Menampilkan, menambahkan, dan menghapus tugas untuk paket akses dalam pengelolaan pemberian hak
Dalam pengelolaan pemberian hak, Anda dapat melihat siapa yang ditetapkan untuk mengakses paket, kebijakan, status, dan siklus hidup pengguna mereka (pratinjau). Jika paket akses memiliki kebijakan yang sesuai, Anda juga dapat langsung menetapkan pengguna ke paket akses. Artikel ini menjelaskan cara menampilkan, menambahkan, dan menghapus penugasan untuk paket akses.
Prasyarat
Untuk menggunakan pengelolaan pemberian hak dan menetapkan pengguna untuk mengakses paket, Anda harus memiliki salah satu lisensi berikut:
- Microsoft Entra ID P2
- Lisensi Enterprise Mobility + Keamanan (EMS) E5
- langganan Tata Kelola ID Microsoft Entra
Menampilkan siapa yang memiliki penugasan
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Tip
Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, manajer Paket Akses, dan manajer penetapan Paket Akses.
Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.
Pada halaman Paket akses, buka paket akses.
pilih Penugasan untuk melihat daftar tugas aktif.
pilih tugas tertentu untuk melihat detail tambahan.
Untuk melihat daftar tugas yang tidak memiliki semua peran sumber daya yang disediakan dengan benar, pilih status filter dan pilih Mengirim.
Anda dapat melihat detail selengkapnya tentang kesalahan pengiriman dengan menemukan permintaan terkait pengguna di halaman Permintaan .
Untuk melihat tugas yang kedaluwarsa, pilih status filter dan pilih Kedaluwarsa.
Untuk mengunduh file CSV dari daftar yang difilter, pilih Unduh.
Menampilkan penugasan secara terprogram
Menampilkan penugasan dengan Microsoft Graph
Anda juga dapat mengambil penugasan dalam paket akses menggunakan Microsoft Graph. Pengguna dengan peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.Read.All
atau EntitlementManagement.ReadWrite.All
yang didelegasikan dapat memanggil API untuk mencantumkan accessPackageAssignments. Aplikasi yang memiliki izin aplikasi EntitlementManagement.Read.All
atau izin EntitlementManagement.ReadWrite.All
juga dapat menggunakan API ini untuk mengambil tugas di semua katalog.
Microsoft Graph akan mengembalikan hasil di halaman, dan akan terus mengembalikan referensi ke halaman hasil berikutnya di @odata.nextLink
properti dengan setiap respons, hingga semua halaman hasil dibaca. Untuk membaca semua hasil, Anda harus terus memanggil Microsoft Graph dengan @odata.nextLink
properti yang dikembalikan di setiap respons hingga @odata.nextLink
properti tidak lagi dikembalikan, seperti yang dijelaskan dalam halaman data Microsoft Graph di aplikasi Anda.
Meskipun administrator tata kelola identitas dapat mengambil paket akses dari beberapa katalog, jika perwakilan layanan pengguna atau aplikasi ditetapkan hanya untuk peran administratif terdelegasi khusus katalog, permintaan harus menyediakan filter untuk menunjukkan paket akses tertentu, seperti: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'
.
Menampilkan penugasan dengan PowerShell
Anda juga dapat mengambil tugas ke paket akses di PowerShell dengan Get-MgEntitlementManagementAssignment
cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0 untuk mengambil semua tugas ke paket akses tertentu. Cmdlet ini mengambil ID paket akses sebagai parameter, yang termasuk dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage
. Pastikan saat menggunakan Get-MgEntitlementManagementAccessPackage
cmdlet untuk menyertakan -All
bendera untuk menyebabkan semua halaman penugasan dikembalikan.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
Kueri sebelumnya mengembalikan kedaluwarsa dan mengirimkan tugas bersama dengan penugasan yang dikirimkan. Jika Anda ingin mengecualikan tugas yang kedaluwarsa atau mengirimkan, Anda dapat menggunakan filter yang menyertakan ID paket akses dan status tugas. Skrip ini mengilustrasikan menggunakan filter untuk mengambil hanya tugas dalam status Delivered
untuk paket akses tertentu. Skrip kemudian akan menghasilkan file assignments.csv
CSV , dengan satu baris per penugasan.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Menetapkan pengguna secara langsung
Dalam beberapa kasus, Anda mungkin ingin langsung menetapkan pengguna tertentu ke paket akses sehingga pengguna tidak perlu melalui proses permintaan paket akses. Untuk secara langsung menetapkan pengguna, paket akses harus memiliki kebijakan yang memungkinkan penugasan langsung administrator.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Tip
Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, manajer Paket Akses, dan manajer penetapan Paket Akses.
Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.
Pada halaman Paket akses, buka paket akses.
Di menu sebelah kiri, pilih Tugas.
Pilih Penetapan baru untuk membuka Tambahkan pengguna ke paket akses.
Dalam daftar Pilih kebijakan, pilih kebijakan yang akan diatur dan dilacak oleh permintaan dan siklus hidup pengguna di masa mendatang. Jika Anda ingin pengguna yang dipilih memiliki pengaturan kebijakan yang berbeda, Anda bisa memilih Buat kebijakan baru untuk menambahkan kebijakan baru.
Setelah Anda memilih kebijakan, Anda dapat menambahkan pengguna untuk memilih pengguna yang ingin Anda tetapkan paket akses ini, di bawah kebijakan yang dipilih.
Catatan
Jika Anda memilih kebijakan dengan pertanyaan, Anda hanya dapat menetapkan pengguna satu per satu.
Atur tanggal dan waktu yang Anda inginkan untuk memulai dan mengakhiri tugas pengguna yang dipilih. Jika tanggal selesai tidak disediakan, pengaturan siklus hidup kebijakan akan digunakan.
Secara opsional, berikan justifikasi untuk penugasan langsung Anda untuk penyimpanan rekaman.
Jika kebijakan yang dipilih menyertakan informasi pemohon tambahan, pilih Tampilkan pertanyaan untuk menjawabnya atas nama pengguna, lalu pilih Simpan.
Klik Tambahkan untuk secara langsung menetapkan pengguna yang dipilih ke paket akses.
Setelah beberapa saat, pilih Refresh untuk melihat pengguna di daftar Penugasan.
Catatan
Saat menetapkan pengguna ke paket akses, administrator perlu memverifikasi bahwa pengguna memenuhi syarat untuk paket akses tersebut berdasarkan persyaratan kebijakan yang ada. Jika tidak, pengguna tidak akan berhasil ditugaskan ke paket akses. Jika paket akses berisi kebijakan yang mengharuskan permintaan pengguna disetujui, pengguna tidak dapat langsung ditetapkan ke paket tanpa persetujuan yang diperlukan dari pemberi persetujuan yang ditunjuk.
Langsung menetapkan pengguna apa pun (Pratinjau)
Pengelolaan pemberian hak juga memungkinkan Anda untuk secara langsung menetapkan pengguna eksternal ke paket akses untuk mempermudah kolaborasi dengan mitra. Untuk melakukan ini, paket akses harus memiliki kebijakan yang memungkinkan pengguna yang belum berada di direktori Anda meminta akses.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Tip
Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, manajer Paket Akses, dan manajer penetapan Paket Akses.
Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.
Pada halaman Paket akses, buka paket akses.
Di menu sebelah kiri, pilih Tugas.
Pilih Penetapan baru untuk membuka Tambahkan pengguna ke paket akses.
Dalam daftar Pilih kebijakan, pilih kebijakan yang memungkinkan yang diatur ke Untuk pengguna yang tidak ada do direktori Anda
Pilih Pengguna apa pun. Anda dapat menentukan pengguna mana yang ingin Anda tetapkan ke paket akses ini.
Masukkan Nama pengguna (opsional), lalu Alamat email pengguna (diwajibkan).
