Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie in der Berechtigungsverwaltung einen Katalog mit Ressourcen und Zugriffspaketen erstellen und verwalten.
Erstellen eines Katalogs
Ein Katalog ist ein Container für Ressourcen und Zugriffspakete. Sie erstellen einen Katalog, wenn Sie zugehörige Ressourcen und Zugriffspakete gruppieren möchten. Ein Administrator kann einen Katalog erstellen. Darüber hinaus kann ein Benutzer, der an die Katalogerstellerrolle delegiert wurde, einen Katalog für Ressourcen erstellen, die er besitzt. Ein Nicht-Administrator, der den Katalog erstellt, ist der erste Katalogbesitzer. Ein Katalogbesitzer kann weitere Benutzer, Benutzergruppen oder Anwendungsdienstprinzipale als Katalogbesitzer hinzufügen.
Erstellen eines Katalogs:
Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Tipp
Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogersteller. Benutzer*innen mit der zugewiesenen Rolle „Benutzeradministrator*in“ können keine Kataloge mehr erstellen oder Zugriffspakete in einem Katalog verwalten, den sie nicht besitzen. Wenn Benutzer und Benutzerinnen Ihrer Organisation die Rolle „Benutzeradministrator“ zugewiesen wurde, um Kataloge, Zugriffspakete oder Richtlinien in der Berechtigungsverwaltung zu konfigurieren, sollten Sie diesen Benutzern und Benutzerinnen stattdessen die Rolle „Identity Governance-Administrator“ zuweisen.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.
Wählen Sie "Neuer Katalog" aus.
Geben Sie einen eindeutigen Namen sowie eine Beschreibung für den Katalog ein.
Benutzern werden diese Informationen in den Details eines Zugriffspakets angezeigt.
Wenn die Zugriffspakete in diesem Katalog für Benutzer verfügbar sein sollen, sobald sie erstellt wurden, legen Sie "Aktiviert" auf "Ja" fest.
Wenn Sie Benutzern in externen Verzeichnissen aus verbundenen Organisationen erlauben möchten, Zugriffspakete in diesem Katalog anzufordern, legen Sie "Aktiviert" für externe Benutzer auf "Ja" fest. Die Zugriffspakete müssen auch über eine Richtlinie verfügen, die Benutzer*innen aus verbundenen Organisationen das Anfordern ermöglicht. Wenn die Zugriffspakete in diesem Katalog nur für Benutzer vorgesehen sind, die sich bereits im Verzeichnis befinden, legen Sie "Für externe Benutzer aktiviert " auf "Nein" fest.
Wählen Sie "Erstellen" aus, um den Katalog zu erstellen.
Programmgesteuertes Erstellen eines Katalogs
Es gibt zwei Möglichkeiten, einen Katalog programmgesteuert zu erstellen.
Erstellen eines Katalogs mit Microsoft Graph
Sie können mithilfe von Microsoft Graph einen Katalog erstellen. Ein Benutzer in einer geeigneten Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All Berechtigung oder eine Anwendung mit der EntitlementManagement.ReadWrite.All Anwendungsberechtigung verfügt, kann die API aufrufen, um einen Katalog zu erstellen.
Erstellen eines Katalogs mit PowerShell
Sie können auch einen Katalog in PowerShell mit dem New-MgEntitlementManagementCatalog Cmdlet aus den Microsoft Graph PowerShell-Cmdlets für das Identity Governance-Modul Version 2.2.0 oder höher erstellen.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
Hinzufügen von Ressourcen zu einem Katalog
Um Ressourcen in ein Zugriffspaket einschließen zu können, müssen die Ressourcen in einem Katalog vorhanden sein. Bei den Typen von Ressourcen, die Sie einem Katalog hinzufügen können, handelt es sich um Gruppen, Anwendungen und SharePoint Online-Websites.
Die Gruppen können in der Cloud erstellte Microsoft 365-Gruppen oder in der Cloud erstellte Microsoft Entra-Sicherheitsgruppen sein.
