Toewijzingen voor een toegangspakket weergeven, toevoegen en verwijderen in rechtenbeheer
In rechtenbeheer kunt u zien wie is toegewezen aan toegangspakketten, hun beleid, status en levenscyclus van gebruikers (preview). Als een toegangspakket een geschikt beleid heeft, kunt u een gebruiker ook rechtstreeks toewijzen aan een toegangspakket. In dit artikel wordt beschreven hoe u toewijzingen voor toegangspakketten bekijkt, toevoegt en verwijdert.
Vereisten
Als u rechtenbeheer wilt gebruiken en gebruikers wilt toewijzen aan toegangspakketten, moet u een van de volgende licenties hebben:
- Microsoft Entra ID P2
- Licentie voor Enterprise Mobility + Security (EMS) E5
- Microsoft Entra ID-governance-abonnement
Weergeven wie een toewijzing heeft
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Tip
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar, Access Package Manager en Access Package Assignment Manager.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten .
Selecteer Toewijzingen om een lijst met actieve toewijzingen weer te geven.
Selecteer een specifieke toewijzing om meer details weer te geven.
Als u een lijst wilt zien met toewijzingen waarvoor niet alle resourcerollen correct zijn ingericht, selecteert u de filterstatus en selecteert u Leveren.
U kunt meer informatie over bezorgingsfouten bekijken door de overeenkomende aanvraag van de gebruiker te vinden op de pagina Aanvragen .
Als u verlopen toewijzingen wilt zien, selecteert u de filterstatus en selecteert u Verlopen.
Als u een CSV-bestand van de gefilterde lijst wilt downloaden, selecteert u Downloaden.
Toewijzingen programmatisch weergeven
Toewijzingen weergeven met Microsoft Graph
U kunt ook toewijzingen in een toegangspakket ophalen met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.Read.All
- of EntitlementManagement.ReadWrite.All
-machtiging kan de API aanroepen voor het weergeven van accessPackageAssignments. Een toepassing met de toepassingsmachtiging EntitlementManagement.Read.All
of EntitlementManagement.ReadWrite.All
kan deze API ook gebruiken om toewijzingen voor meerdere catalogi op te halen.
Microsoft Graph retourneert de resultaten op pagina's en blijft een verwijzing retourneren naar de volgende pagina met resultaten in de @odata.nextLink
eigenschap met elk antwoord, totdat alle pagina's van de resultaten worden gelezen. Als u alle resultaten wilt lezen, moet u Microsoft Graph blijven aanroepen met de @odata.nextLink
eigenschap die in elk antwoord wordt geretourneerd totdat de @odata.nextLink
eigenschap niet meer wordt geretourneerd, zoals beschreven in het wisselen van Microsoft Graph-gegevens in uw app.
Hoewel een identiteitsbeheerbeheerder toegangspakketten uit meerdere catalogi kan ophalen, moet de aanvraag een filter opgeven om een specifiek toegangspakket aan te geven, zoals: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'
Toewijzingen weergeven met PowerShell
U kunt ook toewijzingen ophalen voor een toegangspakket in PowerShell met de Get-MgEntitlementManagementAssignment
cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. Dit script illustreert het gebruik van de microsoft Graph PowerShell-cmdlets module versie 2.4.0 om alle toewijzingen voor een bepaald toegangspakket op te halen. Deze cmdlet gebruikt als parameter de toegangspakket-id die is opgenomen in het antwoord van de Get-MgEntitlementManagementAccessPackage
-cmdlet. Zorg ervoor dat wanneer u de Get-MgEntitlementManagementAccessPackage
cmdlet gebruikt om de -All
vlag op te nemen, zodat alle pagina's met toewijzingen worden geretourneerd.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
De voorgaande query retourneert verlopen en levert toewijzingen samen met geleverde opdrachten. Als u verlopen opdrachten wilt uitsluiten of opdrachten wilt leveren, kunt u een filter gebruiken dat de toegangspakket-id en de status van de toewijzingen bevat. Dit script illustreert het gebruik van een filter om alleen de toewijzingen in de status Delivered
voor een bepaald toegangspakket op te halen. Het script genereert vervolgens een CSV-bestand assignments.csv
met één rij per toewijzing.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Een gebruiker rechtstreeks toewijzen
In sommige gevallen wilt u mogelijk specifieke gebruikers rechtstreeks toewijzen aan een toegangspakket, zodat gebruikers het toegangspakket niet hoeven aan te vragen. Als u gebruikers rechtstreeks wilt toewijzen, moet het toegangspakket een beleid hebben waarmee beheerders rechtstreeks kunnen toewijzen.
