Ändra resursroller för ett åtkomstpaket i Azure AD-berättigandehantering

Som åtkomstpakethanterare kan du när som helst ändra resurserna i ett åtkomstpaket utan att behöva bekymra dig om att etablera användarens åtkomst till de nya resurserna eller ta bort deras åtkomst från de tidigare resurserna. I den här artikeln beskrivs hur du ändrar resursrollerna för ett befintligt åtkomstpaket.

Den här videon innehåller en översikt över hur du ändrar ett åtkomstpaket.

Sök i katalogen efter resurser

Om du behöver lägga till resurser i ett åtkomstpaket bör du kontrollera om de resurser du behöver är tillgängliga i katalogen. Om du är en åtkomstpakethanterare kan du inte lägga till resurser i en katalog, även om du äger dem. Du är begränsad till att använda de resurser som är tillgängliga i katalogen.

Förutsättningsroll: Global administratör, Identity Governance-administratör, användaradministratör, katalogägare eller åtkomstpakethanterare

  1. I dialogrutan Azure Portal du på Azure Active Directory sedan på Identity Governance.

  2. I den vänstra menyn klickar du på Katalog och öppnar sedan katalogen.

  3. I den vänstra menyn klickar du på Resurser för att se listan över resurser i den här katalogen.

    Lista över resurser i en katalog

  4. Om du är en åtkomstpakethanterare och behöver lägga till resurser i katalogen kan du be katalogägaren att lägga till dem.

Lägga till resursroller

En resursroll är en samling behörigheter som är associerade med en resurs. Du gör resurser tillgängliga för användare att begära genom att lägga till resursroller i ditt åtkomstpaket. Du kan lägga till resursroller för grupper, team, program och SharePoint-webbplatser.

Förutsättningsroll: Global administratör, användaradministratör, katalogägare eller åtkomstpakethanterare

  1. I dialogrutan Azure Portal du på Azure Active Directory sedan på Identity Governance.

  2. I den vänstra menyn klickar du på Åtkomstpaket och öppnar sedan åtkomstpaketet.

  3. I den vänstra menyn klickar du på Resursroller.

  4. Klicka på Lägg till resursroller för att öppna sidan Lägg till resursroller för att komma åt paketet.

    Åtkomstpaket – Lägg till resursroller

  5. Beroende på om du vill lägga till en grupp, ett team, ett program eller en SharePoint-webbplats utför du stegen i något av följande avsnitt för resursroller.

Lägga till en grupp- eller teamresursroll

Du kan ha rättighetshantering som automatiskt lägger till användare i en grupp eller ett team i Microsoft Teams när de tilldelas ett åtkomstpaket.

  • När en grupp eller ett team ingår i ett åtkomstpaket och en användare tilldelas till det åtkomstpaketet läggs användaren till i gruppen eller teamet, om det inte redan finns.
  • När en användares åtkomstpakettilldelning upphör att gälla tas de bort från gruppen eller teamet, såvida de för närvarande inte har en tilldelning till ett annat åtkomstpaket som innehåller samma grupp eller grupp.

Du kan välja valfri Azure AD-säkerhetsgrupp eller Microsoft 365 Grupp. Administratörer kan lägga till valfri grupp i en katalog. katalogägare kan lägga till valfri grupp i katalogen om de är ägare till gruppen. Tänk på följande Azure AD-begränsningar när du väljer en grupp:

  • När en användare, inklusive en gäst, läggs till som medlem i en grupp eller ett team kan de se alla andra medlemmar i gruppen eller teamet.
  • Azure AD kan inte ändra medlemskapet i en grupp som har synkroniserats från Windows Server Active Directory med Azure AD Connect eller som skapades i Exchange Online som en distributionsgrupp.
  • Medlemskap i dynamiska grupper kan inte uppdateras genom att lägga till eller ta bort en medlem, så dynamiska gruppmedlemskap är inte lämpliga för användning med berättigandehantering.

Mer information finns i Jämför grupper och Microsoft 365-grupper och Microsoft Teams.

  1. På sidan Lägg till resursroller för att komma åt paket klickar du på Grupper och Team för att öppna fönstret Välj grupper.

  2. Välj de grupper och team som du vill inkludera i åtkomstpaketet.

    Åtkomstpaket – Lägg till resursroller – Välj grupper

  3. Klicka på Välj.

    När du har valt gruppen eller teamet visas en av följande undertyper i kolumnen Undertyp:

    Undertyp Description
    Säkerhet Används för att bevilja åtkomst till resurser.
    Distribution Används för att skicka meddelanden till en grupp med personer.
    Microsoft 365 Microsoft 365 grupp som inte är Teams-aktiverad. Används för samarbete mellan användare, både inom och utanför företaget.
    Team Microsoft 365 grupp som är Teams-aktiverad. Används för samarbete mellan användare, både inom och utanför företaget.
  4. I listan Roll väljer du Ägare eller Medlem.

    Vanligtvis väljer du rollen Medlem. Om du väljer rollen Ägare kan användarna lägga till eller ta bort andra medlemmar eller ägare.

    Åtkomstpaket – Lägg till resursroll för en grupp eller ett team

  5. Klicka på Lägg till.

    Alla användare med befintliga tilldelningar till åtkomstpaketet blir automatiskt medlemmar i den här gruppen eller gruppen när det läggs till.

Lägga till en programresursroll

Du kan göra så att Azure AD automatiskt tilldelar användare åtkomst till ett Azure AD-företagsprogram, inklusive både SaaS-program och din organisations program som federeras till Azure AD, när en användare tilldelas ett åtkomstpaket. För program som integreras med Azure AD via federerad enkel inloggning utfärdar Azure AD federationstoken för användare som är tilldelade till programmet.

Program kan ha flera roller. När du lägger till ett program i ett åtkomstpaket måste du ange lämplig roll för dessa användare om programmet har mer än en roll. Om du utvecklar program kan du läsa mer om hur dessa roller läggs till i dina program i Så här konfigurerar du rollanspråk som utfärdas i SAML-token för företagsprogram.

När en programroll är en del av ett åtkomstpaket:

  • När en användare tilldelas åtkomstpaketet läggs användaren till i den programrollen, om den inte redan finns.
  • När en användares åtkomstpakettilldelning upphör att gälla tas deras åtkomst bort från programmet, såvida de inte har en tilldelning till ett annat åtkomstpaket som innehåller den programrollen.

Här är några saker att tänka på när du väljer ett program:

  • Program kan också ha grupper tilldelade till sina roller. Du kan välja att lägga till en grupp i stället för en programroll i ett åtkomstpaket, men programmet visas inte för användaren som en del av åtkomstpaketet i Min åtkomst portalen.
  1. På sidan Lägg till resursroller för att komma åt paket klickar du på Program för att öppna fönstret Välj program.

  2. Välj de program som du vill inkludera i åtkomstpaketet.

    Åtkomstpaket – Lägg till resursroller – Välj program

  3. Klicka på Välj.

  4. I listan Roll väljer du en programroll.

    Åtkomstpaket – Lägg till resursroll för ett program

  5. Klicka på Lägg till.

    Alla användare med befintliga tilldelningar till åtkomstpaketet får automatiskt åtkomst till det här programmet när det läggs till.

Lägga till en Resursroll för SharePoint-webbplats

Azure AD kan automatiskt tilldela användare åtkomst till en SharePoint Online-webbplats eller SharePoint Online-webbplatssamling när de tilldelas ett åtkomstpaket.

  1. På sidan Lägg till resursroller för att komma åt paket klickar du på SharePoint-webbplatser för att öppna fönstret Välj SharePoint Online-webbplatser.

    Åtkomstpaket – Lägg till resursroller – Välj SharePoint-webbplatser – portalvy

  2. Välj de SharePoint Online-webbplatser som du vill inkludera i åtkomstpaketet.

    Åtkomstpaket – Lägg till resursroller – Välj SharePoint Online-webbplatser

  3. Klicka på Välj.

  4. I listan Roll väljer du en SharePoint Online-webbplatsroll.

    Åtkomstpaket – Lägg till resursroll för en SharePoint Online-webbplats

  5. Klicka på Lägg till.

    Alla användare med befintliga tilldelningar till åtkomstpaketet får automatiskt åtkomst till den här SharePoint Online-webbplatsen när den läggs till.

Ta bort resursroller

Förutsättningsroll: Global administratör, användaradministratör, katalogägare eller åtkomstpakethanterare

  1. I dialogrutan Azure Portal du på Azure Active Directory sedan på Identity Governance.

  2. I den vänstra menyn klickar du på Åtkomstpaket och öppnar sedan åtkomstpaketet.

  3. Klicka på Resursroller på den vänstra menyn.

  4. I listan över resursroller hittar du den resursroll som du vill ta bort.

  5. Klicka på ellipsen (...) och klicka sedan på Ta bort resursroll.

    Alla användare med befintliga tilldelningar till åtkomstpaketet får automatiskt sin åtkomst återkallad till den här resursrollen när den tas bort.

När ändringar tillämpas

Vid berättigandehantering bearbetar Azure AD massändringar för tilldelning och resurser i dina åtkomstpaket flera gånger om dagen. Om du gör en tilldelning eller ändrar resursrollerna för ditt åtkomstpaket kan det ta upp till 24 timmar innan ändringen görs i Azure AD, plus hur lång tid det tar att sprida ändringarna till andra Microsoft Online Services eller anslutna SaaS-program. Om ändringen bara påverkar några få objekt tar ändringen troligen bara några minuter att tillämpa i Azure AD. Därefter identifierar andra Azure AD-komponenter ändringen och uppdaterar SaaS-programmen. Om ändringen påverkar tusentals objekt tar ändringen längre tid. Om du till exempel har ett åtkomstpaket med 2 program och 100 användartilldelningar och du bestämmer dig för att lägga till en SharePoint-platsroll i åtkomstpaketet kan det uppstå en fördröjning tills alla användare ingår i sharePoint-platsrollen. Du kan övervaka förloppet via Azure AD-granskningsloggen, Azure AD-etableringsloggen och SharePoint-webbplatsens granskningsloggar.

När du tar bort en medlem i ett team tas de även bort från Microsoft 365 grupp. Borttagningen från teamets chattfunktioner kan vara fördröjd. Mer information finns i Gruppmedlemskap.

Nästa steg