Automatikus hozzárendelési szabályzat konfigurálása hozzáférési csomaghoz a jogosultságkezelésben
Szabályokkal határozhatja meg a hozzáférési csomag hozzárendelését a Microsoft Entra-azonosító felhasználói tulajdonságai alapján, a Microsoft Entra részeként. A jogosultságkezelésben a hozzáférési csomagok több szabályzattal is rendelkezhetnek, és minden szabályzat meghatározza, hogy a felhasználók hogyan és mennyi ideig kapják meg a hozzáférési csomaghoz való hozzárendelést. Rendszergazdaként létrehozhat egy szabályzatot az automatikus hozzárendelésekhez egy tagsági szabály megadásával, amelyet a Jogosultságkezelés követ a hozzárendelések automatikus létrehozásához és eltávolításához. A dinamikus csoporthoz hasonlóan automatikus hozzárendelési szabályzat létrehozásakor a rendszer kiértékeli a felhasználói attribútumokat a szabályzat tagsági szabályával való egyezések alapján. Ha egy felhasználó attribútuma megváltozik, a rendszer feldolgozja a hozzáférési csomagokban lévő automatikus hozzárendelési szabályzatszabályokat a tagság változásaihoz. A rendszer ezután hozzáadja vagy eltávolítja a felhasználókhoz rendelt hozzárendeléseket attól függően, hogy megfelelnek-e a szabályfeltételeknek.
Egy hozzáférési csomagban legfeljebb egy automatikus hozzárendelési szabályzatot használhat, és a szabályzatot csak rendszergazda hozhatja létre. (A katalógustulajdonosok és a hozzáférési csomagkezelők nem hozhatnak létre automatikus hozzárendelési szabályzatokat.)
Ez a cikk azt ismerteti, hogyan hozhat létre automatikus hozzáférési csomag-hozzárendelési szabályzatot egy meglévő hozzáférési csomaghoz.
Mielőtt elkezdené
Ki kell töltenie az attribútumokat azokra a felhasználókra, akik hozzáféréshez lesznek rendelve. A hozzáférési csomag-hozzárendelési szabályzatok szabályfeltételeiben használható attribútumok a támogatott tulajdonságokban felsorolt attribútumok, valamint a bővítményattribútumok és az egyéni bővítménytulajdonságok. Ezek az attribútumok a felhasználó, egy HR-rendszer, például a SuccessFactors, a Microsoft Entra Csatlakozás felhőszinkronizálás vagy a Microsoft Entra Csatlakozás Sync javításával hozhatók be a Microsoft Entra-azonosítóba. A szabályok szabályzatonként legfeljebb 5000 felhasználót tartalmazhatnak.
Licenckövetelmények
A funkció használatához Microsoft Entra ID-kezelés licencek szükségesek. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
Automatikus hozzárendelési szabályzat létrehozása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A hozzáférési csomag szabályzatának létrehozásához a hozzáférési csomag szabályzatának lapjáról kell kiindulnia. Az alábbi lépéseket követve hozzon létre egy új automatikus hozzárendelési szabályzatot egy hozzáférési csomaghoz.
Előfeltétel-szerepkör: Globális rendszergazda vagy identitásirányítási rendszergazda
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyisson meg egy hozzáférési csomagot.
Válassza a Szabályzatok lehetőséget, majd adjon hozzá automatikus hozzárendelési szabályzatot egy új szabályzat létrehozásához.
Az első lapon adja meg a szabályt. Válassza a Szerkesztés lehetőséget.
Adjon meg egy dinamikus tagsági szabályt a tagsági szabályszerkesztővel , vagy kattintson a Szabályszintaxis szövegmező Szerkesztés gombjára .
Feljegyzés
Előfordulhat, hogy a szabályszerkesztő nem tudja megjeleníteni a szövegmezőben létrehozott néhány szabályt, és egy szabály érvényesítéséhez jelenleg a globális rendszergazdai szerepkörben kell lennie. További információ: szabályszerkesztő a Microsoft Entra felügyeleti központban.
A Dinamikus tagsági szabályszerkesztő bezárásához válassza a Mentés lehetőséget.
