Erőforrás-szerepkörök módosítása hozzáférési csomaghoz a jogosultságkezelésben
Hozzáférési csomagkezelőként bármikor módosíthatja a hozzáférési csomag erőforrásait anélkül, hogy a felhasználó hozzáférését kellene kiépítenie az új erőforrásokhoz, vagy el kellene távolítania a hozzáférést az előző erőforrásokból. Ez a cikk azt ismerteti, hogyan módosíthatja egy meglévő hozzáférési csomag erőforrásszerepkörét.
Ez a videó áttekintést nyújt a hozzáférési csomagok módosításáról.
Erőforrások katalógusának ellenőrzése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ha erőforrásokat kell hozzáadnia egy hozzáférési csomaghoz, ellenőrizze, hogy a szükséges erőforrások elérhetők-e a hozzáférési csomag katalógusában. Ha Ön hozzáférési csomagkezelő, akkor sem adhat hozzá erőforrásokat egy katalógushoz, még akkor sem, ha Ön a tulajdonosa. Csak a katalógusban elérhető erőforrásokat használhatja.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Tipp.
A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access-csomagkezelő.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelyet ellenőrizni szeretne, és győződjön meg arról, hogy a katalógus rendelkezik a szükséges erőforrásokkal.
A bal oldali menüben válassza a Katalógus lehetőséget, majd nyissa meg a katalógust.
A bal oldali menüBen válassza az Erőforrások lehetőséget a katalógusban található erőforrások listájának megtekintéséhez.
Ha az erőforrások még nem szerepelnek a katalógusban, és Ön rendszergazda vagy katalógustulajdonos, hozzáadhat erőforrásokat egy katalógushoz. A felvehető erőforrások típusai a csoportok, a címtárba integrált alkalmazások és a SharePoint Online-webhelyek. Példa:
- A csoportok lehetnek felhőalapú Microsoft 365-csoportok vagy felhőben létrehozott Microsoft Entra biztonsági csoportok. A helyi Active Directory származó csoportok nem rendelhetők erőforrásokhoz, mert a tulajdonos vagy a tag attribútumai nem módosíthatók a Microsoft Entra-azonosítóban. Ha hozzáférést szeretne adni a felhasználóknak egy AD biztonsági csoporttagságokat használó alkalmazáshoz, hozzon létre egy új csoportot a Microsoft Entra ID-ban, konfigurálja a csoportvisszaírást az AD-be, és engedélyezze a csoport AD-be írását. Az Exchange Online-ból terjesztési csoportként származó csoportok sem módosíthatók a Microsoft Entra-azonosítóban.
- Az alkalmazások lehetnek nagyvállalati Microsoft Entra-alkalmazások, amelyek magukban foglalják a szolgáltatásként használt szoftveralkalmazásokat (SaaS), a másik könyvtárat vagy adatbázist használó helyszíni alkalmazásokat, valamint a Microsoft Entra ID azonosítóval integrált saját alkalmazásokat. Ha az alkalmazás még nem lett integrálva a Microsoft Entra-címtárral, tekintse meg a környezetbeli alkalmazások hozzáférésének szabályozását, és integráljon egy alkalmazást a Microsoft Entra-azonosítóval.
- A webhelyek lehetnek SharePoint Online-webhelyek vagy SharePoint Online-webhelycsoportok.
Ha Ön hozzáférési csomagkezelő, és erőforrásokat kell hozzáadnia a katalógushoz, megkérheti a katalógus tulajdonosát, hogy vegye fel őket.
Annak meghatározása, hogy mely erőforrás-szerepkörök szerepeljenek egy hozzáférési csomagban
Az erőforrásszerepkör az erőforráshoz társított és meghatározott engedélyek gyűjteménye. Az erőforrások elérhetővé tehetők a felhasználók számára, ha erőforrás-szerepköröket ad hozzá a katalógus egyes erőforrásaiból a hozzáférési csomaghoz. Felvehet olyan erőforrás-szerepköröket, amelyeket csoportok, csapatok, alkalmazások és SharePoint-webhelyek biztosítanak. Amikor egy felhasználó hozzárendelést kap egy hozzáférési csomaghoz, a rendszer hozzáadja őket a hozzáférési csomag összes erőforrásszerepköréhez.
