Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket in der Berechtigungsverwaltung
In der Berechtigungsverwaltung können Sie sehen, wem Berechtigungen für den Zugriff auf Pakete sowie auf die zugehörige Richtlinie, den Status und den Benutzerlebenszyklus zugewiesen wurde (Vorschau). Wenn ein Zugriffspaket eine geeignete Richtlinie enthält, können Sie dem Zugriffspaket auch direkt Benutzer zuweisen. In diesem Artikel wird beschrieben, wie Zuweisungen für Zugriffspakete angezeigt, hinzugefügt und entfernt werden.
Voraussetzungen
Um die Berechtigungsverwaltung verwenden und Zugriffspaketen Benutzer zuweisen zu können, benötigen Sie eine der folgenden Lizenzen:
- Microsoft Entra ID P2
- Enterprise Mobility + Security (EMS) E5-Lizenz
- Microsoft Entra ID Governance-Abonnement
Anzeigen von Benutzern mit Zuweisung
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Erforderliche Rolle: Globaler Administrator, Identity Governance-Administrator, Katalogbesitzer, Zugriffspaket-Manager oder Zugriffspaket-Zuweisungs-Manager
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.
Wählen Sie Zuweisungen aus, um eine Liste der aktiven Zuweisungen anzuzeigen.
Wählen Sie eine bestimmte Zuweisung aus, um weitere Details anzuzeigen.
Wenn Sie eine Liste mit den Zuweisungen anzeigen möchten, bei denen nicht alle Ressourcenrollen ordnungsgemäß bereitgestellt wurden, wählen Sie den Filterstatus und anschließend Wird übermittelt aus.
Zusätzliche Details zu Übermittlungsfehlern werden auf der Seite Anforderungen unter der Anforderung des jeweiligen Benutzers angezeigt.
Wählen Sie zum Anzeigen abgelaufener Zuweisungen den Filterstatus und anschließend Abgelaufen aus.
Durch Auswählen von Herunterladen können Sie die gefilterte Liste als CSV-Datei herunterladen.
Programmgesteuertes Anzeigen von Zuweisungen
Anzeigen von Zuweisungen mit Microsoft Graph
Sie können auch mithilfe von Microsoft Graph Zuweisungen in einem Zugriffspaket abrufen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.Read.All oder EntitlementManagement.ReadWrite.All verfügt, kann die API aufrufen, um „accessPackageAssignments“ aufzulisten. Für eine Anwendung, die über die Anwendungsberechtigung EntitlementManagement.Read.All oder EntitlementManagement.ReadWrite.All verfügt, kann diese API ebenfalls zum Abrufen von Zuweisungen aus allen Katalogen verwendet werden.
Microsoft Graph gibt die Ergebnisse auf Seiten und weiterhin einen Verweis auf die nächste Seite der Ergebnisse in der @odata.nextLink-Eigenschaft mit jeder Antwort zurück, bis alle Seiten der Ergebnisse gelesen wurden. Um alle Ergebnisse zu lesen, müssen Sie weiterhin Microsoft Graph mit der in jeder Antwort zurückgegebenen @odata.nextLink-Eigenschaft aufrufen, bis die @odata.nextLink-Eigenschaft nicht mehr zurückgegeben wird, wie unter Paging der Microsoft Graph-Daten in Ihrer App beschrieben.
Ein Identity Governance-Administrator kann Zugriffspakete aus mehreren Katalogen abrufen. Wenn einem Benutzer oder einem Anwendungsdienstprinzipal aber nur katalogspezifische delegierte Administratorrollen zugewiesen sind, muss mit der Anforderung ein Filter bereitgestellt werden, um ein bestimmtes Zugriffspaket anzugeben, z. B. $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'.