Alapértelmezés szerint a hozzárendelések automatikus létrehozására és eltávolítására vonatkozó jelölőnégyzetek továbbra is bejelölve maradnak.
Ha azt szeretné, hogy a felhasználók korlátozott ideig megőrizzék a hozzáférést a hatókörükből való kilépés után, órákban vagy napokban megadhatja az időtartamot. Ha például egy alkalmazott elhagyja az értékesítési részleget, lehetővé teheti számukra, hogy hét napig továbbra is fenntarthassák a hozzáférést, hogy az értékesítési alkalmazásokat használhassák, és átadhassák az ezekben az alkalmazásokban lévő erőforrásaik tulajdonjogát egy másik alkalmazottnak.
Válassza a Tovább lehetőséget az Egyéni bővítmények lap megnyitásához.
Ha a katalógusban egyéni bővítményeket szeretne futtatni, amikor a szabályzat hozzáférést rendel hozzá vagy távolít el, hozzáadhatja őket ehhez a szabályzathoz. Ezután válassza a Tovább gombot a Véleményezés lap megnyitásához.
Írja be a szabályzat nevét és leírását.
A házirend mentéséhez válassza a Létrehozás lehetőséget .
Feljegyzés
A jogosultságkezelés ekkor automatikusan létrehoz egy dinamikus biztonsági csoportot, amely megfelel az egyes szabályzatoknak, hogy kiértékelje a hatókörben lévő felhasználókat. Ezt a csoportot csak a jogosultságkezelés módosíthatja. Ezt a csoportot a Jogosultságkezelés automatikusan is módosíthatja vagy törölheti, ezért ne használja ezt a csoportot más alkalmazásokhoz vagy forgatókönyvekhez.
A Microsoft Entra ID kiértékeli a szabály hatálya alá tartozó felhasználókat a szervezetben, és hozzárendeléseket hoz létre azoknak a felhasználóknak, akik még nem rendelkeznek hozzárendelésekkel a hozzáférési csomaghoz. A szabályzatok legfeljebb 5000 felhasználót tartalmazhatnak a szabályban. A kiértékelés több percet is igénybe vehet, vagy a felhasználói attribútumok későbbi frissítései megjelennek a hozzáférési csomag-hozzárendelésekben.
Automatikus hozzárendelési szabályzat létrehozása programozott módon
Az automatikus hozzárendeléshez kétféleképpen hozhat létre hozzáférési csomag-hozzárendelési szabályzatot programozott módon a Microsoft Graphon és a Microsoft Graph PowerShell-parancsmagjain keresztül.
Hozzáférési csomag hozzárendelési szabályzatának létrehozása a Graph használatával
Szabályzatot a Microsoft Graph használatával hozhat létre. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All
engedéllyel rendelkező alkalmazással, katalógusszerepkörrel rendelkező vagy engedéllyel rendelkező EntitlementManagement.ReadWrite.All
felhasználó meghívhatja a create assignmentPolicy API-t. A kérelem hasznos adatai között szerepeljen a displayName
szabályzat, description
a , specificAllowedTargets
automaticRequestSettings
és accessPackage
a tulajdonságok is.
Hozzáférési csomag hozzárendelési szabályzatának létrehozása a PowerShell használatával
Szabályzatot is létrehozhat a PowerShellben a Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 1.16.0-s vagy újabb verziójának parancsmagjaival.
Ez az alábbi szkript bemutatja a v1.0
profil használatát, hogy létrehozhasson egy szabályzatot egy hozzáférési csomaghoz való automatikus hozzárendeléshez. További példákért lásd : assignmentPolicy létrehozása.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"
$pparams = @{
DisplayName = "Sales department users"
Description = "All users from sales department"
AllowedTargetScope = "specificDirectoryUsers"
SpecificAllowedTargets = @( @{
"@odata.type" = "#microsoft.graph.attributeRuleMembers"
description = "All users from sales department"
membershipRule = '(user.department -eq "Sales")'
} )
AutomaticRequestSettings = @{
RequestAccessForAllowedTargets = $true
}
AccessPackage = @{
Id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams