Toewijzingen voor een toegangspakket weergeven, toevoegen en verwijderen in rechtenbeheer
In rechtenbeheer kunt u zien wie is toegewezen aan toegangspakketten, hun beleid, status en levenscyclus van gebruikers (preview). Als een toegangspakket een geschikt beleid heeft, kunt u een gebruiker ook rechtstreeks toewijzen aan een toegangspakket. In dit artikel wordt beschreven hoe u toewijzingen voor toegangspakketten bekijkt, toevoegt en verwijdert.
Vereisten
Als u rechtenbeheer wilt gebruiken en gebruikers wilt toewijzen aan toegangspakketten, moet u een van de volgende licenties hebben:
- Microsoft Entra ID P2
- Licentie voor Enterprise Mobility + Security (EMS) E5
- Microsoft Entra ID-governance-abonnement
Weergeven wie een toewijzing heeft
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar, Access-pakketbeheer of Access-pakkettoewijzingsbeheer
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten .
Selecteer Toewijzingen om een lijst met actieve toewijzingen weer te geven.
Selecteer een specifieke toewijzing om meer details weer te geven.
Als u een lijst wilt zien met toewijzingen waarvoor niet alle resourcerollen correct zijn ingericht, selecteert u de filterstatus en selecteert u Leveren.
U kunt aanvullende informatie over leveringsfouten bekijken door de bijbehorende aanvraag van de gebruiker te zoeken op de pagina Aanvragen.
Als u verlopen toewijzingen wilt zien, selecteert u de filterstatus en selecteert u Verlopen.
Als u een CSV-bestand van de gefilterde lijst wilt downloaden, selecteert u Downloaden.
Toewijzingen programmatisch weergeven
Toewijzingen weergeven met Microsoft Graph
U kunt ook toewijzingen in een toegangspakket ophalen met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.Read.All- of EntitlementManagement.ReadWrite.All-machtiging kan de API aanroepen voor het weergeven van accessPackageAssignments. Een toepassing met de toepassingsmachtiging EntitlementManagement.Read.All of EntitlementManagement.ReadWrite.All kan deze API ook gebruiken om toewijzingen voor meerdere catalogi op te halen.
Microsoft Graph retourneert de resultaten op pagina's en blijft een verwijzing retourneren naar de volgende pagina met resultaten in de @odata.nextLink eigenschap met elk antwoord, totdat alle pagina's van de resultaten zijn gelezen. Als u alle resultaten wilt lezen, moet u Microsoft Graph blijven aanroepen met de @odata.nextLink eigenschap die in elk antwoord wordt geretourneerd totdat de @odata.nextLink eigenschap niet meer wordt geretourneerd, zoals beschreven in het wisselen van Microsoft Graph-gegevens in uw app.
Hoewel een beheerder van identiteitsgovernance toegangspakketten uit meerdere catalogi kan ophalen, moet de aanvraag een filter leveren om een specifiek toegangspakket aan te geven (bijvoorbeeld $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b') als de service-principal van de gebruiker of toepassing alleen is toegewezen aan catalogusspecifieke gedelegeerde beheerrollen.
Toewijzingen weergeven met PowerShell
U kunt ook toewijzingen ophalen voor een toegangspakket in PowerShell met de Get-MgEntitlementManagementAssignment cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. Dit script illustreert het gebruik van de microsoft Graph PowerShell-cmdlets module versie 2.4.0 om alle toewijzingen voor een bepaald toegangspakket op te halen. Deze cmdlet gebruikt als parameter de toegangspakket-id die is opgenomen in het antwoord van de Get-MgEntitlementManagementAccessPackage-cmdlet. Zorg ervoor dat wanneer u de Get-MgEntitlementManagementAccessPackage cmdlet gebruikt om de -All vlag op te nemen, zodat alle pagina's met toewijzingen worden geretourneerd.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
De voorgaande query retourneert verlopen en levert toewijzingen en bezorgde opdrachten. Als u verlopen opdrachten wilt uitsluiten of opdrachten wilt leveren, kunt u een filter gebruiken dat de toegangspakket-id en de status van de toewijzingen bevat. Dit script illustreert het gebruik van een filter om alleen de toewijzingen in de status Delivered voor een bepaald toegangspakket op te halen. Het script genereert vervolgens een CSV-bestand assignments.csvmet één rij per toewijzing.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Een gebruiker rechtstreeks toewijzen
In sommige gevallen wilt u mogelijk specifieke gebruikers rechtstreeks toewijzen aan een toegangspakket, zodat gebruikers het toegangspakket niet hoeven aan te vragen. Als u gebruikers rechtstreeks wilt toewijzen, moet het toegangspakket een beleid hebben waarmee beheerders rechtstreeks kunnen toewijzen.
Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar, Access Package Manager of Access-pakkettoewijzingsbeheer
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open op de pagina Access-pakketten een toegangspakket .
Selecteer Toewijzingen in het menu links.
Selecteer Nieuwe toewijzing om Gebruiker toevoegen aan toegangspakket te openen.
Selecteer in de lijst Beleid selecteren een beleid waarmee de toekomstige aanvragen van gebruikers en levenscyclus worden beheerd en bijgehouden. Als u wilt dat de geselecteerde gebruikers andere beleidsinstellingen hebben, kunt u Nieuw beleid maken selecteren om een nieuw beleid toe te voegen.
Nadat u een beleid hebt geselecteerd, kunt u gebruikers toevoegen om de gebruikers te selecteren aan wie u dit toegangspakket wilt toewijzen overeenkomstig het gekozen beleid.
Notitie
Als u een beleid met vragen selecteert, kunt u slechts één gebruiker tegelijk toewijzen.
Stel de datum en tijd in waarop de toewijzing van de geselecteerde gebruikers moet beginnen en eindigen. Als er geen einddatum wordt opgegeven, worden de levenscyclusinstellingen van het beleid gebruikt.
Geef eventueel een reden op voor uw rechtstreekse toewijzing.
Als het geselecteerde beleid aanvullende aanvragergegevens bevat, selecteert u Vragen weergeven om deze namens de gebruikers te beantwoorden en selecteert u vervolgens Opslaan.
Selecteer Toevoegen om de geselecteerde gebruikers rechtstreeks aan het toegangspakket toe te wijzen.
Na enkele ogenblikken selecteert u Vernieuwen om de gebruikers in de lijst Toewijzingen weer te geven.
Notitie
Bij het toewijzen van gebruikers aan een toegangspakket moeten beheerders controleren of de gebruikers in aanmerking komen voor dat toegangspakket op basis van de bestaande beleidsvereisten. Anders worden de gebruikers niet toegewezen aan het toegangspakket. Als het toegangspakket een beleid bevat waarmee wordt vereist dat gebruikersaanvragen worden goedgekeurd, kunnen gebruikers niet rechtstreeks worden toegewezen aan het pakket zonder de benodigde goedkeuring(en) van de aangewezen fiatteur(s).
Een gebruiker rechtstreeks toewijzen (preview)
Met rechtenbeheer kunt u ook rechtstreeks externe gebruikers toewijzen aan een toegangspakket om samenwerking met partners eenvoudiger te maken. Hiervoor moet het toegangspakket een beleid hebben waarmee gebruikers die zich nog niet in uw directory bevinden, toegang kunnen aanvragen.
Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar, Access Package Manager of Access-pakkettoewijzingsbeheer
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten .
Selecteer Toewijzingen in het menu links.
Selecteer Nieuwe toewijzing om Gebruiker toevoegen aan toegangspakket te openen.
Selecteer in de lijst Beleid selecteren een beleid dat is ingesteld op Voor gebruikers die geen deel uitmaken van uw directory
Selecteer Elke gebruiker. U kunt opgeven welke gebruikers u aan dit toegangspakket wilt toewijzen.
Voer de naam van de gebruiker (optioneel) en het e-mailadres van de gebruiker (vereist) in.