Anzeigen von Zuweisungen mit PowerShell
Sie können Zuweisungen für ein Zugriffspaket in PowerShell auch mit dem Cmdlet Get-MgEntitlementManagementAssignment abrufen, das in den Microsoft Graph PowerShell-Cmdlets für Identitäts-Governance (Modulversion 2.1.x oder höher) enthalten ist. Dieses Skript veranschaulicht die Verwendung des Microsoft Graph PowerShell-Cmdlets (Modulversion 2.4.0), um alle Zuweisungen für ein bestimmtes Zugriffspaket abzurufen. Für dieses Cmdlet wird ein Parameter als Zugriffspaket-ID verwendet, der in der Antwort des Cmdlets Get-MgEntitlementManagementAccessPackage enthalten ist. Stellen Sie sicher, dass bei Verwendung des Get-MgEntitlementManagementAccessPackage-Cmdlets zum Einschließen des -All-Flags alle Seiten von Zuweisungen zurückgegeben werden.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
Die vorherige Abfrage gibt Zuweisungen mit dem Status „abgelaufen“ oder „wird übermittelt“ sowie Zuweisungen mit dem Status „übermittelt“ zurück. Wenn Sie Zuweisungen mit Status „abgelaufen“ oder „wird übermittelt“ ausschließen möchten, können Sie einen Filter verwenden, der die Zugriffspaket-ID sowie den Status der Zuweisungen enthält. Dieses Skript veranschaulicht die Verwendung eines Filters, um nur die Zuweisungen mit Status Delivered für ein bestimmtes Zugriffspaket abzurufen. Das Skript wird dann eine CSV-Datei assignments.csv mit einer Zeile pro Zuweisung generieren.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Direktes Zuweisen eines Benutzers
In einigen Fällen möchten Sie bestimmte Benutzer möglicherweise einem Zugriffspaket direkt zuweisen, damit diese das Zugriffspaket nicht extra anfordern müssen. Damit dies möglich ist, muss das Zugriffspaket eine Richtlinie enthalten, die direkte Zuweisungen eines Administrator erlaubt.
Erforderliche Rolle: Globaler Administrator, Identity Governance-Administrator, Katalogbesitzer, Zugriffspaket-Manager oder Zugriffspaket-Zuweisungsmanager
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.
Wählen Sie im linken Menü die Option Zuweisungen aus.
Wählen Sie Neue Zuweisung aus, um die Seite „Benutzer einem Zugriffspaket hinzufügen“ zu öffnen.
Wählen Sie in der Liste Richtlinie auswählen eine Richtlinie aus, von der künftige Anforderungen des Benutzers und der Lebenszyklus geregelt und verfolgt werden. Wenn für die ausgewählten Benutzer andere Richtlinieneinstellungen gelten sollen, können Sie Neue Richtlinie erstellen auswählen, um eine neue Richtlinie hinzuzufügen.
Nach dem Auswählen einer Richtlinie können Sie Benutzer hinzufügen und dann die Benutzer auswählen, denen Sie dieses Zugriffspaket unter der ausgewählten Richtlinie zuweisen möchten.
Hinweis
Wenn Sie eine Richtlinie mit Fragen auswählen, können Sie nur jeweils einen Benutzer zuweisen.
Legen Sie Datum und Uhrzeit fest, wann die Zuweisung der ausgewählten Benutzer beginnen und enden soll. Wenn Sie kein Enddatum angeben, werden die Lebenszykluseinstellungen der Richtlinie verwendet.
Geben Sie zur Datenbankpflege optional eine Begründung für Ihre direkte Zuweisung an.
Wenn die ausgewählte Richtlinie zusätzliche Informationen zur anfordernden Person enthält, wählen Sie Fragen anzeigen aus, um sie im Namen des Benutzers zu beantworten, und wählen Sie dann Speichern aus.
Wählen Sie Hinzufügen aus, um die ausgewählten Benutzer dem Zugriffspaket direkt zuzuweisen.
Wählen Sie nach kurzer Zeit Aktualisieren aus, um die Benutzer in der Liste „Zuweisungen“ anzuzeigen.
Hinweis
Beim Zuweisen von Benutzern zu einem Zugriffspaket müssen Administratoren überprüfen, ob die Benutzer basierend auf den vorhandenen Richtlinienanforderungen für dieses Zugriffspaket berechtigt sind. Andernfalls werden die Benutzer dem Zugriffspaket nicht erfolgreich zugewiesen. Wenn das Zugriffspaket eine Richtlinie enthält, die erfordert, dass Benutzeranforderungen genehmigt werden, können Benutzer dem Paket nicht direkt zugewiesen werden, ohne dass diese Zuweisung von den festgelegten genehmigenden Benutzern genehmigt wurde.
