo pacchetto di accesso.
Immettere il nome dell'utente (facoltativo) e l'indirizzo di posta elettronica dell'utente (obbligatorio).
Nota
- L'utente che si vuole aggiungere deve essere compreso nell'ambito dei criteri. Ad esempio, se i criteri sono impostati su Organizzazioni connesse specifiche, l'indirizzo di posta elettronica dell'utente deve appartenere ai domini delle organizzazioni selezionate. Se l'utente che si sta tentando di aggiungere ha un indirizzo di posta elettronica di jen@foo.com ma il dominio dell'organizzazione selezionata è bar.com, non sarà possibile aggiungere tale utente al pacchetto di accesso.
- Analogamente, se si impostano i criteri in modo da includere tutte le organizzazioni connesse configurate, l'indirizzo di posta elettronica dell'utente deve appartenere a una delle organizzazioni connesse configurate. In caso contrario, l'utente non verrà aggiunto al pacchetto di accesso.
- Se si vuole aggiungere un utente al pacchetto di accesso, è necessario assicurarsi di selezionare Tutti gli utenti (Tutte le organizzazioni connesse e qualsiasi utente esterno) durante la configurazione dei criteri.
Impostare la data e l'ora in cui si vuole che l'assegnazione degli utenti selezionati inizi e termini. Se non viene specificata una data di fine, vengono usate le impostazioni del ciclo di vita del criterio.
Selezionare Aggiungi per assegnare direttamente gli utenti selezionati al pacchetto di accesso.
Dopo alcuni istanti, selezionare Aggiorna per visualizzare gli utenti nell'elenco Assegnazioni.
Assegnazione diretta di utenti a livello di codice
Assegnare un utente a un pacchetto di accesso con Microsoft Graph
È anche possibile assegnare direttamente un utente a un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All dell'applicazione può chiamare l'API per creare un accessPackageAssignmentRequest. In questa richiesta, il valore della requestType proprietà deve essere adminAdde la assignment proprietà è una struttura che contiene l'oggetto targetId dell'utente assegnato.
Assegnare un utente a un pacchetto di accesso con PowerShell
È possibile assegnare un utente a un pacchetto di accesso in PowerShell con il New-MgEntitlementManagementAssignmentRequest cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.1.x o successiva. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
È anche possibile assegnare più utenti nella directory a un pacchetto di accesso usando PowerShell con il New-MgBetaEntitlementManagementAccessPackageAssignment cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.4.0 o successiva. Questo cmdlet accetta come parametri
- L'ID del pacchetto di accesso, incluso nella risposta del
Get-MgEntitlementManagementAccessPackagecmdlet , - ID dei criteri di assegnazione dei pacchetti di accesso, incluso nel criterio nel
assignmentpoliciescampo nella risposta delGet-MgEntitlementManagementAccessPackagecmdlet , - ID oggetto degli utenti di destinazione, come matrice di stringhe o come elenco di membri utente restituiti dal
Get-MgGroupMembercmdlet.
Ad esempio, se si vuole assicurarsi che tutti gli utenti che sono attualmente membri di un gruppo dispongano anche di assegnazioni a un pacchetto di accesso, è possibile usare questo cmdlet per creare richieste per gli utenti che non dispongono attualmente di assegnazioni. Si noti che questo cmdlet creerà solo assegnazioni; non rimuove le assegnazioni per gli utenti che non sono più membri di un gruppo.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Se si vuole aggiungere un'assegnazione per un utente che non è ancora presente nella directory, è possibile usare il New-MgBetaEntitlementManagementAccessPackageAssignmentRequest cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo beta di Identity Governance versione 2.1.x o versione beta successiva. Questo script illustra l'uso del profilo Graph beta e del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0. Questo cmdlet accetta come parametri
- L'ID del pacchetto di accesso, incluso nella risposta del
Get-MgEntitlementManagementAccessPackagecmdlet , - ID dei criteri di assegnazione dei pacchetti di accesso, incluso nei criteri nel
assignmentpoliciescampo nella risposta delGet-MgEntitlementManagementAccessPackagecmdlet , - l'indirizzo di posta elettronica dell'utente di destinazione.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Configurare l'assegnazione di accesso come parte di un flusso di lavoro del ciclo di vita
Nella funzionalità Flussi di lavoro del ciclo di vita di Microsoft Entra è possibile aggiungere un'attività Richiedi assegnazione pacchetto di accesso utente a un flusso di lavoro di onboarding. L'attività può specificare un pacchetto di accesso che gli utenti devono avere. Quando il flusso di lavoro viene eseguito per un utente, verrà creata automaticamente una richiesta di assegnazione del pacchetto di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale.