Notitie
Bij het toewijzen van gebruikers aan een toegangspakket moeten beheerders controleren of de gebruikers in aanmerking komen voor dat toegangspakket op basis van de bestaande beleidsvereisten. Anders worden de gebruikers niet toegewezen aan het toegangspakket.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Tip
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar, Access Package Manager en Access Package Assignment Manager.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten.
Selecteer Toewijzingen in het menu links.
Selecteer Nieuwe toewijzing om Gebruiker toevoegen aan toegangspakket te openen.
Selecteer in de lijst Beleid selecteren een beleid waarmee de toekomstige aanvragen van gebruikers en levenscyclus worden beheerd en bijgehouden. Als u wilt dat de geselecteerde gebruikers andere beleidsinstellingen hebben, kunt u Nieuw beleid maken selecteren om een nieuw beleid toe te voegen.
Zodra u een beleid selecteert, kunt u gebruikers toevoegen om de gebruikers te selecteren waaraan u dit toegangspakket wilt toewijzen, onder het gekozen beleid.
Notitie
Als u een beleid met vragen selecteert, kunt u slechts één gebruiker tegelijk toewijzen.
Stel de datum en tijd in waarop de toewijzing van de geselecteerde gebruikers moet beginnen en eindigen. Als er geen einddatum is opgegeven, worden de levenscyclus-instellingen van het beleid gebruikt.
Geef eventueel een reden op voor uw rechtstreekse toewijzing.
Als het geselecteerde beleid aanvullende aanvragergegevens bevat, selecteert u Vragen weergeven om deze namens de gebruikers te beantwoorden en selecteert u vervolgens Opslaan.
Selecteer Toevoegen om de geselecteerde gebruikers rechtstreeks aan het toegangspakket toe te wijzen.
Na enkele ogenblikken selecteert u Vernieuwen om de gebruikers in de lijst Toewijzingen weer te geven.
Notitie
Beheerders van toegangspakketten kunnen goedkeuringsinstellingen niet meer overslaan als goedkeuring is vereist voor het beleid. Dit betekent dat gebruikers niet rechtstreeks aan het pakket kunnen worden toegewezen zonder de benodigde goedkeuring(en) van de aangewezen fiatteur(en). In het geval dat u goedkeuring moet overslaan, raden we u aan een tweede beleid te maken voor het toegangspakket waarvoor geen goedkeuring is vereist en die alleen toegankelijk is voor gebruikers die toegang nodig hebben.
Een gebruiker rechtstreeks toewijzen (preview)
Met rechtenbeheer kunt u ook rechtstreeks externe gebruikers toewijzen aan een toegangspakket om samenwerking met partners eenvoudiger te maken. Hiervoor moet het toegangspakket een beleid hebben waarmee gebruikers die zich nog niet in uw directory bevinden, toegang kunnen aanvragen.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Tip
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar, Access Package Manager en Access Package Assignment Manager.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten .
Selecteer Toewijzingen in het menu links.
Selecteer Nieuwe toewijzing om Gebruiker toevoegen aan toegangspakket te openen.
Selecteer in de lijst Beleid selecteren een beleid dat is ingesteld op Voor gebruikers die geen deel uitmaken van uw directory
Selecteer Elke gebruiker. U kunt opgeven welke gebruikers u aan dit toegangspakket wilt toewijzen.
Voer de naam van de gebruiker (optioneel) en het e-mailadres van de gebruiker (vereist) in.
Notitie
- De gebruiker die u wilt toevoegen, moet binnen het bereik van het beleid vallen. Als uw beleid bijvoorbeeld is ingesteld op Specifieke verbonden organisaties, moet het e-mailadres van de gebruiker afkomstig zijn uit de domein(en) van de geselecteerde organisatie(s). Als de gebruiker die u probeert toe te voegen het e-mailadres jen@foo.com heeft maar het domein van de geselecteerde organisatie bar.com is, kunt u die gebruiker niet toevoegen aan het toegangspakket.
- En als u uw beleid instelt op Alle geconfigureerde verbonden organisaties, moet het e-mailadres van de gebruiker afkomstig zijn van een van uw geconfigureerde verbonden organisaties. Anders wordt de gebruiker niet toegevoegd aan het toegangspakket.
