Teilen über


Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket in der Berechtigungsverwaltung

In der Berechtigungsverwaltung können Sie sehen, wem Berechtigungen für den Zugriff auf Pakete sowie auf die zugehörige Richtlinie, den Status und den Benutzerlebenszyklus zugewiesen wurden (Vorschau). Wenn ein Zugriffspaket eine geeignete Richtlinie enthält, können Sie dem Zugriffspaket auch direkt Benutzer zuweisen. In diesem Artikel wird beschrieben, wie Zuweisungen für Zugriffspakete angezeigt, hinzugefügt und entfernt werden.

Voraussetzungen

Um die Berechtigungsverwaltung verwenden und Zugriffspaketen Benutzer zuweisen zu können, benötigen Sie eine der folgenden Lizenzen:

  • Microsoft Entra ID P2
  • Enterprise Mobility + Security (EMS) E5-Lizenz
  • Microsoft Entra ID Governance-Abonnement

Anzeigen von Benutzern mit Zuweisung

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer, der Access-Paket-Manager und der Access-Paketzuweisungs-Manager.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.

  4. Wählen Sie Zuweisungen aus, um eine Liste der aktiven Zuweisungen anzuzeigen.

    Liste der Zuweisungen für ein Zugriffspaket

  5. Wählen Sie eine bestimmte Zuweisung aus, um weitere Details anzuzeigen.

  6. Wenn Sie eine Liste mit den Zuweisungen anzeigen möchten, bei denen nicht alle Ressourcenrollen ordnungsgemäß bereitgestellt wurden, wählen Sie den Filterstatus und anschließend Wird übermittelt aus.

    Zusätzliche Details zu Übermittlungsfehlern werden auf der Seite Anforderungen unter der Anforderung des jeweiligen Benutzers angezeigt.

  7. Wählen Sie zum Anzeigen abgelaufener Zuweisungen den Filterstatus und anschließend Abgelaufen aus.

  8. Durch Auswählen von Herunterladen können Sie die gefilterte Liste als CSV-Datei herunterladen.

Programmgesteuertes Anzeigen von Zuweisungen

Anzeigen von Zuweisungen mit Microsoft Graph

Sie können auch mithilfe von Microsoft Graph Zuweisungen in einem Zugriffspaket abrufen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.Read.All oder EntitlementManagement.ReadWrite.All verfügt, kann die API aufrufen, um „accessPackageAssignments“ aufzulisten. Für eine Anwendung, die über die Anwendungsberechtigung EntitlementManagement.Read.All oder EntitlementManagement.ReadWrite.All verfügt, kann diese API ebenfalls zum Abrufen von Zuweisungen aus allen Katalogen verwendet werden.

Microsoft Graph gibt die Ergebnisse auf Seiten zurück. Außerdem gibt Microsoft Graph in der @odata.nextLink-Eigenschaft mit jeder Antwort weiterhin einen Verweis auf die nächste Ergebnisseite zurück, bis alle Ergebnisseiten gelesen wurden. Um alle Ergebnisse zu lesen, müssen Sie weiterhin Microsoft Graph mit der in jeder Antwort zurückgegebenen @odata.nextLink-Eigenschaft aufrufen, bis die @odata.nextLink-Eigenschaft nicht mehr zurückgegeben wird, wie unter Paging der Microsoft Graph-Daten in Ihrer App beschrieben.

Identity Governance-Administratoren können Zugriffspakete aus mehreren Katalogen abrufen. Wenn einem Benutzer oder einem Anwendungsdienstprinzipal aber nur katalogspezifische delegierte Administratorrollen zugewiesen sind, muss mit der Anforderung ein Filter bereitgestellt werden, um ein bestimmtes Zugriffspaket anzugeben, z. B. $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.