Catatan
- Pengguna yang ingin Anda tambahkan harus berada dalam cakupan kebijakan. Misalnya, jika kebijakan Anda diatur ke Organisasi yang terhubung tertentu, alamat email pengguna harus berasal dari domain organisasi yang dipilih. Jika pengguna yang Anda coba tambahkan memiliki alamat email jen@foo.com, tetapi domain organisasi yang dipilih adalah bar.com, Anda tidak akan dapat menambahkan pengguna ke paket akses.
- Demikian pula, jika Anda mengatur kebijakan Anda untuk menyertakan Semua organisasi terhubung yang dikonfigurasi, alamat email pengguna harus dari salah satu organisasi terhubung yang dikonfigurasi. Jika tidak, pengguna tidak akan ditambahkan ke paket akses.
- Jika Anda ingin menambahkan pengguna ke paket akses, Anda harus memastikan bahwa Anda memilih Semua pengguna (Semua organisasi yang terhubung + pengguna eksternal) saat mengonfigurasi kebijakan.
Atur tanggal dan waktu yang Anda inginkan untuk memulai dan mengakhiri tugas pengguna yang dipilih. Jika tanggal selesai tidak disediakan, pengaturan siklus hidup kebijakan akan digunakan.
Klik Tambahkan untuk secara langsung menetapkan pengguna yang dipilih ke paket akses.
Setelah beberapa saat, pilih Refresh untuk melihat pengguna di daftar Penugasan.
Menetapkan pengguna secara langsung secara terprogram
Menetapkan pengguna ke paket akses dengan Microsoft Graph
Anda juga dapat langsung menetapkan pengguna ke paket akses menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All
, atau aplikasi dengan EntitlementManagement.ReadWrite.All
izin aplikasi, dapat memanggil API untuk membuat accessPackageAssignmentRequest. Dalam permintaan ini, nilai properti requestType
harus adminAdd
, dan properti assignment
adalah struktur yang berisi targetId
dari pengguna yang ditetapkan.
Menetapkan pengguna ke paket akses dengan PowerShell
Anda dapat menetapkan pengguna ke paket akses di PowerShell dengan New-MgEntitlementManagementAssignmentRequest
cmdlet dari modul cmdlet Microsoft Graph PowerShell untuk Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
Anda juga dapat menetapkan beberapa pengguna yang ada di direktori Anda ke paket akses menggunakan PowerShell dengan New-MgBetaEntitlementManagementAccessPackageAssignment
cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.4.0 atau yang lebih baru. Untuk parameter, cmdlet ini mengambil
- ID paket akses, yang termasuk dalam respons dari cmdlet
Get-MgEntitlementManagementAccessPackage
, - ID kebijakan penetapan paket akses, yang disertakan dalam kebijakan di
assignmentpolicies
bidang dalam respons dariGet-MgEntitlementManagementAccessPackage
cmdlet, - ID objek dari pengguna target, baik sebagai larik untai (karakter), atau sebagai daftar anggota pengguna yang dikembalikan dari cmdlet
Get-MgGroupMember
.
Misalnya, jika Anda ingin memastikan semua pengguna yang saat ini menjadi anggota grup juga memiliki penugasan di paket akses, Anda dapat menggunakan cmdlet ini untuk membuat permintaan bagi pengguna yang saat ini tidak memiliki penugasan. Cmdlet ini hanya akan membuat penugasan; ini tidak menghapus penugasan untuk pengguna yang tidak lagi menjadi anggota grup.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Jika Anda ingin menambahkan tugas untuk pengguna yang belum berada di direktori, Anda dapat menggunakan New-MgBetaEntitlementManagementAccessPackageAssignmentRequest
cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul beta Tata Kelola Identitas versi 2.1.x atau versi modul beta yang lebih baru. Skrip ini menggambarkan menggunakan profil Grafik beta
dan modul cmdlet Microsoft Graph PowerShell versi 2.4.0. Untuk parameter, cmdlet ini mengambil
- ID paket akses, yang termasuk dalam respons dari cmdlet
Get-MgEntitlementManagementAccessPackage
, - ID kebijakan penetapan paket akses, yang disertakan dalam kebijakan di
assignmentpolicies
bidang dalam respons dariGet-MgEntitlementManagementAccessPackage
cmdlet, - alamat email dari pengguna target.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Mengonfigurasi penetapan akses sebagai bagian dari alur kerja siklus hidup
Di fitur Alur Kerja Siklus Hidup Microsoft Entra, Anda bisa menambahkan tugas Penetapan paket akses pengguna ke alur kerja onboarding. Tugas dapat menentukan paket akses yang harus dimiliki pengguna. Saat alur kerja berjalan untuk pengguna, permintaan penetapan paket akses dibuat secara otomatis.
