Freigeben über

Erstellen eines Zugriffspakets in der Berechtigungsverwaltung

Mit einem Zugriffspaket können Sie Ressourcen und Richtlinien einmalig so einrichten, dass der Zugriff für die gesamte Lebensdauer des Zugriffspakets automatisch verwaltet wird. In diesem Artikel wird das Erstellen eines Zugriffspakets beschrieben.

Übersicht

Alle Zugriffspakete müssen sich in einem Container befinden, der als „Katalog“ bezeichnet wird. In einem Katalog wird definiert, welche Ressourcen Sie Ihrem Zugriffspaket hinzufügen können. Wenn Sie keinen Katalog angeben, wird Ihr Zugriffspaket in den Katalog „Allgemein“ eingefügt. Derzeit können Sie vorhandene Pakete nicht in einen anderen Katalog verschieben.

Ein Zugriffspaket kann verwendet werden, um den Zugriff auf Rollen von mehreren Ressourcen zuzuweisen, die sich im Katalog befinden. Wenn Sie Administrator oder Katalogbesitzer sind, können Sie beim Erstellen eines Zugriffspakets Ressourcen zum Katalog hinzufügen. Sie können auch Ressourcen hinzufügen, nachdem das Zugriffspaket erstellt wurde, und Benutzer, die dem Zugriffspaket zugewiesen sind, erhalten auch die zusätzlichen Ressourcen.

Wenn Sie ein Zugriffspaket-Manager sind, können Sie keine eigenen Ressourcen zu einem Katalog hinzufügen. Sie können nur die im Katalog verfügbaren Ressourcen verwenden. Wenn Sie einem Katalog Ressourcen hinzufügen müssen, können Sie den Katalogbesitzer darum bitten.

Alle Zugriffspakete müssen über mindestens eine Richtlinie für Benutzer verfügen, die ihnen zugewiesen werden sollen. Richtlinien geben an, wer das Zugriffspaket anfordern kann, zusammen mit Genehmigungs- und Lebenszykluseinstellungen, oder wie der Zugang automatisch zugewiesen wird. Beim Erstellen eines Zugriffspakets können Sie eine anfängliche Richtlinie für in Ihrem Verzeichnis enthaltene Benutzer, nicht in Ihrem Verzeichnis enthaltene Benutzer oder nur direkte Administratorzuweisungen erstellen.

Diagramm eines Beispielmarketingkatalogs, einschließlich seiner Ressourcen und seines Zugriffspakets.

Nachfolgend sind die grundlegenden Schritte zum Erstellen eines Zugriffspakets mit einer anfänglichen Richtlinie aufgeführt:

  1. Starten Sie in Identity Governance den Prozess zum Erstellen eines Zugriffspakets.

  2. Wählen Sie den Katalog aus, in dem Sie das Zugriffspaket ablegen möchten, und stellen Sie sicher, dass es über die erforderlichen Ressourcen verfügt.

  3. Fügen Sie Ressourcenrollen von Ressourcen im Katalog zu Ihrem Zugriffspaket hinzu.

  4. Geben Sie eine anfängliche Richtlinie für Benutzer an, die Zugriff anfordern können.

  5. Geben Sie Genehmigungseinstellungen und Lebenszykluseinstellungen in dieser Richtlinie an.

Nachdem das Zugriffspaket erstellt wurde, können Sie die ausgeblendete Einstellung ändern, Ressourcenrollen hinzufügen oder entfernen und zusätzliche Richtlinien hinzufügen.

Starten des Erstellungsprozesses

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitätsverwaltungsadministrator an.

    Tipp

    Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer oder der Access-Paket-Manager.

  2. Navigieren Sie zu ID-Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie "Neues Zugriffspaket" aus.

    Screenshot der Schaltfläche zum Erstellen eines neuen Zugriffspakets im Microsoft Entra Admin Center.

Konfigurieren von Grundlagen

Auf der Registerkarte " Grundlagen " geben Sie dem Zugriffspaket einen Namen und geben an, in welchem Katalog das Zugriffspaket erstellt werden soll.

  1. Geben Sie einen Anzeigenamen und eine Beschreibung für das Zugriffspaket ein. Benutzer sehen diese Informationen, wenn sie eine Anforderung für das Zugriffspaket senden.

  2. Wählen Sie in der Dropdownliste "Katalog " den Katalog aus, in dem Sie das Zugriffspaket platzieren möchten. Beispielsweise verfügen Sie möglicherweise über einen Katalogbesitzer, der alle Marketingressourcen verwaltet, die angefordert werden können. In diesem Fall können Sie den Marketingkatalog auswählen.

    Es werden nun Kataloge angezeigt, in denen Sie Zugriffspakete erstellen dürfen. Um ein Zugriffspaket in einem vorhandenen Katalog zu erstellen, müssen Sie mindestens ein Identity Governance-Administrator sein. Oder Sie müssen Katalogbesitzer oder Zugriffspaket-Manager in diesem Katalog sein.

    Screenshot, der grundlegende Informationen für ein neues Zugriffspaket zeigt.

    Wenn Sie mindestens ein/eine Identitätsgovernance-Administrator/in oder Katalogersteller/in sind und Ihr Zugriffspaket in einem neuen Katalog erstellen möchten, der nicht aufgeführt ist, wählen Sie Neuen Katalog erstellen aus. Geben Sie den Katalognamen und die Beschreibung ein, und wählen Sie dann "Erstellen" aus.

    Das Zugriffspaket, das Sie erstellen, und alle darin enthaltenen Ressourcen werden dem neuen Katalog hinzugefügt. Später können Sie den Ressourcen, die Sie im Katalog einfügen, weitere Katalogbesitzer oder Attribute hinzufügen. Weitere Informationen zum Bearbeiten der Attributliste für eine bestimmte Katalogressource und die erforderlichen Rollen finden Sie unter Hinzufügen von Ressourcenattributen im Katalog.

  3. Wählen Sie Weiter: Ressourcenrollen aus.

Auswählen von Ressourcenrollen

Auf der Registerkarte " Ressourcenrollen " wählen Sie die Ressourcen aus, die in das Zugriffspaket aufgenommen werden sollen. Benutzende, die das Zugriffspaket anfordern und erhalten, erhalten alle Ressourcenrollen, wie z. B. die Gruppenmitgliedschaft im Zugriffspaket.