Ha elveszítik a hozzáférési csomag hozzárendelését, a rendszer eltávolítja őket a hozzáférési csomag összes erőforrásszerepköréből.
Feljegyzés
Ha a felhasználók a jogosultságkezelésen kívül lettek hozzáadva az erőforrásokhoz, és akkor is meg kell őrizniük a hozzáférést, ha később hozzáférési csomag-hozzárendeléseket kapnak, és a hozzáférési csomag hozzárendelései lejárnak, akkor ne adja hozzá az erőforrás-szerepköröket a hozzáférési csomaghoz.
Ha azt szeretné, hogy egyes felhasználók más erőforrás-szerepköröket kapjanak, mint mások, akkor több hozzáférési csomagot kell létrehoznia a katalógusban, külön hozzáférési csomagokkal az egyes erőforrás-szerepkörökhöz. A hozzáférési csomagokat úgy is megjelölheti, hogy nem kompatibilisek egymással, így a felhasználók nem kérhetnek hozzáférést olyan hozzáférési csomagokhoz, amelyek túlzott hozzáférést biztosítanak számukra.
Az alkalmazások több alkalmazásszerepkörrel is rendelkezhetnek. Ha egy alkalmazás alkalmazásszerepkörét erőforrásszerepkörként adja hozzá egy hozzáférési csomaghoz, ha az alkalmazás több alkalmazásszerepkörrel is rendelkezik, meg kell adnia a hozzáférési csomagban szereplő felhasználók számára megfelelő szerepkört.
Feljegyzés
Ha egy alkalmazás több alkalmazásszerepkört is tartalmaz, és az alkalmazás több szerepköre is egy hozzáférési csomagban található, akkor a felhasználó megkapja az alkalmazás összes belefoglalt szerepkörét. Ha ehelyett azt szeretné, hogy a felhasználók csak az alkalmazás néhány szerepkörével rendelkezzenek, akkor több hozzáférési csomagot kell létrehoznia a katalógusban, amelyek mindegyik alkalmazásszerepkörhöz külön hozzáférési csomagokat biztosítanak.
Emellett az alkalmazások biztonsági csoportokra is támaszkodhatnak az engedélyek kifejezéséhez. Előfordulhat például, hogy egy alkalmazás egyetlen alkalmazásszerepkörrel User
rendelkezik, és két csoport – egy Ordinary Users
csoport és egy Administrative Access
csoport – tagságát is ellenőrzi. Az alkalmazás felhasználójának pontosan az egyik csoport tagjának kell lennie. Ha azt szeretné konfigurálni, hogy a felhasználók bármelyik engedélyt igényelhetik, akkor három erőforrást helyezne egy katalógusba: az alkalmazást, a csoportot Ordinary Users
és a csoportot Administrative Access
. Ezután két hozzáférési csomagot hozna létre a katalógusban, és jelezné, hogy az egyes hozzáférési csomagok nem kompatibilisek a másikkal:
- egy első hozzáférési csomag, amely két erőforrás-szerepkörrel, az alkalmazás alkalmazásszerepkörével
User
és a csoport tagságával rendelkezikOrdinary Users
- egy második hozzáférési csomag, amely két erőforrásszerepkörrel, az alkalmazás alkalmazásszerepkörével
User
és a csoporttagságával rendelkezikAdministrative Access
Ellenőrizze, hogy a felhasználók már hozzá vannak-e rendelve az erőforrás-szerepkörhöz
Ha egy rendszergazda hozzáad egy erőforrás-szerepkört egy hozzáférési csomaghoz, azok a felhasználók, akik már szerepelnek az erőforrás-szerepkörben, de nem rendelkeznek a hozzáférési csomaghoz való hozzárendeléssel, az erőforrás-szerepkörben maradnak, de nem lesznek hozzárendelve a hozzáférési csomaghoz. Ha például egy felhasználó tagja egy csoportnak, majd létrejön egy hozzáférési csomag, és a csoport tagi szerepköre hozzáadódik egy hozzáférési csomaghoz, a felhasználó nem kap automatikusan egy hozzárendelést a hozzáférési csomaghoz.
Ha azt szeretné, hogy az erőforrás-szerepkör-tagsággal rendelkező felhasználók is hozzá legyenek rendelve a hozzáférési csomaghoz, közvetlenül hozzárendelhet felhasználókat egy hozzáférési csomaghoz a Microsoft Entra felügyeleti központ használatával, vagy tömegesen a Graph vagy a PowerShell használatával. A hozzáférési csomaghoz hozzárendelt felhasználók ezután a hozzáférési csomag többi erőforrásszerepköréhez is hozzáférést kapnak. Mivel azonban az erőforrás-szerepkörben lévő felhasználók már rendelkeznek hozzáféréssel a hozzáférési csomaghoz való hozzáadás előtt, a hozzáférési csomag hozzárendelésének eltávolításakor a rendszer eltávolítja őket az adott erőforrás-szerepkörből.
Erőforrás-szerepkörök hozzáadása
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Tipp.
A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access-csomagkezelő.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelyhez erőforrás-szerepköröket szeretne hozzáadni.
A bal oldali menüben válassza az Erőforrás-szerepkörök lehetőséget.
Válassza az Erőforrás-szerepkörök hozzáadása lehetőséget az Erőforrás-szerepkörök hozzáadása lap megnyitásához.
Attól függően, hogy egy csoporthoz vagy csoporthoz szeretne-e tagságot hozzáadni, az alkalmazáshoz, a SharePoint-webhelyhez vagy a Microsoft Entra-szerepkörhöz (előzetes verzió) való hozzáférés az alábbi erőforrásszerepkör-szakaszok egyikében hajtja végre a lépéseket.
Csoport- vagy csoporterőforrás-szerepkör hozzáadása
A jogosultságkezelés automatikusan hozzáadhat felhasználókat egy csoporthoz vagy csoporthoz a Microsoft Teamsben, ha hozzáférési csomag van hozzájuk rendelve.
- Ha egy csoport vagy csoport tagsága egy hozzáférési csomag részét képező erőforrásszerepkör, és egy felhasználó hozzá van rendelve ehhez a hozzáférési csomaghoz, a felhasználó tagként lesz hozzáadva az adott csoporthoz vagy csoporthoz, ha még nincs jelen.
- Ha egy felhasználó hozzáférési csomag-hozzárendelése lejár, a rendszer eltávolítja őket a csoportból vagy csoportból, kivéve, ha jelenleg egy másik hozzáférési csomaghoz van hozzárendelve, amely ugyanahhoz a csoporthoz vagy csoporthoz tartozik.
Bármelyik Microsoft Entra biztonsági csoportot vagy Microsoft 365-csoportot kiválaszthatja. A csoportok kezelésére jogosult rendszergazdai szerepkörrel rendelkező felhasználók bármilyen csoportot felvehetnek egy katalógusba; A katalógustulajdonosok bármilyen csoportot hozzáadhatnak a katalógushoz, ha a csoport tulajdonosa. A csoport kiválasztásakor tartsa szem előtt az alábbi Microsoft Entra-korlátozásokat:
- Ha egy felhasználót , beleértve a vendéget is, tagként hozzáadják egy csoporthoz vagy csoporthoz, láthatja az adott csoport vagy csoport összes többi tagját.
- A Microsoft Entra ID nem tudja módosítani a Windows Server Active Directoryból a Microsoft Entra Connect használatával szinkronizált vagy az Exchange Online-ban terjesztési csoportként létrehozott csoport tagságát. Ha az AD biztonsági csoportokat használó alkalmazásokhoz való hozzáférést tervezi kezelni, tekintse meg , hogyan állíthat be csoportvisszaírást jogosultságkezeléssel.
- A dinamikus tagsági csoportok nem frissíthetők tag hozzáadásával vagy eltávolításával, így nem alkalmasak a jogosultságkezelésre.
- A Microsoft 365-csoportokra további korlátozások vonatkoznak, amelyeket a rendszergazdákra vonatkozó Microsoft 365-csoportok áttekintése ismertet, beleértve a csoportonkénti 100 tulajdonosi korlátot, a csoportos beszélgetések egyidejű elérésének korlátozását, valamint tagonként 7000 csoportot.
További információ: Csoportok, Microsoft 365-csoportok és Microsoft Teams összehasonlítása.
