Bagikan melalui

Menampilkan, menambahkan, dan menghapus tugas untuk paket akses dalam pengelolaan pemberian hak

  • Artikel

Dalam manajemen hak akses, Anda dapat melihat siapa yang ditugaskan untuk mengakses paket, kebijakan, status, dan siklus hidup pengguna mereka (pratinjau). Jika paket akses memiliki kebijakan yang sesuai, Anda juga dapat langsung menetapkan pengguna ke paket akses. Artikel ini menjelaskan cara menampilkan, menambahkan, dan menghapus penugasan untuk paket akses.

Prasyarat

Untuk menggunakan pengelolaan pemberian hak dan menetapkan pengguna untuk mengakses paket, Anda harus memiliki salah satu lisensi berikut:

  • Microsoft Entra ID P2
  • Lisensi Enterprise Mobility + Security (EMS) E5
  • Berlangganan Pengelolaan ID Microsoft Entra

Menampilkan siapa yang memiliki penugasan

  1. Masuk ke pusat administrasi Microsoft Entra sebagai Administrator Tata Kelola Identitas setidaknya.

    Petunjuk / Saran

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, manajer Paket Akses, dan manajer penetapan Paket Akses.

  2. Telusuri ke Tata Kelola ID>Pengelolaan Pemberian Hak>Paket Akses.

  3. Pada halaman Paket akses, buka paket akses.

  4. pilih Penugasan untuk melihat daftar tugas aktif.

    Daftar penugasan untuk paket akses

  5. pilih tugas tertentu untuk melihat detail tambahan.

  6. Untuk melihat daftar tugas yang tidak memiliki semua peran sumber daya yang disediakan dengan benar, pilih status filter dan pilih Mengirim.

    Anda dapat melihat detail selengkapnya tentang kesalahan pengiriman dengan menemukan permintaan terkait pengguna di halaman Permintaan .

  7. Untuk melihat tugas yang kedaluwarsa, pilih status filter dan pilih Kedaluwarsa.

  8. Untuk mengunduh file CSV dari daftar yang difilter, pilih Unduh.

Melihat penugasan secara programatik

Menampilkan penugasan dengan Microsoft Graph

Anda juga dapat mengambil penugasan dalam paket akses menggunakan Microsoft Graph. Pengguna dengan peran yang sesuai dengan aplikasi yang memiliki izin EntitlementManagement.Read.All atau EntitlementManagement.ReadWrite.All yang didelegasikan dapat memanggil API untuk mencantumkan accessPackageAssignments. Aplikasi yang memiliki izin aplikasi EntitlementManagement.Read.All atau izin EntitlementManagement.ReadWrite.All juga dapat menggunakan API ini untuk mengambil tugas di semua katalog.

Microsoft Graph akan menampilkan kembali hasil dalam bentuk sebagian halaman dan akan terus mengembalikan referensi ke halaman hasil berikutnya di atribut @odata.nextLink dengan setiap respons, hingga semua halaman hasil dibaca. Untuk membaca semua hasil, Anda harus terus memanggil Microsoft Graph dengan properti @odata.nextLink yang dikembalikan di setiap respons sampai properti @odata.nextLink tidak lagi tersedia, seperti yang dijelaskan dalam pemrosesan data bertahap Microsoft Graph di aplikasi Anda.

Meskipun Administrator Tata Kelola Identitas dapat mengambil paket akses dari beberapa katalog, jika perwakilan layanan pengguna atau aplikasi hanya ditetapkan ke peran administratif khusus katalog yang didelegasikan, permintaan harus menyediakan filter untuk menunjukkan paket akses tertentu, seperti: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.

Menampilkan penugasan dengan PowerShell

Anda juga dapat mengambil penugasan ke paket akses di PowerShell dengan Get-MgEntitlementManagementAssignment cmdlet dari modul cmdlet Microsoft Graph PowerShell untuk Tata Kelola Identitas versi 2.1.x atau versi modul yang lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0 untuk mengambil semua tugas ke paket akses tertentu. Cmdlet ini mengambil ID paket akses sebagai parameter, yang terdapat dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage. Pastikan saat menggunakan Get-MgEntitlementManagementAccessPackage cmdlet untuk menyertakan -All flag agar semua halaman penugasan dikembalikan.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Kueri sebelumnya mengembalikan tugas yang sudah kedaluwarsa dan yang sedang dikirimkan, bersama dengan tugas yang telah dikirimkan. Jika Anda ingin mengecualikan tugas yang kedaluwarsa atau yang sedang berlangsung, Anda dapat menggunakan filter yang menyertakan ID paket akses dan status tugas. Skrip ini menunjukkan penggunaan filter untuk mendapatkan hanya penugasan dengan status Delivered dari paket akses tertentu. Skrip kemudian akan menghasilkan file assignments.csvCSV , dengan satu baris per penugasan.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Menetapkan pengguna secara langsung

Dalam beberapa kasus, Anda mungkin ingin langsung menetapkan pengguna tertentu ke paket akses sehingga pengguna tidak perlu melalui proses permintaan paket akses. Untuk secara langsung menetapkan pengguna, paket akses harus memiliki kebijakan yang memungkinkan penugasan langsung administrator.