Direktes Zuweisen eines Benutzers (Vorschau)
Mit der Berechtigungsverwaltung können Sie auch externe Benutzer direkt einem Zugriffspaket zuweisen, um die Zusammenarbeit mit Partnern zu vereinfachen. Hierzu muss das Zugriffspaket über eine Richtlinie verfügen, mit der Benutzer, die sich noch nicht in Ihrem Verzeichnis befinden, den Zugriff anfordern können.
Erforderliche Rolle: Globaler Administrator, Identity Governance-Administrator, Katalogbesitzer, Zugriffspaket-Manager oder Zugriffspaket-Zuweisungsmanager
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.
Wählen Sie im linken Menü die Option Zuweisungen aus.
Wählen Sie Neue Zuweisung aus, um die Seite Hinzufügen von Benutzern zu einem Zugriffspaket zu öffnen.
Wählen Sie in der Liste Richtlinie auswählen eine Richtlinie aus, welche die Einstellung Für Benutzer, die sich nicht in Ihrem Verzeichnis befinden zulässt.
Wählen Sie Beliebiger Benutzer aus. Sie können angeben, welche Benutzer und Benutzerinnen diesem Zugriffspaket zugewiesen werden sollen.
Geben Sie den Namen des Benutzers (optional) und seine E-Mail-Adresse (erforderlich) ein.
Hinweis
- Der Benutzer, den Sie hinzufügen möchten, muss sich innerhalb des Gültigkeitsbereichs der Richtlinie befinden. Wenn Ihre Richtlinie beispielsweise auf Bestimmte verbundene Organisationen festgelegt ist, muss die E-Mail-Adresse des Benutzers aus einer der Domänen der ausgewählten Organisationen stammen. Wenn der Benutzer, den Sie hinzufügen möchten, die E-Mail-Adresse jen@foo.com hat, die Domäne der ausgewählten Organisation jedoch bar.com lautet, können Sie diesen Benutzer dem Zugriffspaket nicht hinzufügen.
- Ähnliches gilt auch, wenn Sie Ihre Richtlinie auf Alle konfigurierten verbundenen Organisationen festlegen. Dann muss die E-Mail-Adresse des Benutzers aus einer der konfigurierten verbundenen Organisationen stammen. Sonst kann der Benutzer dem Zugriffspaket nicht hinzugefügt werden.
- Wenn Sie dem Zugriffspaket einen Benutzer hinzufügen möchten, müssen Sie sicherstellen, dass Sie beim Konfigurieren Ihrer Richtlinie die Option Alle Benutzer (alle verbundenen Organisationen und alle externen Benutzer) auswählen.
Legen Sie Datum und Uhrzeit fest, wann die Zuweisung der ausgewählten Benutzer beginnen und enden soll. Wenn Sie kein Enddatum angeben, werden die Lebenszykluseinstellungen der Richtlinie verwendet.
Wählen Sie Hinzufügen aus, um die ausgewählten Benutzer dem Zugriffspaket direkt zuzuweisen.
Wählen Sie nach kurzer Zeit Aktualisieren aus, um die Benutzer in der Liste „Zuweisungen“ anzuzeigen.
Programmgesteuertes direktes Zuweisen von Benutzern
Zuweisen eines Benutzers zu einem Zugriffspaket mit Microsoft Graph
Sie können einen Benutzer auch direkt mithilfe von Microsoft Graph einem Zugriffspaket zuweisen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.ReadWrite.All oder eine Anwendung mit dieser Anwendungsberechtigung verfügt, kann die API aufrufen, um die EntitlementManagement.ReadWrite.AllAnforderung accessPackageAssignmentRequest“ zu erstellen. Bei dieser Anforderung sollte der Wert der requestType-Eigenschaft adminAdd lauten, und die assignment-Eigenschaft ist hierbei eine Struktur, die die targetId des zugewiesenen Benutzers enthält.