Az Erőforrás-szerepkörök hozzáadása a csomag eléréséhez lapon válassza a Csoportok és a Teams lehetőséget a Csoportok kijelölése panel megnyitásához.
Válassza ki a hozzáférési csomagba felvenni kívánt csoportokat és csoportokat.
Válassza a lehetőséget.
A csoport vagy csoport kiválasztása után az Altípus oszlop az alábbi altípusok egyikét sorolja fel:
Altípus Leírás Biztonság Erőforrásokhoz való hozzáférés megadására szolgál. Disztribúció Értesítések küldésére szolgál egy személycsoportnak. Microsoft 365 Olyan Microsoft 365-csoport, amely nem teams-kompatibilis. A vállalaton belüli és kívüli felhasználók közötti együttműködéshez használható. Csoport Teams-kompatibilis Microsoft 365-csoport. A vállalaton belüli és kívüli felhasználók közötti együttműködéshez használható. A Szerepkörök listában válassza a Tulajdonos vagy a Tag lehetőséget.
Általában a tagszerepkört választja ki. Ha kiválasztja a Tulajdonos szerepkört, akkor a felhasználók a csoport tulajdonosává válnak, ami lehetővé teszi, hogy a felhasználók más tagokat vagy tulajdonosokat vegyenek fel vagy távolítson el.
Válassza a Hozzáadás lehetőséget.
A hozzáférési csomaghoz meglévő hozzárendeléssel rendelkező felhasználók a hozzáadás után automatikusan ennek a csoportnak vagy csapatnak a tagjaivá (vagy tulajdonosaivá) válnak. További információt a módosítások alkalmazásának időpontjáról talál.
Alkalmazáserőforrás-szerepkör hozzáadása
Beállíthatja, hogy a Microsoft Entra-azonosító automatikusan hozzárendelje a felhasználók hozzáférését egy Nagyvállalati Microsoft Entra-alkalmazáshoz, beleértve az SaaS-alkalmazásokat, a helyszíni alkalmazásokat és a szervezet Microsoft Entra-azonosítóval integrált alkalmazásait, amikor egy felhasználóhoz hozzáférési csomag van rendelve. A Microsoft Entra ID-val összevont egyszeri bejelentkezéssel integrálható alkalmazások esetében a Microsoft Entra ID összevonási jogkivonatokat ad ki az alkalmazáshoz rendelt felhasználók számára.
Ha az alkalmazás még nem lett integrálva a Microsoft Entra-címtárral, tekintse meg a környezetbeli alkalmazások hozzáférésének szabályozását, és integráljon egy alkalmazást a Microsoft Entra-azonosítóval.
Az alkalmazások több alkalmazásszerepkört is meghatározhatnak a jegyzékben, és az alkalmazásszerepkörök felhasználói felületén keresztül felügyelhetők. Amikor erőforrásszerepkörként hozzáad egy alkalmazás alkalmazásszerepkörét egy hozzáférési csomaghoz, ha az alkalmazás több alkalmazásszerepkörrel is rendelkezik, meg kell adnia a hozzáférési csomagban szereplő felhasználók számára megfelelő szerepkört. Ha alkalmazásokat fejleszt, további információ arról, hogy ezek a szerepkörök hogyan lesznek hozzáadva az alkalmazásokhoz a Hogyan: Konfigurálja az SAML-jogkivonatban a vállalati alkalmazásokhoz kiadott szerepkör-jogcímet. Ha a Microsoft Hitelesítési kódtárakat használja, az alkalmazásszerepkörök hozzáférés-vezérléshez való használatára is van kódminta .
Feljegyzés
Ha egy alkalmazás több alkalmazásszerepkört is tartalmaz, és az alkalmazás több szerepköre is egy hozzáférési csomagban található, akkor a felhasználó megkapja az alkalmazás összes belefoglalt szerepkörét. Ha ehelyett azt szeretné, hogy a felhasználók csak az alkalmazás néhány szerepkörével rendelkezzenek, akkor több hozzáférési csomagot kell létrehoznia a katalógusban, amelyek mindegyik alkalmazásszerepkörhöz külön hozzáférési csomagokat biztosítanak.