Wenn Sie nicht sicher sind, welche Ressourcenrollen einbezogen werden sollen, können Sie sie beim Erstellen des Zugriffspakets überspringen und sie später hinzufügen .

  1. Wählen Sie den Ressourcentyp aus, den Sie hinzufügen möchten (Gruppen und Teams, Anwendungen oder SharePoint-Websites).

  2. Wählen Sie im daraufhin angezeigten Bereich "Anwendungen auswählen" eine oder mehrere Ressourcen aus der Liste aus.

    Screenshot des Bereichs zum Auswählen von Anwendungen für Ressourcenrollen in einem neuen Zugriffspaket.

    Wenn Sie das Zugriffspaket im Katalog „Allgemein“ oder einem neuen Katalog erstellen, können Sie beliebige Ressourcen aus dem Verzeichnis in Ihrem Besitz auswählen. Sie müssen mindestens ein Identity Governance-Administrator oder ein Katalogersteller sein.

    Hinweis

    Sie können dynamische Mitgliedergruppen zu einem Katalog und einem Zugriffspaket hinzufügen. Sie können jedoch nur die Rolle „Besitzer“ auswählen, wenn Sie in einem Zugriffspaket eine dynamische Gruppenressource verwalten.

    Wenn Sie das Zugriffspaket in einem vorhandenen Katalog erstellen, können Sie jede bereits im Katalog vorhandene Ressource auswählen, ohne deren Besitzer zu sein.

    Wenn Sie mindestens ein Identity Governance-Administrator oder Katalogbesitzer sind, haben Sie die zusätzliche Option, Ressourcen auszuwählen, die Sie besitzen oder verwalten, die aber noch nicht im Katalog enthalten sind. Wenn Sie Ressourcen im Verzeichnis auswählen, die derzeit nicht im ausgewählten Katalog vorhanden sind, werden diese Ressourcen ebenfalls dem Katalog hinzugefügt, sodass andere Katalog-Administratoren Zugriffspakete damit erstellen können. Um alle Ressourcen im Verzeichnis anzuzeigen, die dem Katalog hinzugefügt werden können, aktivieren Sie oben im Bereich das Kontrollkästchen "Alle anzeigen ". Wenn Sie nur Ressourcen auswählen möchten, die sich derzeit im ausgewählten Katalog befinden, lassen Sie das Kontrollkästchen "Alle anzeigen " deaktiviert (Standardzustand).

  3. Wählen Sie in der Rollenliste die Rolle aus, der Benutzer für die Ressource zugewiesen werden sollen. Weitere Informationen zum Auswählen der geeigneten Rollen für eine Ressource finden Sie unter Ermitteln der Ressourcenrollen, die in ein Zugriffspaket eingeschlossen werden sollen.

    Screenshot, der die Auswahl der Ressourcenrolle für ein neues Zugriffspaket zeigt.

  4. Für Gruppen, die von Privileged Identity Management verwaltet werden, stehen sowohl aktive als auch berechtigte Rollen als Optionen zur Verfügung. Screenshot der verfügbaren Rollen, die PIM für Gruppenressourcen im Rahmen eines Zugriffspakets zugeordnet werden können.

  5. Wählen Sie "Weiter" aus: Anforderungen.

Erstellen der ursprünglichen Richtlinie

Auf der Registerkarte "Anforderungen " erstellen Sie die erste Richtlinie, um anzugeben, wer das Zugriffspaket anfordern kann. Sie legen auch die Genehmigungseinstellungen für diese Richtlinie fest. Später können Sie nach dem Erstellen des Zugriffspakets mit dieser anfänglichen Richtlinie weitere Richtlinien hinzufügen , um zusätzliche Benutzergruppen das Zugriffspaket mit eigenen Genehmigungseinstellungen anzufordern oder den Zugriff automatisch zuzuweisen.

Screenshot der Registerkarte

Je nachdem, welche Benutzer das Zugriffspaket anfordern können sollen, führen Sie die Schritte in einem der folgenden Abschnitte aus: Benutzern in Ihrem Verzeichnis erlauben, das Zugriffspaket anzufordern, Benutzern, die nicht in Ihrem Verzeichnis sind, erlauben, das Zugriffspaket anzufordern oder nur direkte Zuweisungen durch Administratoren zulassen. Wenn Sie nicht sicher sind, welche Anforderungs- oder Genehmigungseinstellungen Sie benötigen, planen Sie, Zuweisungen für Benutzer zu erstellen, die bereits Zugriff auf die zugrunde liegenden Ressourcen haben, oder Sie beabsichtigen, automatische Zuordnungsrichtlinien für das Zugriffspaket zu verwenden, um den Zugriff zu automatisieren, und wählen Sie dann die direkte Zuordnungsrichtlinie als erste Richtlinie aus.

Benutzern in Ihrem Verzeichnis erlauben, das Zugriffspaket anzufordern

Führen Sie die folgenden Schritte aus, wenn Sie möchten, dass Benutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Beim Definieren der Anforderungsrichtlinie können Sie einzelne Benutzer oder Gruppen von Benutzern angeben. Beispielsweise verfügt Ihre Organisation möglicherweise bereits über eine Gruppe wie "Alle Mitarbeiter". Wenn diese Gruppe in die Richtlinie für Benutzer eingefügt wird, die Zugriff anfordern können, können alle Mitglieder dieser Gruppe Zugriff anfordern.

  1. Wählen Sie im Abschnitt "Benutzer, die Zugriff anfordern können " die Option "Für Benutzer in Ihrem Verzeichnis" aus.

    Wenn Sie diese Option auswählen, werden neue Optionen angezeigt, sodass Sie weiter verfeinern können, wer in Ihrem Verzeichnis dieses Zugriffspaket anfordern kann.

    Screenshot der Option zum Zulassen, dass Benutzer und Gruppen im Verzeichnis ein Zugriffspaket anfordern können.