Anzeigen von Zuweisungen mit PowerShell

Sie können Zuweisungen für ein Zugriffspaket in PowerShell auch mit dem Cmdlet Get-MgEntitlementManagementAssignment abrufen, das in den Microsoft Graph PowerShell-Cmdlets für Identitäts-Governance (Modulversion 2.1.x oder höher) enthalten ist. Dieses Skript veranschaulicht die Verwendung des Microsoft Graph PowerShell-Cmdlets (Modulversion 2.4.0), um alle Zuweisungen für ein bestimmtes Zugriffspaket abzurufen. Für dieses Cmdlet wird ein Parameter als Zugriffspaket-ID verwendet, der in der Antwort des Cmdlets Get-MgEntitlementManagementAccessPackage enthalten ist. Stellen Sie sicher, dass bei Verwendung des Get-MgEntitlementManagementAccessPackage-Cmdlets zum Einschließen des -All-Flags alle Seiten von Zuweisungen zurückgegeben werden.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Die vorherige Abfrage gibt Zuweisungen mit dem Status „Abgelaufen“ oder „Wird übermittelt“ sowie Zuweisungen mit dem Status „Übermittelt“ zurück. Wenn Sie Zuweisungen mit Status „Abgelaufen“ oder „Wird übermittelt“ ausschließen möchten, können Sie einen Filter verwenden, der die Zugriffspaket-ID sowie den Status der Zuweisungen enthält. Dieses Skript veranschaulicht die Verwendung eines Filters, um nur die Zuweisungen mit Status Delivered für ein bestimmtes Zugriffspaket abzurufen. Das Skript wird dann eine CSV-Datei assignments.csv mit einer Zeile pro Zuweisung generieren.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Direktes Zuweisen eines Benutzers

In einigen Fällen möchten Sie bestimmte Benutzer möglicherweise einem Zugriffspaket direkt zuweisen, damit diese das Zugriffspaket nicht extra anfordern müssen. Damit dies möglich ist, muss das Zugriffspaket eine Richtlinie enthalten, die direkte Zuweisungen eines Administrator erlaubt.

Hinweis

Beim Zuweisen von Benutzern zu einem Zugriffspaket müssen Administratoren überprüfen, ob die Benutzer basierend auf den vorhandenen Richtlinienanforderungen für dieses Zugriffspaket berechtigt sind. Andernfalls werden die Benutzer dem Zugriffspaket nicht erfolgreich zugewiesen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer, der Access-Paket-Manager und der Access-Paketzuweisungs-Manager.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.

  4. Wählen Sie im linken Menü die Option Zuweisungen aus.

  5. Wählen Sie Neue Zuweisung aus, um die Seite „Benutzer einem Zugriffspaket hinzufügen“ zu öffnen.

    Zuweisungen: Benutzer einem Zugriffspaket hinzufügen

  6. Wählen Sie in der Liste Richtlinie auswählen eine Richtlinie aus, von der künftige Anforderungen des Benutzers und der Lebenszyklus geregelt und verfolgt werden. Wenn für die ausgewählten Benutzer andere Richtlinieneinstellungen gelten sollen, können Sie Neue Richtlinie erstellen auswählen, um eine neue Richtlinie hinzuzufügen.

  7. Nach dem Auswählen einer Richtlinie können Sie Benutzer hinzufügen und dann auswählen, wem Sie dieses Zugriffspaket unter der ausgewählten Richtlinie zuweisen möchten.

    Hinweis

    Wenn Sie eine Richtlinie mit Fragen auswählen, können Sie nur jeweils einen Benutzer zuweisen.

  8. Legen Sie Datum und Uhrzeit fest, wann die Zuweisung der ausgewählten Benutzer beginnen und enden soll. Wenn Sie kein Enddatum angeben, werden die Lebenszykluseinstellungen der Richtlinie verwendet.

  9. Geben Sie zur Datenbankpflege optional eine Begründung für Ihre direkte Zuweisung an.

  10. Wenn die ausgewählte Richtlinie zusätzliche Informationen zur anfordernden Person enthält, wählen Sie Fragen anzeigen aus, um sie im Namen des Benutzers zu beantworten, und wählen Sie dann Speichern aus.

    Zuweisungen: Klicken auf „Fragen anzeigen“

    Zuweisungen: Bereich mit Fragen

  11. Wählen Sie Hinzufügen aus, um die ausgewählten Benutzer dem Zugriffspaket direkt zuzuweisen.

    Wählen Sie nach kurzer Zeit Aktualisieren aus, um die Benutzer in der Liste „Zuweisungen“ anzuzeigen.

Hinweis

Zugriffspaketzuweisungs-Manager können Genehmigungseinstellungen nicht mehr umgehen, wenn die Richtlinie eine Genehmigung erfordert. Dies bedeutet, dass Benutzer dem Paket nicht direkt zugewiesen werden können, ohne die erforderlichen Genehmigungen der zugewiesenen genehmigenden Personen zu erhalten. Falls Sie die Genehmigung umgehen müssen, wird empfohlen, eine zweite Richtlinie für das Zugriffspaket zu erstellen, das keine Genehmigung erfordert und nur für Benutzer vorgesehen ist, die Zugriff benötigen.