Ha egy alkalmazásszerepkör egy hozzáférési csomag erőforrása:
- Ha egy felhasználóhoz hozzá van rendelve a hozzáférési csomag, a rendszer hozzáadja a felhasználót az alkalmazásszerepkörhöz, ha még nincs jelen. Ha az alkalmazás attribútumokat igényel, a kérésből gyűjtött attribútumok értékei a felhasználóra lesznek írva.
- Ha egy felhasználó hozzáférési csomag-hozzárendelése lejár, a hozzáférése el lesz távolítva az alkalmazásból, hacsak nem rendelkezik az adott alkalmazásszerepkört tartalmazó másik hozzáférési csomaghoz való hozzárendeléssel. Ha az alkalmazás szükséges attribútumokat igényel, ezek az attribútumok törlődnek a felhasználóból.
Az alkalmazások kiválasztásakor az alábbiakat érdemes figyelembe venni:
- Az alkalmazások az alkalmazásszerepkörökhöz is hozzárendelhetnek csoportokat. Dönthet úgy, hogy hozzáad egy csoportot egy alkalmazás helyett és annak szerepkörét egy hozzáférési csomagban, de az alkalmazás nem lesz látható a felhasználó számára a hozzáférési csomag részeként a Saját hozzáférési portálon.
- A Microsoft Entra Felügyeleti központ olyan szolgáltatások szolgáltatásneveit is megjelenítheti, amelyek nem választhatók alkalmazásként. Az Exchange Online és a SharePoint Online különösen olyan szolgáltatások, nem pedig olyan alkalmazások, amelyek erőforrás-szerepkörrel rendelkeznek a címtárban, ezért nem vehetők fel hozzáférési csomagokba. Ehelyett csoportalapú licencelés használatával hozzon létre egy megfelelő licencet azon felhasználók számára, akiknek hozzáférésre van szükségük a kérdéses szolgáltatásokhoz.
- Azok az alkalmazások, amelyek csak a személyes Microsoft-fiók felhasználóit támogatják a hitelesítéshez, és nem támogatják a címtárban lévő szervezeti fiókokat, nem rendelkeznek alkalmazásszerepkörrel, és nem vehetők fel a csomagkatalógusokhoz.
Az Erőforrás-szerepkörök hozzáadása a csomag eléréséhez lapon válassza az Alkalmazások lehetőséget az Alkalmazások kiválasztása panel megnyitásához.
Válassza ki a hozzáférési csomagba felvenni kívánt alkalmazásokat.
Válassza a lehetőséget.
A Szerepkör listában válasszon ki egy alkalmazásszerepkört.
Válassza a Hozzáadás lehetőséget.
A hozzáférési csomaghoz meglévő hozzárendeléssel rendelkező felhasználók automatikusan hozzáférést kapnak ehhez az alkalmazáshoz, amikor hozzáadják. További információt a módosítások alkalmazásának időpontjáról talál.
SharePoint-webhely erőforrás-szerepkörének hozzáadása
A Microsoft Entra-azonosító automatikusan hozzárendelheti a felhasználók hozzáférését egy SharePoint Online-webhelyhez vagy SharePoint Online-webhelycsoporthoz, amikor hozzáférési csomagot rendelnek hozzájuk.
Az Erőforrás-szerepkörök hozzáadása a csomag eléréséhez lapon válassza a SharePoint-webhelyek lehetőséget a SharePoint Online-webhelyek kiválasztása panel megnyitásához.
Válassza ki a hozzáférési csomagba felvenni kívánt SharePoint Online-webhelyeket.
Válassza a lehetőséget.
A Szerepkörök listában válasszon ki egy SharePoint Online-webhelyszerepkört.
Válassza a Hozzáadás lehetőséget.
A hozzáférési csomaghoz meglévő hozzárendeléssel rendelkező felhasználók automatikusan hozzáférést kapnak ehhez a SharePoint Online-webhelyhez a hozzáadáskor. További információt a módosítások alkalmazásának időpontjáról talál.
