Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso nella gestione entitlement
Nella gestione entitlement è possibile vedere chi è assegnato ai pacchetti di accesso, ai relativi criteri, stato e ciclo di vita dell'utente (anteprima). Se un pacchetto di accesso ha un criterio appropriato, è anche possibile assegnare direttamente l'utente a un pacchetto di accesso. Questo articolo descrive come visualizzare, aggiungere e rimuovere le assegnazioni per i pacchetti di accesso.
Prerequisiti
Per usare la gestione entitlement e assegnare gli utenti ai pacchetti di accesso, è necessario disporre di una delle licenze seguenti:
- Microsoft Entra ID P2
- Licenza di Enterprise Mobility + Security (EMS) E5
- Sottoscrizione di Microsoft Entra ID Governance
Visualizzare chi ha un'assegnazione
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.
Passare a Governance dell’identità>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Selezionare Assegnazioni per visualizzare un elenco di assegnazioni attive.
Selezionare un'assegnazione specifica per visualizzare altri dettagli.
Per visualizzare un elenco di assegnazioni che non hanno eseguito correttamente il provisioning di tutti i ruoli delle risorse, selezionare lo stato del filtro e selezionare Recapito.
È possibile visualizzare altri dettagli sugli errori di recapito individuando la richiesta corrispondente dell'utente nella pagina Richieste .
Per visualizzare le assegnazioni scadute, selezionare lo stato del filtro e selezionare Scaduto.
Per scaricare un file CSV dell'elenco filtrato, selezionare Scarica.
Visualizzare le assegnazioni a livello di codice
Visualizzare le assegnazioni con Microsoft Graph
È anche possibile recuperare le assegnazioni in un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione EntitlementManagement.Read.All o EntitlementManagement.ReadWrite.All delegata può chiamare l'API per elencare accessPackageAssignments. Un'applicazione che dispone dell'autorizzazione dell'applicazione EntitlementManagement.Read.All o dell'autorizzazione EntitlementManagement.ReadWrite.All può anche usare questa API per recuperare le assegnazioni in tutti i cataloghi.
Microsoft Graph restituirà i risultati nelle pagine e continuerà a restituire un riferimento alla pagina successiva dei risultati nella @odata.nextLink proprietà con ogni risposta, fino a quando non vengono lette tutte le pagine dei risultati. Per leggere tutti i risultati, è necessario continuare a chiamare Microsoft Graph con la proprietà @odata.nextLink restituita in ogni risposta finché la proprietà @odata.nextLink non viene più restituita, come descritto in paging dei dati di Microsoft Graph nell'app.
Mentre un amministratore di Identity Governance può recuperare i pacchetti di accesso da più cataloghi, se all'utente o all'entità servizio dell'applicazione viene assegnata solo ai ruoli amministrativi delegati specifici del catalogo, la richiesta deve fornire un filtro per indicare un pacchetto di accesso specifico, ad esempio : $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.
Visualizzare le assegnazioni con PowerShell
È anche possibile recuperare le assegnazioni a un pacchetto di accesso in PowerShell con il cmdlet Get-MgEntitlementManagementAssignment dal modulo dei cmdlet di PowerShell Microsoft Graph per Identity Governance versione 2.1.x o versione successiva del modulo. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0 per recuperare tutte le assegnazioni in un determinato pacchetto di accesso. Questo cmdlet accetta come parametro l'ID del pacchetto di accesso, incluso nella risposta del cmdlet Get-MgEntitlementManagementAccessPackage. Assicurarsi di usare il cmdlet Get-MgEntitlementManagementAccessPackage per includere il flag -All in modo che vengano restituite tutte le pagine delle assegnazioni.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
La query precedente restituisce scadute e recapita le assegnazioni insieme alle assegnazioni recapitate. Se si desidera escludere assegnazioni scadute o di recapito, è possibile usare un filtro che include l'ID pacchetto di accesso e lo stato delle assegnazioni. Questo script illustra l'uso di un filtro per recuperare solo le assegnazioni nello stato Delivered per un determinato pacchetto di accesso. Lo script genererà quindi un file CSV assignments.csv, con una riga per assegnazione.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Assegnare direttamente un utente
In alcuni casi, potrebbe essere necessario assegnare direttamente utenti specifici a un pacchetto di accesso in modo che gli utenti non devono eseguire il processo di richiesta del pacchetto di accesso. Per assegnare direttamente gli utenti, il pacchetto di accesso deve avere un criterio che consenta le assegnazioni dirette dell'amministratore.