Direktes Zuweisen eines Benutzers (Vorschau)

Mit der Berechtigungsverwaltung können Sie auch externe Benutzer direkt einem Zugriffspaket zuweisen, um die Zusammenarbeit mit Partnern zu vereinfachen. Hierzu muss das Zugriffspaket über eine Richtlinie verfügen, mit der Benutzer, die sich noch nicht in Ihrem Verzeichnis befinden, den Zugriff anfordern können.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

    Tipp

    Andere Rollen mit geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer, der Access-Paket-Manager und der Access-Paketzuweisungs-Manager.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.

  4. Wählen Sie im linken Menü die Option Zuweisungen aus.

  5. Wählen Sie Neue Zuweisung aus, um die Seite Hinzufügen von Benutzern zu einem Zugriffspaket zu öffnen.

  6. Wählen Sie in der Liste Richtlinie auswählen eine Richtlinie aus, welche die Einstellung Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden zulässt.

  7. Wählen Sie Beliebiger Benutzer aus. Sie können angeben, welche Benutzer Sie diesem Zugriffspaket zuweisen möchten. Zuweisungen – Fügen Sie einen beliebigen Benutzer hinzu, um auf das Paket zuzugreifen

  8. Geben Sie den Namen des Benutzers (optional) und seine E-Mail-Adresse (erforderlich) ein.

    Hinweis

    • Der Benutzer, den Sie hinzufügen möchten, muss sich innerhalb des Gültigkeitsbereichs der Richtlinie befinden. Wenn Ihre Richtlinie beispielsweise auf Bestimmte verbundene Organisationen festgelegt ist, muss die E-Mail-Adresse des Benutzers aus einer der Domänen der ausgewählten Organisationen stammen. Wenn der Benutzer, den Sie hinzufügen möchten, die E-Mail-Adresse jen@foo.com hat, die Domäne der ausgewählten Organisation jedoch bar.com lautet, können Sie diesen Benutzer dem Zugriffspaket nicht hinzufügen.
    • Ähnliches gilt auch, wenn Sie Ihre Richtlinie auf Alle konfigurierten verbundenen Organisationen festlegen. Dann muss die E-Mail-Adresse des Benutzers aus einer der konfigurierten verbundenen Organisationen stammen. Sonst kann der Benutzer dem Zugriffspaket nicht hinzugefügt werden.
    • Wenn Sie dem Zugriffspaket einen Benutzer hinzufügen möchten, müssen Sie sicherstellen, dass Sie beim Konfigurieren Ihrer Richtlinie die Option Alle Benutzer (alle verbundenen Organisationen und alle externen Benutzer) auswählen.
  9. Legen Sie Datum und Uhrzeit fest, wann die Zuweisung der ausgewählten Benutzer beginnen und enden soll. Wenn Sie kein Enddatum angeben, werden die Lebenszykluseinstellungen der Richtlinie verwendet.

  10. Wählen Sie Hinzufügen aus, um die ausgewählten Benutzer dem Zugriffspaket direkt zuzuweisen.

  11. Wählen Sie nach kurzer Zeit Aktualisieren aus, um die Benutzer in der Liste „Zuweisungen“ anzuzeigen.

Programmgesteuertes direktes Zuweisen von Benutzern

Zuweisen eines Benutzers zu einem Zugriffspaket mit Microsoft Graph

Sie können einen Benutzer auch direkt mithilfe von Microsoft Graph einem Zugriffspaket zuweisen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.ReadWrite.All oder eine Anwendung mit dieser Anwendungsberechtigung verfügt, kann die API aufrufen, um die EntitlementManagement.ReadWrite.AllAnforderung accessPackageAssignmentRequest“ zu erstellen. Bei dieser Anforderung sollte der Wert der requestType-Eigenschaft adminAdd lauten, und die assignment-Eigenschaft ist hierbei eine Struktur, die die targetId des zugewiesenen Benutzers enthält.