Notitie
- De gebruiker die u wilt toevoegen, moet binnen het bereik van het beleid vallen. Als uw beleid bijvoorbeeld is ingesteld op Specifieke verbonden organisaties, moet het e-mailadres van de gebruiker afkomstig zijn uit de domein(en) van de geselecteerde organisatie(s). Als de gebruiker die u probeert toe te voegen het e-mailadres jen@foo.com heeft maar het domein van de geselecteerde organisatie bar.com is, kunt u die gebruiker niet toevoegen aan het toegangspakket.
- En als u uw beleid instelt op Alle geconfigureerde verbonden organisaties, moet het e-mailadres van de gebruiker afkomstig zijn van een van uw geconfigureerde verbonden organisaties. Anders wordt de gebruiker niet toegevoegd aan het toegangspakket.
- Als u een gebruiker aan het toegangspakket wilt toevoegen, moet u ervoor zorgen dat u Alle gebruikers (alle verbonden organisaties + externe gebruikers) selecteert bij het configureren van uw beleid.
Stel de datum en tijd in waarop de toewijzing van de geselecteerde gebruikers moet beginnen en eindigen. Als er geen einddatum is opgegeven, worden de levenscyclus-instellingen van het beleid gebruikt.
Selecteer Toevoegen om de geselecteerde gebruikers rechtstreeks aan het toegangspakket toe te wijzen.
Na enkele ogenblikken selecteert u Vernieuwen om de gebruikers in de lijst Toewijzingen weer te geven.
Gebruikers rechtstreeks programmatisch toewijzen
Een gebruiker toewijzen aan een toegangspakket met Microsoft Graph
U kunt een gebruiker ook rechtstreeks toewijzen aan een toegangspakket met behulp van Microsoft Graph. Een gebruiker in een juiste rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, of een toepassing met de EntitlementManagement.ReadWrite.All toepassingsmachtiging, kan de API aanroepen om een accessPackageAssignmentRequest te maken. In deze aanvraag moet de waarde van de requestType-eigenschap adminAddzijn en de assignment-eigenschap is een structuur die de targetId bevat van de gebruiker die wordt toegewezen.
Een gebruiker toewijzen aan een toegangspakket met PowerShell
U kunt een gebruiker toewijzen aan een toegangspakket in PowerShell met de New-MgEntitlementManagementAssignmentRequest cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. Dit script illustreert het gebruik van de Microsoft Graph PowerShell-cmdlets module versie 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
U kunt ook meerdere gebruikers in uw directory toewijzen aan een toegangspakket met behulp van PowerShell met de New-MgBetaEntitlementManagementAccessPackageAssignment cmdlet van de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.4.0 of hoger. Deze cmdlet gebruikt als parameters
- de toegangspakket-id die is opgenomen in het antwoord van de
Get-MgEntitlementManagementAccessPackage-cmdlet, - de beleids-id voor toegangspakkettoewijzing, die is opgenomen in het beleid in het
assignmentpoliciesveld in het antwoord van deGet-MgEntitlementManagementAccessPackagecmdlet, - de object-id's van de doelgebruikers, ofwel als een matrix van tekenreeksen, of als een lijst met gebruikersleden die zijn geretourneerd door de
Get-MgGroupMember-cmdlet.
Als u er bijvoorbeeld voor wilt zorgen dat alle gebruikers die momenteel lid zijn van een groep ook toewijzingen hebben voor een toegangspakket, kunt u deze cmdlet gebruiken om aanvragen te maken voor gebruikers die momenteel geen toewijzingen hebben. Houd er rekening mee dat met deze cmdlet alleen toewijzingen worden gemaakt; hiermee worden geen toewijzingen verwijderd voor gebruikers die geen lid meer zijn van een groep.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Als u een toewijzing wilt toevoegen voor een gebruiker die zich nog niet in uw directory bevindt, kunt u de New-MgBetaEntitlementManagementAccessPackageAssignmentRequest cmdlet van de Microsoft Graph PowerShell-cmdlets voor de bètamodule identity Governance versie 2.1.x of hoger van de bètamoduleversie van Microsoft Graph PowerShell gebruiken. Dit script illustreert het gebruik van het Graph-profiel beta en microsoft Graph PowerShell-cmdlets module versie 2.4.0. Deze cmdlet gebruikt als parameters
- de toegangspakket-id die is opgenomen in het antwoord van de
Get-MgEntitlementManagementAccessPackage-cmdlet, - de beleids-id voor toegangspakkettoewijzing, die is opgenomen in beleid in het
assignmentpoliciesveld in het antwoord van deGet-MgEntitlementManagementAccessPackagecmdlet, - het e-mailadres van de doelgebruiker.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Toegangstoewijzing configureren als onderdeel van een levenscycluswerkstroom
In de functie Levenscycluswerkstromen van Microsoft Entra kunt u een toewijzingstaak voor het pakket voor gebruikerstoegang aanvragen toevoegen aan een onboardingwerkstroom. De taak kan een toegangspakket opgeven dat gebruikers moeten hebben. Wanneer de werkstroom voor een gebruiker wordt uitgevoerd, wordt er automatisch een aanvraag voor toegangspakkettoewijzing gemaakt.
Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum .
Blader naar werkstromen voor levenscyclus van>identiteitsbeheer.>
Selecteer een onboarding- of verplaatsingswerkstroom voor een werknemer.
Selecteer Taken en selecteer Taak toevoegen.
Selecteer Toewijzing van gebruikerstoegangspakket aanvragen en selecteer Toevoegen.
Selecteer de zojuist toegevoegde taak.
Selecteer Access-pakket selecteren en kies het toegangspakket waaraan nieuwe gebruikers moeten worden toegewezen of waaraan gebruikers moeten worden verplaatst.
Selecteer Beleid selecteren en kies het toewijzingsbeleid voor toegangspakketten in dat toegangspakket.
Selecteer Opslaan.
Een toewijzing verwijderen
U kunt een toewijzing verwijderen die een gebruiker of beheerder eerder heeft aangevraagd.
Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar, Access Package Manager of Access-pakkettoewijzingsbeheer
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten .
Selecteer Toewijzingen in het menu links.
Schakel het selectievakje in naast de gebruiker van wie u de toewijzing wilt verwijderen uit het toegangspakket.
Selecteer de knop Verwijderen boven in het linkerdeelvenster.
Er wordt een melding weergegeven met de mededeling dat de opdracht is verwijderd.
Een toewijzing programmatisch verwijderen
Een toewijzing verwijderen met Microsoft Graph
U kunt ook een toewijzing van een gebruiker aan een toegangspakket verwijderen met behulp van Microsoft Graph. Een gebruiker in een juiste rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, of een toepassing met de EntitlementManagement.ReadWrite.All toepassingsmachtiging, kan de API aanroepen om een accessPackageAssignmentRequest te maken. In deze aanvraag moet de waarde van de requestType-eigenschap adminRemove zijn en de assignment-eigenschap is een structuur die de id-eigenschap bevat waarmee de accessPackageAssignment wordt geïdentificeerd die wordt verwijderd.
Een toewijzing verwijderen met PowerShell
U kunt de toewijzing van een gebruiker in PowerShell verwijderen met de New-MgEntitlementManagementAssignmentRequest cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. Dit script illustreert het gebruik van de Microsoft Graph PowerShell-cmdlets module versie 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Toewijzing verwijderen configureren als onderdeel van een levenscycluswerkstroom
In de functie Levenscycluswerkstromen van Microsoft Entra kunt u een toewijzing van het toegangspakket verwijderen voor gebruikerstaken toevoegen aan een offboarding-werkstroom. Deze taak kan een toegangspakket opgeven waaraan de gebruiker mogelijk is toegewezen. Wanneer de werkstroom voor een gebruiker wordt uitgevoerd, wordt de toewijzing van het toegangspakket automatisch verwijderd.
Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum .
Blader naar werkstromen voor levenscyclus van>identiteitsbeheer.>
Selecteer een offboardingwerkstroom voor werknemers.
Selecteer Taken en selecteer Taak toevoegen.
Selecteer Toewijzing van toegangspakket voor gebruiker verwijderen en selecteer Toevoegen.
Selecteer de zojuist toegevoegde taak.
Selecteer Access-pakketten selecteren en kies een of meer toegangspakketten waaruit gebruikers die offboarded zijn, moeten worden verwijderd.
Selecteer Opslaan.