Gruppen, die aus einer lokalen Active Directory-Instanz stammen, können nicht als Ressourcen zugewiesen werden, da ihre Besitzer- oder Mitgliedsattribute in Microsoft Entra ID nicht geändert werden können. Um einem Benutzer Zugriff auf eine Anwendung zu gewähren, die AD-Sicherheitsgruppenmitgliedschaften verwendet, erstellen Sie eine neue Sicherheitsgruppe in Microsoft Entra ID, konfigurieren Sie gruppenrückschreiben in AD, und ermöglichen Sie es, dass diese Gruppe in AD geschrieben wird, damit die in der Cloud erstellte Gruppe von einer AD-basierten Anwendung verwendet werden kann.
Gruppen, die ursprünglich als Verteilergruppen in Exchange Online vorlagen, können in Microsoft Entra ID ebenfalls nicht geändert und daher keinen Katalogen hinzugefügt werden.
Anwendungen können Microsoft Entra-Unternehmens-Apps sein, die sowohl Software-as-a-Service-Apps (SaaS-Apps), lokale Apps als auch Ihre eigenen in Microsoft Entra ID integrierten Apps beinhalten.
Wenn Ihre Anwendung noch nicht mit der Microsoft Entra-ID integriert wurde, lesen Sie die Steuerung des Zugriffs für Anwendungen in Ihrer Umgebung und integrieren Sie eine Anwendung mit der Microsoft Entra-ID , und fügen Sie die Anwendung ihrem Verzeichnis hinzu, bevor Sie sie dem Katalog hinzufügen.
Weitere Informationen zum Auswählen geeigneter Ressourcen für Anwendungen mit mehreren Rollen finden Sie unter Ermitteln der Ressourcenrollen, die in ein Zugriffspaket eingeschlossen werden sollen.
Websites können SharePoint Online-Websites oder SharePoint Online-Websitesammlungen sein.
Hinweis
Durchsuchen Sie die SharePoint Website anhand des Websitenamens oder einer genauen URL, da im Suchfeld die Groß-/Kleinschreibung beachtet wird.
Erforderliche Rollen: Informationen zum Hinzufügen von Ressourcen zu einem Katalog finden Sie unter "Erforderliche Rollen".
Ressourcen zu einem Katalog hinzufügen:
Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.
Öffnen Sie auf der Seite „Kataloge“ den Katalog, dem Sie Ressourcen hinzufügen möchten.
Wählen Sie im linken Menü "Ressourcen" aus.
Wählen Sie "Ressourcen hinzufügen" aus.
Wählen Sie den Ressourcentyp "Gruppen" und "Teams", "Anwendungen" oder "SharePoint-Websites" aus.
Wenn eine Ressource, die Sie hinzufügen möchten, nicht angezeigt wird, oder wenn Sie eine Ressource nicht hinzufügen können, stellen Sie sicher, dass Sie die erforderliche Verzeichnisrolle und Berechtigungsverwaltungsrolle und Microsoft Entra haben. Möglicherweise müssen Sie jemanden mit den erforderlichen Rollen beauftragen, die Ressource Ihrem Katalog hinzuzufügen. Weitere Informationen finden Sie unter "Erforderliche Rollen", um einem Katalog Ressourcen hinzuzufügen.
Wählen Sie eine oder mehrere Ressourcen des Typs aus, die Sie dem Katalog hinzufügen möchten.
Wenn Sie fertig sind, wählen Sie "Hinzufügen" aus.
Diese Ressourcen können jetzt in Zugriffspakete im Katalog aufgenommen werden.
Hinzufügen von Ressourcenattributen im Katalog
Attribute sind Pflichtfelder, die anfordernde Personen beantworten müssen, bevor sie ihre Zugriffsanforderung übermitteln. Die Antworten zu diesen Attribute werden genehmigenden Personen angezeigt und auch dem Benutzerobjekt in Microsoft Entra ID hinzugefügt.
Hinweis
Alle für eine Ressource eingerichteten Attribute müssen beantwortet werden, bevor eine Anforderung für ein Zugriffspaket mit dieser Ressource übermittelt werden kann. Wenn anfordernde Personen nicht antworten, wird ihre Anforderung nicht verarbeitet.
Attribute für Zugriffsanforderungen anfordern:
Wählen Sie " Ressourcen " im linken Menü aus, und es wird eine Liste der Ressourcen im Katalog angezeigt.
Wählen Sie die Auslassungspunkte neben der Ressource aus, bei der Sie Attribute hinzufügen möchten, und wählen Sie dann Attribute erforderlich aus.