Zuweisen eines Benutzers zu einem Zugriffspaket mit PowerShell

Sie können einem Benutzer ein Zugriffspaket in PowerShell mit dem Cmdlet New-MgEntitlementManagementAssignmentRequest zuweisen, das in den Microsoft Graph PowerShell-Cmdlets für Identitäts-Governance (Modulversion 2.1.x oder höher) enthalten ist. Dieses Skript veranschaulicht die Verwendung des Microsoft Graph PowerShell Cmdlets-Moduls Version 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Sie können auch Zuweisungen für vorhandene Benutzersammlungen in Ihrem Verzeichnis auffüllen, einschließlich der Zuweisungen, die einer Anwendung zugewiesen oder in einer Textdatei aufgeführt sind. Weitere Informationen finden Sie unter Hinzufügen von Zuweisungen vorhandener Benutzer, die bereits Zugriff auf die Anwendung haben haben, und Hinzufügen von Zuweisungen für alle weiteren Benutzer, die Zugriff auf die Anwendung haben sollen.

Sie können einem Zugriffspaket auch mehrere Benutzer aus Ihrem Verzeichnis mithilfe von PowerShell zuweisen. Verwenden Sie dazu das Cmdlet New-MgBetaEntitlementManagementAccessPackageAssignment, das in den PowerShell-Cmdlets für Identitäts-Governance von Microsoft Graph (ab Modulversion 2.4.0) enthalten ist. Für dieses Cmdlet werden die folgenden Parameter verwendet:

  • Zugriffspaket-ID, die in der Antwort des Cmdlets Get-MgEntitlementManagementAccessPackage enthalten ist
  • die ID der Zugriffspaket-Zuweisungsrichtlinie, die in der Richtlinie im Feld assignmentpolicies in der Antwort des Get-MgEntitlementManagementAccessPackage Cmdlets enthalten ist,
  • Objekt-IDs der Zielbenutzer, entweder als Array mit Zeichenfolgen oder als Liste mit Benutzermitgliedern, die vom Cmdlet Get-MgGroupMember zurückgegeben wird

Wenn Sie beispielsweise sicherstellen möchten, dass alle Benutzer, die derzeit Mitglied einer Gruppe sind, auch über die Zuweisung eines Zugriffspakets verfügen, können Sie dieses Cmdlet zum Erstellen von Anforderungen für die Benutzer verwenden, die derzeit keine Zuweisungen haben. Durch dieses Cmdlet werden Zuweisungen nur erstellt. Zuweisungen für Benutzer, die einer Gruppe nicht mehr angehören, werden nicht entfernt. Wenn Sie über die Zuweisungen eines Zugriffspakets verfügen wollen und die Mitgliedschaft einer Gruppe nachverfolgen möchten, um im Laufe der Zeit Zuweisungen hinzuzufügen und zu entfernen, verwenden Sie stattdessen eine Richtlinie für automatische Zuweisung.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Wenn Sie eine Zuweisung für Benutzer oder Benutzerinnen hinzufügen möchten, die sich noch nicht in Ihrem Verzeichnis befinden, können Sie das Cmdlet New-MgBetaEntitlementManagementAccessPackageAssignmentRequest aus den PowerShell-Cmdlets für Identitäts-Governance von Microsoft Graph (ab Beta-Modulversion 2.1.x) verwenden. Dieses Skript veranschaulicht die Verwendung des Microsoft Graph-beta-Profils und der Modulversion 2.4.0 der Microsoft Graph PowerShell-Cmdlets. Für dieses Cmdlet werden die folgenden Parameter verwendet:

  • Zugriffspaket-ID, die in der Antwort des Cmdlets Get-MgEntitlementManagementAccessPackage enthalten ist
  • die ID der Zugriffspaket-Zuweisungsrichtlinie, die in der Richtlinie im Feld assignmentpolicies in der Antwort des Get-MgEntitlementManagementAccessPackage Cmdlets enthalten ist,
  • Die E-Mail-Adresse des Zielbenutzers
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Konfigurieren der Zugriffszuweisung als Teil eines Lebenszyklus-Workflows

Im Feature für Microsoft Entra-Lebenszyklus-Workflows können Sie einem Onboardingworkflow die Aufgabe Anfordern von Benutzerzugriffspaketzuweisung hinzufügen. Die Aufgabe kann ein Zugriffspaket angeben, über das Benutzer*innen verfügen sollen. Wenn der Workflow für einen Benutzer ausgeführt wird, wird automatisch eine Anforderung für die Zuweisung des Zugriffspakets erstellt.

  1. Melden Sie sich beim Microsoft Entra Admin Center mit mindestens den Rollen Identity Governance-Administrator und Lifecycle Workflows Administrator an.

