Automatikus hozzárendelési szabályzat konfigurálása hozzáférési csomaghoz a jogosultságkezelésben

  • Cikk

Szabályokkal határozhatja meg a hozzáférési csomag hozzárendelését a Microsoft Entra-azonosító felhasználói tulajdonságai alapján, a Microsoft Entra részeként. A jogosultságkezelésben a hozzáférési csomagok több szabályzattal is rendelkezhetnek, és minden szabályzat meghatározza, hogy a felhasználók hogyan és mennyi ideig kapják meg a hozzáférési csomaghoz való hozzárendelést. Rendszergazdaként létrehozhat egy szabályzatot az automatikus hozzárendelésekhez egy tagsági szabály megadásával, amelyet a Jogosultságkezelés követ a hozzárendelések automatikus létrehozásához és eltávolításához. A dinamikus csoporthoz hasonlóan automatikus hozzárendelési szabályzat létrehozásakor a rendszer kiértékeli a felhasználói attribútumokat a szabályzat tagsági szabályával való egyezések alapján. Ha egy felhasználó attribútuma megváltozik, a rendszer feldolgozja a hozzáférési csomagokban lévő automatikus hozzárendelési szabályzatszabályokat a tagság változásaihoz. A rendszer ezután hozzáadja vagy eltávolítja a felhasználókhoz rendelt hozzárendeléseket attól függően, hogy megfelelnek-e a szabályfeltételeknek.

Egy hozzáférési csomagban legfeljebb egy automatikus hozzárendelési szabályzatot használhat, és a szabályzatot csak rendszergazda hozhatja létre. (A katalógustulajdonosok és a hozzáférési csomagkezelők nem hozhatnak létre automatikus hozzárendelési szabályzatokat.)

Ez a cikk azt ismerteti, hogyan hozhat létre automatikus hozzáférési csomag-hozzárendelési szabályzatot egy meglévő hozzáférési csomaghoz.

Mielőtt elkezdené

Ki kell töltenie az attribútumokat azokra a felhasználókra, akik hozzáféréshez lesznek rendelve. A hozzáférési csomag-hozzárendelési szabályzatok szabályfeltételeiben használható attribútumok a támogatott tulajdonságokban felsorolt attribútumok, valamint a bővítményattribútumok és az egyéni bővítménytulajdonságok. Ezek az attribútumok a felhasználó, egy HR-rendszer, például a SuccessFactors, a Microsoft Entra Csatlakozás felhőszinkronizálás vagy a Microsoft Entra Csatlakozás Sync javításával hozhatók be a Microsoft Entra-azonosítóba. A szabályok szabályzatonként legfeljebb 5000 felhasználót tartalmazhatnak.

Licenckövetelmények

A funkció használatához Microsoft Entra ID-kezelés licencek szükségesek. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.

Automatikus hozzárendelési szabályzat létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A hozzáférési csomag szabályzatának létrehozásához a hozzáférési csomag szabályzatának lapjáról kell kiindulnia. Az alábbi lépéseket követve hozzon létre egy új automatikus hozzárendelési szabályzatot egy hozzáférési csomaghoz.

Előfeltétel-szerepkör: Globális rendszergazda vagy identitásirányítási rendszergazda

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.

  3. Az Access-csomagok lapon nyisson meg egy hozzáférési csomagot.

  4. Válassza a Szabályzatok lehetőséget, majd adjon hozzá automatikus hozzárendelési szabályzatot egy új szabályzat létrehozásához.

  5. Az első lapon adja meg a szabályt. Válassza a Szerkesztés lehetőséget.

  6. Adjon meg egy dinamikus tagsági szabályt a tagsági szabályszerkesztővel , vagy kattintson a Szabályszintaxis szövegmező Szerkesztés gombjára .

    Feljegyzés

    Előfordulhat, hogy a szabályszerkesztő nem tudja megjeleníteni a szövegmezőben létrehozott néhány szabályt, és egy szabály érvényesítéséhez jelenleg a globális rendszergazdai szerepkörben kell lennie. További információ: szabályszerkesztő a Microsoft Entra felügyeleti központban.

