Delen via


Een toegangspakket maken in rechtenbeheer

Met een toegangspakket kunt u een eenmalige installatie uitvoeren van resources en beleid waarmee automatisch de toegang tot het toegangspakket wordt beheerd. In dit artikel wordt beschreven hoe u een toegangspakket maakt.

Overzicht

Alle toegangspakketten moeten zich in een container met de naam een catalogus bevinden. Een catalogus definieert welke resources u aan uw toegangspakket kunt toevoegen. Als u geen catalogus opgeeft, wordt uw toegangspakket in de algemene catalogus weergegeven. Op dit moment kunt u een bestaand toegangspakket niet verplaatsen naar een andere catalogus.

Een toegangspakket kan worden gebruikt om toegang toe te wijzen aan rollen van meerdere resources die zich in de catalogus bevinden. Als u een beheerder of cataloguseigenaar bent, kunt u resources toevoegen aan de catalogus terwijl u een toegangspakket maakt. U kunt ook resources toevoegen nadat het toegangspakket is gemaakt en gebruikers die zijn toegewezen aan het toegangspakket, ontvangen ook de extra resources.

Als u een toegangspakketbeheerder bent, kunt u geen resources toevoegen die u bezit aan een catalogus. U bent beperkt tot het gebruik van de resources die beschikbaar zijn in de catalogus. Als u resources aan een catalogus wilt toevoegen, kunt u de eigenaar van de catalogus vragen.

Alle toegangspakketten moeten ten minste één beleid hebben om gebruikers aan hen toe te wijzen. Beleidsregels geven aan wie het toegangspakket kan aanvragen, samen met goedkeurings- en levenscyclusinstellingen, of hoe toegang automatisch wordt toegewezen. Wanneer u een toegangspakket maakt, kunt u een eerste beleid maken voor gebruikers in uw directory, voor gebruikers die zich niet in uw adreslijst bevinden of alleen voor directe toewijzingen van beheerders.

Diagram van een voorbeeld van een marketingcatalogus, inclusief de bijbehorende resources en het toegangspakket.

Hier volgen de stappen op hoog niveau voor het maken van een toegangspakket met een eerste beleid:

  1. Start in Identity Governance het proces om een toegangspakket te maken.

  2. Selecteer de catalogus waarin u het toegangspakket wilt plaatsen en zorg ervoor dat het over de benodigde resources beschikt.

  3. Voeg resourcerollen uit resources in de catalogus toe aan uw toegangspakket.

  4. Geef een eerste beleid op voor gebruikers die toegang kunnen aanvragen.

  5. Geef goedkeuringsinstellingen en levenscyclus-instellingen op in dat beleid.

Zodra het toegangspakket is gemaakt, kunt u de verborgen instelling wijzigen, resourcerollen toevoegen of verwijderen en aanvullende beleidsregels toevoegen.

Het aanmaakproces starten

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar of Access Package Manager.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Selecteer Nieuw toegangspakket.

    Schermopname van de knop voor het maken van een nieuw toegangspakket in het Microsoft Entra-beheercentrum.

Basisbeginselen configureren

Op het tabblad Basisinformatie geeft u het toegangspakket een naam en geeft u op in welke catalogus het toegangspakket moet worden gemaakt.

  1. Voer een weergavenaam en beschrijving in voor het toegangspakket. Gebruikers zien deze informatie wanneer ze een aanvraag indienen voor het toegangspakket.

  2. Selecteer in de vervolgkeuzelijst Catalogus de catalogus waarin u het toegangspakket wilt plaatsen. U hebt bijvoorbeeld een cataloguseigenaar die alle marketingbronnen beheert die kunnen worden aangevraagd. In dit geval kunt u de marketingcatalogus selecteren.

    U ziet alleen catalogi waarin u bent gemachtigd om toegangspakketten te maken. Als u een toegangspakket wilt maken in een bestaande catalogus, moet u ten minste een identiteitsbeheerbeheerder zijn. Of u moet een cataloguseigenaar of toegangspakketbeheerder in die catalogus zijn.

    Schermopname van basisinformatie voor een nieuw toegangspakket.

    Als u ten minste een identiteitsbeheerbeheerder of catalogusmaker bent en u uw toegangspakket wilt maken in een nieuwe catalogus die niet wordt vermeld, selecteert u Nieuwe catalogus maken. Voer de naam en beschrijving van de catalogus in en selecteer Vervolgens Maken.

    Het toegangspakket dat u maakt en alle bijbehorende resources, worden toegevoegd aan de nieuwe catalogus. Later kunt u meer cataloguseigenaren toevoegen of kenmerken toevoegen aan de resources die u in de catalogus plaatst. Lees Resourcekenmerken toevoegen in de catalogus voor meer informatie over het bewerken van de lijst met kenmerken voor een specifieke catalogusresource en de vereiste rollen.

  3. Selecteer Volgende: Resourcerollen.

Resourcerollen selecteren

Op het tabblad Resourcerollen selecteert u de resources die u wilt opnemen in het toegangspakket. Gebruikers die het toegangspakket aanvragen en ontvangen, ontvangen alle resourcerollen, zoals groepslidmaatschap in het toegangspakket.

Als u niet zeker weet welke resourcerollen u wilt opnemen, kunt u ze overslaan tijdens het maken van het toegangspakket en deze later toevoegen.

  1. Selecteer het resourcetype dat u wilt toevoegen (Groepen en Teams, Toepassingen of SharePoint-sites).

  2. Selecteer in het deelvenster Toepassingen selecteren dat wordt weergegeven een of meer resources in de lijst.

    Schermopname van het deelvenster voor het selecteren van toepassingen voor resourcerollen in een nieuw toegangspakket.

    Als u het toegangspakket in de algemene catalogus of een nieuwe catalogus maakt, kunt u elke resource kiezen uit de map die u bezit. U moet ten minste een identiteitsbeheerbeheerder of catalogusmaker zijn.

    Notitie

    U kunt dynamische lidmaatschapsgroepen toevoegen aan een catalogus en aan een toegangspakket. U kunt echter alleen de rol van eigenaar selecteren wanneer u een dynamische groepsresource in een toegangspakket beheert.

    Als u het toegangspakket in een bestaande catalogus maakt, kunt u elke resource selecteren die zich al in de catalogus voordeed zonder dat u eigenaar van die resource hoeft te zijn.

    Als u ten minste een identiteitsbeheerbeheerder of cataloguseigenaar bent, hebt u de extra optie om resources te selecteren die u bezit of beheert, maar die nog niet in de catalogus staan. Als u resources in de map selecteert, maar momenteel niet in de geselecteerde catalogus, worden deze resources ook toegevoegd aan de catalogus voor andere catalogusbeheerders om toegangspakketten met te bouwen. Als u alle resources in de map wilt zien die aan de catalogus kunnen worden toegevoegd, schakelt u het selectievakje Alles weergeven bovenaan het deelvenster in. Als u alleen resources wilt selecteren die zich momenteel in de geselecteerde catalogus bevinden, laat u het selectievakje Alles weergeven uitgeschakeld (de standaardstatus).

  3. Selecteer in de lijst Rollen de rol waaraan u wilt dat gebruikers worden toegewezen voor de resource. Zie voor meer informatie over het selecteren van de juiste rollen voor een resource hoe u bepaalt welke resourcerollen moeten worden opgenomen in een toegangspakket.

    Schermopname van de selectie van resourcerollen voor een nieuw toegangspakket.

  4. Selecteer Volgende: Aanvragen.

Het eerste beleid maken

Op het tabblad Aanvragen maakt u het eerste beleid om op te geven wie het toegangspakket kan aanvragen. U configureert ook goedkeuringsinstellingen voor dat beleid. Later, nadat u het toegangspakket met dit eerste beleid hebt gemaakt, kunt u meer beleidsregels toevoegen om extra groepen gebruikers toe te staan het toegangspakket aan te vragen met hun eigen goedkeuringsinstellingen of om automatisch toegang toe te wijzen.

Schermopname van het tabblad Aanvragen voor een nieuw toegangspakket.

Afhankelijk van welke gebruikers u dit toegangspakket wilt kunnen aanvragen, voert u de stappen uit in een van de volgende secties : gebruikers in uw adreslijst toestaan om het toegangspakket aan te vragen, gebruikers die zich niet in uw directory bevinden om het toegangspakket aan te vragen of alleen directe toewijzingen van beheerders toestaan. Als u niet zeker weet welke instellingen voor aanvragen of goedkeuring u nodig hebt, bent u van plan om toewijzingen te maken voor gebruikers die al toegang hebben tot de onderliggende resources, of als u van plan bent automatische toewijzingsbeleid voor toegangspakketten te gebruiken om de toegang te automatiseren en selecteert u vervolgens het beleid voor directe toewijzing als het eerste beleid.

Gebruikers in uw directory toestaan het toegangspakket aan te vragen

Gebruik de volgende stappen als u wilt toestaan dat gebruikers in uw directory dit toegangspakket kunnen aanvragen. Wanneer u het aanvraagbeleid definieert, kunt u afzonderlijke gebruikers of (vaker) groepen gebruikers opgeven. Uw organisatie kan bijvoorbeeld al een groep hebben, zoals Alle werknemers. Als die groep wordt toegevoegd aan het beleid voor gebruikers die toegang kunnen aanvragen, kan elk lid van die groep vervolgens toegang aanvragen.

  1. Selecteer in de sectie Gebruikers die toegang kunnen aanvragen voor gebruikers in uw directory.

    Wanneer u deze optie selecteert, worden nieuwe opties weergegeven, zodat u kunt verfijnen wie in uw directory dit toegangspakket kan aanvragen.

    Schermopname van de optie voor het toestaan van gebruikers en groepen in de directory om een toegangspakket aan te vragen.

  2. Selecteer een van de volgende opties:

    Optie Omschrijving
    Specifieke gebruikers en groepen Kies deze optie als u wilt dat alleen de gebruikers en groepen in uw directory die u opgeeft, dit toegangspakket kunnen aanvragen.
    Alle leden (exclusief gasten) Kies deze optie als u wilt dat alle lidgebruikers in uw directory dit toegangspakket kunnen aanvragen. Deze optie omvat geen gastgebruikers die u mogelijk hebt uitgenodigd in uw directory.
    Alle gebruikers (inclusief gasten) Kies deze optie als u wilt dat alle lidgebruikers en gastgebruikers in uw directory dit toegangspakket kunnen aanvragen.

    Gastgebruikers zijn externe gebruikers die zijn uitgenodigd voor uw adreslijst via Microsoft Entra B2B. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID voor meer informatie over de verschillen tussen lidgebruikers en gastgebruikers.

  3. Als u Specifieke gebruikers en groepen hebt geselecteerd, selecteert u Gebruikers en groepen toevoegen.

  4. Selecteer in het deelvenster Gebruikers en groepen selecteren de gebruikers en groepen die u wilt toevoegen.

    Schermopname van het deelvenster voor het selecteren van gebruikers en groepen voor een toegangspakket.

  5. Kies Selecteren om de gebruikers en groepen toe te voegen.

  6. Ga verder naar de sectie Goedkeuringsinstellingen opgeven.

Toestaan dat gebruikers in uw directory het toegangspakket aanvragen

Gebruikers die zich in een andere Microsoft Entra-directory of -domein bevinden, zijn mogelijk nog niet uitgenodigd voor uw directory. Microsoft Entra-mappen moeten worden geconfigureerd om uitnodigingen in samenwerkingsbeperkingen toe te staan. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Er wordt een gastgebruikersaccount gemaakt voor een gebruiker die nog niet in uw directory staat waarvan de aanvraag is goedgekeurd of waarvoor geen goedkeuring nodig is. De gast wordt uitgenodigd, maar ontvangt geen uitnodigingsmail. In plaats daarvan ontvangen ze een e-mail wanneer hun toegangspakkettoewijzing wordt bezorgd. Wanneer die gastgebruiker later geen toegangspakkettoewijzingen meer heeft omdat de laatste toewijzing is verlopen of is geannuleerd, wordt het account geblokkeerd voor aanmelding en vervolgens verwijderd. De blokkering en verwijdering worden standaard uitgevoerd.

Als u wilt dat gastgebruikers voor onbepaalde tijd in uw directory blijven, zelfs als ze geen toegangspakkettoewijzingen hebben, kunt u de instellingen voor uw rechtenbeheerconfiguratie wijzigen. Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie over het gastgebruikersobject.

Volg deze stappen als u wilt toestaan dat gebruikers die zich niet in uw directory bevinden, het toegangspakket aanvragen:

  1. Selecteer in de sectie Gebruikers die toegang kunnen aanvragen voor gebruikers die zich niet in uw directory bevinden.

    Wanneer u deze optie selecteert, worden nieuwe opties weergegeven.

    Schermopname van de optie voor het toestaan van gebruikers en groepen die zich niet in de map bevinden om een toegangspakket aan te vragen.

  2. Selecteer een van de volgende opties:

    Optie Omschrijving
    Specifieke verbonden organisaties Kies deze optie als u een keuze wilt maken uit een lijst met organisaties die uw beheerder eerder heeft toegevoegd. Alle gebruikers uit de geselecteerde organisaties kunnen dit toegangspakket aanvragen.
    Alle verbonden organisaties Kies deze optie als alle gebruikers uit al uw geconfigureerde verbonden organisaties dit toegangspakket kunnen aanvragen.
    Alle gebruikers (alle verbonden organisaties + nieuwe externe gebruikers) Kies deze optie als gebruikers dit toegangspakket kunnen aanvragen en de instellingen voor de B2B-acceptatielijst of bloklijst voorrang moeten hebben voor elke nieuwe externe gebruiker.

    Een verbonden organisatie is een externe Microsoft Entra-adreslijst of -domein waarmee u een relatie hebt.

  3. Als u Specifieke verbonden organisaties hebt geselecteerd, selecteert u Mappen toevoegen die u wilt selecteren in een lijst met verbonden organisaties die uw beheerder eerder heeft toegevoegd.

  4. Voer de naam of domeinnaam in om te zoeken naar een eerder verbonden organisatie.

    Schermopname van het zoekvak voor het selecteren van een map voor aanvragen voor een toegangspakket.

    Als de organisatie waarmee u wilt samenwerken niet in de lijst staat, kunt u de beheerder vragen deze toe te voegen als een verbonden organisatie. Zie Een verbonden organisatie toevoegen voor meer informatie.

  5. Als u Alle verbonden organisaties hebt geselecteerd, moet u de lijst met verbonden organisaties bevestigen die momenteel zijn geconfigureerd en gepland om binnen het bereik te vallen.

  6. Als u Alle gebruikers hebt geselecteerd, moet u goedkeuringen configureren in de sectie Goedkeuringen, omdat met dit bereik elke identiteit op internet toegang kan aanvragen.

  7. Nadat u al uw verbonden organisaties hebt geselecteerd, kiest u Selecteren.

    Alle gebruikers van de geselecteerde verbonden organisaties kunnen dit toegangspakket aanvragen. Dit omvat gebruikers in Microsoft Entra-id van alle subdomeinen die aan de organisatie zijn gekoppeld, tenzij de Azure B2B-acceptatielijst of bloklijst deze domeinen blokkeert. Als u een domein van een sociale id-provider opgeeft, zoals live.com, kan elke gebruiker van de sociale id-provider dit toegangspakket aanvragen. Zie Uitnodigingen voor B2B-gebruikers uit bepaalde organisaties toestaan of blokkeren voor meer informatie.

  8. Ga verder naar de sectie Goedkeuringsinstellingen opgeven.

Alleen directe toewijzingen van beheerders toestaan

Volg deze stappen als u toegangsaanvragen wilt overslaan en beheerders toestemming wilt geven om specifieke gebruikers direct toe te wijzen aan dit toegangspakket. Gebruikers hoeven het toegangspakket niet aan te vragen. U kunt nog steeds levenscyclusinstellingen instellen, maar er zijn geen aanvraaginstellingen.

  1. Selecteer Geen (alleen directe toewijzingen van beheerders) in de sectie Gebruikers die toegang kunnen aanvragen.

    Schermopname van de optie voor het toestaan van alleen directe toewijzingen van beheerders voor een toegangspakket.

    Nadat u het toegangspakket hebt gemaakt, kunt u er rechtstreeks specifieke interne en externe gebruikers aan toewijzen. Als u een externe gebruiker opgeeft, wordt er een gastgebruikersaccount gemaakt in uw directory. Zie Toewijzingen voor een toegangspakket weergeven, toevoegen en verwijderen voor meer informatie over het direct toewijzen van een gebruiker.

  2. Ga verder naar de sectie Aanvragen inschakelen.

Goedkeuringsinstellingen opgeven

In de sectie Goedkeuring geeft u op of een goedkeuring vereist is wanneer gebruikers dit toegangspakket aanvragen. De goedkeuringsinstellingen werken op de volgende manier:

  • Slechts één van de geselecteerde fiatteurs of alternatieve fiatteurs hoeft een aanvraag voor goedkeuring met één fase goed te keuren.
  • Slechts één van de geselecteerde goedkeurders uit elke fase moet een aanvraag voor goedkeuring in twee fasen goedkeuren.
  • Een fiatteur kan een manager, een sponsor van een gebruiker, een interne sponsor of een externe sponsor zijn, afhankelijk van toegangsbeheer voor het beleid.
  • Goedkeuring van elke geselecteerde fiatteur is niet vereist voor goedkeuring van één fase of twee fasen.
  • De goedkeuringsbeslissing is gebaseerd op de goedkeurder die de aanvraag eerst beoordeelt.

Bekijk de volgende video voor een demonstratie van het toevoegen van fiatteurs aan een aanvraagbeleid:

Bekijk de volgende video voor een demonstratie van het toevoegen van een goedkeuring met meerdere fasen aan een aanvraagbeleid:

Volg deze stappen om de goedkeuringsinstellingen voor aanvragen voor het toegangspakket op te geven:

  1. Als u goedkeuring wilt vereisen voor aanvragen van de geselecteerde gebruikers, stelt u de wisselknop Goedkeuring vereisen in op Ja. Als u aanvragen automatisch wilt laten goedkeuren, stelt u de wisselknop in op Nee. Als het beleid externe gebruikers van buiten uw organisatie toestaat om toegang te vragen, moet u goedkeuring vereisen, zodat er toezicht is op wie wordt toegevoegd aan de adreslijst van uw organisatie.

  2. Als u wilt vereisen dat gebruikers een reden opgeven om het toegangspakket aan te vragen, stelt u de wisselknop Reden van aanvrager vereisen in op Ja.

  3. Bepalen of aanvragen goedkeuring met één fase of twee fasen vereisen. Stel het aantal fasen in op 1 voor goedkeuring in één fase, 2 voor goedkeuring in twee fasen of 3 voor goedkeuring in drie fasen.

    Schermopname van goedkeuringsinstellingen voor aanvragen voor een toegangspakket.

Gebruik de volgende stappen om goedkeurders toe te voegen nadat u het aantal fasen hebt geselecteerd.

Goedkeuring met één fase

  1. Voeg de informatie van de eerste fiatteur toe:

    • Als het beleid is ingesteld op Voor gebruikers in uw adreslijst, kunt u Manager selecteren als fiatteur of Sponsors als goedkeurders. U kunt ook een specifieke gebruiker toevoegen door specifieke goedkeurders te selecteren en vervolgens Goedkeurders toevoegen te selecteren.

      Als u Sponsors wilt gebruiken als goedkeurders voor goedkeuring, moet u een Microsoft Entra ID-governance licentie hebben. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken voor meer informatie.

      Schermopname van opties voor een eerste fiatteur als het beleid is ingesteld op gebruikers in uw directory.

    • Als het beleid is ingesteld op Voor gebruikers die zich niet in uw adreslijst bevinden, kunt u externe sponsor of interne sponsor selecteren. U kunt ook een specifieke gebruiker toevoegen door specifieke goedkeurders te selecteren en vervolgens Goedkeurders toevoegen te selecteren.

      Schermopname van opties voor een eerste fiatteur als het beleid is ingesteld op gebruikers die zich niet in uw directory bevinden.

  2. Als u Beheerder als de eerste fiatteur hebt geselecteerd, selecteert u Terugval toevoegen om een of meer gebruikers of groepen in uw directory te selecteren als alternatieve fiatteur. Goedkeurders ontvangen de aanvraag als rechtenbeheer de manager niet kan vinden voor de gebruiker die toegang aanvraagt.

    Rechtenbeheer vindt de manager met behulp van het kenmerk Manager . Het kenmerk bevindt zich in het gebruikersprofiel in Microsoft Entra ID. Zie Profielgegevens en -instellingen van een gebruiker toevoegen of bijwerken voor meer informatie.

  3. Als u Sponsors als eerste fiatteur hebt geselecteerd, selecteert u Terugval toevoegen om een of meer gebruikers of groepen in uw directory te selecteren als terugvalkeurder. Goedkeurders ontvangen de aanvraag als rechtenbeheer de sponsor niet kan vinden voor de gebruiker die toegang aanvraagt.

    Rechtenbeheer vindt sponsors met behulp van het kenmerk Sponsors . Het kenmerk bevindt zich in het gebruikersprofiel in Microsoft Entra ID. Zie Profielgegevens en -instellingen van een gebruiker toevoegen of bijwerken voor meer informatie.

  4. Als u Specifieke goedkeurders kiezen hebt geselecteerd, selecteert u Goedkeurders toevoegen om een of meer gebruikers of groepen in uw directory te selecteren om goedkeurders te zijn.

  5. Geef in het vak Beslissing het aantal dagen op dat een fiatteur een aanvraag voor dit toegangspakket moet controleren.

    Als een aanvraag niet binnen deze periode wordt goedgekeurd, wordt deze automatisch geweigerd. De gebruiker moet vervolgens een andere aanvraag indienen voor het toegangspakket.

  6. Als u wilt vereisen dat goedkeurders een rechtvaardiging voor hun beslissing opgeven, stelt u De reden van fiatteur vereisen in op Ja.

    De reden is zichtbaar voor andere fiatteurs en de aanvrager.

Goedkeuring in twee fasen

Als u een goedkeuring in twee fasen hebt geselecteerd, moet u een tweede fiatteur toevoegen:

  1. Voeg de informatie van de tweede fiatteur toe:

    • Als de gebruikers zich in uw adreslijst bevinden, kunt u Sponsors selecteren als goedkeurders. U kunt ook een specifieke gebruiker toevoegen door specifieke goedkeurders te selecteren in de vervolgkeuzelijst en vervolgens Goedkeurders toevoegen te selecteren.

      Schermopname van opties voor een tweede fiatteur als het beleid is ingesteld op gebruikers in uw directory.

    • Als de gebruikers zich niet in uw directory bevinden, selecteert u Interne sponsor of Externe sponsor als de tweede fiatteur. Nadat u de fiatteur hebt geselecteerd, voegt u de terugvalkeurders toe.

      Schermopname van opties voor een tweede fiatteur als het beleid is ingesteld op gebruikers die zich niet in uw directory bevinden.

  2. Geef in het vak Beslissing het aantal dagen op dat de tweede fiatteur de aanvraag moet goedkeuren.

  3. Stel de reden van de fiatteur vereisen in op Ja of Nee.

Goedkeuring in drie fasen

Als u een goedkeuring in drie fasen hebt geselecteerd, moet u een derde fiatteur toevoegen:

  1. Voeg de informatie van de derde fiatteur toe:

    Als de gebruikers zich in uw directory bevinden, voegt u een specifieke gebruiker toe als de derde fiatteur door specifieke goedkeurders toevoegen goedkeurders> te selecteren.

    Schermopname met opties voor een derde fiatteur als het beleid is ingesteld op gebruikers in uw directory.

  2. Geef in het vak Beslissing het aantal dagen op dat de tweede fiatteur de aanvraag moet goedkeuren.

  3. Stel de reden van de fiatteur vereisen in op Ja of Nee.

Alternatieve fiatteurs

U kunt alternatieve goedkeurders opgeven, vergelijkbaar met het opgeven van de eerste en tweede goedkeurders die aanvragen kunnen goedkeuren. Als u alternatieve goedkeurders hebt, zorgt u ervoor dat de aanvragen worden goedgekeurd of geweigerd voordat ze verlopen (time-out). U kunt alternatieve goedkeurders voor de eerste fiatteur en de tweede fiatteur vermelden voor goedkeuring in twee fasen.

Wanneer u alternatieve goedkeurders opgeeft en de eerste of tweede goedkeurders de aanvraag niet kunnen goedkeuren of weigeren, wordt de aanvraag in behandeling doorgestuurd naar de alternatieve fiatteurs. De aanvraag wordt verzonden volgens het doorstuurschema dat u hebt opgegeven tijdens het instellen van het beleid. De goedkeurders ontvangen een e-mailbericht om de aanvraag in behandeling goed te keuren of te weigeren.

Nadat de aanvraag is doorgestuurd naar de alternatieve goedkeurders, kunnen de eerste of tweede goedkeurders de aanvraag nog steeds goedkeuren of weigeren. Alternatieve goedkeurders gebruiken dezelfde Mijn toegangssite om de aanvraag in behandeling goed te keuren of te weigeren.

U kunt personen of groepen personen vermelden die fiatteur en alternatieve fiatteur zijn. Zorg ervoor dat u verschillende groepen personen vermeldt die de eerste, tweede en alternatieve fiatteurs moeten zijn. Als u Bijvoorbeeld Alice en Bob als de eerste goedkeurders vermeldt, vermeldt u Carol en Dave als de alternatieve fiatteurs.

Gebruik de volgende stappen om alternatieve fiatteurs toe te voegen aan een toegangspakket:

  1. Selecteer onder First Approver, Second Approver of both de optie Geavanceerde aanvraaginstellingen weergeven.

    Schermopname van de selectie voor het weergeven van geavanceerde aanvraaginstellingen.

  2. Stel de optie Indien er geen actie is ondernomen door naar alternatieve goedkeurders? zet u op Ja.

  3. Selecteer Alternatieve goedkeurders toevoegen en selecteer vervolgens de alternatieve goedkeurders in de lijst.

    Schermopname van geavanceerde aanvraaginstellingen, inclusief de koppeling voor het toevoegen van alternatieve goedkeurders.

    Als u Manager als de eerste fiatteur selecteert, wordt er een extra optie weergegeven in het vak Alternatieve fiatteur: Tweede niveau manager als alternatieve fiatteur. Als u deze optie selecteert, moet u een terugvalkeurer toevoegen om de aanvraag door te sturen naar, voor het geval het systeem de manager op het tweede niveau niet kan vinden.

  4. Voer in het vak Doorsturen naar alternatieve fiatteur(s) na het aantal dagen in dat de fiatteurs een aanvraag moeten goedkeuren of weigeren. Als er geen goedkeurders de aanvraag goedkeuren of weigeren vóór de duur van de aanvraag, verloopt de aanvraag (time-out). De gebruiker moet vervolgens een andere aanvraag indienen voor het toegangspakket.

Aanvragen kunnen slechts een dag worden doorgestuurd naar alternatieve goedkeurders nadat de duur van de aanvraag de halve levensduur heeft bereikt. De beslissing van de belangrijkste goedkeurders moet na ten minste vier dagen een time-out hebben. Als de time-out van de aanvraag minder of gelijk is aan drie dagen, is er onvoldoende tijd om de aanvraag door te sturen naar alternatieve goedkeurders.

In dit voorbeeld is de termijn van de aanvraag 14 dagen. De duur van de aanvraag bereikt de halfwaardetijd op dag 7. De aanvraag kan dus niet eerder dan dag 8 worden doorgestuurd.

Aanvragen kunnen ook niet worden doorgestuurd op de laatste dag van de aanvraagtermijn. In het voorbeeld kan de aanvraag dus op zijn laatst worden doorgestuurd op dag 13.

Aanvragen inschakelen

  1. Als u wilt dat het toegangspakket onmiddellijk beschikbaar wordt gemaakt voor gebruikers in het aanvraagbeleid, verplaatst u de wisselknop Nieuwe aanvragen en toewijzingen inschakelen naar Ja.

    U kunt deze altijd inschakelen in de toekomst, nadat u klaar bent met het maken van het toegangspakket.

    Als u Geen selecteert (alleen beheerders directe toewijzingen) en u nieuwe aanvragen en toewijzingen inschakelen instelt op Nee, kunnen beheerders dit toegangspakket niet rechtstreeks toewijzen.

    Schermopname van de optie voor het inschakelen van nieuwe aanvragen en toewijzingen.

  2. Ga naar de volgende sectie voor meer informatie over het toevoegen van een geverifieerde id-vereiste aan uw toegangspakket. Anders selecteert u Volgende.

Een geverifieerde id-vereiste toevoegen

Gebruik de volgende stappen als u een geverifieerde id-vereiste wilt toevoegen aan uw toegangspakketbeleid. Gebruikers die toegang willen tot het toegangspakket, moeten de vereiste geverifieerde id's presenteren voordat ze hun aanvraag indienen. Zie Inleiding tot Microsoft Entra geverifieerde ID voor meer informatie over het configureren van uw tenant met de Microsoft Entra geverifieerde ID-service.

U hebt een rol van globale beheerder nodig om geverifieerde id-vereisten toe te voegen aan een toegangspakket in een aanvraagbeleid. Een identiteitsbeheerbeheerder, gebruikersbeheerder, cataloguseigenaar of toegangspakketbeheerder kan nog geen geverifieerde id-vereisten toevoegen.

  1. Selecteer + Verlener toevoegen en selecteer vervolgens een verlener in het Microsoft Entra geverifieerde ID-netwerk. Als u uw eigen referenties aan gebruikers wilt uitgeven, vindt u instructies in Probleem Microsoft Entra geverifieerde ID referenties van een toepassing.

    Schermopname van het deelvenster voor het selecteren van een verlener voor een toegangspakket.

  2. Selecteer de referentietypen die gebruikers moeten presenteren tijdens het aanvraagproces.

    Schermopname van het gebied voor het selecteren van referentietypen voor een toegangspakket.

    Als u meerdere referentietypen van één verlener selecteert, moeten gebruikers referenties van alle geselecteerde typen presenteren. Als u meerdere verleners opneemt, moeten gebruikers referenties presenteren van elk van de verleners die u in het beleid opneemt. Als u gebruikers de mogelijkheid wilt geven om verschillende referenties van verschillende verleners te presenteren, configureert u afzonderlijke beleidsregels voor elke verlener of elk referentietype dat u accepteert.

  3. Selecteer Toevoegen om de geverifieerde id-vereiste toe te voegen aan het toegangspakketbeleid.

Aanvragergegevens toevoegen aan een toegangspakket

  1. Ga naar het tabblad Informatie van aanvrager en selecteer vervolgens het tabblad Vragen .

  2. Voer in het vak Vraag een vraag in die u de aanvrager wilt stellen. Deze vraag wordt ook wel de weergavetekenreeks genoemd.

  3. Als u uw eigen lokalisatieopties wilt toevoegen, selecteert u Lokalisatie toevoegen.

    Schermopname van het vak voor het invoeren van een vraag voor een aanvrager.

    In het deelvenster Lokalisaties toevoegen voor vraagvenster :

    1. Selecteer voor Taalcode de taalcode voor de taal waarin u de vraag wilt lokaliseren.
    2. Voer in het vak Gelokaliseerde tekst de vraag in de taal in die u hebt geconfigureerd.
    3. Wanneer u klaar bent met het toevoegen van alle lokalisaties die u nodig hebt, selecteert u Opslaan.

    Schermopname van lokalisatieselecties voor een vraag.

  4. Selecteer voor antwoordindeling de indeling waarin u wilt dat aanvragers antwoord geven. Antwoordindelingen zijn korte tekst, meerdere keuzen en lange tekst.

  5. Als u meerdere opties hebt geselecteerd, selecteert u de knop Bewerken en lokaliseren om de antwoordopties te configureren.

    Schermopname met meerdere keuzen geselecteerd als antwoordindeling, samen met de knop voor het bewerken en lokaliseren van antwoordopties.

    In het deelvenster Vraag weergeven/bewerken:

    1. Voer in de vakken Antwoordwaarden de antwoordopties in die u wilt geven wanneer de aanvrager de vraag beantwoordt.
    2. Selecteer in de vakken Taal de taal voor de antwoordopties. U kunt antwoordopties lokaliseren als u extra talen kiest.
    3. Selecteer Opslaan.

    Schermopname met opties voor het bewerken en lokaliseren van antwoorden van meerdere keuzen.

  6. Als u wilt vereisen dat aanvragers deze vraag beantwoorden wanneer ze toegang tot een toegangspakket aanvragen, schakelt u het selectievakje Vereist in.

  7. Selecteer het tabblad Kenmerken om kenmerken weer te geven die zijn gekoppeld aan resources die u aan het toegangspakket hebt toegevoegd.

    Notitie

    Als u kenmerken voor de resources van een toegangspakket wilt toevoegen of bijwerken, gaat u naar Catalogi en zoekt u de catalogus die is gekoppeld aan het toegangspakket . Lees Resourcekenmerken toevoegen in de catalogus voor meer informatie over het bewerken van de lijst met kenmerken voor een specifieke catalogusresource en de vereiste rollen.

  8. Selecteer Volgende.

Een levenscyclus opgeven

Op het tabblad Levenscyclus geeft u op wanneer de toewijzing van een gebruiker aan het toegangspakket verloopt. U kunt ook opgeven of gebruikers hun toewijzingen kunnen verlengen.

  1. Stel in de sectie Vervaldatum de toewijzingen van Access-pakketten in op On-date, Aantal dagen, Aantal uren of Nooit.

    • Selecteer voor Op datum een vervaldatum in de toekomst.
    • Geef voor aantal dagen een getal op tussen 0 en 3660 dagen.
    • Geef voor het aantal uren op hoeveel uren.

    Op basis van uw selectie verloopt de toewijzing van een gebruiker aan het toegangspakket op een bepaalde datum, enkele dagen nadat deze zijn goedgekeurd of nooit.

  2. Als u wilt dat de gebruiker een specifieke begin- en einddatum aanvraagt voor toegang, selecteert u Ja voor de gebruikers om een specifieke tijdlijn in te schakelen.

