Aanvraaginstellingen wijzigen voor een toegangspakket in rechtenbeheer

Als toegangspakketbeheerder kunt u de gebruikers wijzigen die op elk gewenst moment een toegangspakket kunnen aanvragen, door een beleid voor toegangspakkettoewijzingsaanvragen te bewerken of door een nieuw beleid toe te voegen aan het toegangspakket. In dit artikel wordt beschreven hoe u de aanvraaginstellingen voor een bestaand toewijzingsbeleid voor toegangspakketten wijzigt.

Kiezen tussen een of meerdere beleidsregels

De manier waarop u opgeeft wie een toegangspakket kan aanvragen, is met een beleid. Voordat u een nieuw beleid maakt of een bestaand beleid bewerkt in een toegangspakket, moet u bepalen hoeveel beleidsregels het toegangspakket nodig heeft.

Wanneer u een toegangspakket maakt, kunt u de aanvraag-, goedkeurings- en levenscyclusinstellingen opgeven, die zijn opgeslagen in het eerste beleid van het toegangspakket. De meeste toegangspakketten hebben één beleid voor gebruikers om toegang aan te vragen, maar één toegangspakket kan meerdere beleidsregels hebben. U maakt meerdere beleidsregels voor een toegangspakket als u wilt dat verschillende sets gebruikers toewijzingen met verschillende aanvraag- en goedkeuringsinstellingen krijgen.

Eén beleid kan bijvoorbeeld niet worden gebruikt om interne en externe gebruikers toe te wijzen aan hetzelfde toegangspakket. U kunt echter twee beleidsregels maken in hetzelfde toegangspakket, één voor interne gebruikers en één voor externe gebruikers. Als er meerdere beleidsregels zijn die van toepassing zijn op een gebruiker om aan te vragen, wordt deze op het moment van de aanvraag gevraagd om het beleid te selecteren waaraan ze willen worden toegewezen. In het volgende diagram ziet u een toegangspakket met twee beleidsregels.

Naast beleidsregels voor gebruikers om toegang aan te vragen, kunt u ook beleidsregels hebben voor automatische toewijzing en beleidsregels voor directe toewijzing door beheerders of cataloguseigenaren.

Hoeveel beleidsregels heb ik nodig?

Scenario	Aantal beleidsregels
Ik wil dat alle gebruikers in mijn directory dezelfde aanvraag- en goedkeuringsinstellingen voor een toegangspakket hebben	Eén
Ik wil dat alle gebruikers in bepaalde verbonden organisaties een toegangspakket kunnen aanvragen	Eén
Ik wil dat gebruikers in mijn directory en ook gebruikers buiten mijn directory een toegangspakket kunnen aanvragen	Twee
Ik wil andere goedkeuringsinstellingen opgeven voor sommige gebruikers	Eén voor elke groep gebruikers
Ik wil dat sommige toegangspakkettoewijzingen van gebruikers verlopen, terwijl andere gebruikers hun toegang kunnen verlengen	Eén voor elke groep gebruikers
Ik wil dat sommige gebruikers toegang aanvragen en andere gebruikers toegang moeten krijgen door een beheerder	Twee
Ik wil dat sommige gebruikers in mijn organisatie automatisch toegang krijgen, andere gebruikers in mijn organisatie kunnen aanvragen en dat andere gebruikers toegang moeten krijgen door een beheerder	Drie

Zie Meerdere beleidsregels voor informatie over de prioriteitslogica die wordt gebruikt wanneer meerdere beleidsregels van toepassing zijn.

Een bestaand toegangspakket openen en een nieuw beleid met andere aanvraaginstellingen toevoegen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Als u een set gebruikers hebt die andere aanvraag- en goedkeuringsinstellingen moeten hebben, moet u waarschijnlijk een nieuw beleid maken. Volg deze stappen om een nieuw beleid toe te voegen aan een bestaand toegangspakket:

Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar of Access-pakketbeheer

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

3. Open op de pagina Access-pakketten het toegangspakket dat u wilt bewerken.

4. Selecteer Beleid en vervolgens Beleid toevoegen.

5. Typ op het tabblad Basisbeginselen een naam en een beschrijving voor het beleid.

   

6. Selecteer Volgende om het tabblad Aanvragen te openen.

7. Wijzig de instelling Gebruikers die toegang kunnen aanvragen. Gebruik de stappen in de volgende secties om de instelling te wijzigen in een van de volgende opties:

   • Voor gebruikers in uw directory
   • Voor gebruikers die zich niet in uw directory bevinden
   • Geen (alleen directe beheerderstoewijzingen)

Voor gebruikers in uw directory

Volg deze stappen als u wilt dat gebruikers in uw directory dit toegangspakket kunnen aanvragen. Wanneer u het aanvraagbeleid definieert, kunt u afzonderlijke gebruikers opgeven of (wat gebruikelijker is) groepen gebruikers. Uw organisatie heeft bijvoorbeeld misschien al een groep zoals Alle werknemers. Als die groep wordt toegevoegd aan het beleid voor gebruikers die toegang kunnen aanvragen, kan elk lid van die groep vervolgens toegang aanvragen.

1. Klik in de sectie Gebruikers die toegang kunnen aanvragen op Voor gebruikers in uw directory.

   Wanneer u deze optie selecteert, worden nieuwe opties weergegeven om verder te verfijnen wie in uw directory dit toegangspakket kan aanvragen.

   

2. Selecteer een van de volgende opties:

   	Beschrijving
   Specifieke gebruikers en groepen	Kies deze optie als u wilt dat alleen de gebruikers en groepen in uw directory die u opgeeft, dit toegangspakket kunnen aanvragen.
   Alle leden (exclusief gasten)	Kies deze optie als u wilt dat alle lidgebruikers in uw directory dit toegangspakket kunnen aanvragen. Deze optie omvat geen gastgebruikers die u mogelijk hebt uitgenodigd in uw directory.
   Alle gebruikers (inclusief gasten)	Kies deze optie als u wilt dat alle lidgebruikers en gastgebruikers in uw directory dit toegangspakket kunnen aanvragen.

   Gastgebruikers verwijzen naar externe gebruikers die zijn uitgenodigd voor uw adreslijst met Microsoft Entra B2B. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID voor meer informatie over de verschillen tussen lidgebruikers en gastgebruikers.

3. Als u Specifieke gebruikers en groepen hebt geselecteerd, klikt u op Gebruikers en groepen toevoegen.

4. Selecteer in het deelvenster 'Gebruikers en groepen selecteren' de gebruikers en groepen die u wilt toevoegen.

   

5. Klik op Selecteren om de gebruikers en groepen toe te voegen.

6. Als u goedkeuring wilt vereisen, gebruikt u de stappen in Goedkeuringsinstellingen wijzigen voor een toegangspakket in rechtenbeheer om goedkeuringsinstellingen te configureren.

7. Ga naar de sectie Aanvragen inschakelen.

Voor gebruikers die zich niet in uw directory bevinden

Gebruikers die zich niet in uw directory bevinden , verwijzen naar gebruikers die zich in een andere Microsoft Entra-directory of -domein bevinden. Deze gebruikers zijn mogelijk nog niet uitgenodigd in uw directory. Microsoft Entra-mappen moeten worden geconfigureerd om uitnodigingen in samenwerkingsbeperkingen toe te staan. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Notitie

Er wordt een gastgebruikersaccount gemaakt voor een gebruiker die zich nog niet in uw directory bevindt, waarvan de aanvraag is goedgekeurd of automatisch is goedgekeurd. De gast wordt uitgenodigd, maar ontvangt geen uitnodigingsmail. In plaats daarvan ontvangt de gast een e-mail wanneer zijn/haar toegangspakkettoewijzing wordt bezorgd. Wanneer die gastgebruiker later geen toegangspakkettoewijzingen meer heeft, omdat de laatste toewijzing is verlopen of geannuleerd, wordt dat gastgebruikersaccount geblokkeerd voor aanmelding en vervolgens verwijderd. Als u gastgebruikers voor onbepaalde tijd in uw directory wilt laten staan, zelfs als ze geen toegangspakkettoewijzingen hebben, kunt u de instellingen voor uw rechtenbeheerconfiguratie wijzigen. Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie over het gastgebruikersobject.

Volg deze stappen als u wilt dat gebruikers die zich niet in uw directory bevinden, dit toegangspakket kunnen aanvragen:

1. Klik in de sectie Gebruikers die toegang kunnen aanvragen op Voor gebruikers die zich niet in uw directory bevinden.

   Wanneer u deze optie selecteert, worden nieuwe opties weergegeven.

