Azure AD yetkilendirme yönetiminde bir erişim paketi için atamaları görüntüleme, ekleme ve kaldırma

Azure AD Yetkilendirme Yönetimi 'nde, paketlere kimlerin atandığını, ilkelerini ve durumunu görebilirsiniz. Bir erişim paketinin uygun bir ilkesi varsa, kullanıcıyı da bir erişim paketine doğrudan atayabilirsiniz. Bu makalede erişim paketleri için atamaları görüntüleme, ekleme ve kaldırma işlemlerinin nasıl yapılacağı açıklanır.

Önkoşullar

Azure AD yetkilendirme yönetimini kullanmak ve kullanıcılara paketlere erişim atamak için aşağıdaki lisanslardan birine sahip olmanız gerekir:

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5 lisansı

Kimin atamaya sahip olduğunu görüntüleme

Önkoşul rolü: Genel yönetici, kimlik Idare Yöneticisi, Kullanıcı Yöneticisi, Katalog sahibi, Paket Yöneticisi veya erişim paketi atama Yöneticisi

  1. Azure portal, Azure Active Directory ' a ve ardından kimlik yönetimi ' ne tıklayın.

  2. Sol menüde, erişim paketleri ' ne tıklayın ve ardından erişim paketini açın.

  3. Etkin atamaların listesini görmek için atamalar ' a tıklayın.

    Erişim paketine yönelik atamaların listesi

  4. Ek ayrıntıları görmek için belirli bir atamaya tıklayın.

  5. Tüm kaynak rollerinin düzgün şekilde sağlandığı atamaların listesini görmek için, filtre durumuna tıklayın ve teslim etme' yi seçin.

    İstek sayfasında, kullanıcının karşılık gelen isteğini bularak teslim hatalarıyla ilgili ek ayrıntıları görebilirsiniz.

  6. Süre biten atamaları görmek için, filtre durumuna tıklayın ve süre bitti' yi seçin.

  7. Filtrelenmiş listenin CSV dosyasını indirmek için İndir' e tıklayın.

Atamaları programlama yoluyla görüntüleme

Microsoft Graph atamaları görüntüleme

Ayrıca, Microsoft Graph kullanarak bir erişim paketindeki atamaları alabilirsiniz. Temsilci veya izne sahip bir uygulamayla uygun bir roldeki kullanıcı, EntitlementManagement.Read.All EntitlementManagement.ReadWrite.All Accesspackageatamaları LISTELEMEKiçin API 'yi çağırabilir. Bir Identity idare Yöneticisi birden çok katalogdan erişim paketleri alamıyorsa, Kullanıcı yalnızca kataloğa özgü yönetici rollerine atanırsa, isteğin, belirli bir erişim paketini belirtmek için bir filtre sağlaması gerekir, örneğin: $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b' . Uygulama izni veya iznine sahip bir uygulama EntitlementManagement.Read.All EntitlementManagement.ReadWrite.All Bu API 'yi de kullanabilir.

PowerShell ile atamaları görüntüleme

bu sorguyu powershell 'de, Get-MgEntitlementManagementAccessPackageAssignment kimlik idare modülü sürüm 1.6.0 veya üzeri için Microsoft Graph powershell cmdlet 'leri cmdlet 'i ile gerçekleştirebilirsiniz. Bu cmdlet, cmdlet 'ten gelen yanıta dahil olan erişim paketi KIMLIĞINI parametre olarak alır Get-MgEntitlementManagementAccessPackage .

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
Select-MgProfile -Name "beta"
$accesspackage = Get-MgEntitlementManagementAccessPackage -DisplayNameEq "Marketing Campaign"
$assignments = Get-MgEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop
$assignments | ft Id,AssignmentState,TargetId,{$_.Target.DisplayName}

Doğrudan kullanıcı atama

Bazı durumlarda, kullanıcıların erişim paketini isteme işlemini istememeleri için bir erişim paketine doğrudan belirli kullanıcıları atamak isteyebilirsiniz. Kullanıcıları doğrudan atamak için, erişim paketinin yönetici doğrudan atamalarına izin veren bir ilkesi olması gerekir.

Önkoşul rolü: Genel yönetici, Kullanıcı Yöneticisi, Katalog sahibi, Paket Yöneticisi veya erişim paketi atama Yöneticisi

  1. Azure portal, Azure Active Directory ' a ve ardından kimlik yönetimi ' ne tıklayın.

  2. Sol menüde, erişim paketleri ' ne tıklayın ve ardından erişim paketini açın.

  3. Sol taraftaki menüde atamalar' a tıklayın.

  4. Erişim paketine Kullanıcı Ekle ' yi açmak için yeni atama ' ya tıklayın.

    Atamalar-erişim paketine Kullanıcı ekleme

  5. Ilke Seç listesinde, kullanıcıların gelecekteki istekleri ve yaşam döngüsünün tarafından yönetilecektir ve izlendiğini belirten bir ilke seçin. Seçili kullanıcıların farklı ilke ayarlarına sahip olmasını istiyorsanız yeni ilke Oluştur ' a tıklayarak yeni ilke ekleyebilirsiniz.

  6. Bir ilkeyi seçtikten sonra, seçilen ilke altında bu erişim paketini atamak istediğiniz kullanıcıları seçmek için Kullanıcı ekleyebileceksiniz.

    Not

    Soruları olan bir ilke seçerseniz, tek seferde yalnızca bir kullanıcı atayabilirsiniz.

  7. Seçili kullanıcıların atamasının başlamasını ve bitmesini istediğiniz tarih ve saati ayarlayın. Bir bitiş tarihi sağlanmazsa, ilkenin yaşam döngüsü ayarları kullanılacaktır.

  8. İsteğe bağlı olarak kayıt tutmaya yönelik doğrudan atamanız için bir gerekçe sağlar.

  9. Seçilen ilke ek istek sahibi bilgileri içeriyorsa, kullanıcıları adına yanıtlamak için soruları görüntüle ' ye tıklayın ve ardından Kaydet' e tıklayın.

    Atamalar-soruları görüntüle ' ye tıklayın

    Atamalar-sorular bölmesi

  10. Seçili kullanıcıları doğrudan erişim paketine atamak için Ekle ' ye tıklayın.

    Birkaç dakika sonra, atamalar listesinde kullanıcıları görmek için Yenile ' ye tıklayın.

Not

Bir erişim paketine Kullanıcı atarken, yöneticilerin mevcut ilke gereksinimlerine bağlı olarak bu erişim paketine uygun olduğunu doğrulaması gerekir. Aksi takdirde, kullanıcılar erişim paketine başarıyla atanmaz. Erişim paketi kullanıcı isteklerinin onaylanmasını gerektiren bir ilke içeriyorsa, kullanıcılar, belirlenen onaylayanlar arasından gerekli onay (ler) i olmadan pakete doğrudan atanamaz.

Tüm kullanıcıları doğrudan atama (Önizleme)

Azure AD Yetkilendirme Yönetimi, iş ortakları ile işbirliği yapmayı kolaylaştırmak için bir erişim paketine doğrudan dış Kullanıcı atamanıza olanak tanır. Bunu yapmak için, erişim paketinde henüz dizininizdeki kullanıcıların erişim istemesine izin veren bir ilke olmalıdır.

Önkoşul rolü: Genel yönetici, Kullanıcı Yöneticisi, Katalog sahibi, Paket Yöneticisi veya erişim paketi atama Yöneticisi

  1. Azure portal Azure Active Directory ' i seçin ve ardından ıdentity idare' ı seçin.

  2. Sol taraftaki menüde, erişim paketleri ' ne tıklayın ve ardından Kullanıcı eklemek istediğiniz erişim paketini açın.

  3. Sol taraftaki menüde atamalar' a tıklayın.

  4. Erişim paketine Kullanıcı Ekle' yi açmak için yeni atama ' yı seçin.

  5. Ilke Seç listesinde, bu ilkenin dizininizde olmayan kullanıcılar için olarak ayarlanmış olmasına izin veren bir ilke seçin