  2. Navigieren Sie zu Identity Governance>Lebenszyklus-Workflows>Workflows.

  3. Wählen Sie einen Workflow für Mitarbeiteronboarding oder Mitarbeiterwechsel aus.

  4. Wählen Sie Aufgaben und dann Aufgabe hinzufügen aus.

  5. Wählen Sie Benutzerzugriffspaketzuweisung anfordern und dann Hinzufügen aus.

  6. Wählen Sie die neu hinzugefügte Aufgabe aus.

  7. Wählen Sie Zugriffspaket auswählen und dann das Zugriffspaket aus, dem die neuen oder wechselnden Benutzer*innen zugewiesen werden sollen.

  8. Wählen Sie Richtlinie auswählen und dann die Richtlinie für die Zugriffspaketzuweisung in diesem Zugriffspaket aus.

  9. Wählen Sie Speichern aus.

Entfernen einer Zuweisung

Sie können eine Zuweisung entfernen, die zuvor von einem Benutzer oder Administrator angefordert wurde.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.

  2. Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.

  3. Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.

  4. Wählen Sie im linken Menü die Option Zuweisungen aus.

  5. Aktivieren Sie das Kontrollkästchen neben dem Benutzer, dessen Zuweisung Sie aus dem Zugriffspaket entfernen möchten.

  6. Wählen Sie oben im linken Bereich die Schaltfläche Entfernen aus.

    Zuweisungen: Entfernen des Benutzers aus dem Zugriffspaket

    Eine Benachrichtigung wird angezeigt, in der Sie darüber informiert werden, dass die Zuweisung entfernt wurde.

Programmgesteuertes Entfernen einer Zuweisung

Entfernen einer Zuweisung mit Microsoft Graph

Sie können die Zuweisung eines Benutzers zu einem Zugriffspaket auch entfernen, indem Sie Microsoft Graph verwenden. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.ReadWrite.All oder eine Anwendung mit dieser Anwendungsberechtigung verfügt, kann die API aufrufen, um die EntitlementManagement.ReadWrite.AllAnforderung accessPackageAssignmentRequest“ zu erstellen. Bei dieser Anforderung sollte der Wert der requestType-Eigenschaft adminRemove lauten, und die assignment-Eigenschaft ist hierbei eine Struktur, die die id-Eigenschaft für die Identifizierung des zu entfernenden accessPackageAssignment-Elements enthält.

Entfernen einer Zuweisung mit PowerShell

Sie können die Zuweisung eines Benutzers in PowerShell mit dem Cmdlet New-MgEntitlementManagementAssignmentRequest aus dem Modul der Microsoft Graph PowerShell-Cmdlets für Identitäts-Governance Version 2.1.x oder einer späteren Modulversion entfernen. Dieses Skript veranschaulicht die Verwendung des Microsoft Graph PowerShell Cmdlets-Moduls Version 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Konfigurieren des Entfernens von Zuweisungen als Teil eines Lebenszyklus-Workflows

Im Feature für Microsoft Entra-Lebenszyklus-Workflows können Sie einem Offboardingworkflow die Aufgabe Aufheben einer Zugriffspaketzuweisung für Benutzer hinzufügen. Diese Aufgabe kann ein Zugriffspaket angeben, dem Benutzer*innen unter Umständen zugewiesen sind. Wenn der Workflow für einen Benutzer ausgeführt wird, wird dessen Zugriffspaketzuweisung automatisch entfernt.

  1. Melden Sie sich beim Microsoft Entra Admin Center mit mindestens den Rollen Identity Governance-Administrator und Lifecycle Workflows Administrator an.

  2. Navigieren Sie zu Identity Governance>Lebenszyklus-Workflows>Workflows.

  3. Wählen Sie einen Workflow für das Mitarbeiteroffboarding aus.

  4. Wählen Sie Aufgaben und dann Aufgabe hinzufügen aus.

  5. Wählen Sie Zugriffspaketzuweisung für Benutzer aufheben und dann Hinzufügen aus.

  6. Wählen Sie die neu hinzugefügte Aufgabe aus.

  7. Wählen Sie Zugriffspakete auswählen und dann die Zugriffspakete aus, die für Benutzer*innen, für die das Offboarding ausgeführt wird, entfernt werden sollen.

  8. Wählen Sie Speichern aus.

Nächste Schritte