Zuweisen eines Benutzers zu einem Zugriffspaket mit PowerShell
Sie können einem Benutzer ein Zugriffspaket in PowerShell mit dem Cmdlet New-MgEntitlementManagementAssignmentRequest zuweisen, das in den Microsoft Graph PowerShell-Cmdlets für Identitäts-Governance (Modulversion 2.1.x oder höher) enthalten ist. Dieses Skript veranschaulicht die Verwendung des Microsoft Graph PowerShell Cmdlets-Moduls Version 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
Sie können einem Zugriffspaket auch mehrere Benutzer aus Ihrem Verzeichnis mithilfe von PowerShell zuweisen. Verwenden Sie dazu das Cmdlet New-MgBetaEntitlementManagementAccessPackageAssignment, das in den PowerShell-Cmdlets für Identitäts-Governance von Microsoft Graph (ab Modulversion 2.4.0) enthalten ist. Für dieses Cmdlet werden die folgenden Parameter verwendet:
- Zugriffspaket-ID, die in der Antwort des Cmdlets
Get-MgEntitlementManagementAccessPackageenthalten ist - die ID der Zugriffspaket-Zuweisungsrichtlinie, die in der Richtlinie im Feld
assignmentpoliciesin der Antwort desGet-MgEntitlementManagementAccessPackageCmdlets enthalten ist, - Objekt-IDs der Zielbenutzer, entweder als Array mit Zeichenfolgen oder als Liste mit Benutzermitgliedern, die vom Cmdlet
Get-MgGroupMemberzurückgegeben wird
Wenn Sie beispielsweise sicherstellen möchten, dass alle Benutzer, die derzeit Mitglied einer Gruppe sind, auch über die Zuweisung eines Zugriffspakets verfügen, können Sie dieses Cmdlet zum Erstellen von Anforderungen für die Benutzer verwenden, die derzeit keine Zuweisungen haben. Beachten Sie, dass durch dieses Cmdlet nur Zuweisungen erstellt werden. Zuweisungen für Benutzer, die einer Gruppe nicht mehr angehören, werden nicht entfernt.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Wenn Sie eine Zuweisung für Benutzer oder Benutzerinnen hinzufügen möchten, die sich noch nicht in Ihrem Verzeichnis befinden, können Sie das Cmdlet New-MgBetaEntitlementManagementAccessPackageAssignmentRequest aus den PowerShell-Cmdlets für Identitäts-Governance von Microsoft Graph (ab Beta-Modulversion 2.1.x) verwenden. Dieses Skript veranschaulicht die Verwendung des Graph-beta-Profils und der Modulversion 2.4.0 der Microsoft Graph PowerShell-Cmdlets. Für dieses Cmdlet werden die folgenden Parameter verwendet:
- Zugriffspaket-ID, die in der Antwort des Cmdlets
Get-MgEntitlementManagementAccessPackageenthalten ist - die ID der Zugriffspaket-Zuweisungsrichtlinie, die in der Richtlinie im Feld
assignmentpoliciesin der Antwort desGet-MgEntitlementManagementAccessPackageCmdlets enthalten ist, - Die E-Mail-Adresse des Zielbenutzers
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Konfigurieren der Zugriffszuweisung als Teil eines Lebenszyklus-Workflows
Im Feature für Microsoft Entra-Lebenszyklus-Workflows können Sie einem Onboardingworkflow die Aufgabe Anfordern von Benutzerzugriffspaketzuweisung hinzufügen. Die Aufgabe kann ein Zugriffspaket angeben, über das Benutzer*innen verfügen sollen. Wenn der Workflow für einen Benutzer oder eine Benutzerin ausgeführt wird, wird automatisch eine Anforderung für die Zugriffspaketzuweisung erstellt.
Melden Sie sich beim Microsoft Entra-Admin Center mit der Rolle „Globaler Administrator“ an.
Navigieren Sie zu Identity Governance>Lebenszyklus-Workflows>Workflows.
Wählen Sie einen Workflow für Mitarbeiteronboarding oder Mitarbeiterwechsel aus.
Wählen Sie Aufgaben und dann Aufgabe hinzufügen aus.
Wählen Sie Benutzerzugriffspaketzuweisung anfordern und dann Hinzufügen aus.
Wählen Sie die neu hinzugefügte Aufgabe aus.
Wählen Sie Zugriffspaket auswählen und dann das Zugriffspaket aus, dem die neuen oder wechselnden Benutzer*innen zugewiesen werden sollen.
Wählen Sie Richtlinie auswählen und dann die Richtlinie für die Zugriffspaketzuweisung in diesem Zugriffspaket aus.
Wählen Sie Speichern aus.
Entfernen einer Zuweisung
Sie können eine Zuweisung entfernen, die zuvor von einem Benutzer oder Administrator angefordert wurde.
Erforderliche Rolle: Globaler Administrator, Identity Governance-Administrator, Katalogbesitzer, Zugriffspaket-Manager oder Zugriffspaket-Zuweisungsmanager
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite Zugriffspakete ein Zugriffspaket.
Wählen Sie im linken Menü die Option Zuweisungen aus.
Aktivieren Sie das Kontrollkästchen neben dem Benutzer, dessen Zuweisung Sie aus dem Zugriffspaket entfernen möchten.
Wählen Sie oben im linken Bereich die Schaltfläche Entfernen aus.
Eine Benachrichtigung wird angezeigt, in der Sie darüber informiert werden, dass die Zuweisung entfernt wurde.
Programmgesteuertes Entfernen einer Zuweisung
Entfernen einer Zuweisung mit Microsoft Graph
Sie können die Zuweisung eines Benutzers zu einem Zugriffspaket auch entfernen, indem Sie Microsoft Graph verwenden. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.ReadWrite.All oder eine Anwendung mit dieser Anwendungsberechtigung verfügt, kann die API aufrufen, um die EntitlementManagement.ReadWrite.AllAnforderung accessPackageAssignmentRequest“ zu erstellen. Bei dieser Anforderung sollte der Wert der requestType-Eigenschaft adminRemove lauten, und die assignment-Eigenschaft ist hierbei eine Struktur, die die id-Eigenschaft für die Identifizierung des zu entfernenden accessPackageAssignment-Elements enthält.
Entfernen einer Zuweisung mit PowerShell
Sie können die Zuweisung eines Benutzers in PowerShell mit dem Cmdlet New-MgEntitlementManagementAssignmentRequest aus dem Modul der Microsoft Graph PowerShell-Cmdlets für Identitäts-Governance Version 2.1.x oder einer späteren Modulversion entfernen. Dieses Skript veranschaulicht die Verwendung des Microsoft Graph PowerShell Cmdlets-Moduls Version 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Konfigurieren des Entfernens von Zuweisungen als Teil eines Lebenszyklus-Workflows
Im Feature für Microsoft Entra-Lebenszyklus-Workflows können Sie einem Offboardingworkflow die Aufgabe Aufheben einer Zugriffspaketzuweisung für Benutzer hinzufügen. Diese Aufgabe kann ein Zugriffspaket angeben, dem Benutzer*innen unter Umständen zugewiesen sind. Wenn der Workflow für einen Benutzer oder eine Benutzerin ausgeführt wird, wird die Zugriffspaketzuweisung automatisch entfernt.
Melden Sie sich beim Microsoft Entra-Admin Center mit der Rolle „Globaler Administrator“ an.
Navigieren Sie zu Identity Governance>Lebenszyklus-Workflows>Workflows.
Wählen Sie einen Workflow für das Mitarbeiteroffboarding aus.
Wählen Sie Aufgaben und dann Aufgabe hinzufügen aus.
Wählen Sie Zugriffspaketzuweisung für Benutzer aufheben und dann Hinzufügen aus.
Wählen Sie die neu hinzugefügte Aufgabe aus.
Wählen Sie Zugriffspakete auswählen und dann die Zugriffspakete aus, die für Benutzer*innen, für die das Offboarding ausgeführt wird, entfernt werden sollen.
Wählen Sie Speichern aus.