  6. Herhangi bir Kullanıcı seçin. Bu erişim paketine hangi kullanıcıları atamak istediğinizi belirleyebileceksiniz. Atamalar-erişim paketine herhangi bir kullanıcı ekleyin

  7. Kullanıcının adını (isteğe bağlı) ve kullanıcının e-posta adresini (gerekli) girin.

    Not

    • Eklemek istediğiniz kullanıcı, ilke kapsamı dahilinde olmalıdır. Örneğin, ilkeniz belirli bağlı kuruluşlara ayarlandıysa, kullanıcının e-posta adresi seçili kuruluşların etki alanından olmalıdır. Eklemeye çalıştığınız kullanıcının e-posta adresi jen@foo.com , ancak seçilen kuruluşun etki alanı Bar.com ise, bu kullanıcıyı erişim paketine ekleyemezsiniz.
    • Benzer şekilde, ilkenizi tüm yapılandırılmış bağlı kuruluşları içerecek şekilde ayarlarsanız, kullanıcının e-posta adresi, yapılandırılmış bağlı kuruluşlarınızın birinden gelmelidir. Aksi takdirde, Kullanıcı erişim paketine eklenmez.
    • Erişim paketine herhangi bir kullanıcı eklemek istiyorsanız, ilkenizi yapılandırırken tüm kullanıcıları (tüm bağlı kuruluşlar + tüm dış kullanıcılar) seçtiğinizden emin olmanız gerekir.
  8. Seçili kullanıcıların atamasının başlamasını ve bitmesini istediğiniz tarih ve saati ayarlayın. Bir bitiş tarihi sağlanmazsa, ilkenin yaşam döngüsü ayarları kullanılacaktır.

  9. Seçili kullanıcıları doğrudan erişim paketine atamak için Ekle ' ye tıklayın.

  10. Birkaç dakika sonra, atamalar listesinde kullanıcıları görmek için Yenile ' ye tıklayın.

Kullanıcı aracılığıyla doğrudan kullanıcı atama

Microsoft Graph ile bir erişim paketine Kullanıcı atama

Ayrıca, Microsoft Graph kullanarak bir kullanıcıyı doğrudan bir erişim paketine atayabilirsiniz. Temsilci izni olan bir uygulamayla uygun bir roldeki bir Kullanıcı EntitlementManagement.ReadWrite.All veya bu uygulama iznine sahip bir uygulama, bir Accesspackageatamaisteği oluşturmakiçin API 'yi çağırabilir. Bu istekte, requestType özelliğinin değeri olmalıdır AdminAdd ve accessPackageAssignment özelliği, targetId atanmakta olan kullanıcının bulunduğu yapıyı içerir.

PowerShell ile bir erişim paketine Kullanıcı atama

powershell 'deki bir erişim paketine, New-MgEntitlementManagementAccessPackageAssignmentRequest kimlik idare modülü sürüm 1.6.0 veya üzeri için Microsoft Graph powershell cmdlet 'leri cmdlet 'ini kullanarak bir kullanıcı atayabilirsiniz. Bu cmdlet parametre olarak alır

  • cmdlet 'ten alınan yanıta dahil olan erişim paketi KIMLIĞI Get-MgEntitlementManagementAccessPackage ,
  • cmdlet 'ten alınan yanıta dahil olan erişim paketi atama ilkesi KIMLIĞI Get-MgEntitlementManagementAccessPackageAssignmentPolicy ,
  • hedef kullanıcının nesne KIMLIĞI.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
Select-MgProfile -Name "beta"
$accesspackage = Get-MgEntitlementManagementAccessPackage -DisplayNameEq "Marketing Campaign" -ExpandProperty "accessPackageAssignmentPolicies"
$policy = $accesspackage.AccessPackageAssignmentPolicies[0]
$req = New-MgEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetId "a43ee6df-3cc5-491a-ad9d-ea964ef8e464"

ayrıca, powershell 'deki bir erişim paketine, New-MgEntitlementManagementAccessPackageAssignment kimlik idare modülü sürüm 1.6.1 veya üzeri için Microsoft Graph powershell cmdlet 'lerinden cmdlet ile birden fazla kullanıcı atayabilirsiniz. Bu cmdlet parametre olarak alır

