Exibir, adicionar e remover atribuições para um pacote de acesso no gerenciamento de direitos
No gerenciamento de direitos, você pode ver quem foi atribuído aos pacotes de acesso, sua política, status e ciclo de vida do usuário (visualização). Se um pacote de acesso tiver uma política apropriada, você também poderá atribuir diretamente o usuário a um pacote de acesso. Este artigo descreve como exibir, adicionar e remover atribuições para pacotes de acesso.
Pré-requisitos
Para usar o gerenciamento de direitos e atribuir usuários a pacotes de acesso, você deve ter uma das seguintes licenças:
- Microsoft Entra ID P2
- Licença E5 do Enterprise Mobility + Security (EMS)
- Subscrição do Microsoft Entra ID Governance
Ver quem tem uma atribuição
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo, Gerenciador de pacotes do Access ou Gerenciador de atribuições de pacotes do Access
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.
Na página Pacotes do Access, abra um pacote do Access.
Selecione Atribuições para ver uma lista de atribuições ativas.
Selecione uma atribuição específica para ver mais detalhes.
Para ver uma lista de atribuições que não tiveram todas as funções de recurso provisionadas corretamente, selecione o status do filtro e selecione Entrega.
Você pode ver detalhes adicionais sobre erros de entrega localizando a solicitação correspondente do usuário na página Solicitações .
Para ver as atribuições expiradas, selecione o status do filtro e selecione Expirado.
Para baixar um arquivo CSV da lista filtrada, selecione Download.
Ver tarefas programaticamente
Exibir atribuições com o Microsoft Graph
Você também pode recuperar atribuições em um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.Read.All ou EntitlementManagement.ReadWrite.All pode chamar a API para listar accessPackageAssignments. Um aplicativo que tenha a permissão EntitlementManagement.Read.All ou EntitlementManagement.ReadWrite.All permissão do aplicativo também pode usar essa API para recuperar atribuições em todos os catálogos.
O Microsoft Graph retornará os resultados em páginas e continuará a retornar uma referência à próxima página de resultados na @odata.nextLink propriedade com cada resposta, até que todas as páginas dos resultados tenham sido lidas. Para ler todos os resultados, você deve continuar a chamar o Microsoft Graph com a propriedade retornada @odata.nextLink em cada resposta até que a @odata.nextLink propriedade não seja mais retornada, conforme descrito em paginando dados do Microsoft Graph em seu aplicativo.
Embora um administrador de governança de identidade possa recuperar pacotes de acesso de vários catálogos, se a entidade de serviço de usuário ou aplicativo for atribuída apenas a funções administrativas delegadas específicas do catálogo, a solicitação deverá fornecer um filtro para indicar um pacote de acesso específico, como: $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'.
Exibir atribuições com o PowerShell
Você também pode recuperar atribuições para um pacote de acesso no PowerShell com o Get-MgEntitlementManagementAssignment cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo. Este script ilustra o uso do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0 para recuperar todas as atribuições de um pacote de acesso específico. Este cmdlet toma como parâmetro a ID do pacote de acesso, que é incluída na resposta do Get-MgEntitlementManagementAccessPackage cmdlet. Certifique-se ao usar o Get-MgEntitlementManagementAccessPackage cmdlet para incluir o -All sinalizador para fazer com que todas as páginas de atribuições sejam retornadas.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
A consulta anterior retorna atribuições expiradas e de entrega, bem como atribuições entregues. Se desejar excluir atribuições expiradas ou de entrega, você pode usar um filtro que inclua a ID do pacote de acesso, bem como o estado das atribuições. Este script ilustra o uso de um filtro para recuperar apenas as atribuições em estado Delivered para um pacote de acesso específico. O script gerará um arquivo assignments.csvCSV, com uma linha por atribuição.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Atribuir diretamente um usuário
Em alguns casos, talvez você queira atribuir diretamente usuários específicos a um pacote de acesso para que os usuários não precisem passar pelo processo de solicitação do pacote de acesso. Para atribuir usuários diretamente, o pacote de acesso deve ter uma política que permita atribuições diretas do administrador.
Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo, Gerenciador de pacotes do Access ou Gerenciador de atribuições de pacotes do Access
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.
Na página Pacotes do Access, abra um pacote do Access.
No menu à esquerda, selecione Atribuições.
Selecione Nova atribuição para abrir Adicionar usuário para acessar o pacote.
Na lista Selecionar política, selecione uma política pela qual as solicitações futuras e o ciclo de vida dos usuários serão regidos e rastreados. Se desejar que os usuários selecionados tenham configurações de política diferentes, selecione Criar nova política para adicionar uma nova política.
Depois de selecionar uma política, você poderá Adicionar usuários para selecionar os usuários aos quais deseja atribuir esse pacote de acesso, sob a política escolhida.