Passare a Flussi di lavoro del ciclo di lavoro>del ciclo di vita della governance>delle identità.
Selezionare un onboarding dei dipendenti o spostare il flusso di lavoro.
Selezionare Attività e selezionare Aggiungi attività.
Selezionare Richiedi assegnazione pacchetto di accesso utente e selezionare Aggiungi.
Selezionare l'attività appena aggiunta.
Selezionare Seleziona pacchetto di accesso e scegliere il pacchetto di accesso a cui devono essere assegnati utenti nuovi o in movimento.
Selezionare Seleziona criteri e scegliere i criteri di assegnazione dei pacchetti di accesso nel pacchetto di accesso.
Seleziona Salva.
Rimuovere un'assegnazione
È possibile rimuovere un'assegnazione richiesta in precedenza da un utente o un amministratore.
Ruolo prerequisito: Global Amministrazione istrator, Identity Governance Amministrazione istrator, Proprietario del catalogo, Gestione pacchetti di Access o Gestione assegnazione pacchetti di Access
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Nel menu a sinistra selezionare Assegnazioni.
Selezionare la casella di controllo accanto all'utente di cui si vuole rimuovere l'assegnazione dal pacchetto di accesso.
Selezionare il pulsante Rimuovi nella parte superiore del riquadro sinistro.
Viene visualizzata una notifica che informa che l'assegnazione è stata rimossa.
Rimuovere un'assegnazione a livello di codice
Rimuovere un'assegnazione con Microsoft Graph
È anche possibile rimuovere un'assegnazione di un utente a un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All dell'applicazione può chiamare l'API per creare un accessPackageAssignmentRequest. In questa richiesta, il valore della requestType proprietà deve essere adminRemovee la assignment proprietà è una struttura che contiene la id proprietà che identifica l'oggetto accessPackageAssignment da rimuovere.
Rimuovere un'assegnazione con PowerShell
È possibile rimuovere l'assegnazione di un utente in PowerShell con il New-MgEntitlementManagementAssignmentRequest cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.1.x o successiva. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Configurare la rimozione dell'assegnazione come parte di un flusso di lavoro del ciclo di vita
Nella funzionalità Flussi di lavoro del ciclo di vita di Microsoft Entra è possibile aggiungere un'assegnazione rimuovi pacchetto di accesso per l'attività utente a un flusso di lavoro di offboarding. Tale attività può specificare un pacchetto di accesso a cui l'utente potrebbe essere assegnato. Quando il flusso di lavoro viene eseguito per un utente, l'assegnazione del pacchetto di accesso verrà rimossa automaticamente.
Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale.
Passare a Flussi di lavoro del ciclo di lavoro>del ciclo di vita della governance>delle identità.
Selezionare un flusso di lavoro di offboarding per i dipendenti.
Selezionare Attività e selezionare Aggiungi attività.
Selezionare Rimuovi assegnazione pacchetto di accesso per l'utente e selezionare Aggiungi.
Selezionare l'attività appena aggiunta.
Selezionare Seleziona pacchetti di accesso e scegliere uno o più pacchetti di accesso da cui gli utenti sono in fase di offboarding devono essere rimossi.
Seleziona Salva.