Catatan

Saat menetapkan pengguna ke paket akses, administrator perlu memverifikasi bahwa pengguna memenuhi syarat untuk paket akses tersebut berdasarkan persyaratan kebijakan yang ada. Jika tidak, pengguna tidak akan berhasil ditugaskan ke paket akses.

  1. Masuk ke pusat administrasi Microsoft Entra sebagai Administrator Tata Kelola Identitas setidaknya.

    Petunjuk / Saran

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, manajer Paket Akses, dan manajer penetapan Paket Akses.

  2. Telusuri ke Tata Kelola ID>Pengelolaan Pemberian Hak>Paket Akses.

  3. Pada halaman Paket akses, buka paket akses.

  4. Di menu sebelah kiri, pilih Tugas.

  5. Pilih Penetapan baru untuk membuka Tambahkan pengguna ke paket akses.

    Penugasan - Menambahkan pengguna ke paket akses

  6. Dalam daftar Pilih kebijakan, pilih kebijakan yang akan diatur dan dilacak oleh permintaan dan siklus hidup pengguna di masa mendatang. Jika Anda ingin pengguna yang dipilih memiliki pengaturan kebijakan yang berbeda, Anda bisa memilih Buat kebijakan baru untuk menambahkan kebijakan baru.

  7. Setelah Anda memilih kebijakan, Anda dapat menambahkan pengguna untuk memilih pengguna yang ingin Anda tetapkan paket akses ini, di bawah kebijakan yang dipilih.

    Catatan

    Jika Anda memilih kebijakan dengan pertanyaan, Anda hanya dapat menetapkan pengguna satu per satu.

  8. Atur tanggal dan waktu yang Anda inginkan untuk memulai dan mengakhiri tugas pengguna yang dipilih. Jika tanggal selesai tidak disediakan, pengaturan siklus hidup kebijakan akan digunakan.

  9. Secara opsional, berikan justifikasi untuk penugasan langsung Anda untuk penyimpanan rekaman.

  10. Jika kebijakan yang dipilih menyertakan informasi pemohon tambahan, pilih Tampilkan pertanyaan untuk menjawabnya atas nama pengguna, lalu pilih Simpan.

    Penugasan - klik tampilkan pertanyaan

    Penugasan - panel pertanyaan

  11. Klik Tambahkan untuk secara langsung menetapkan pengguna yang dipilih ke paket akses.

    Setelah beberapa saat, pilih Refresh untuk melihat pengguna di daftar Penugasan.

Catatan

Manajer penetapan paket akses tidak akan lagi dapat melewati pengaturan persetujuan jika kebijakan memerlukan persetujuan. Ini berarti pengguna tidak dapat langsung ditetapkan ke paket tanpa persetujuan yang diperlukan dari pemberi izin yang ditunjuk. Jika Anda perlu melewati persetujuan, sebaiknya buat kebijakan kedua pada paket akses yang tidak memerlukan persetujuan dan hanya dilingkupkan untuk pengguna yang memerlukan akses.

Langsung menetapkan pengguna mana pun (Pratinjau)

Pengelolaan pemberian hak juga memungkinkan Anda untuk secara langsung menetapkan pengguna eksternal ke paket akses untuk mempermudah kolaborasi dengan mitra. Untuk melakukan ini, paket akses harus memiliki kebijakan yang memungkinkan pengguna yang belum berada di direktori Anda meminta akses.

  1. Masuk ke pusat administrasi Microsoft Entra sebagai Administrator Tata Kelola Identitas setidaknya.

    Petunjuk / Saran

    Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog, manajer Paket Akses, dan manajer penetapan Paket Akses.

  2. Telusuri ke Tata Kelola ID>Pengelolaan Pemberian Hak>Paket Akses.

  3. Pada halaman Paket akses, buka paket akses.

  4. Di menu sebelah kiri, pilih Tugas.

  5. Pilih Penetapan baru untuk membuka Tambahkan pengguna ke paket akses.

  6. Dalam daftar Pilih kebijakan, pilih kebijakan yang diatur untuk mengizinkan untuk pengguna yang tidak ada di direktori Anda

  7. Pilih Pengguna apa pun. Anda dapat menentukan pengguna mana yang ingin Anda tetapkan ke paket akses ini. Penugasan - Tambahkan pengguna mana pun untuk mengakses paket