Microsoft Entra-szerepkör-hozzárendelés hozzáadása
Ha a felhasználóknak további engedélyekre van szükségük a szervezet erőforrásainak eléréséhez, ezeket az engedélyeket a Microsoft Entra-szerepkörök hozzáférési csomagokon keresztüli hozzárendelésével kezelheti. A Microsoft Entra-szerepkörök alkalmazottakhoz és vendégekhez való hozzárendelésével a Jogosultságkezelés használatával áttekintheti a felhasználó jogosultságait, hogy gyorsan megállapíthassa, mely szerepkörök vannak hozzárendelve az adott felhasználóhoz. Ha erőforrásként egy Microsoft Entra-szerepkört is belefoglal egy hozzáférési csomagba, megadhatja azt is, hogy a szerepkör-hozzárendelés "jogosult" vagy "aktív".
A Microsoft Entra-szerepkörök hozzáférési csomagokon keresztüli hozzárendelése segít hatékonyan kezelni a szerepkör-hozzárendeléseket nagy méretekben, és javítja a szerepkör-hozzárendelések életciklusát.
Feljegyzés
Javasoljuk, hogy a Privileged Identity Management használatával biztosítson igény szerint hozzáférést egy felhasználónak egy emelt szintű engedélyeket igénylő feladat végrehajtásához. Ezeket az engedélyeket a Microsoft Entra szerepkörök biztosítják, amelyek "privileged" címkével vannak ellátva, az alábbi dokumentációnkban: Microsoft Entra beépített szerepkörök. A jogosultságkezelés alkalmasabb a felhasználók számára egy erőforráscsomag hozzárendelésére, amely tartalmazhat egy Microsoft Entra-szerepkört, amely a feladat elvégzéséhez szükséges. A hozzáférési csomagokhoz rendelt felhasználók általában hosszabb ideig férnek hozzá az erőforrásokhoz. Bár azt javasoljuk, hogy a privileged Identity Management segítségével kezelje a magas jogosultságú szerepköröket, jogosultságot állíthat be ezekre a szerepkörökre a Jogosultságkezelés hozzáférési csomagjaival.
Kövesse az alábbi lépéseket egy Microsoft Entra-szerepkör erőforrásként való hozzáadásához egy hozzáférési csomagban:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagokat.
Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelyhez erőforrás-szerepköröket szeretne hozzáadni, és válassza ki az Erőforrás-szerepköröket.
Az Erőforrás-szerepkörök hozzáadása a csomag eléréséhez lapon válassza a Microsoft Entra-szerepkörök (előzetes verzió) lehetőséget a Microsoft Entra-szerepkörök kiválasztása panel megnyitásához.
Válassza ki a hozzáférési csomagban felvenni kívánt Microsoft Entra-szerepköröket.
A Szerepkör listában válassza a Jogosult tag vagy az Aktív tag lehetőséget.
Válassza a Hozzáadás lehetőséget.
Feljegyzés
Ha a Jogosult lehetőséget választja, a felhasználók jogosultak lesznek erre a szerepkörre, és aktiválhatják a hozzárendelésüket a Privileged Identity Management használatával a Microsoft Entra Felügyeleti központban. Ha az Aktív lehetőséget választja, a felhasználók aktív szerepkör-hozzárendeléssel rendelkeznek, amíg már nem férnek hozzá a hozzáférési csomaghoz. A "privileged" címkével ellátott Entra-szerepkörök esetében csak a Jogosult lehetőséget választhatja ki. A kiemelt szerepkörök listáját itt találja: Microsoft Entra beépített szerepkörök.
Microsoft Entra-szerepkör programozott hozzáadásához lásd: Microsoft Entra-szerepkör hozzáadása erőforrásként programozott módon egy hozzáférési csomagban.
Erőforrás-szerepkörök hozzáadása programozott módon
Kétféleképpen adhat hozzá erőforrásszerepkört egy hozzáférési csomaghoz programozott módon, a Microsoft Graphon és a Microsoft Graph PowerShell-parancsmagjain keresztül.
Erőforrás-szerepkörök hozzáadása hozzáférési csomaghoz a Microsoft Graph használatával
A Microsoft Graph használatával erőforrás-szerepkört adhat hozzá egy hozzáférési csomaghoz. A delegált EntitlementManagement.ReadWrite.All
engedéllyel rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező felhasználók meghívhatják az API-t a következőkre:
- Listázhatja a katalógus erőforrásait, és létrehozhat egy accessPackageResourceRequest objektumot a katalógusban még nem szereplő erőforrásokhoz.