  2. Wählen Sie eine der folgenden Optionen aus:

    Auswahlmöglichkeit BESCHREIBUNG
    Bestimmte Benutzer und Gruppen Wählen Sie diese Option aus, wenn Sie möchten, dass nur die von Ihnen angegebenen Benutzer und Gruppen in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen.
    Alle Mitglieder (mit Ausnahme von Gästen) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen. Diese Option umfasst keine Gastbenutzer, die Sie möglicherweise in Ihr Verzeichnis eingeladen haben.
    Alle Benutzer (einschließlich Gäste) Wählen Sie diese Option aus, wenn Sie möchten, dass alle Mitgliedsbenutzer und Gastbenutzer in Ihrem Verzeichnis dieses Zugriffspaket anfordern können sollen.

    Gastbenutzer sind externe Benutzer, die über Microsoft Entra B2B in Ihr Verzeichnis eingeladen wurden. Weitere Informationen zu den Unterschieden zwischen Mitgliedsbenutzern und Gastbenutzern finden Sie unter Was sind die Standardbenutzerberechtigungen in Microsoft Entra ID?.

  3. Wenn Sie bestimmte Benutzer und Gruppen ausgewählt haben, wählen Sie "Benutzer und Gruppen hinzufügen" aus.

  4. Wählen Sie im Bereich "Benutzer und Gruppen auswählen " die Benutzer und Gruppen aus, die Sie hinzufügen möchten.

    Screenshot des Bereichs zum Auswählen von Benutzern und Gruppen für ein Zugriffspaket.

  5. Wählen Sie "Auswählen" aus, um die Benutzer und Gruppen hinzuzufügen.

  6. Springen Sie direkt zum Abschnitt „Genehmigungseinstellungen angeben“.

Benutzern, die sich nicht in Ihrem Verzeichnis befinden, erlauben, das Zugriffspaket anzufordern

Benutzer, die sich in einem anderen Microsoft Entra-Verzeichnis oder einer anderen Domäne befinden, wurden möglicherweise noch nicht in Ihr Verzeichnis eingeladen. Microsoft Entra-Verzeichnisse müssen so konfiguriert werden, dass Einladungen unter Zusammenarbeitseinschränkungen zulässig sind. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für die externe Zusammenarbeit.

Für einen Benutzer, der sich noch nicht in Ihrem Verzeichnis befindet und dessen Anforderung genehmigt wird bzw. keine Genehmigung benötigt, wird ein Gastbenutzerkonto erstellt. Der Gast wird eingeladen, erhält jedoch keine Einladungs-E-Mail. Stattdessen erhält er eine E-Mail, wenn seine Zugriffspaketzuweisung bereitgestellt wird. Wenn dieser Gastbenutzer zu einem späteren Zeitpunkt keine Zugriffspaketzuweisungen mehr besitzt, weil die letzte Zuweisung abgelaufen ist oder abgebrochen wurde, wird das Konto für die Anmeldung blockiert und anschließend gelöscht. Das Blockieren und Löschen erfolgt standardmäßig.

Wenn Gastbenutzer dauerhaft in Ihrem Verzeichnis bleiben sollen, auch wenn sie keine Zugriffspaketzuweisungen haben, können Sie die Einstellungen für Ihre Berechtigungsverwaltungskonfiguration ändern. Weitere Informationen zum Gastbenutzerobjekt finden Sie unter Eigenschaften eines Microsoft Entra B2B-Benutzer für die Zusammenarbeit.

Gehen Sie folgendermaßen vor, wenn Sie Benutzern, die sich nicht in Ihrem Verzeichnis befinden, die Möglichkeit geben möchten, das Zugriffspaket anzufordern:

  1. Wählen Sie im Abschnitt "Benutzer, die Zugriff anfordern können " die Option "Für Benutzer" aus, die sich nicht in Ihrem Verzeichnis befinden.

    Wenn Sie diese Option auswählen, werden neue Optionen angezeigt.

    Screenshot der Option zum Zulassen von Benutzern und Gruppen, die sich nicht im Verzeichnis befinden, um ein Zugriffspaket anzufordern.

  2. Wählen Sie eine der folgenden Optionen aus:

    Auswahlmöglichkeit BESCHREIBUNG
    Bestimmte verbundene Organisationen Wählen Sie diese Option aus, wenn Sie aus einer Liste mit Organisationen auswählen möchten, die Ihr Administrator zuvor hinzugefügt hat. Alle Benutzer aus den ausgewählten Organisationen können dieses Zugriffspaket anfordern.
    Alle verbundenen Organisationen Wählen Sie diese Option aus, wenn alle Benutzer aus allen Ihren konfigurierten verbundenen Organisationen dieses Zugriffspaket anfordern können.
    Alle Benutzer (alle verbundenen Organisationen + alle neuen externen Benutzer) Wählen Sie diese Option aus, wenn alle Benutzer dieses Zugriffspaket anfordern können und die Einstellungen der B2B-Zulassungsliste oder -Sperrliste für jeden neuen externen Benutzer Vorrang haben sollen.

    Eine verbundene Organisation ist ein externes Microsoft Entra-Verzeichnis bzw. eine externe Domäne, mit der eine Beziehung besteht.

  3. Wenn Sie "Bestimmte verbundene Organisationen" ausgewählt haben, wählen Sie " Verzeichnisse hinzufügen" aus einer Liste der verbundenen Organisationen aus, die Ihr Administrator zuvor hinzugefügt hat.

  4. Geben Sie den Namen oder Domänennamen ein, um nach einer zuvor verbundenen Organisation zu suchen.

    Screenshot des Suchfelds zum Auswählen eines Verzeichnisses für Anforderungen an ein Zugriffspaket.

    Wenn die Organisation, mit der Sie zusammenarbeiten möchten, nicht in der Liste enthalten ist, können Sie Ihren Administrator bitten, sie als verbundene Organisation hinzuzufügen. Weitere Informationen finden Sie unter Hinzufügen einer verbundenen Organisation.

  5. Wenn Sie "Alle angeschlossenen Organisationen" ausgewählt haben, sollten Sie die Liste der angeschlossenen Organisationen bestätigen, die derzeit konfiguriert sind und geplant sind, in den Geltungsbereich zu fallen.

  6. Wenn Sie "Alle Benutzer" ausgewählt haben, müssen Sie im Abschnitt "Genehmigungen" Genehmigungen konfigurieren, da dieser Bereich allen Identitäten im Internet das Anfordern des Zugriffs zulässt.