  8. Masukkan Nama pengguna (opsional), lalu Alamat email pengguna (diwajibkan).

    Catatan

    • Pengguna yang ingin Anda tambahkan harus berada dalam cakupan kebijakan. Misalnya, jika kebijakan Anda diatur ke Organisasi yang terhubung tertentu, alamat email pengguna harus berasal dari domain organisasi yang dipilih. Jika pengguna yang Anda coba tambahkan memiliki alamat email jen@foo.com, tetapi domain organisasi yang dipilih adalah bar.com, Anda tidak akan dapat menambahkan pengguna ke paket akses.
    • Demikian pula, jika Anda mengatur kebijakan Anda untuk menyertakan Semua organisasi terhubung yang dikonfigurasi, alamat email pengguna harus dari salah satu organisasi terhubung yang dikonfigurasi. Jika tidak, pengguna tidak akan ditambahkan ke paket akses.
    • Jika Anda ingin menambahkan pengguna ke paket akses, Anda harus memastikan bahwa Anda memilih Semua pengguna (Semua organisasi yang terhubung + pengguna eksternal) saat mengonfigurasi kebijakan.

  9. Atur tanggal dan waktu yang Anda inginkan untuk memulai dan mengakhiri tugas pengguna yang dipilih. Jika tanggal selesai tidak disediakan, pengaturan siklus hidup kebijakan akan digunakan.

  10. Klik Tambahkan untuk secara langsung menetapkan pengguna yang dipilih ke paket akses.

  11. Setelah beberapa saat, pilih Refresh untuk melihat pengguna di daftar Penugasan.

Menetapkan pengguna secara langsung secara terprogram

Menetapkan pengguna ke paket akses dengan Microsoft Graph

Anda juga dapat langsung menetapkan pengguna ke paket akses menggunakan Microsoft Graph. Pengguna dengan peran yang sesuai yang menggunakan aplikasi dengan izin didelegasikan EntitlementManagement.ReadWrite.All atau aplikasi dengan izin aplikasi EntitlementManagement.ReadWrite.All dapat memanggil API untuk membuat permintaan penugasan paket akses. Dalam permintaan ini, nilai properti requestType harus adminAdd, dan properti assignment adalah struktur yang berisi targetId dari pengguna yang ditetapkan.

Menetapkan pengguna ke paket akses dengan PowerShell

Anda dapat menetapkan pengguna ke paket akses di PowerShell dengan cmdlet New-MgEntitlementManagementAssignmentRequest dari modul cmdlet Microsoft Graph PowerShell untuk Identity Governance versi 2.1.x atau versi selanjutnya. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Anda juga dapat mengatur tugas untuk kumpulan pengguna yang ada di direktori Anda, termasuk yang sudah ditetapkan ke aplikasi, atau yang tercantum dalam file teks. Untuk informasi selengkapnya, lihat Menambahkan penugasan pengguna yang sudah ada yang sudah memiliki akses ke aplikasi dan Menambahkan penugasan untuk pengguna tambahan yang harus memiliki akses ke aplikasi.

Anda juga dapat menetapkan beberapa pengguna yang ada di direktori Anda ke paket akses menggunakan PowerShell dengan New-MgBetaEntitlementManagementAccessPackageAssignment cmdlet dari modul Microsoft Graph PowerShell untuk Tata Kelola Identitas versi 2.4.0 atau yang lebih baru. Cmdlet ini mengambil sebagai parameter

  • ID paket akses, yang disertakan dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage,
  • ID kebijakan penetapan paket akses, yang disertakan di bidang assignmentpolicies dalam kebijakan dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage,
  • ID objek dari pengguna target, baik sebagai array string, atau sebagai daftar anggota pengguna yang dikembalikan dari cmdlet Get-MgGroupMember.

Misalnya, jika Anda ingin memastikan semua pengguna yang saat ini menjadi anggota grup juga memiliki penugasan di paket akses, Anda dapat menggunakan cmdlet ini untuk membuat permintaan bagi pengguna yang saat ini tidak memiliki penugasan. Cmdlet ini hanya akan membuat penugasan; ini tidak menghapus penugasan untuk pengguna yang tidak lagi menjadi anggota grup. Jika Anda ingin pengelolaan paket akses melacak keanggotaan grup dan menambahkan serta menghapus penetapan dari waktu ke waktu, gunakan kebijakan penugasan otomatis sebagai gantinya.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Jika Anda ingin menambahkan tugas untuk pengguna yang belum berada di direktori, Anda dapat menggunakan cmdlet New-MgBetaEntitlementManagementAccessPackageAssignmentRequest dari modul beta untuk Microsoft Graph PowerShell cmdlets untuk Tata Kelola Identitas versi 2.1.x atau versi modul beta yang lebih baru. Skrip ini mengilustrasikan menggunakan profil Microsoft Graph beta dan modul cmdlet Microsoft Graph PowerShell versi 2.4.0. Cmdlet ini mengambil sebagai parameter