Auswählen des Attributtyps:
- Integriert sind Microsoft Entra-Benutzerprofilattribute.
- Die Verzeichnisschemaerweiterung bietet eine Möglichkeit, weitere Daten in Microsoft Entra-Benutzern zu speichern. Sie können das Schema erweitern, indem Sie ein Erweiterungsattribut erstellen. Diese Erweiterungsattribute für Benutzerobjekte können verwendet werden, um während der Bereitstellung oder der einmaligen Anmeldung Ansprüche an Anwendungen zu senden.
Wenn Sie "Integriert" ausgewählt haben, wählen Sie ein Attribut aus der Dropdownliste aus. Wenn Sie die Verzeichnisschemaerweiterung ausgewählt haben, geben Sie den Attributnamen in das Textfeld ein.
Hinweis
Das „User.mobilePhone“-Attribut ist eine vertrauliche Eigenschaft, die nur von einigen Administratoren aktualisiert werden kann. Weitere Informationen finden Sie unter Wer kann sensible Benutzerattribute aktualisieren?.
Wählen Sie das Antwortformat aus, das anfordernde Personen verwenden sollen. Antwortformate umfassen kurzen Text, Mehrfachauswahl und langen Text.
Wenn Sie mehrere Auswahlmöglichkeiten auswählen, wählen Sie "Bearbeiten" und "Lokalisieren " aus, um die Antwortoptionen zu konfigurieren.
- Geben Sie im angezeigten Bereich "Frage anzeigen/bearbeiten " die Antwortoptionen ein, die Sie dem Anforderer geben möchten, wenn sie die Frage in den Antwortwerten beantworten.
- Wählen Sie die Sprache für die Antwortoption aus. Sie können Antwortoptionen lokalisieren, wenn Sie mehrere Sprachen auswählen.
- Geben Sie beliebig viele Antworten ein, und wählen Sie dann "Speichern" aus.
Wenn der Attributwert während direkter Zuordnungen und Self-Service-Anforderungen bearbeitet werden soll, wählen Sie "Ja" aus.
Hinweis
- Wenn Sie " Nein " im Feld " Attributwert ist bearbeitbar " auswählen und der Attributwert leer ist, können Benutzer den Wert dieses Attributs eingeben. Der Wert kann nach dem Speichern nicht mehr bearbeitet werden.
- Wenn Sie " Nein " im Feld " Attributwert ist bearbeitbar " auswählen und der Attributwert nicht leer ist, können Benutzer den vorhandenen Wert während direkter Zuweisungen und Self-Service-Anforderungen nicht bearbeiten.
Wenn Sie die Lokalisierung hinzufügen möchten, wählen Sie "Lokalisierung hinzufügen" aus.
Wählen Sie im Fragebereich "Lokalisierung hinzufügen " den Sprachcode für die Sprache aus, in der Sie die Frage im Zusammenhang mit dem ausgewählten Attribut lokalisieren möchten.
Geben Sie in der von Ihnen konfigurierten Sprache die Frage in das Lokalisierte Textfeld ein.
Nachdem Sie alle benötigten Lokalisierungen hinzugefügt haben, wählen Sie "Speichern" aus.
Nachdem alle Attributinformationen auf der Seite " Attribute erforderlich " abgeschlossen wurden, wählen Sie "Speichern" aus.
Hinzufügen einer SharePoint-Website mit mehreren geografischen Regionen
Wenn Sie Multi-Geo für SharePoint aktiviert haben, wählen Sie die Umgebung aus, aus der Sie Websites auswählen möchten.
Wählen Sie dann die Websites aus, die Sie dem Katalog hinzufügen möchten.
Programmgesteuertes Hinzufügen einer Ressource zu einem Katalog
Sie können eine Ressource auch mithilfe von Microsoft Graph einem Katalog hinzufügen. Ein Benutzer in einer geeigneten Rolle oder ein Katalog- und Ressourcenbesitzer mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All Berechtigung verfügt, kann die API aufrufen, um eine resourceRequest zu erstellen. Eine Anwendung mit der Anwendungsberechtigung EntitlementManagement.ReadWrite.All und den Berechtigungen zum Ändern von Ressourcen (etwa Group.ReadWrite.All), kann dem Katalog auch Ressourcen hinzufügen.