  • cmdlet 'ten alınan yanıta dahil olan erişim paketi KIMLIĞI Get-MgEntitlementManagementAccessPackage ,
  • cmdlet 'ten alınan yanıta dahil olan erişim paketi atama ilkesi KIMLIĞI Get-MgEntitlementManagementAccessPackageAssignmentPolicy ,
  • hedef kullanıcıların nesne kimlikleri, dizeler dizisi olarak veya cmdlet 'ten döndürülen Kullanıcı üyeleri listesi olarak Get-MgGroupMember .

Örneğin, şu anda bir grubun üyesi olan tüm kullanıcıların da bir erişim paketine atamaları olduğundan emin olmak istiyorsanız bu cmdlet 'i, şu anda atamalara sahip olmayan kullanıcılar için istekler oluşturmak üzere kullanabilirsiniz. Bu cmdlet 'in yalnızca atamalar oluşturyacağını unutmayın; atamaları kaldırmaz.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
Select-MgProfile -Name "beta"
$members = Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15"
$accesspackage = Get-MgEntitlementManagementAccessPackage -DisplayNameEq "Marketing Campaign" -ExpandProperty "accessPackageAssignmentPolicies"
$policy = $accesspackage.AccessPackageAssignmentPolicies[0]
$req = New-MgEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Atama kaldırma

Önkoşul rolü: Genel yönetici, Kullanıcı Yöneticisi, Katalog sahibi, Paket Yöneticisi veya erişim paketi atama Yöneticisi

  1. Azure portal, Azure Active Directory ' a ve ardından kimlik yönetimi ' ne tıklayın.

  2. Sol menüde, erişim paketleri ' ne tıklayın ve ardından erişim paketini açın.

  3. Sol taraftaki menüde atamalar' a tıklayın.

  4. Ataması erişim paketinden kaldırmak istediğiniz kullanıcının yanındaki onay kutusuna tıklayın.

  5. Sol bölmenin üst kısmında bulunan Kaldır düğmesine tıklayın.

    Atamalar - Erişim paketinden kullanıcı kaldırma

    Atamanın kaldırılmış olduğunu size bildiren bir bildirim görüntülenir.

Atamayı program aracılığıyla kaldırma

Microsoft Graph ile atama kaldırma

Ayrıca, Microsoft Graph kullanarak bir kullanıcının erişim paketine ataması Graph. Temsilci izni olan bir uygulamaya sahip uygun bir rolde olan bir kullanıcı veya bu uygulama iznine sahip bir EntitlementManagement.ReadWrite.All uygulama, accessPackageAssignmentRequestoluşturmak için API'yi çağırabilirsiniz. Bu istekte özelliğin değeri , özelliği ise kaldırılan özelliği requestType tanımlayan özelliği içeren bir AdminRemove accessPackageAssignment id accessPackageAssignment yapıdır.

PowerShell ile atamayı kaldırma

Kimlik İdaresi modülü sürüm 1.6.0 veya sonraki sürümler için New-MgEntitlementManagementAccessPackageAssignmentRequest Microsoft Graph PowerShell cmdlet'lerinden cmdlet'iyle PowerShell'de bir kullanıcının atamayı kaldırabilirsiniz.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
Select-MgProfile -Name "beta"
$assignments = Get-MgEntitlementManagementAccessPackageAssignment -Filter "accessPackageId eq '9f573551-f8e2-48f4-bf48-06efbb37c7b8' and assignmentState eq 'Delivered'" -All -ErrorAction Stop
$toRemove = $assignments | Where-Object {$_.targetId -eq '76fd6e6a-c390-42f0-879e-93ca093321e7'}
$req = New-MgEntitlementManagementAccessPackageAssignmentRequest -AccessPackageAssignmentId $toRemove.Id -RequestType "AdminRemove"

Sonraki adımlar