   

2. Geef aan of de gebruikers die toegang kunnen aanvragen, moeten worden gekoppeld aan een bestaande verbonden organisatie of dat iedereen op internet kan zijn. Een verbonden organisatie is een organisatie waarmee u een bestaande relatie hebt, die mogelijk een externe Microsoft Entra-directory of een andere id-provider heeft. Selecteer een van de volgende opties:

   	Beschrijving
   Specifieke verbonden organisaties	Kies deze optie als u een keuze wilt maken uit een lijst met organisaties die uw beheerder eerder heeft toegevoegd. Alle gebruikers uit de geselecteerde organisaties kunnen dit toegangspakket aanvragen.
   Alle geconfigureerde verbonden organisaties	Kies deze optie als alle gebruikers uit al uw geconfigureerde verbonden organisaties dit toegangspakket kunnen aanvragen. Alleen gebruikers van geconfigureerde verbonden organisaties kunnen toegangspakketten aanvragen, dus als een gebruiker niet afkomstig is van een Microsoft Entra-tenant, domein of id-provider die is gekoppeld aan een bestaande verbonden organisatie, kunnen ze geen aanvraag indienen.
   Alle gebruikers (alle verbonden organisaties + nieuwe externe gebruikers)	Kies deze optie als elke gebruiker op internet dit toegangspakket moet kunnen aanvragen. Als ze geen deel uitmaken van een verbonden organisatie in uw adreslijst, wordt er automatisch een verbonden organisatie voor hen gemaakt wanneer ze het pakket aanvragen. De automatisch gemaakte verbonden organisatie heeft de status Voorgesteld. Zie Staateigenschap van verbonden organisaties voor meer informatie over de voorgestelde status.

3. Als u Specifieke verbonden organisaties hebt geselecteerd, klikt u op Directory's toevoegen om een keuze te maken uit een lijst met verbonden organisaties die uw beheerder eerder heeft toegevoegd.

4. Typ de naam of domeinnaam om te zoeken naar een eerder verbonden organisatie.

   

   Als de organisatie waarmee u wilt samenwerken niet in de lijst staat, kunt u de beheerder vragen deze toe te voegen als een verbonden organisatie. Zie Een verbonden organisatie toevoegen voor meer informatie.

5. Zodra u al uw verbonden organisaties hebt geselecteerd, klikt u op Selecteren.

   Notitie

   Alle gebruikers uit de geselecteerde verbonden organisaties kunnen dit toegangspakket aanvragen. Voor een verbonden organisatie met een Microsoft Entra-directory kunnen gebruikers van alle geverifieerde domeinen die zijn gekoppeld aan de Microsoft Entra-directory aanvragen, tenzij deze domeinen worden geblokkeerd door de lijst met toestaan of weigeren van Azure B2B. Zie Uitnodigingen voor B2B-gebruikers uit bepaalde organisaties toestaan of blokkeren voor meer informatie.

6. Gebruik vervolgens de stappen in Goedkeuringsinstellingen wijzigen voor een toegangspakket in rechtenbeheer om goedkeuringsinstellingen te configureren om op te geven wie aanvragen van gebruikers die niet in uw organisatie moeten worden goedgekeurd.

7. Ga naar de sectie Aanvragen inschakelen.

Geen (alleen directe beheerderstoewijzingen)

Volg deze stappen als u toegangsaanvragen wilt overslaan en beheerders toestemming wilt geven om specifieke gebruikers direct toe te wijzen aan dit toegangspakket. Gebruikers hoeven het toegangspakket niet aan te vragen. U kunt nog steeds levenscyclusinstellingen instellen, maar er zijn geen aanvraaginstellingen.

1. Klik in de sectie Gebruikers die toegang kunnen aanvragen op Geen (alleen beheerders directe toewijzingen).

   

   Nadat u het toegangspakket hebt gemaakt, kunt u specifieke interne en externe gebruikers direct toewijzen aan het toegangspakket. Als u een externe gebruiker opgeeft, wordt er een gastgebruikersaccount gemaakt in uw directory. Zie Toewijzingen voor een toegangspakket weergeven, toevoegen en verwijderen voor meer informatie over het direct toewijzen van een gebruiker.

2. Ga naar de sectie Aanvragen inschakelen.

Notitie

Bij het toewijzen van gebruikers aan een toegangspakket moeten beheerders controleren of de gebruikers in aanmerking komen voor dat toegangspakket op basis van de bestaande beleidsvereisten. Anders worden de gebruikers niet toegewezen aan het toegangspakket. Als het toegangspakket een beleid bevat waarmee wordt vereist dat gebruikersaanvragen worden goedgekeurd, kunnen gebruikers niet rechtstreeks worden toegewezen aan het pakket zonder de benodigde goedkeuring(en) van de aangewezen fiatteur(s).