Nota
Se você selecionar uma política com perguntas, só poderá atribuir um usuário de cada vez.
Defina a data e a hora em que deseja que a atribuição dos usuários selecionados comece e termine. Se uma data de término não for fornecida, as configurações de ciclo de vida da política serão usadas.
Opcionalmente, forneça uma justificativa para sua atribuição direta para manutenção de registros.
Se a política selecionada incluir informações adicionais do solicitante, selecione Exibir perguntas para respondê-las em nome dos usuários e selecione Salvar.
Selecione Adicionar para atribuir diretamente os usuários selecionados ao pacote de acesso.
Após alguns momentos, selecione Atualizar para ver os usuários na lista Atribuições.
Nota
Ao atribuir usuários a um pacote de acesso, os administradores precisarão verificar se os usuários são qualificados para esse pacote de acesso com base nos requisitos de política existentes. Caso contrário, os usuários não serão atribuídos com êxito ao pacote de acesso. Se o pacote de acesso contiver uma política que exija que as solicitações do usuário sejam aprovadas, os usuários não poderão ser atribuídos diretamente ao pacote sem a(s) aprovação(ões) necessária(s) do(s) aprovador(es) designado(s).
Atribuir diretamente qualquer utilizador (Pré-visualização)
O gerenciamento de direitos também permite atribuir diretamente usuários externos a um pacote de acesso para facilitar a colaboração com parceiros. Para fazer isso, o pacote de acesso deve ter uma política que permita que os usuários que ainda não estão no seu diretório solicitem acesso.
Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo, Gerenciador de pacotes do Access ou Gerenciador de atribuições de pacotes do Access
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.
Na página Pacotes do Access, abra um pacote do Access.
No menu à esquerda, selecione Atribuições.
Selecione Nova atribuição para abrir Adicionar usuário para acessar o pacote.
Na lista Selecionar política, selecione uma política que permita que esteja definida como Para usuários que não estão no seu diretório
Selecione Qualquer usuário. Você pode especificar quais usuários deseja atribuir a este pacote de acesso.
Digite o nome do usuário (opcional) e o endereço de e-mail do usuário (obrigatório).
Nota
- O usuário que você deseja adicionar deve estar dentro do escopo da política. Por exemplo, se sua política estiver definida como Organizações conectadas específicas, o endereço de email do usuário deverá ser do(s) domínio(s) da(s) organização(ões) selecionada(s). Se o usuário que você está tentando adicionar tiver um endereço de e-mail de jen@foo.com mas o domínio da organização selecionada estiver bar.com, você não poderá adicionar esse usuário ao pacote de acesso.
- Da mesma forma, se você definir sua política para incluir Todas as organizações conectadas configuradas, o endereço de email do usuário deverá ser de uma de suas organizações conectadas configuradas. Caso contrário, o usuário não será adicionado ao pacote de acesso.
- Se desejar adicionar qualquer usuário ao pacote de acesso, você precisará garantir que seleciona Todos os usuários (Todas as organizações conectadas + qualquer usuário externo) ao configurar sua política.
Defina a data e a hora em que deseja que a atribuição dos usuários selecionados comece e termine. Se uma data de término não for fornecida, as configurações do ciclo de vida da política serão usadas.
Selecione Adicionar para atribuir diretamente os usuários selecionados ao pacote de acesso.
Após alguns momentos, selecione Atualizar para ver os usuários na lista Atribuições.
Atribuição direta de usuários programaticamente
Atribuir um usuário a um pacote de acesso com o Microsoft Graph
Você também pode atribuir diretamente um usuário a um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All , ou um aplicativo com a permissão do EntitlementManagement.ReadWrite.All aplicativo, pode chamar a API para criar um accessPackageAssignmentRequest. Nessa solicitação, o requestType valor da propriedade deve ser adminAdd, e a assignment propriedade é uma estrutura que contém o targetId do usuário que está sendo atribuído.
Atribuir um usuário a um pacote de acesso com o PowerShell
Você pode atribuir um usuário a um pacote de acesso no PowerShell com o New-MgEntitlementManagementAssignmentRequest cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo. Este script ilustra o uso do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
Você também pode atribuir vários usuários que estão em seu diretório a um pacote de acesso usando o PowerShell com o New-MgBetaEntitlementManagementAccessPackageAssignment cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.4.0 ou posterior. Este cmdlet usa como parâmetros
- a ID do pacote de acesso, que está incluída na resposta do
Get-MgEntitlementManagementAccessPackagecmdlet, - o ID da política de atribuição de pacote de acesso, que está incluído na política no
assignmentpoliciescampo na resposta doGet-MgEntitlementManagementAccessPackagecmdlet, - as IDs de objeto dos usuários de destino, como uma matriz de cadeias de caracteres ou como uma lista de membros de usuário retornados do
Get-MgGroupMembercmdlet.
