Share via

Een beleid voor automatische toewijzing configureren voor een toegangspakket in rechtenbeheer

  • Artikel

U kunt regels gebruiken om de toewijzing van toegangspakketten te bepalen op basis van gebruikerseigenschappen in Microsoft Entra-id, onderdeel van Microsoft Entra. In Rechtenbeheer kan een toegangspakket meerdere beleidsregels hebben en elk beleid bepaalt hoe gebruikers een toewijzing krijgen aan het toegangspakket en hoe lang. Als beheerder kunt u een beleid voor automatische toewijzingen instellen door een lidmaatschapsregel op te geven, die Rechtenbeheer volgt om automatisch toewijzingen te maken en te verwijderen. Net als bij een dynamische groep worden gebruikerskenmerken geëvalueerd voor overeenkomsten met de lidmaatschapsregel van het beleid wanneer een beleid voor automatische toewijzing wordt gemaakt. Wanneer een kenmerk voor een gebruiker wordt gewijzigd, worden deze beleidsregels voor automatische toewijzing in de toegangspakketten verwerkt voor lidmaatschapswijzigingen. Toewijzingen aan gebruikers worden vervolgens toegevoegd of verwijderd, afhankelijk van of ze voldoen aan de regelcriteria.

U kunt maximaal één beleid voor automatische toewijzing in een toegangspakket hebben en het beleid kan alleen worden gemaakt door een beheerder. (Cataloguseigenaren en toegangspakketbeheerders kunnen geen beleid voor automatische toewijzing maken.)

In dit artikel wordt beschreven hoe u een beleid voor automatische toewijzing van een toegangspakket voor een bestaand toegangspakket maakt.

Voordat u begint

U moet kenmerken hebben ingevuld voor de gebruikers die binnen het bereik vallen om toegang te krijgen. De kenmerken die u kunt gebruiken in de regelscriteria van een toewijzingsbeleid voor toegangspakketten zijn de kenmerken die worden vermeld in ondersteunde eigenschappen, samen met extensiekenmerken en aangepaste extensie-eigenschappen. Deze kenmerken kunnen worden overgebracht naar Microsoft Entra ID door de gebruiker, een HR-systeem, zoals SuccessFactors, Microsoft Entra Verbinding maken cloudsynchronisatie of Microsoft Entra Verbinding maken Sync, te patchen. De regels kunnen maximaal 5000 gebruikers per beleid bevatten.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Een beleid voor automatische toewijzing maken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Als u een beleid voor een toegangspakket wilt maken, moet u beginnen vanaf het beleidstabblad van het toegangspakket. Volg deze stappen om een nieuw beleid voor automatische toewijzing voor een toegangspakket te maken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identity governance-Beheer istrator.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open een toegangspakket op de pagina Access-pakketten .

  4. Selecteer Beleid en voeg vervolgens beleid voor automatische toewijzing toe om een nieuw beleid te maken.

  5. Op het eerste tabblad geeft u de regel op. Selecteer Bewerken.

  6. Geef een dynamische lidmaatschapsregel op met behulp van de opbouwfunctie voor lidmaatschapsregels of door te klikken op Bewerken in het tekstvak voor de syntaxis van de regel.

    Notitie

    Het is mogelijk dat de opbouwfunctie voor regels bepaalde regels die zijn gemaakt in het tekstvak niet kan weergeven en dat voor het valideren van een regel momenteel de rol Globale Beheer istrator is vereist. Zie de opbouwfunctie voor regels in het Microsoft Entra-beheercentrum voor meer informatie.

    Schermopname van de configuratie van een beleidsregel voor automatische toewijzing van een toegangspakket.

  7. Selecteer Opslaan om de editor voor dynamische lidmaatschapsregels te sluiten.

  8. Standaard moeten de selectievakjes voor het automatisch maken en verwijderen van toewijzingen ingeschakeld blijven.

  9. Als u wilt dat gebruikers de toegang gedurende een beperkte tijd behouden nadat ze buiten het bereik zijn gegaan, kunt u een duur opgeven in uren of dagen. Wanneer een werknemer bijvoorbeeld de verkoopafdeling verlaat, kunt u hen toestaan om zeven dagen toegang te behouden om hen toe te staan verkoop-apps te gebruiken en het eigendom van hun resources in die apps over te dragen aan een andere werknemer.

  10. Selecteer Volgende om het tabblad Aangepaste extensies te openen.

  11. Als u aangepaste extensies in uw catalogus hebt die u wilt uitvoeren wanneer het beleid toegang toewijst of verwijdert, kunt u deze toevoegen aan dit beleid. Selecteer vervolgens naast het tabblad Controleren .

  12. Typ een naam en een beschrijving voor het beleid.

    Schermopname van het tabblad Automatische toewijzingsbeleid voor het toegangspakket.

  13. Selecteer Maken om het beleid op te slaan.

    Notitie

    Op dit moment maakt Rechtenbeheer automatisch een dynamische beveiligingsgroep die overeenkomt met elk beleid, om de gebruikers binnen het bereik te evalueren. Deze groep mag niet worden gewijzigd, behalve door Rechtenbeheer zelf. Deze groep kan ook automatisch worden gewijzigd of verwijderd door Rechtenbeheer, dus gebruik deze groep niet voor andere toepassingen of scenario's.

  14. Microsoft Entra ID evalueert de gebruikers in de organisatie die binnen het bereik van deze regel vallen en maakt toewijzingen voor gebruikers die nog geen toewijzingen hebben voor het toegangspakket. Een beleid kan maximaal 5000 gebruikers bevatten in de regel. Het kan enkele minuten duren voordat de evaluatie plaatsvindt, of voor latere updates van de kenmerken van de gebruiker worden weergegeven in de toewijzingen van toegangspakketten.

Programmatisch beleid voor automatische toewijzing maken

Er zijn twee manieren om programmatisch een toegangspakkettoewijzingsbeleid te maken voor automatische toewijzing, via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.

Een toewijzingsbeleid voor toegangspakketten maken via Graph

U kunt een beleid maken met Behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, of een toepassing in een catalogusrol of met de EntitlementManagement.ReadWrite.All machtiging, kan het maken van een assignmentPolicy-API aanroepen. Neem in de nettolading van uw aanvraag de displayNameeigenschappen , descriptionen specificAllowedTargetsautomaticRequestSettingsaccessPackage eigenschappen van het beleid op.

Een toewijzingsbeleid voor toegangspakketten maken via PowerShell

U kunt ook een beleid maken in PowerShell met de cmdlets van de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 1.16.0 of hoger.

Dit script hieronder illustreert het gebruik van het v1.0 profiel om een beleid te maken voor automatische toewijzing aan een toegangspakket. Zie een assignmentPolicy maken voor meer voorbeelden.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Volgende stappen