Masuk ke pusat admin Microsoft Entra dengan setidaknya peran Administrator Tata Kelola Identitas dan Administrator Alur Kerja Siklus Hidup.
Telusuri alur kerja> Siklus Hidup tata kelola>identitas.
Pilih onboarding karyawan atau pindahkan alur kerja.
Pilih Tugas dan pilih Tambahkan tugas.
Pilih Minta penetapan paket akses pengguna dan pilih Tambahkan.
Pilih tugas yang baru ditambahkan.
Pilih Pilih Paket akses, dan pilih paket akses tempat pengguna baru atau pemindahan harus ditetapkan.
Pilih Pilih Kebijakan, dan pilih kebijakan penetapan paket akses dalam paket akses tersebut.
Pilih Simpan.
Menghapus penugasan
Anda dapat menghapus penugasan yang sebelumnya diminta oleh pengguna atau administrator.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri ke paket Akses pengelolaan>pemberian hak tata kelola>identitas.
Pada halaman Paket akses, buka paket akses.
Di menu sebelah kiri, pilih Tugas.
Pilih kotak centang di sebelah pengguna yang tugasnya ingin Anda hapus dari paket akses.
Pilih tombol Hapus di dekat bagian atas panel kiri.
Pemberitahuan muncul yang memberi tahu Anda bahwa tugas telah dihapus.
Menghapus penugasan secara terprogram
Menghapus penugasan dengan Microsoft Graph
Anda juga dapat menghapus penugasan pengguna di paket akses menggunakan Microsoft Graph. Pengguna dalam peran yang sesuai dengan aplikasi yang memiliki izin yang didelegasikan EntitlementManagement.ReadWrite.All
, atau aplikasi dengan EntitlementManagement.ReadWrite.All
izin aplikasi, dapat memanggil API untuk membuat accessPackageAssignmentRequest. Dalam permintaan ini, nilai properti requestType
harus adminRemove
, dan properti assignment
adalah struktur yang berisi properti id
yang mengidentifikasi accessPackageAssignment
yang sedang dihapus.
Menghapus penugasan dengan PowerShell
Anda dapat menghapus penugasan pengguna di PowerShell dengan New-MgEntitlementManagementAssignmentRequest
cmdlet dari cmdlet Microsoft Graph PowerShell untuk modul Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Mengonfigurasi penghapusan penugasan sebagai bagian dari alur kerja siklus hidup
Di fitur Alur Kerja Siklus Hidup Microsoft Entra, Anda bisa menambahkan hapus penetapan paket akses untuk tugas pengguna ke alur kerja offboarding. Tugas tersebut dapat menentukan paket akses yang mungkin ditetapkan pengguna. Saat alur kerja berjalan untuk pengguna, maka penetapan paket akses mereka dihapus secara otomatis.
Masuk ke pusat admin Microsoft Entra dengan setidaknya peran Administrator Tata Kelola Identitas dan Administrator Alur Kerja Siklus Hidup.
Telusuri alur kerja> Siklus Hidup tata kelola>identitas.
Pilih alur kerja offboarding karyawan.
Pilih Tugas dan pilih Tambahkan tugas.
Pilih Hapus penetapan paket akses untuk pengguna dan pilih Tambahkan.
Pilih tugas yang baru ditambahkan.
Pilih Pilih Paket akses, dan pilih satu atau beberapa paket akses tempat pengguna dilepas harus dihapus.
Pilih Simpan.
Langkah berikutnya
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk