Een beleid voor automatische toewijzing configureren voor een toegangspakket in rechtenbeheer

U kunt regels gebruiken om de toewijzing van toegangspakketten te bepalen op basis van identiteitseigenschappen in Microsoft Entra-id, onderdeel van Microsoft Entra. In Rechtenbeheer kan een toegangspakket meerdere beleidsregels hebben en elk beleid bepaalt hoe identiteiten een toewijzing aan het toegangspakket krijgen en hoe lang. Als beheerder kunt u een beleid voor automatische toewijzingen instellen door een lidmaatschapsregel op te geven, die Rechtenbeheer volgt om automatisch toewijzingen te maken en te verwijderen. Net als bij een dynamische groep worden identiteitskenmerken geëvalueerd voor overeenkomsten met de lidmaatschapsregel van het beleid wanneer een beleid voor automatische toewijzing wordt gemaakt. Wanneer een kenmerk voor een identiteit wordt gewijzigd, worden deze beleidsregels voor automatische toewijzing in de toegangspakketten verwerkt voor lidmaatschapswijzigingen. Toewijzingen aan identiteiten worden vervolgens toegevoegd of verwijderd, afhankelijk van of ze voldoen aan de regelcriteria.

Notitie

Er is slechts één beleid voor automatische toewijzing toegestaan per toegangspakket. Het configureren van meer dan één leidt tot verwerkingsproblemen en vervolgens tot problemen met de toegang van toegewezen personen.

In dit artikel wordt beschreven hoe u een beleid voor automatische toewijzing van een toegangspakket voor een bestaand toegangspakket maakt.

Voordat u begint

U moet ervoor zorgen dat de attributen voor de identiteiten die in aanmerking komen voor toegang, zijn ingevuld. De kenmerken die u kunt gebruiken in de regelscriteria van een toewijzingsbeleid voor toegangspakketten zijn de kenmerken die worden vermeld in ondersteunde eigenschappen, samen met extensiekenmerken en aangepaste extensie-eigenschappen. Deze attributen kunnen in Microsoft Entra ID worden gebracht door de gebruiker te patchen, een HR-systeem zoals SuccessFactors, Microsoft Entra Connect cloudsynchronisatie of Microsoft Entra Connect Sync. De richtlijnen kunnen maximaal 15.000 gebruikers per beleid bevatten.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Een beleid voor automatische toewijzing maken

Als u een beleid voor een toegangspakket wilt maken, moet u beginnen vanaf het beleidstabblad van het toegangspakket. Volg deze stappen om een nieuw beleid voor automatische toewijzing voor een toegangspakket te maken.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

   Notitie

   Cataloguseigenaren en toegangspakketbeheerders kunnen geen beleid voor automatische toewijzing maken.

2. Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.

3. Open een toegangspakket op de pagina Access-pakketten .

4. Selecteer Beleid en voeg vervolgens beleid voor automatische toewijzing toe om een nieuw beleid te maken.

5. Op het eerste tabblad geeft u de regel op. Selecteer Bewerken.

6. Geef een regel op voor dynamische lidmaatschapsgroepen met behulp van de opbouwfunctie voor lidmaatschapsregels of door te klikken op Bewerken in het tekstvak voor de regelsyntaxis.

   Notitie

   De opbouwfunctie voor regels kan mogelijk bepaalde regels die zijn samengesteld in het tekstvak niet weergeven en het valideren van een regel vereist momenteel dat u de rol Groepsbeheerder hebt. Zie de opbouwfunctie voor regels in het Microsoft Entra-beheercentrum voor meer informatie.

   

7. Selecteer Opslaan om de regeleditor voor dynamische lidmaatschapsgroepen te sluiten.

8. Standaard moeten de selectievakjes voor het automatisch maken en verwijderen van toewijzingen ingeschakeld blijven.

9. Als u wilt dat identiteiten de toegang gedurende een beperkte tijd behouden nadat ze buiten het bereik zijn, kunt u een duur opgeven in uren of dagen. Wanneer een werknemer bijvoorbeeld de verkoopafdeling verlaat, kunt u hen toestaan om zeven dagen toegang te behouden om hen toe te staan verkoop-apps te gebruiken en het eigendom van hun resources in die apps over te dragen aan een andere werknemer.

10. Selecteer Volgende om het tabblad Aangepaste extensies te openen.

11. Als u aangepaste extensies in uw catalogus hebt die u wilt uitvoeren wanneer het beleid toegang toewijst of verwijdert, kunt u deze toevoegen aan dit beleid. Selecteer vervolgens 'Volgende' om het tabblad Controleren te openen.

12. Typ een naam en een beschrijving voor het beleid.

    

13. Selecteer Maken om het beleid op te slaan.

    Notitie

    Op dit moment maakt Entitlement management automatisch een dynamische beveiligingsgroep die overeenkomt met elk beleid om de identiteiten die onder de toetsing vallen te evalueren. Deze groep mag niet worden gewijzigd, behalve door Rechtenbeheer zelf. Deze groep kan ook automatisch worden gewijzigd of verwijderd door Rechtenbeheer, dus gebruik deze groep niet voor andere toepassingen of scenario's.

14. Microsoft Entra ID evalueert de identiteiten in de organisatie die binnen het bereik van deze regel vallen en maakt toewijzingen voor de identiteiten die nog geen toewijzingen hebben aan het toegangspakket. Een beleid kan maximaal 15.000 identiteiten in zijn regel opnemen. Het kan enkele minuten duren voordat de evaluatie plaatsvindt, of voordat latere updates van de attributen van identiteiten worden weergegeven in de toewijzingen van toegangspakketten.

Programmatisch beleid voor automatische toewijzing maken

Er zijn twee manieren om programmatisch een toegangspakkettoewijzingsbeleid te maken voor automatische toewijzing, via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.

Een toewijzingsbeleid voor toegangspakketten maken via Graph

U kunt een beleid maken met Behulp van Microsoft Graph. Een identiteit in een geschikte rol met een toepassing die de gedelegeerde EntitlementManagement.ReadWrite.All machtiging heeft, of een toepassing in een catalogusrol of met de EntitlementManagement.ReadWrite.All machtiging, kan de API create an assignmentPolicy aanroepen. Neem in de aanvraagpayload van uw de eigenschappen , , , en van het beleid op.

Een toewijzingsbeleid voor toegangspakketten maken via PowerShell

U kunt ook een beleid maken in PowerShell met de cmdlets van de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 1.16.0 of hoger.

Dit volgende script illustreert het gebruik van het v1.0 profiel om een beleid te maken voor automatische toewijzing aan een toegangspakket. Zie Een assignmentPolicy maken en een toegangspakket maken in rechtenbeheer voor een toepassing met één rol met behulp van PowerShell voor meer voorbeelden.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
  DisplayName = "Sales department users"
  Description = "All users from sales department"
  AllowedTargetScope = "specificDirectoryUsers"
  SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
  } )
  AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
  }
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Volgende stappen

• Toewijzingen voor een toegangspakket weergeven