  7. Nachdem Sie alle verbundenen Organisationen ausgewählt haben, wählen Sie "Auswählen" aus.

    Alle Benutzer aus den ausgewählten verbundenen Organisationen werden dieses Zugriffspaket anfordern können. Dies schließt in Microsoft Entra ID auch Benutzer aller Unterdomänen ein, die der Organisation zugeordnet sind, sofern die Positiv- oder Sperrliste von Azure B2B diese Domänen nicht blockiert. Wenn Sie eine Domäne des Anbieters für soziale Netzwerke angeben, z. B. live.com, kann jeder Benutzer aus dem Anbieter für soziale Netzwerke dieses Zugriffspaket anfordern. Weitere Informationen finden Sie unter Zulassen oder Blockieren von Einladungen für B2B-Benutzer aus bestimmten Organisationen.

  8. Springen Sie direkt zum Abschnitt „Genehmigungseinstellungen angeben“.

Nur direkte Administratorzuweisungen zulassen

Gehen Sie folgendermaßen vor, wenn Sie Zugriffsanforderungen umgehen und Administratoren ermöglichen soll, bestimmte Benutzer direkt diesem Zugriffspaket zuzuweisen. Benutzer müssen das Zugriffspaket nicht anfordern. Sie können weiterhin Lebenszykluseinstellungen festlegen, aber es gibt keine Anforderungseinstellungen.

  1. Wählen Sie im Abschnitt "Benutzer, die Zugriff anfordern können" "Keine" aus (nur Administrator-direkte Zuweisungen).

    Screenshot, der die Option anzeigt, nur Administratorzuweisungen für ein Zugriffspaket zuzulassen.

    Nach der Erstellung des Zugriffspakets können Sie ihm direkt bestimmte interne und externe Benutzer zuweisen. Wenn Sie einen externen Benutzer angeben, wird ein Gastbenutzerkonto in Ihrem Verzeichnis erstellt. Informationen zum direkten Zuweisen eines Benutzers finden Sie unter Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket.

  2. Springen Sie zum Abschnitt "Anforderungen aktivieren".

Festlegen von Genehmigungseinstellungen

Im Abschnitt "Genehmigung" geben Sie an, ob eine Genehmigung erforderlich ist, wenn Benutzer dieses Zugriffspaket anfordern. Die Genehmigungseinstellungen funktionieren wie folgt:

  • Bei einstufiger Genehmigung muss nur eine der ausgewählten genehmigenden Personen bzw. genehmigenden Fallbackpersonen eine Anforderung genehmigen.
  • Bei zweistufiger Genehmigung muss nur eine der ausgewählten genehmigenden Personen pro Stufe eine Anforderung genehmigen.
  • Eine genehmigende Person kann ein Vorgesetzter, ein Sponsor eines Benutzers, ein interner Sponsor oder ein externer Sponsor sein, je nach Zugriffsgovernance für die Richtlinie.
  • Weder für die einstufige noch für die zweistufige Genehmigung ist die Genehmigung durch jede ausgewählte genehmigende Person erforderlich.
  • Die Genehmigungsentscheidung basiert darauf, welche genehmigende Person die Anforderung zuerst überprüft.

Eine Demonstration, wie einer Anforderungsrichtlinie genehmigende Personen hinzugefügt werden, finden Sie im folgenden Video:

Eine Demonstration, wie einer Anforderungsrichtlinie mehrstufige Genehmigung hinzugefügt wird, finden Sie im folgenden Video:

Führen Sie diese Schritte aus, um die Genehmigungseinstellungen für Anforderungen des Zugriffspakets festzulegen:

  1. Wenn Sie eine Genehmigung für Anforderungen der ausgewählten Benutzer anfordern möchten, legen Sie den Umschalter " Genehmigung erforderlich " auf "Ja" fest. Wenn Anforderungen automatisch genehmigt werden sollen, legen Sie den Umschalter auf "Nein" fest. Wenn die Richtlinie externen Benutzern von außerhalb Ihrer Organisation das Anfordern des Zugriffs zulässt, sollten Sie eine Genehmigung anfordern, sodass es einen Überblick darüber gibt, wer dem Verzeichnis Ihrer Organisation hinzugefügt wird.

  2. Wenn Benutzer eine Begründung zum Anfordern des Zugriffspakets angeben müssen, legen Sie den Umschalter "Requestor-Begründung erforderlich " auf "Ja" fest.

  3. Bestimmen Sie, ob für Anforderungen eine einstufige oder eine zweistufige Genehmigung erforderlich ist. Legen Sie die Umschaltfläche " Anzahl der Stufen " für die Einzelstufengenehmigung auf 1 fest, 2 für die zweistufige Genehmigung oder 3 für die dreistufige Genehmigung.

    Screenshot der Genehmigungseinstellungen für Anforderungen an ein Zugriffspaket.

Führen Sie die folgenden Schritte aus, um genehmigende Personen hinzuzufügen, nachdem Sie die Anzahl der Phasen ausgewählt haben.

Einstufige Genehmigung

  1. Fügen Sie die Informationen zum ersten Genehmiger hinzu.

    • Wenn die Richtlinie auf Für Benutzer in Ihrem Verzeichnis festgelegt ist, können Sie entweder Manager als genehmigende Person oder Sponsoren als Genehmigende auswählen. Oder Sie können einen bestimmten Benutzer hinzufügen, indem Sie "Bestimmte Genehmigende auswählen" und dann " Genehmiger hinzufügen" auswählen.

      Um Sponsoren als Genehmigende für die Genehmigung zu verwenden, müssen Sie über eine Microsoft Entra ID Governance-Lizenz verfügen. Weitere Informationen finden Sie unter Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

      Ein Screenshot zeigt die Auswahlmöglichkeiten für den ersten Genehmiger, wenn die Richtlinie für Benutzer in Ihrem Verzeichnis festgelegt ist.

    • Wenn die Richtlinie auf "Für Benutzer" festgelegt ist, die sich nicht in Ihrem Verzeichnis befinden, können Sie entweder externen Sponsor oder internen Sponsor auswählen. Oder Sie können einen bestimmten Benutzer hinzufügen, indem Sie "Bestimmte Genehmigende auswählen" und dann " Genehmiger hinzufügen" auswählen.