  3. Selecteer Geavanceerde verloopinstellingen weergeven om meer instellingen weer te geven.

    Schermopname van de verloopinstellingen voor de levenscyclus voor een toegangspakket.

  4. Als u wilt toestaan dat de gebruiker de toewijzingen kan uitbreiden, stelt u Toestaan dat gebruikers de toegang tot Ja uitbreiden.

    Als extensies zijn toegestaan in het beleid, ontvangt de gebruiker 14 dagen daarvoor een e-mail en vervolgens één dag voordat de toewijzing van het toegangspakket verloopt. De e-mail vraagt de gebruiker om de toewijzing uit te breiden. De gebruiker moet zich nog steeds binnen het bereik van het beleid bevinden op het moment dat hij of zij een extensie aanvraagt.

    Als het beleid een expliciete einddatum voor toewijzingen heeft en een gebruiker een aanvraag indient om de toegang uit te breiden, moet de extensiedatum in de aanvraag zich op of voordat toewijzingen verlopen. Het beleid dat u hebt gebruikt om de gebruiker toegang te verlenen tot het toegangspakket bepaalt of de extensiedatum zich op of vóór de verloopdatum van de toewijzing bevindt. Als het beleid bijvoorbeeld aangeeft dat toewijzingen zijn ingesteld op verlopen op 30 juni, is de maximale extensie die een gebruiker kan aanvragen 30 juni.

    Als de toegang van een gebruiker wordt uitgebreid, kunnen ze het toegangspakket niet aanvragen na de opgegeven extensiedatum (de datum die is ingesteld in de tijdzone van de gebruiker die het beleid heeft gemaakt).

  5. Als u goedkeuring wilt vereisen om een verlenging toe te staan, stelt u Goedkeuring vereisen om toekenning te verlenen in op Ja.

    Deze goedkeuring gebruikt dezelfde goedkeuringsinstellingen die u hebt opgegeven op het tabblad Aanvragen .

  6. Selecteer Volgende of Bijwerken.

Het toegangspakket controleren en maken

Op het tabblad Controleren en maken kunt u uw instellingen controleren en controleren op validatiefouten.

  1. Controleer de instellingen van het toegangspakket.

    Schermopname van een samenvatting van de configuratie van het toegangspakket.

  2. Selecteer Maken om het toegangspakket en het oorspronkelijke beleid te maken.

    Het nieuwe toegangspakket wordt weergegeven in de lijst met toegangspakketten.

  3. Als het toegangspakket zichtbaar is voor iedereen binnen het bereik van het beleid, laat u de verborgen instelling van het toegangspakket op Nee staan. Als u gebruikers met de directe koppeling alleen wilt toestaan om het toegangspakket aan te vragen, bewerkt u het toegangspakket om de verborgen instelling te wijzigen in Ja. Kopieer vervolgens de koppeling om het toegangspakket aan te vragen en deel het met gebruikers die toegang nodig hebben.

  4. U kunt vervolgens meer beleidsregels toevoegen aan het toegangspakket, scheiding van takencontroles configureren of een gebruiker rechtstreeks toewijzen.

Programmatisch een toegangspakket maken

Er zijn twee manieren om programmatisch een toegangspakket te maken: via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.

Een toegangspakket maken met behulp van Microsoft Graph

U kunt een toegangspakket maken met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All-machtiging kan de API aanroepen voor:

  1. Vermeld de resources in de catalogus en maak een accessPackageResourceRequest voor resources die nog niet in de catalogus aanwezig zijn.
  2. Haal de rollen en bereiken van elke resource in de catalogus op. Deze lijst met rollen wordt vervolgens gebruikt om een rol te selecteren bij het maken van een resourceRoleScope.
  3. Maak een accessPackage.
  4. Maak een resourceRoleScope voor elke resourcerol die nodig is in het toegangspakket.
  5. Maak een assignmentPolicy voor elk beleid dat nodig is in het toegangspakket.

Een toegangspakket maken met Behulp van Microsoft PowerShell

U kunt ook een toegangspakket maken in PowerShell met behulp van de cmdlets uit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance .

Haal eerst de id van de catalogus en van de resource in die catalogus en de bijbehorende bereiken en rollen op die u wilt opnemen in het toegangspakket. Gebruik een script dat vergelijkbaar is met het volgende voorbeeld:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Maak vervolgens het toegangspakket:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Nadat u het toegangspakket hebt gemaakt, wijst u de resourcerollen eraan toe. Als u bijvoorbeeld de eerste resourcerol van de eerder geretourneerde resource wilt opnemen als een resourcerol van het nieuwe toegangspakket, kunt u een script gebruiken dat vergelijkbaar is met deze:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Maak ten slotte het beleid. In dit beleid kunnen alleen de beheerders of beheerders van pakkettoewijzingen toegang toewijzen en zijn er geen toegangsbeoordelingen. Zie Een toewijzingsbeleid maken via PowerShell en Een assignmentPolicy maken voor meer voorbeelden.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Zie Een toegangspakket maken in rechtenbeheer voor een toepassing met één rol met behulp van PowerShell voor meer informatie.

Volgende stappen