    Screenshot of an access package automatic assignment policy rule configuration.

  7. A Dinamikus tagsági szabályszerkesztő bezárásához válassza a Mentés lehetőséget.

  8. Alapértelmezés szerint a hozzárendelések automatikus létrehozására és eltávolítására vonatkozó jelölőnégyzetek továbbra is bejelölve maradnak.

  9. Ha azt szeretné, hogy a felhasználók korlátozott ideig megőrizzék a hozzáférést a hatókörükből való kilépés után, órákban vagy napokban megadhatja az időtartamot. Ha például egy alkalmazott elhagyja az értékesítési részleget, lehetővé teheti számukra, hogy hét napig továbbra is fenntarthassák a hozzáférést, hogy az értékesítési alkalmazásokat használhassák, és átadhassák az ezekben az alkalmazásokban lévő erőforrásaik tulajdonjogát egy másik alkalmazottnak.

  10. Válassza a Tovább lehetőséget az Egyéni bővítmények lap megnyitásához.

  11. Ha a katalógusban egyéni bővítményeket szeretne futtatni, amikor a szabályzat hozzáférést rendel hozzá vagy távolít el, hozzáadhatja őket ehhez a szabályzathoz. Ezután válassza a Tovább gombot a Véleményezés lap megnyitásához.

  12. Írja be a szabályzat nevét és leírását.

    Screenshot of an access package automatic assignment policy review tab.

  13. A házirend mentéséhez válassza a Létrehozás lehetőséget .

    Feljegyzés

    A jogosultságkezelés ekkor automatikusan létrehoz egy dinamikus biztonsági csoportot, amely megfelel az egyes szabályzatoknak, hogy kiértékelje a hatókörben lévő felhasználókat. Ezt a csoportot csak a jogosultságkezelés módosíthatja. Ezt a csoportot a Jogosultságkezelés automatikusan is módosíthatja vagy törölheti, ezért ne használja ezt a csoportot más alkalmazásokhoz vagy forgatókönyvekhez.

  14. A Microsoft Entra ID kiértékeli a szabály hatálya alá tartozó felhasználókat a szervezetben, és hozzárendeléseket hoz létre azoknak a felhasználóknak, akik még nem rendelkeznek hozzárendelésekkel a hozzáférési csomaghoz. A szabályzatok legfeljebb 5000 felhasználót tartalmazhatnak a szabályban. A kiértékelés több percet is igénybe vehet, vagy a felhasználói attribútumok későbbi frissítései megjelennek a hozzáférési csomag-hozzárendelésekben.

Automatikus hozzárendelési szabályzat létrehozása programozott módon

Az automatikus hozzárendeléshez kétféleképpen hozhat létre hozzáférési csomag-hozzárendelési szabályzatot programozott módon a Microsoft Graphon és a Microsoft Graph PowerShell-parancsmagjain keresztül.

Hozzáférési csomag hozzárendelési szabályzatának létrehozása a Graph használatával

Szabályzatot a Microsoft Graph használatával hozhat létre. A megfelelő szerepkörrel rendelkező, delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással, katalógusszerepkörrel rendelkező vagy engedéllyel rendelkező EntitlementManagement.ReadWrite.All felhasználó meghívhatja a create assignmentPolicy API-t. A kérelem hasznos adatai között szerepeljen a displayNameszabályzat, descriptiona , specificAllowedTargetsautomaticRequestSettings és accessPackage a tulajdonságok is.

Hozzáférési csomag hozzárendelési szabályzatának létrehozása a PowerShell használatával

Szabályzatot is létrehozhat a PowerShellben a Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 1.16.0-s vagy újabb verziójának parancsmagjaival.

Ez az alábbi szkript bemutatja a v1.0 profil használatát, hogy létrehozhasson egy szabályzatot egy hozzáférési csomaghoz való automatikus hozzárendeléshez. További példákért lásd : assignmentPolicy létrehozása.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Következő lépések