  • ID paket akses, yang disertakan dalam respons dari cmdlet Get-MgEntitlementManagementAccessPackage,
  • ID kebijakan penetapan paket akses, yang disertakan dalam kebijakan di assignmentpolicies bidang dalam respons dari Get-MgEntitlementManagementAccessPackage cmdlet,
  • alamat email dari pengguna target.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Mengonfigurasi penetapan akses sebagai bagian dari alur kerja siklus hidup

Di fitur Alur Kerja Siklus Hidup Microsoft Entra, Anda bisa menambahkan tugas penugasan paket akses pengguna ke alur kerja onboarding. Tugas dapat menentukan paket akses yang harus dimiliki pengguna. Saat alur kerja berjalan untuk pengguna, permintaan penetapan paket akses dibuat secara otomatis.

  1. Masuk ke pusat admin Microsoft Entra dengan setidaknya peran Administrator Tata Kelola Identitas dan Administrator Alur Kerja Siklus Hidup.

  2. Jelajahi Tata Kelola ID>Alur Kerja Siklus Hidup>Alur Kerja.

  3. Pilih onboarding karyawan atau pindahkan alur kerja.

  4. Pilih Tugas dan pilih Tambahkan tugas.

  5. Pilih Minta penetapan paket akses pengguna dan pilih Tambahkan.

  6. Pilih tugas yang baru ditambahkan.

  7. Pilih Pilih Paket Akses, dan pilih paket akses ke mana pengguna baru atau pemindah harus ditetapkan.

  8. Pilih Pilih Kebijakan, dan pilih kebijakan penetapan paket akses dalam paket akses tersebut.

  9. Pilih Simpan.

Menghapus penugasan

Anda dapat menghapus penugasan yang sebelumnya diminta oleh pengguna atau administrator.

  1. Masuk ke pusat administrasi Microsoft Entra sebagai Administrator Tata Kelola Identitas setidaknya.

  2. Telusuri ke Tata Kelola ID>Pengelolaan Pemberian Hak>Paket Akses.

  3. Pada halaman Paket akses, buka paket akses.

  4. Di menu sebelah kiri, pilih Tugas.

  5. Pilih kotak centang di sebelah pengguna yang tugasnya ingin Anda hapus dari paket akses.

  6. Pilih tombol Hapus di dekat bagian atas panel kiri.

    Penugasan - Menghapus pengguna dari paket akses

    Pemberitahuan muncul yang memberi tahu Anda bahwa tugas telah dihapus.

Penghapusan penugasan secara otomatis

Menghapus penugasan dengan Microsoft Graph

Anda juga dapat menghapus penugasan pengguna di paket akses menggunakan Microsoft Graph. Pengguna dengan peran yang sesuai yang menggunakan aplikasi dengan izin didelegasikan EntitlementManagement.ReadWrite.All atau aplikasi dengan izin aplikasi EntitlementManagement.ReadWrite.All dapat memanggil API untuk membuat permintaan penugasan paket akses. Dalam permintaan ini, nilai properti requestType harus adminRemove, dan properti assignment adalah struktur yang berisi properti id yang mengidentifikasi accessPackageAssignment yang sedang dihapus.

Menghapus penugasan dengan PowerShell

Anda dapat menghapus penugasan pengguna di PowerShell dengan cmdlet dari New-MgEntitlementManagementAssignmentRequest versi modul 2.1.x atau lebih baru. Skrip ini mengilustrasikan menggunakan modul cmdlet Microsoft Graph PowerShell versi 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Mengonfigurasi penghapusan penugasan sebagai bagian dari alur kerja siklus hidup

Di fitur Alur Kerja Siklus Hidup Microsoft Entra, Anda bisa menambahkan tugas Menghapus penugasan paket akses untuk pengguna ke dalam alur kerja offboarding. Tugas tersebut dapat menentukan paket akses yang mungkin ditetapkan pengguna. Saat alur kerja berjalan untuk pengguna, maka penetapan paket akses mereka dihapus secara otomatis.

  1. Masuk ke pusat admin Microsoft Entra dengan setidaknya peran Administrator Tata Kelola Identitas dan Administrator Alur Kerja Siklus Hidup.

  2. Jelajahi Tata Kelola ID>Alur Kerja Siklus Hidup>Alur Kerja.

  3. Pilih proses pemutusan hubungan kerja karyawan.

  4. Pilih Tugas dan pilih Tambahkan tugas.

  5. Pilih Hapus penetapan paket akses untuk pengguna dan pilih Tambahkan.

  6. Pilih tugas yang baru ditambahkan.

  7. Pilih Pilih Paket Akses, dan pilih satu atau beberapa paket akses yang pengguna yang offboard harus dikeluarkan.

  8. Pilih Simpan.

Langkah berikutnya