      Screenshot, der Optionen für einen ersten Genehmigenden zeigt, wenn die Richtlinie auf Benutzer festgelegt ist, die sich nicht in Ihrem Verzeichnis befinden.

  2. Wenn Sie manager als erste genehmigende Person ausgewählt haben, wählen Sie "Fallback hinzufügen " aus, um einen oder mehrere Benutzer oder Gruppen in Ihrem Verzeichnis als Fallback-Genehmiger auszuwählen. Genehmigende Fallbackpersonen empfangen die Anforderung, wenn die Berechtigungsverwaltung den Vorgesetzten des Benutzers, der Zugriff anfordert, nicht finden kann.

    Die Berechtigungsverwaltung findet den Vorgesetzten mithilfe des Manager-Attributs . Das Attribut befindet sich im Profil des Benutzers in Microsoft Entra ID. Weitere Informationen finden Sie unter Hinzufügen oder Aktualisieren der Profilinformationen und Einstellungen eines Benutzers.

  3. Wenn Sie "Sponsoren " als erste genehmigende Person ausgewählt haben, wählen Sie "Fallback hinzufügen " aus, um einen oder mehrere Benutzer oder Gruppen in Ihrem Verzeichnis als Fallback-Genehmiger auszuwählen. Genehmigende Fallbackpersonen empfangen die Anforderung, wenn die Berechtigungsverwaltung den Sponsor des Benutzers, der Zugriff anfordert, nicht finden kann.

    Die Berechtigungsverwaltung findet Sponsoren mithilfe des Attributs "Sponsoren ". Das Attribut befindet sich im Profil des Benutzers in Microsoft Entra ID. Weitere Informationen finden Sie unter Hinzufügen oder Aktualisieren der Profilinformationen und Einstellungen eines Benutzers.

  4. Wenn Sie bestimmte genehmigende Personen ausgewählt haben, wählen Sie "Genehmigende Personen hinzufügen " aus, um einen oder mehrere Benutzer oder Gruppen in Ihrem Verzeichnis auszuwählen, die genehmigende Personen sein sollen.

  5. Im Feld "Entscheidung muss in wie vielen Tagen getroffen werden?" geben Sie die Anzahl der Tage an, die ein Genehmiger Zeit hat, um einen Antrag für dieses Zugriffspaket zu überprüfen.

    Wenn eine Anforderung nicht innerhalb dieses Zeitraums genehmigt wird, wird sie automatisch abgelehnt. Der Benutzer muss dann eine weitere Anforderung für das Zugriffspaket senden.

  6. Um zu verlangen, dass Genehmiger eine Begründung für ihre Entscheidung angeben, setzen Sie Anforderung einer Begründung durch Genehmiger auf Ja.

    Die Begründung ist für andere genehmigende Personen und den Anfordernden sichtbar.

Zweistufige Genehmigung

Wenn Sie eine zweistufige Genehmigung ausgewählt haben, müssen Sie eine zweite genehmigende Person hinzufügen:

  1. Fügen Sie die Informationen zur zweiten Genehmigende Person hinzu:

    • Wenn sich die Benutzer in Ihrem Verzeichnis befinden, können Sie "Sponsoren" als genehmigende Personen auswählen. Oder fügen Sie einen bestimmten Benutzer hinzu, indem Sie im Dropdownmenü " Bestimmte Genehmigende Personen auswählen" und dann " Genehmiger hinzufügen" auswählen.

      Screenshot, der Optionen für einen zweiten Genehmigenden anzeigt, wenn die Richtlinie für Benutzer in Ihrem Verzeichnis gilt.

    • Wenn sich die Benutzer nicht in Ihrem Verzeichnis befinden, wählen Sie "Interner Sponsor " oder "Externer Sponsor " als zweiten Genehmigende aus. Fügen Sie nach dem Auswählen der genehmigenden Person die genehmigenden Fallbackpersonen hinzu.

      Screenshot, der Optionen für einen zweiten Genehmigenden zeigt, wenn die Richtlinie auf Benutzer festgelegt ist, die sich nicht in Ihrem Verzeichnis befinden.

  2. Geben Sie im Feld "Entscheidung muss in wie vielen Tagen getroffen werden?" die Anzahl der Tage an, die der zweite Genehmigende für die Genehmigung des Antrags hat.

  3. Legen Sie den Schalter Genehmigungsbegründung erforderlich auf Ja oder Nein fest.

Dreistufige Genehmigung

Wenn Sie eine dreistufige Genehmigung ausgewählt haben, müssen Sie eine dritte genehmigende Person hinzufügen:

  1. Fügen Sie die Informationen zum dritten Genehmiger hinzu:

    Wenn sich die Benutzer in Ihrem Verzeichnis befinden, fügen Sie einen bestimmten Benutzer als dritte genehmigende Person hinzu, indem Sie "Bestimmte Genehmigende Personen>hinzufügen" auswählen.

    Screenshot, das Optionen für einen dritten Genehmiger zeigt, wenn die Richtlinie für Benutzer in Ihrem Verzeichnis gilt.

  2. Geben Sie im Feld "Entscheidung muss in wie vielen Tagen getroffen werden?" die Anzahl der Tage an, die der zweite Genehmigende für die Genehmigung des Antrags hat.

  3. Legen Sie den Schalter Genehmigungsbegründung erforderlich auf Ja oder Nein fest.

Alternative genehmigende Personen

Sie können neben den ersten und zweiten genehmigenden Personen alternative genehmigende Personen angeben, die Anforderungen genehmigen können. Das Festlegen alternativer genehmigender Personen trägt dazu bei, dass die Anforderungen vor ihrem Ablauf (Timeout) genehmigt oder abgelehnt werden. Beim Auflisten genehmigender Personen kann bei zweistufiger Genehmigung zwischen der ersten und der zweiten genehmigenden Person unterschieden werden.

Wenn Sie alternative genehmigende Personen angeben und die erste oder zweite genehmigende Person die Anforderung nicht genehmigen kann, wird die ausstehende Anforderung an die alternativen genehmigenden Personen weitergeleitet. Die Anforderung wird entsprechend dem Weiterleitungszeitplan gesendet, den Sie während der Richtlinieneinrichtung angegeben haben. Die genehmigenden Personen erhalten eine E-Mail mit der Aufforderung, die ausstehende Anforderung zu genehmigen oder abzulehnen.