Hinzufügen einer Ressource zu einem Katalog mit PowerShell
Sie können in PowerShell einem Katalog auch eine Ressource mit dem New-MgEntitlementManagementResourceRequest Cmdlet aus den Microsoft Graph PowerShell-Cmdlets für Identity Governance-Modul Version 2.1.x oder höher hinzufügen. Im folgenden Beispiel wird gezeigt, wie Sie mit dem Microsoft Graph PowerShell-Cmdlets-Modul Version 2.4.0 eine Gruppe als Ressource zu einem Katalog hinzufügen.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
Entfernen von Ressourcen aus einem Katalog
Sie können Ressourcen aus einem Katalog entfernen. Eine Ressource kann nur aus einem Katalog entfernt werden, wenn sie nicht in einem der Zugriffspakete des Katalogs verwendet wird.
Erforderliche Rollen: Informationen zum Hinzufügen von Ressourcen zu einem Katalog finden Sie unter "Erforderliche Rollen".
Ressourcen aus einem Katalog entfernen:
Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.
Öffnen Sie auf der Seite „Kataloge“ den Katalog, aus dem Sie Ressourcen entfernen möchten.
Wählen Sie im linken Menü "Ressourcen" aus.
Wählen Sie die Ressourcen aus, die Sie entfernen möchten.
Wählen Sie "Entfernen" aus. Optional können Sie, falls gewünscht, die Auslassungspunkte (...) und dann "Ressource entfernen" auswählen.
Katalogbesitzer*innen hinzufügen
Wenn Sie einen Katalog erstellen, werden Sie der oder die erste Katalogbesitzer*in. Wenn Sie die Verwaltung eines Katalogs delegieren möchten, fügen Sie der Rolle „Katalogbesitzer*in“ Benutzer*innen hinzu. Das Hinzufügen weiterer Katalogbesitzer*innen trägt dazu bei, die Zuständigkeiten der Katalogverwaltung zu teilen.
Benutzer*innen der Rolle „Katalogbesitzer*in“ zuweisen:
Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Tipp
Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.
Öffnen Sie auf der Seite „Kataloge“ den Katalog, dem Sie Administratoren hinzufügen möchten.
Wählen Sie im linken Menü "Rollen und Administratoren" aus.
Wählen Sie "Besitzer hinzufügen" aus, um die Mitglieder für diese Rollen auszuwählen.
Wählen Sie "Auswählen" aus, um diese Mitglieder hinzuzufügen.
Bearbeiten eines Katalogs
Sie können den Namen und die Beschreibung eines Katalogs bearbeiten. Benutzern werden diese Informationen in den Details eines Zugriffspakets angezeigt.
Katalog bearbeiten:
Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Tipp
Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogersteller.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.
Öffnen Sie auf der Seite „Kataloge“ den Katalog, den Sie bearbeiten möchten.
Wählen Sie auf der Seite "Übersicht" des Katalogs "Bearbeiten" aus.
Bearbeiten Sie den Namen, die Beschreibung oder die aktivierten Einstellungen des Katalogs.
Wählen Sie "Speichern" aus.
Löschen eines Katalogs
Sie können einen Katalog nur löschen, wenn er keine Zugriffspakete enthält.
Katalog löschen:
Melden Sie sich im Microsoft Entra Admin Center als mindestens ein Identitäts-Governance-Administrator an.
Tipp
Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogersteller.
Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Kataloge.
Öffnen Sie auf der Seite „Kataloge“ den Katalog, den Sie löschen möchten.
Wählen Sie auf der Seite "Übersicht" des Katalogs die Option "Löschen" aus.
Wählen Sie im angezeigten Meldungsfeld "Ja" aus.
Programmgesteuertes Löschen eines Katalogs
Sie können einen Katalog auch mithilfe von Microsoft Graph löschen. Ein Benutzer in einer geeigneten Rolle mit einer Anwendung, die über die delegierte EntitlementManagement.ReadWrite.All Berechtigung verfügt, kann die API aufrufen, um ein accessPackageCatalog zu löschen.
Nächste Schritte
Delegieren Sie die Zugriffsverwaltung an Access Package Manager