Nota
Quando si assegnano utenti a un pacchetto di accesso, gli amministratori dovranno verificare che gli utenti siano idonei per tale pacchetto di accesso in base ai requisiti dei criteri esistenti. In caso contrario, gli utenti non verranno assegnati correttamente al pacchetto di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.
Passare a Governance dell’identità>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Nel menu a sinistra selezionare Assegnazioni.
Selezionare Nuova assegnazione per aprire Aggiungi utente al pacchetto di accesso.
Nell'elenco Seleziona criteri selezionare un criterio per cui le richieste e il ciclo di vita futuri degli utenti verranno regolati e monitorati. Se si desidera che gli utenti selezionati abbiano impostazioni di criteri diverse, è possibile selezionare Crea nuovi criteri per aggiungere un nuovo criterio.
Dopo aver selezionato un criterio, è possibile aggiungere utenti per selezionare gli utenti a cui si vuole assegnare questo pacchetto di accesso, nel criterio scelto.
Nota
Se si seleziona un criterio con delle domande, è possibile assegnare un solo utente alla volta.
Impostare la data e l'ora in cui si vuole che l'assegnazione degli utenti selezionati inizi e termini. Se non viene specificata una data di fine, vengono usate le impostazioni del ciclo di vita del criterio.
Facoltativamente, fornire una giustificazione per l'assegnazione diretta per la conservazione dei record.
Se il criterio selezionato include delle informazioni aggiuntive sul richiedente, selezionare Visualizza domande per rispondere per conto degli utenti, quindi selezionare Salva.
Selezionare Aggiungi per assegnare direttamente gli utenti selezionati al pacchetto di accesso.
Dopo alcuni istanti, selezionare Aggiorna per visualizzare gli utenti nell'elenco Assegnazioni.
Nota
I responsabili delle assegnazioni dei pacchetti di accesso non saranno più in grado di ignorare le impostazioni di approvazione se il criterio richiede l'approvazione. Ciò significa che gli utenti non possono essere assegnati direttamente al pacchetto senza le approvazioni necessarie dei responsabili approvazione designati. Nel caso in cui sia necessario ignorare l'approvazione, è consigliabile creare un secondo criterio nel pacchetto di accesso che non richiede l'approvazione ed è limitato solo agli utenti che necessitano dell'accesso.
Assegnare direttamente qualsiasi utente (anteprima)
La gestione entitlement consente anche di assegnare direttamente utenti esterni a un pacchetto di accesso per semplificare la collaborazione con i partner. A tale scopo, il pacchetto di accesso deve disporre di un criterio che consenta agli utenti non ancora nella directory di richiedere l'accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.
Passare a Governance dell’identità>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Nel menu a sinistra selezionare Assegnazioni.
Selezionare Nuova assegnazione per aprire Aggiungi utente al pacchetto di accesso.
Nell'elenco Seleziona criteri selezionare un criterio che consente l’impostazione su Per gli utenti che non si trovano nella directory
Selezionare Qualsiasi utente. È possibile specificare gli utenti da assegnare a questo pacchetto di accesso.
Immettere il Nome dell'utente (facoltativo) e l'indirizzo di posta elettronica dell'utente (obbligatorio).
Nota
- L'utente che si vuole aggiungere deve essere compreso nell'ambito dei criteri. Ad esempio, se i criteri sono impostati su Organizzazioni connesse specifiche, l'indirizzo di posta elettronica dell'utente deve appartenere ai domini delle organizzazioni selezionate. Se l'utente che si sta tentando di aggiungere ha un indirizzo di posta elettronica di jen@foo.com ma il dominio dell'organizzazione selezionata è bar.com, non sarà possibile aggiungere tale utente al pacchetto di accesso.