De aanvraaginstellingen van een bestaand beleid openen en bewerken

Als u de aanvraag- en goedkeuringsinstellingen voor een toegangspakket wilt wijzigen, moet u het bijbehorende beleid met die instellingen openen. Volg deze stappen om de aanvraaginstellingen voor een toewijzingsbeleid voor toegangspakketten te openen en te bewerken:

Vereiste rol: Globale Beheer istrator, Identiteitsbeheer Beheer istrator, Cataloguseigenaar of Access-pakketbeheer

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

3. Open op de pagina Access-pakketten het toegangspakket waarvan u de instellingen voor beleidsaanvragen wilt bewerken.

4. Selecteer Beleid en klik vervolgens op het beleid dat u wilt bewerken.

   Het deelvenster Beleidsdetails wordt onderaan de pagina geopend.

   

5. Selecteer Bewerken om het beleid te bewerken.

   

6. Selecteer het tabblad Aanvragen om de aanvraaginstellingen te openen.

7. Gebruik de stappen in de vorige secties om de aanvraaginstellingen zo nodig te wijzigen.

8. Ga naar de sectie Aanvragen inschakelen.

Aanvragen inschakelen

1. Als u wilt dat het toegangspakket onmiddellijk beschikbaar wordt gesteld voor gebruikers in het aanvraagbeleid, stelt u de wisselknop Inschakelen in op Ja.

   U kunt deze in de toekomst altijd inschakelen nadat u klaar bent met het maken van het toegangspakket.

   Als u Geen (alleen directe beheerderstoewijzingen) hebt geselecteerd en u 'Inschakelen' op Nee hebt ingesteld, kunnen beheerders dit toegangspakket niet direct toewijzen.

   

2. Selecteer Volgende.

3. Als u wilt vereisen dat aanvragers aanvullende informatie verstrekken bij het aanvragen van toegang tot een toegangspakket, gebruikt u de stappen in instellingen voor goedkeuring wijzigen en aanvragergegevens voor een toegangspakket in rechtenbeheer om aanvragergegevens te configureren.

4. Configureer levenscyclusinstellingen.

5. Als u een beleid bewerkt, selecteert u Bijwerken. Als u een nieuw beleid toevoegt, selecteert u Maken.

Programmatisch een beleid voor toewijzing van toegangspakketten maken

Er zijn twee manieren om programmatisch een toegangspakkettoewijzingsbeleid te maken via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.

Een toewijzingsbeleid voor toegangspakketten maken via Graph

U kunt een beleid maken met Behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, of een toepassing in een catalogusrol of met de EntitlementManagement.ReadWrite.All machtiging, kan het maken van een assignmentPolicy-API aanroepen.

Een toewijzingsbeleid voor toegangspakketten maken via PowerShell

U kunt ook een toegangspakket maken in PowerShell met de cmdlets van de Microsoft Graph PowerShell-cmdlets voor identity governance-moduleversie 2.1.x of hoger.

Dit script hieronder illustreert het maken van een beleid voor directe toewijzing aan een toegangspakket. In dit beleid kan alleen de beheerder toegang toewijzen en zijn er geen goedkeuringen of toegangsbeoordelingen. Zie Een beleid voor automatische toewijzing maken voor een voorbeeld van het maken van een beleid voor automatische toewijzing en het maken van een assignmentPolicy voor meer voorbeelden.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Aanvragen van gebruikers met niet-compatibele toegang voorkomen

Naast de beleidscontroles voor wie kan aanvragen, wilt u mogelijk de toegang verder beperken om te voorkomen dat een gebruiker die al een bepaalde mate van toegang heeft – via een groep of een ander toegangspakket – overmatige toegang krijgt.

Als u wilt configureren dat een gebruiker geen toegangspakket kan aanvragen als deze al aan een ander toegangspakket is toegewezen of lid is van een groep, gebruikt u de stappen in Controle op scheiding van taken configureren voor een toegangspakket.

Volgende stappen

• Goedkeuringsinstellingen voor een toegangspakket wijzigen
• Levenscyclusinstellingen voor een toegangspakket wijzigen
• Aanvragen voor een toegangspakket weergeven