- Als u een gebruiker aan het toegangspakket wilt toevoegen, moet u ervoor zorgen dat u Alle gebruikers (alle verbonden organisaties + externe gebruikers) selecteert bij het configureren van uw beleid.
Stel de datum en tijd in waarop de toewijzing van de geselecteerde gebruikers moet beginnen en eindigen. Als er geen einddatum is opgegeven, worden de levenscyclus-instellingen van het beleid gebruikt.
Selecteer Toevoegen om de geselecteerde gebruikers rechtstreeks aan het toegangspakket toe te wijzen.
Na enkele ogenblikken selecteert u Vernieuwen om de gebruikers in de lijst Toewijzingen weer te geven.
Gebruikers rechtstreeks programmatisch toewijzen
Een gebruiker toewijzen aan een toegangspakket met Microsoft Graph
U kunt een gebruiker ook rechtstreeks toewijzen aan een toegangspakket met behulp van Microsoft Graph. Een gebruiker in een juiste rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All
machtiging, of een toepassing met de EntitlementManagement.ReadWrite.All
toepassingsmachtiging, kan de API aanroepen om een accessPackageAssignmentRequest te maken. In deze aanvraag moet de waarde van de requestType
-eigenschap adminAdd
zijn en de assignment
-eigenschap is een structuur die de targetId
bevat van de gebruiker die wordt toegewezen.
Een gebruiker toewijzen aan een toegangspakket met PowerShell
U kunt een gebruiker toewijzen aan een toegangspakket in PowerShell met de New-MgEntitlementManagementAssignmentRequest
cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. Dit script illustreert het gebruik van de Microsoft Graph PowerShell-cmdlets module versie 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
U kunt ook toewijzingen invullen voor bestaande verzamelingen gebruikers in uw directory, inclusief de verzamelingen die zijn toegewezen aan een toepassing of die worden vermeld in een tekstbestand. Zie Toewijzingen toevoegen van bestaande gebruikers die al toegang hebben tot de toepassing en Toewijzingen toevoegen voor eventuele extra gebruikers die toegang moeten hebben tot de toepassing voor meer informatie.
U kunt ook meerdere gebruikers in uw directory toewijzen aan een toegangspakket met behulp van PowerShell met de New-MgBetaEntitlementManagementAccessPackageAssignment
cmdlet van de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.4.0 of hoger. Deze cmdlet gebruikt als parameters
- de toegangspakket-id die is opgenomen in het antwoord van de
Get-MgEntitlementManagementAccessPackage
-cmdlet, - de beleids-id voor toegangspakkettoewijzing, die is opgenomen in het beleid in het
assignmentpolicies
veld in het antwoord van deGet-MgEntitlementManagementAccessPackage
cmdlet, - de object-id's van de doelgebruikers, ofwel als een matrix van tekenreeksen, of als een lijst met gebruikersleden die zijn geretourneerd door de
Get-MgGroupMember
-cmdlet.
Als u er bijvoorbeeld voor wilt zorgen dat alle gebruikers die momenteel lid zijn van een groep ook toewijzingen hebben voor een toegangspakket, kunt u deze cmdlet gebruiken om aanvragen te maken voor gebruikers die momenteel geen toewijzingen hebben. Met deze cmdlet worden alleen toewijzingen gemaakt; hiermee worden geen toewijzingen verwijderd voor gebruikers die geen lid meer zijn van een groep. Als u de toewijzingen van een toegangspakket het lidmaatschap van een groep wilt bijhouden en toewijzingen in de loop van de tijd wilt toevoegen en verwijderen, gebruikt u in plaats daarvan een beleid voor automatische toewijzing.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Als u een toewijzing wilt toevoegen voor een gebruiker die zich nog niet in uw directory bevindt, kunt u de New-MgBetaEntitlementManagementAccessPackageAssignmentRequest
cmdlet van de Microsoft Graph PowerShell-cmdlets voor de bètamodule identity Governance versie 2.1.x of hoger van de bètamoduleversie van Microsoft Graph PowerShell gebruiken. Dit script illustreert het gebruik van het Microsoft Graph-profiel beta
en de Microsoft Graph PowerShell-cmdlets module versie 2.4.0. Deze cmdlet gebruikt als parameters
- de toegangspakket-id die is opgenomen in het antwoord van de
Get-MgEntitlementManagementAccessPackage
-cmdlet, - de beleids-id voor toegangspakkettoewijzing, die is opgenomen in beleid in het
assignmentpolicies
veld in het antwoord van deGet-MgEntitlementManagementAccessPackage
cmdlet, - het e-mailadres van de doelgebruiker.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Toegangstoewijzing configureren als onderdeel van een levenscycluswerkstroom
In de functie Levenscycluswerkstromen van Microsoft Entra kunt u een toewijzingstaak voor het pakket voor gebruikerstoegang aanvragen toevoegen aan een onboardingwerkstroom. De taak kan een toegangspakket opgeven dat gebruikers moeten hebben. Wanneer de werkstroom voor een gebruiker wordt uitgevoerd, wordt er automatisch een aanvraag voor toewijzing van toegangspakketten gemaakt.
Meld u aan bij het Microsoft Entra-beheercentrum met ten minste de rollen Identity Governance Administrator en Lifecycle Workflows Administrator .
Blader naar werkstromen voor levenscyclus van>identiteitsbeheer.>
Selecteer een onboarding- of verplaatsingswerkstroom voor een werknemer.
Selecteer Taken en selecteer Taak toevoegen.
Selecteer Toewijzing van gebruikerstoegangspakket aanvragen en selecteer Toevoegen.
Selecteer de zojuist toegevoegde taak.
Selecteer Access-pakket selecteren en kies het toegangspakket waaraan nieuwe gebruikers moeten worden toegewezen of waaraan gebruikers moeten worden verplaatst.
Selecteer Beleid selecteren en kies het toewijzingsbeleid voor toegangspakketten in dat toegangspakket.
Selecteer Opslaan.
Een toewijzing verwijderen
U kunt een toewijzing verwijderen die een gebruiker of beheerder eerder heeft aangevraagd.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten .
Selecteer Toewijzingen in het menu links.
Schakel het selectievakje in naast de gebruiker van wie u de toewijzing wilt verwijderen uit het toegangspakket.
Selecteer de knop Verwijderen boven in het linkerdeelvenster.
Er wordt een melding weergegeven met de mededeling dat de opdracht is verwijderd.
Een toewijzing programmatisch verwijderen
Een toewijzing verwijderen met Microsoft Graph
U kunt ook een toewijzing van een gebruiker aan een toegangspakket verwijderen met behulp van Microsoft Graph. Een gebruiker in een juiste rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All
machtiging, of een toepassing met de EntitlementManagement.ReadWrite.All
toepassingsmachtiging, kan de API aanroepen om een accessPackageAssignmentRequest te maken. In deze aanvraag moet de waarde van de requestType
-eigenschap adminRemove
zijn en de assignment
-eigenschap is een structuur die de id
-eigenschap bevat waarmee de accessPackageAssignment
wordt geïdentificeerd die wordt verwijderd.
Een toewijzing verwijderen met PowerShell
U kunt de toewijzing van een gebruiker in PowerShell verwijderen met de New-MgEntitlementManagementAssignmentRequest
cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. Dit script illustreert het gebruik van de Microsoft Graph PowerShell-cmdlets module versie 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Toewijzing verwijderen configureren als onderdeel van een levenscycluswerkstroom
In de functie Levenscycluswerkstromen van Microsoft Entra kunt u een toewijzing van het toegangspakket verwijderen voor gebruikerstaken toevoegen aan een offboarding-werkstroom. Deze taak kan een toegangspakket opgeven waaraan de gebruiker mogelijk is toegewezen. Wanneer de werkstroom voor een gebruiker wordt uitgevoerd, wordt de toewijzing van het toegangspakket automatisch verwijderd.
Meld u aan bij het Microsoft Entra-beheercentrum met ten minste de rollen Identity Governance Administrator en Lifecycle Workflows Administrator .
Blader naar werkstromen voor levenscyclus van>identiteitsbeheer.>
Selecteer een offboardingwerkstroom voor werknemers.
Selecteer Taken en selecteer Taak toevoegen.
Selecteer Toewijzing van toegangspakket voor gebruiker verwijderen en selecteer Toevoegen.
Selecteer de zojuist toegevoegde taak.
Selecteer Access-pakketten selecteren en kies een of meer toegangspakketten waaruit gebruikers die offboarded zijn, moeten worden verwijderd.
Selecteer Opslaan.