- Analogamente, se si impostano i criteri in modo da includere tutte le organizzazioni connesse configurate, l'indirizzo di posta elettronica dell'utente deve appartenere a una delle organizzazioni connesse configurate. In caso contrario, l'utente non verrà aggiunto al pacchetto di accesso.
- Se si vuole aggiungere un utente al pacchetto di accesso, è necessario assicurarsi di selezionare Tutti gli utenti (Tutte le organizzazioni connesse e qualsiasi utente esterno) durante la configurazione dei criteri.
Impostare la data e l'ora in cui si vuole che l'assegnazione degli utenti selezionati inizi e termini. Se non viene specificata una data di fine, vengono usate le impostazioni del ciclo di vita del criterio.
Selezionare Aggiungi per assegnare direttamente gli utenti selezionati al pacchetto di accesso.
Dopo alcuni istanti, selezionare Aggiorna per visualizzare gli utenti nell'elenco Assegnazioni.
Assegnazione diretta di utenti a livello di codice
Assegnare un utente a un pacchetto di accesso con Microsoft Graph
È anche possibile assegnare direttamente un utente a un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All dell'applicazione può chiamare l'API per creare un accessPackageAssignmentRequest. In questa richiesta, il valore della proprietà requestType deve essere adminAdd e la proprietà assignment è una struttura che contiene il targetId dell'utente assegnato.
Assegnare un utente a un pacchetto di accesso con PowerShell
È possibile assegnare un utente a un pacchetto di accesso in PowerShell con il cmdlet New-MgEntitlementManagementAssignmentRequest del modulo dei cmdlet di Microsoft Graph PowerShell per Identity Governance versione del modulo 2.1.x o versione successiva del modulo. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
È anche possibile popolare le assegnazioni per le raccolte esistenti di utenti nella directory, incluse quelle assegnate a un'applicazione o elencate in un file di testo. Per altre informazioni, vedere Aggiungere assegnazioni di utenti esistenti che hanno già accesso all'applicazione e Aggiungere assegnazioni per altri utenti che devono avere accesso all'applicazione.
È anche possibile assegnare più utenti presenti nella directory a un pacchetto di accesso usando PowerShell con il cmdlet New-MgBetaEntitlementManagementAccessPackageAssignment del modulo dei cmdlet diMicrosoft Graph PowerShell per Identity Governance versione 2.4.0 o successiva. Questo cmdlet accetta come parametri
- l'ID del pacchetto di accesso, incluso nella risposta del cmdlet
Get-MgEntitlementManagementAccessPackage, - L'ID dei criteri di assegnazione dei pacchetti di accesso, incluso nel criterio nel campo
assignmentpoliciesnella risposta del cmdletGet-MgEntitlementManagementAccessPackage, - ID oggetto degli utenti di destinazione, come matrice di stringhe o come elenco di membri utente restituiti dal cmdlet
Get-MgGroupMember.
Ad esempio, se si vuole assicurarsi che tutti gli utenti che sono attualmente membri di un gruppo dispongano anche di assegnazioni a un pacchetto di accesso, è possibile usare questo cmdlet per creare richieste per gli utenti che non dispongono attualmente di assegnazioni. Questo cmdlet creerà solo assegnazioni; non rimuove le assegnazioni per gli utenti che non sono più membri di un gruppo. Se si desidera avere le assegnazioni di un pacchetto di accesso tenere traccia dell'appartenenza di un gruppo e aggiungere e rimuovere assegnazioni nel tempo, usare invece un criterio di assegnazione automatica.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Se si vuole aggiungere un'assegnazione per un utente che non è ancora presente nella directory, è possibile usare il cmdlet New-MgBetaEntitlementManagementAccessPackageAssignmentRequest dai cmdlet di PowerShell di Microsoft Graph per Identity Governance versione beta del modulo 2.1.x o versione beta successiva. Questo script illustra l'uso del profilo di Microsoft Graph beta e del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0. Questo cmdlet accetta come parametri
- l'ID del pacchetto di accesso, incluso nella risposta del cmdlet
Get-MgEntitlementManagementAccessPackage, - l’ID dei criteri di assegnazione dei pacchetti di accesso, incluso nei criteri nel campo
assignmentpoliciesnella risposta del cmdletGet-MgEntitlementManagementAccessPackage, - l'indirizzo di posta elettronica dell'utente di destinazione.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Configurare l'assegnazione di accesso come parte di un flusso di lavoro del ciclo di vita
Nella funzionalità Flussi di lavoro del ciclo di vita di Microsoft Entra è possibile aggiungere un'attività Richiedi assegnazione pacchetto di accesso utente a un flusso di lavoro di onboarding. L'attività può specificare un pacchetto di accesso che gli utenti devono avere. Quando il flusso di lavoro viene eseguito per un utente, viene creata automaticamente una richiesta di assegnazione del pacchetto di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra con almeno i ruoli di amministratore di identity governance e amministratore flussi di lavoro del ciclo di vita.
Passare a Identity governance>Flussi di lavoro del ciclo di vita>Flussi di lavoro.
Selezionare un onboarding dei dipendenti o spostare il flusso di lavoro.
Selezionare Attività e selezionare Aggiungi attività.
Selezionare Richiedi assegnazione del pacchetto di accesso utente e selezionare Aggiungi.
Selezionare l'attività appena aggiunta.
Selezionare Seleziona pacchetto di accesso e scegliere il pacchetto di accesso a cui devono essere assegnati utenti nuovi o in movimento.
Selezionare Seleziona criteri e scegliere i criteri di assegnazione dei pacchetti di accesso nel pacchetto di accesso.
Seleziona Salva.
Rimuovere un'assegnazione
È possibile rimuovere un'assegnazione richiesta in precedenza da un utente o un amministratore.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Nel menu a sinistra selezionare Assegnazioni.
Selezionare la casella di controllo accanto all'utente di cui si vuole rimuovere l'assegnazione dal pacchetto di accesso.
Selezionare il pulsante Rimuovi nella parte superiore del riquadro sinistro.
Viene visualizzata una notifica che informa che l'assegnazione è stata rimossa.
Rimuovere un'assegnazione a livello di codice
Rimuovere un'assegnazione con Microsoft Graph
È anche possibile rimuovere un'assegnazione di un utente a un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All dell'applicazione può chiamare l'API per creare un accessPackageAssignmentRequest. In questa richiesta il valore della proprietà requestType deve essere adminRemove, e la proprietà assignment è una struttura che contiene la proprietà id che identifica il accessPackageAssignment da rimuovere.
Rimuovere un'assegnazione con PowerShell
È possibile rimuovere l'assegnazione di un utente in PowerShell con il cmdlet New-MgEntitlementManagementAssignmentRequest dal modulo dei cmdlet di PowerShell di Microsoft Graph per Identity Governance versione del modulo 2.1.x o successiva. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Configurare la rimozione dell'assegnazione come parte di un flusso di lavoro del ciclo di vita
Nella funzionalità Flussi di lavoro del ciclo di vita di Microsoft Entra è possibile aggiungere un'attività Rimuovi assegnazione pacchetto di accesso per l'utente a un flusso di lavoro di offboarding. Tale attività può specificare un pacchetto di accesso a cui l'utente potrebbe essere assegnato. Quando il flusso di lavoro viene eseguito per un utente, l'assegnazione del pacchetto di accesso viene rimossa automaticamente.
Accedere all'interfaccia di amministrazione di Microsoft Entra con almeno i ruoli di amministratore di identity governance e amministratore flussi di lavoro del ciclo di vita.
Passare a Identity governance>Flussi di lavoro del ciclo di vita>Flussi di lavoro.
Selezionare un flusso di lavoro di offboarding per i dipendenti.
Selezionare Attività e selezionare Aggiungi attività.
Selezionare Rimuovi assegnazione pacchetto di accesso per l'utente e selezionare Aggiungi.
Selezionare l'attività appena aggiunta.
Selezionare Seleziona pacchetti di accesso e scegliere uno o più pacchetti di accesso da cui gli utenti sono in fase di offboarding devono essere rimossi.
Seleziona Salva.