- Kérje le az egyes erőforrások szerepköreit és hatóköreit a katalógusban. Ezt a szerepkörlistát fogja használni egy szerepkör kiválasztásához, amikor később létrehoz egy resourceRoleScope-t.
- Hozzon létre egy resourceRoleScope-t a hozzáférési csomagban szükséges egyes erőforrás-szerepkörökhöz.
Erőforrás-szerepkörök hozzáadása hozzáférési csomaghoz a Microsoft PowerShell használatával
Erőforrás-szerepköröket is hozzáadhat egy hozzáférési csomaghoz a PowerShellben a Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 2.1.x-es vagy újabb modulverziójának parancsmagjaival.
Először kérje le a katalógus és a katalógusban található erőforrás azonosítóját, valamint a hozzáférési csomagban felvenni kívánt hatóköröket és szerepköröket. Az alábbi példához hasonló szkriptet használjon. Ez azt feltételezi, hogy egyetlen alkalmazáserőforrás található a katalógusban.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Ezután rendelje hozzá az erőforrás-szerepkört az adott erőforrástól a hozzáférési csomaghoz. Ha például a korábban visszaadott erőforrás első erőforrásszerepkörét szeretné belefoglalni egy hozzáférési csomag erőforrásszerepköreként, az alábbihoz hasonló szkriptet használna.
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams
További információ: Hozzáférési csomag létrehozása jogosultságkezelésben egyetlen szerepkörrel rendelkező alkalmazáshoz a PowerShell használatával.
Erőforrás-szerepkörök eltávolítása
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.
Tipp.
A feladat elvégzéséhez szükséges egyéb minimális jogosultsági szerepkörök közé tartozik a katalógus tulajdonosa és az Access-csomagkezelő.
Keresse meg az identitásszabályozási>jogosultságkezelési>hozzáférési csomagot.
Az Access-csomagok lapon nyissa meg azt a hozzáférési csomagot, amelyhez el szeretné távolítani az erőforrás-szerepköröket.
A bal oldali menüben válassza az Erőforrás-szerepkörök lehetőséget.
Az erőforrás-szerepkörök listájában keresse meg az eltávolítani kívánt erőforrás-szerepkört.
Jelölje ki a három pontot (...), majd válassza az Erőforrás-szerepkör eltávolítása lehetőséget.
A hozzáférési csomaghoz meglévő hozzárendeléssel rendelkező felhasználók hozzáférése automatikusan vissza lesz vonva ehhez az erőforrás-szerepkörhöz, amikor az el lett távolítva.
Módosítások alkalmazásakor
A jogosultságkezelés során a Microsoft Entra ID naponta többször feldolgozza a hozzárendelések és erőforrások tömeges módosításait a hozzáférési csomagokban. Ha tehát hozzárendelést végez, vagy módosítja a hozzáférési csomag erőforrásszerepköreit, az akár 24 órát is igénybe vehet, amíg a módosítás a Microsoft Entra-azonosítóban történik, valamint a módosítások más Microsoft Online Services-szolgáltatásokba vagy csatlakoztatott SaaS-alkalmazásokba való propagálásához szükséges idő. Ha a módosítás csak néhány objektumot érint, a módosítás valószínűleg csak néhány percet vesz igénybe a Microsoft Entra ID-ban való alkalmazáshoz, amely után más Microsoft Entra-összetevők észlelik a módosítást, és frissítik az SaaS-alkalmazásokat. Ha a módosítás több ezer objektumot érint, a módosítás tovább tart. Ha például egy 2 alkalmazással és 100 felhasználói hozzárendeléssel rendelkező hozzáférési csomaggal rendelkezik, és úgy dönt, hogy hozzáad egy SharePoint-webhelyszerepkört a hozzáférési csomaghoz, késést okozhat, amíg az összes felhasználó hozzá nem fér a SharePoint-webhelyszerepkörhöz. Az előrehaladást a Microsoft Entra naplózási naplójában, a Microsoft Entra kiépítési naplójában és a SharePoint-webhely auditnaplóiban követheti nyomon.
Ha eltávolít egy csapattagot, azokat is eltávolítja a Microsoft 365-csoportból. Előfordulhat, hogy a csapat csevegési funkciójából való eltávolítás késleltetve történik meg. További információ: Csoporttagság.