Por exemplo, se quiser garantir que todos os usuários que atualmente são membros de um grupo também tenham atribuições para um pacote de acesso, você pode usar esse cmdlet para criar solicitações para os usuários que não têm atribuições no momento. Observe que esse cmdlet criará apenas atribuições; Ele não remove atribuições para usuários que não são mais membros de um grupo.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Se desejar adicionar uma atribuição para um usuário que ainda não está em seu diretório, você pode usar o cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo beta de Governança de Identidade versão 2.1.x ou versão posterior do New-MgBetaEntitlementManagementAccessPackageAssignmentRequest módulo beta. Este script ilustra o uso do perfil do Graph beta e do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0. Este cmdlet usa como parâmetros
- a ID do pacote de acesso, que está incluída na resposta do
Get-MgEntitlementManagementAccessPackagecmdlet, - o ID da política de atribuição de pacote de acesso, que está incluído na política no
assignmentpoliciescampo na resposta doGet-MgEntitlementManagementAccessPackagecmdlet, - O endereço de e-mail do usuário alvo.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Configurar a atribuição de acesso como parte de um fluxo de trabalho do ciclo de vida
No recurso Fluxos de Trabalho do Ciclo de Vida do Microsoft Entra, você pode adicionar uma tarefa de atribuição de pacote de acesso de usuário Solicitar a um fluxo de trabalho de integração. A tarefa pode especificar um pacote de acesso que os usuários devem ter. Quando o fluxo de trabalho é executado para um usuário, uma solicitação de atribuição de pacote de acesso será criada automaticamente.
Entre no centro de administração do Microsoft Entra como administrador global.
Navegue até Governança de>identidade, Fluxos de trabalho, Fluxos de>trabalho.
Selecione uma integração de funcionários ou mova o fluxo de trabalho.
Selecione Tarefas e selecione Adicionar tarefa.
Selecione Solicitar atribuição de pacote de acesso do usuário e selecione Adicionar.
Selecione a tarefa recém-adicionada.
Selecione Selecionar pacote de acesso e escolha o pacote de acesso ao qual os usuários novos ou em movimento devem ser atribuídos.
Selecione Selecionar Política e escolha a política de atribuição de pacote de acesso nesse pacote de acesso.
Selecione Guardar.
Remover uma atribuição
Você pode remover uma atribuição que um usuário ou administrador havia solicitado anteriormente.
Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo, Gerenciador de pacotes do Access ou Gerenciador de atribuições de pacotes do Access
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.
Na página Pacotes do Access, abra um pacote do Access.
No menu à esquerda, selecione Atribuições.
Marque a caixa de seleção ao lado do usuário cuja atribuição você deseja remover do pacote de acesso.
Selecione o botão Remover na parte superior do painel esquerdo.
Uma notificação é exibida informando que a atribuição foi removida.
Remover uma atribuição programaticamente
Remover uma atribuição com o Microsoft Graph
Você também pode remover uma atribuição de um usuário a um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All , ou um aplicativo com a permissão do EntitlementManagement.ReadWrite.All aplicativo, pode chamar a API para criar um accessPackageAssignmentRequest. Nesta solicitação, o requestType valor do imóvel deve ser adminRemove, e o assignment imóvel é uma estrutura que contém o id imóvel que identifica o que está sendo accessPackageAssignment removido.
Remover uma atribuição com o PowerShell
Você pode remover a atribuição de um usuário no PowerShell com o New-MgEntitlementManagementAssignmentRequest cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo. Este script ilustra o uso do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Configurar a remoção de atribuição como parte de um fluxo de trabalho de ciclo de vida
No recurso Fluxos de Trabalho do Ciclo de Vida do Microsoft Entra, você pode adicionar uma atribuição de pacote de acesso Remover tarefa do usuário a um fluxo de trabalho de desintegração. Essa tarefa pode especificar um pacote de acesso ao qual o usuário pode ser atribuído. Quando o fluxo de trabalho é executado para um usuário, sua atribuição de pacote de acesso será removida automaticamente.
Entre no centro de administração do Microsoft Entra como administrador global.
Navegue até Governança de>identidade, Fluxos de trabalho, Fluxos de>trabalho.
Selecione um fluxo de trabalho de desembarque de funcionários.
Selecione Tarefas e selecione Adicionar tarefa.
Selecione Remover atribuição de pacote de acesso para o usuário e selecione Adicionar.
Selecione a tarefa recém-adicionada.
Selecione Selecionar pacotes de acesso e escolha um ou mais pacotes de acesso dos quais os usuários que estão sendo desintegrados devem ser removidos.
Selecione Guardar.