Nachdem die Anforderung an die alternativen genehmigenden Personen weitergeleitet wurde, können die ersten oder zweiten genehmigenden Personen den Antrag dennoch weiterhin genehmigen oder ablehnen. Alternative Genehmiger verwenden dieselbe "Meine Access" -Website, um die ausstehende Anforderung zu genehmigen oder zu verweigern.

Sie können Personen oder Gruppen von Personen auflisten, die als genehmigende Personen und alternative genehmigende Personen fungieren sollen. Achten Sie darauf, dass Sie verschiedene Gruppen von Personen auflisten, die als erste, zweite und alternative genehmigende Personen fungieren sollen. Wenn Sie beispielsweise Alice und Bob als erste genehmigende Personen aufgelistet haben, führen Sie Carol und Dave als alternative genehmigende Personen auf.

Führen Sie die folgenden Schritte aus, um einem Zugriffspaket alternative genehmigende Personen hinzuzufügen:

  1. Wählen Sie unter "First Approver", "Second Approver" oder "Beides" die Option "Erweiterte Anforderungseinstellungen anzeigen" aus.

    Screenshot der Auswahl zum Anzeigen erweiterter Anforderungseinstellungen.

  2. Stellen Sie den Umschalter Wenn keine Aktion ausgeführt wird, an alternative Genehmiger weiterleiten? auf Ja ein.

  3. Wählen Sie "Alternative Genehmiger hinzufügen" und dann die alternativen Genehmiger aus der Liste aus.

    Screenshot der erweiterten Anforderungseinstellungen, einschließlich des Links zum Hinzufügen alternativer Genehmiger.

    Wenn Sie "Manager " als erste genehmigende Person auswählen, wird im Feld "Alternative Genehmigende Person" eine zusätzliche Option angezeigt: Manager der zweiten Ebene als alternative Genehmigende Person. Wenn Sie diese Option auswählen, müssen Sie eine stellvertretende genehmigende Person hinzufügen, an die die Anforderung weitergeleitet wird, wenn das System das Mitglied der zweiten Führungsebene nicht finden kann.

  4. Geben Sie im Feld "An alternativen Genehmigenden weiterleiten, wie viele Tage später" die Anzahl der Tage ein, die die Genehmigenden genehmigen oder ablehnen müssen. Wenn keine genehmigenden Personen die Anforderung vor der Anforderungsdauer genehmigen oder ablehnen, läuft die Anforderung ab (Timeout). Der Benutzer muss dann eine weitere Anforderung für das Zugriffspaket senden.

Anforderungen können erst einen Tag nach Erreichen der Hälfte der Anforderungsdauer an alternative genehmigende Personen weitergeleitet werden. Die Entscheidung der hauptsächlichen genehmigenden Personen muss ein Timeout nach mindestens vier Tagen haben. Bei einem Anforderungstimeout von maximal drei Tagen reicht die Zeit nicht aus, um die Anforderung an alternative genehmigende Personen weiterzuleiten.

In diesem Beispiel beträgt die Dauer der Anforderung 14 Tage. Die Hälfte der Anforderungsdauer wird also an Tag 7 erreicht. Die Anforderung kann deshalb erst an Tag 8 weitergeleitet werden.

Darüber hinaus können Anforderungen nicht am letzten Tag der Antragsdauer weitergeleitet werden. Im Beispiel kann die Anforderung also spätestens an Tag 13 weitergeleitet werden.

E-Mail-Benachrichtigungen (Vorschau)

  1. Sie können E-Mails zu Aufgabenanforderungen deaktivieren, die Sie über Anfragen benachrichtigen, die zugestellt wurden, abgelaufen sind oder bald ablaufen. Screenshot der Auswahl von E-Mail-Benachrichtigungen beim Erstellen eines Zugriffspakets.

Sie können E-Mail-Benachrichtigungen jederzeit aktivieren oder deaktivieren, nachdem Sie das Erstellen des Zugriffspakets abgeschlossen haben.

Ermöglichen von Anforderungen

  1. Wenn das Zugriffspaket sofort für Benutzer in der Anforderungsrichtlinie zur Verfügung gestellt werden soll, verschieben Sie die Umschaltfläche "Neue Anforderungen und Zuordnungen aktivieren" auf "Ja".

    Sie können sie in der Zukunft immer aktivieren, nachdem Sie das Erstellen des Zugriffspakets abgeschlossen haben.

    Wenn Sie "Keine (nur direkte Administratorzuweisungen)" auswählen und "Neue Anforderungen und Zuweisungen aktivieren" auf "Nein" festlegen, können Administratoren dieses Zugriffs-Paket nicht direkt zuweisen.

    Screenshot, der die Option zum Aktivieren neuer Anforderungen und Zuordnungen zeigt.

  2. Wechseln Sie zum nächsten Abschnitt , um zu erfahren, wie Sie Ihrem Zugriffspaket eine überprüfte ID-Anforderung hinzufügen. Wählen Sie andernfalls "Weiter" aus.

Hinzufügen einer Anforderung für eine überprüfte ID

Führen Sie die folgenden Schritte aus, wenn Sie Ihrer Zugriffspaketrichtlinie eine Anforderung für eine überprüfte ID hinzufügen möchten. Benutzer, die Zugriff auf das Zugriffspaket wünschen, müssen die erforderlichen überprüften IDs vorlegen, bevor sie ihre Anforderung erfolgreich übermitteln können. Informationen zum Konfigurieren Ihres Mandanten mit dem Microsoft Entra Verified ID-Dienst finden Sie in der Einführung in microsoft Entra Verified ID.

Sie benötigen die Rolle „Globaler Administrator“, um einem Zugriffspaket in einer Anforderungsrichtlinie verifizierte ID-Anforderungen hinzuzufügen. Identity Governance-Administratoren, Benutzeradministratoren, Katalogbesitzer oder Zugriffspaket-Manager können noch keine Anforderungen für eine überprüfte ID zu Zugriffspaketen hinzufügen.

  1. Wählen Sie +Aussteller hinzufügen und dann einen Aussteller aus dem Microsoft Entra Verified ID-Netzwerk aus. Wenn Sie Ihre eigenen Anmeldeinformationen für Benutzer ausstellen möchten, finden Sie Anweisungen unter Microsoft Entra Verified ID-Anmeldeinformationen aus einer Anwendung ausstellen.

    Screenshot des Bereichs zum Auswählen eines Ausstellers für ein Zugriffspaket.

  2. Wählen Sie die Anmeldeinformationstypen aus, die Benutzer während des Anforderungsprozesses präsentieren sollen.

    Screenshot des Bereichs zum Auswählen von Anmeldeinformationstypen für ein Zugriffspaket.

    Wenn Sie mehrere Anmeldeinformationstypen von einem Zertifikataussteller auswählen, werden Benutzer Anmeldeinformationen aller ausgewählten Typen vorlegen müssen. Ebenso müssen Benutzer, wenn Sie mehrere Zertifikataussteller einschließen, Anmeldeinformationen für jeden der Zertifikataussteller vorlegen, die Sie in die Richtlinie einschließen. Um Benutzern die Möglichkeit zu geben, unterschiedliche Anmeldeinformationen von verschiedenen Zertifikatausstellern vorzulegen, konfigurieren Sie separate Richtlinien für jeden Zertifikataussteller oder Anmeldeinformationstyp, den Sie akzeptieren.

  3. Wählen Sie "Hinzufügen" aus, um die überprüfte ID-Anforderung zur Zugriffspaketrichtlinie hinzuzufügen.

Hinzufügen von Anfordererinformationen zu einem Zugriffspaket

  1. Wechseln Sie zur Registerkarte " Antragstellerinformationen ", und wählen Sie dann die Registerkarte "Fragen " aus.

  2. Geben Sie im Feld "Frage " eine Frage ein, die Sie dem Antragsteller stellen möchten. Diese Frage wird auch als Anzeigezeichenfolge bezeichnet.

  3. Wenn Sie Ihre eigenen Lokalisierungsoptionen hinzufügen möchten, wählen Sie "Lokalisierung hinzufügen" aus.

    Screenshot des Felds zum Eingeben einer Frage für einen Anforderer.

    Auf dem Bereich Lokalisierungen für Frage hinzufügen:

    1. Wählen Sie für Sprachcode den Sprachcode für die Sprache aus, in der Sie die Frage lokalisieren.
    2. Geben Sie im Feld "Lokalisierter Text " die Frage in der sprache ein, die Sie konfiguriert haben.
    3. Wenn Sie alle benötigten Lokalisierungen hinzugefügt haben, wählen Sie "Speichern" aus.

    Screenshot der Lokalisierungsauswahl für eine Frage.

  4. Wählen Sie für das Antwortformat das Format aus, in dem die Anforderer antworten sollen. Antwortformate umfassen kurzen Text, Mehrfachauswahl und langen Text.

  5. Wenn Sie mehrere Auswahlmöglichkeiten ausgewählt haben, wählen Sie die Schaltfläche "Bearbeiten" und "Lokalisieren " aus, um die Antwortoptionen zu konfigurieren.

    Screenshot, der die Mehrfachauswahl als Antwortformat zusammen mit der Schaltfläche zum Bearbeiten und Lokalisieren von Antwortoptionen zeigt.

    Im Fragebereich "Ansicht/Bearbeiten":

    1. Geben Sie in den Antwortwerten die Antwortoptionen ein, die Sie angeben möchten, wenn der Anforderer die Frage beantwortet.
    2. Wählen Sie in den Feldern "Sprache " die Sprache für die Antwortoptionen aus. Sie können Antwortoptionen lokalisieren, wenn Sie zusätzliche Sprachen auswählen.
    3. Wählen Sie "Speichern" aus.

    Screenshot mit Optionen zum Bearbeiten und Lokalisieren von Antworten mit mehrfacher Auswahl.

  6. Wenn Anforderer diese Frage beantworten müssen, wenn sie Zugriff auf ein Zugriffspaket anfordern, aktivieren Sie das Kontrollkästchen "Erforderlich ".

  7. Wählen Sie die Registerkarte "Attribute " aus, um Attribute anzuzeigen, die mit Ressourcen verknüpft sind, die Sie dem Access-Paket hinzugefügt haben.

    Hinweis

    Um Attribute für die Ressourcen eines Zugriffspakets hinzuzufügen oder zu aktualisieren, wechseln Sie zu Katalogen , und suchen Sie den Katalog, der dem Zugriffspaket zugeordnet ist. Weitere Informationen zum Bearbeiten der Attributliste für eine bestimmte Katalogressource und die erforderlichen Rollen finden Sie unter Hinzufügen von Ressourcenattributen im Katalog.

  8. Wählen Sie "Weiter" aus.

Angeben eines Lebenszyklus

Auf der Registerkarte "Lebenszyklus " geben Sie an, wann die Zuweisung eines Benutzers zum Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können.

  1. Im Abschnitt Ablauf setzen Sie die Zuweisungen des Zugriffspakets auf Am Datum, Anzahl der Tage, Anzahl der Stunden oder Nie fest.

    • Wählen Sie für "Am Datum" ein Ablaufdatum in der Zukunft aus.
    • Geben Sie für die Anzahl der Tage eine Zahl zwischen 0 und 3660 Tagen an.
    • Geben Sie für die Anzahl der Stunden an, wie viele Stunden es gibt.

    Basierend auf Ihrer Auswahl läuft die Zuweisung eines Benutzers zum Zugriffspaket an einem bestimmten Datum, nach einigen Tagen nach der Genehmigung oder nie ab.

  2. Wenn Sie dem Benutzer erlauben möchten, ein bestimmtes Start- und Enddatum für den Zugriff anzufordern, wählen Sie Ja für die Umschaltoption Benutzer können eine bestimmte Zeitachse anfordern.

  3. Wählen Sie "Erweiterte Ablaufeinstellungen anzeigen " aus, um weitere Einstellungen anzuzeigen.

    Screenshot der Lebenszyklusablauf-Einstellungen für ein Zugriffspaket.

  4. Um dem Benutzer die Möglichkeit zu geben, den Zugriff auf ihre Zuweisungen zu erweitern, stellen Sie Zulassen, dass Benutzer den Zugriff erweitern auf Ja.

    Wenn Verlängerungen in der Richtlinie zulässig sind, erhält der Benutzer 14 Tage und auch einen Tag vor Ablauf seiner Zugriffspaketzuweisung eine E-Mail-Nachricht. In der E-Mail wird der Benutzer aufgefordert, die Zuweisung zu verlängern. Der Benutzer muss sich noch immer im Gültigkeitsbereich der Richtlinie befinden, wenn er eine Verlängerung anfordert.

    Wenn die Richtlinie ein explizites Enddatum für Zuweisungen umfasst und der Benutzer eine Anforderung zum Verlängern des Zugriffs sendet, muss das Verlängerungsdatum in der Anforderung vor dem Ablauf der Zuweisungen liegen. Die Richtlinie, die Sie verwendet haben, um dem Benutzer Zugriff auf das Zugriffspaket zu gewähren, definiert, ob das Erweiterungsdatum bei oder vor dem Ablauf der Zuweisung liegt. Wenn die Richtlinie beispielsweise angibt, dass Zuweisungen am 30. Juni ablaufen sollen, ist die maximale Verlängerung, die ein Benutzer anfordern kann, der 30. Juni.

    Wenn der Zugriff eines Benutzers verlängert wird, kann er das Zugriffspaket nach dem angegebenen Verlängerungsdatum (das Datum, das in der Zeitzone des Benutzers festgelegt ist, der die Richtlinie erstellt hat) nicht mehr anfordern.

  5. Um eine Genehmigung für die Erteilung einer Verlängerung erforderlich zu machen, setzen Sie "Genehmigung erforderlich für Verlängerung" auf "Ja".

    Diese Genehmigung verwendet dieselben Genehmigungseinstellungen, die Sie auf der Registerkarte "Anforderungen " angegeben haben.

  6. Wählen Sie "Weiter" oder "Aktualisieren" aus.

Überprüfen und Erstellen des Zugriffspakets

Auf der Registerkarte " Überprüfen + Erstellen " können Sie Ihre Einstellungen überprüfen und auf Überprüfungsfehler überprüfen.

  1. Überprüfen Sie die Einstellungen für das Zugriffspaket.

    Screenshot einer Zusammenfassung der Konfiguration des Zugriffspakets.

  2. Wählen Sie "Erstellen" aus, um das Zugriffspaket und die ursprüngliche Richtlinie zu erstellen.

    Das neue Zugriffspaket wird in der Liste der Zugriffspakete aufgeführt.

  3. Wenn das Zugriffspaket für alle Benutzer im Bereich der Richtlinien sichtbar sein soll, lassen Sie die Einstellung "Ausgeblendet " des Zugriffspakets bei "Nein" auf. Wenn Sie Benutzern nur den direkten Link erlauben möchten, das Zugriffspaket anzufordern, bearbeiten Sie das Zugriffspaket, um die Einstellung „Ausgeblendet“ in „Ja“ zu ändern. Kopieren Sie dann den Link, um das Zugriffspaket anzufordern, und geben Sie ihn für Benutzer frei, die Zugriff benötigen.

  4. Als Nächstes können Sie dem Zugriffspaket weitere Richtlinien hinzufügen , die Aufgabentrennung konfigurieren oder einen Benutzer direkt zuweisen.

Programmgesteuertes Erstellen eines Zugriffspakets

Es gibt zwei Möglichkeiten, programmgesteuert ein Zugriffspaket zu erstellen: über Microsoft Graph und über die PowerShell-Cmdlets für Microsoft Graph.

Erstellen eines Zugriffspakets mithilfe von Microsoft Graph

Sie können ein Zugriffspaket mit Microsoft Graph erstellen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All-Berechtigung verfügt, kann die API aufrufen, um

  1. Listen Sie die Ressourcen im Katalog auf, und erstellen Sie eine accessPackageResourceRequest für alle Ressourcen, die sich noch nicht im Katalog befinden.
  2. Rufen Sie die Rollen und Bereiche jeder Ressource im Katalog ab. Diese Rollenliste wird dann zum Auswählen einer Rolle verwendet, wenn anschließend ein resourceRoleScope erstellt wird.
  3. Erstellen Sie ein Zugriffspaket.
  4. Erstellen Sie einen resourceRoleScope für jede Ressourcenrolle, die im Zugriffspaket erforderlich ist.
  5. Erstellen Sie eine AssignmentPolicy für jede Richtlinie, die im Zugriffspaket erforderlich ist.

Erstellen eines Zugriffspakets mithilfe von Microsoft PowerShell

Sie können auch ein Zugriffspaket in PowerShell erstellen, indem Sie die Cmdlets aus dem Microsoft Graph PowerShell-Cmdlets für das Identity Governance-Modul verwenden.

Zunächst rufen Sie die ID des Katalogs sowie der Ressourcen in diesem Katalog und seiner Bereiche und Rollen ab, den Sie in das Zugriffspaket aufnehmen möchten. Verwenden Sie ein Skript ähnlich dem folgenden Beispiel:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Erstellen Sie dann das Zugriffspaket:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Nachdem Sie das Zugriffspaket erstellt haben, weisen Sie ihm die Ressourcenrollen zu. Wenn Sie beispielsweise die erste Ressourcenrolle der zuvor zurückgegebenen Ressource als Ressourcenrolle des neuen Zugriffspakets einschließen möchten und die Rolle eine ID aufweist, können Sie ein Skript wie dieses verwenden:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Wenn die Rolle keine ID aufweist, schließen Sie den Parameter id der Struktur role nicht in die Anforderungsnutzdaten ein.

Erstellen Sie schließlich die Richtlinien. In dieser Richtlinie kann nur der Administrator oder Zugriffspaket-Zuweisungsmanger einen Zugriff zuweisen, und es gibt keine Zugriffsüberprüfungen. Weitere Beispiele finden Sie unter Erstellen einer Zuweisungsrichtlinie über PowerShell und Erstellen einer assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Weitere Informationen finden Sie unter Erstellen eines Zugriffspakets in der Berechtigungsverwaltung für eine Anwendung mit einer einzelnen Rolle mithilfe von PowerShell.

Nächste Schritte