Een toegangspakket maken in rechtenbeheer voor een toepassing met één rol met behulp van PowerShell

In Microsoft Entra-rechtenbeheer omvat een toegangspakket het beleid voor het verkrijgen van toewijzingen voor een of meer resourcerollen. De resources kunnen groepen, toepassingen en SharePoint Online-sites bevatten.

In dit artikel wordt beschreven hoe u een toegangspakket maakt voor één toepassing met één rol, met behulp van Microsoft Graph PowerShell. Dit scenario is voornamelijk van toepassing op omgevingen die rechtenbeheer gebruiken voor het automatiseren van doorlopende toegang voor een specifieke business- of middlewaretoepassing. Een organisatie met meerdere resources of resources met meerdere rollen kan ook het toegangsbeleid modelleren met toegangspakketten:

• Als de organisatie al een bestaand organisatierolmodel voor hun bedrijfsrollen heeft, kunnen ze dat model migreren naar Microsoft Entra ID-governance en toegang beheren met een organisatierolmodel.
• Als de organisatie toepassingen met meerdere rollen heeft, kunnen ze organisatiebeleid implementeren voor toegang tot toepassingen die zijn geïntegreerd met Microsoft Entra ID
• Zie de zelfstudie: Toegang tot resources beheren in rechtenbeheer en hoe u een toegangspakket maakt in rechtenbeheer voor meer informatie over het maken van toegangspakketten voor andere scenario's.

Vereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Voordat u begint met het maken van het toegangspakket, moet u de toepassing integreren met Microsoft Entra-id. Als uw toepassing nog niet aanwezig is in uw Microsoft Entra ID-tenant, volgt u de instructies in dat artikel om een toepassing en service-principal voor het object te maken. Zorg er ook voor dat uw Microsoft Entra ID-tenant voldoet aan de vereisten voordat u Microsoft Entra-id configureert voor identiteitsbeheer.

Als u het toegangspakket en de bijbehorende beleidsregels en toewijzingen wilt maken, moet u de volgende informatie gereed hebben:

Gebruiksscenario	Configuratie-instelling	PowerShell-variabele
Alle	Naam van de toepassing in uw Microsoft Entra ID-tenant	$servicePrincipalName
Alle	Naam van de rol van de toepassing	$servicePrincipalRoleName
Alle	Naam van de catalogus met het toegangspakket	$catalogName
Alle	Naam om het toegangspakket te geven	$accessPackageName
Alle	Beschrijving om het toegangspakket te geven	$accessPackageDescription
Scheiding van takenvereiste met een incompatibel toegangspakket	de id van het incompatibele toegangspakket	$incompatibleAccessPackageId (indien nodig)
Gebruikers die nog geen toewijzingen hebben en niet automatisch worden toegewezen	lijst met gebruikers	$inputpath (indien nodig)
Gebruikers met specifieke kenmerken hebben automatisch toewijzingen	de query-expressie voor de gebruikers binnen het bereik	$autoAssignmentPolicyFilter (indien nodig)
Gebruikers toestaan die geen opdracht hebben om een opdracht aan te vragen	het bereik van gebruikers die kunnen aanvragen, de goedkeurders en de periode voor toegangsbeoordeling	is afhankelijk van vereisten
Het maken of verwijderen van toewijzingen automatiseren op basis van join of verlaten van werkstromen in levenscycluswerkstromen	de namen van de werkstromen die toegang geven en verwijderen	is afhankelijk van vereisten

Verifiëren bij Microsoft Entra-id

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID-governance met behulp van Microsoft Graph PowerShell-cmdlets.

De eerste keer dat uw organisatie deze cmdlets gebruikt voor dit scenario, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell te kunnen gebruiken in uw tenant. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Identiteitsbeheerbeheerder.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeer dan de module Microsoft.Graph.Identity.Governance en andere met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleer dan of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken met Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Als dit de eerste keer is dat u deze opdracht hebt gebruikt, moet u mogelijk toestemming geven voor de Microsoft Graph-opdrachtregelprogramma's om deze machtigingen te hebben.

Een catalogus maken in Microsoft Entra-rechtenbeheer

Wanneer een beheerder voor het eerst met rechtenbeheer werkt, wordt er automatisch een standaardcatalogus gemaakt. Toegangspakketten voor beheerde toepassingen moeten echter in een aangewezen catalogus staan.

1. Geef de naam van de catalogus op.

   $catalogName = "Business applications"
   

2. Als u al een catalogus hebt voor uw toepassingsbeheerscenario, gaat u verder met stap 4 van deze sectie.

3. Als u nog geen catalogus hebt voor uw toepassingsbeheerscenario, maakt u een catalogus.

   $catalog = New-MgEntitlementManagementCatalog -DisplayName $catalogName
   

4. Zoek de id van de catalogus op.

   $catalogFilter = "displayName eq '" + $catalogName + "'"
   $catalog = Get-MgEntitlementManagementCatalog -Filter $catalogFilter -All -expandProperty resources,accessPackages
   if ($catalog -eq $null) { throw "catalog $catalogName not found" }
   $catalogId = $catalog.Id
   

De toepassing toevoegen als een resource aan de catalogus

Zodra de catalogus is gemaakt, voegt u de toepassing toe als een resource in die catalogus.

1. Geef de naam van de toepassing en de naam van de toepassingsrol op. Gebruik de naam van uw toepassing als de waarde van servicePrincipalName.

   $servicePrincipalName = "SAP Cloud Identity Services"
   $servicePrincipalRoleName = "User"
   

2. Zoek de id van de service-principal van de toepassing op.

   $servicePrincipalFilter = "displayName eq '" + $applicationName + "'"
   $servicePrincipal = Get-MgServicePrincipal -Filter $servicePrincipalFilter -all
   if ($servicePrincipal -eq $null) { throw "service principal $servicePrincipalName not found" }
   $servicePrincipalId = $servicePrincipal.Id
   

3. Controleer of de toepassing al in de catalogus aanwezig is als resource. Als deze al aanwezig is, gaat u verder met stap 6 van deze sectie.

   $resourceId = $null
   foreach ($r in $catalog.Resources) { if ($r.OriginId -eq $servicePrincipalId) { $resourceId = $r.id; break } }
   if ($resourceId -ne $null) { write-output "resource already in catalog" } else {write-output "resource not yet in catalog"}
   

4. Voeg de service-principal van de toepassing toe als een resource aan de catalogus.

   $resourceAddParams = @{
     requestType = "adminAdd"
     resource = @{
       originId = $servicePrincipalId
       originSystem = "AadApplication"
     }
     catalog = @{ id = $catalogId }
   }
   
   $resourceAdd = New-MgEntitlementManagementResourceRequest -BodyParameter $resourceAddParams
   if ($resourceAdd -eq $null) { throw "resource could not be added" }
   sleep 5
   

5. Haal de id en het bereik van de resource in die catalogus op.

   $resource = $null
   $resourceId = $null
   $resourceScope = $null
   $catalogResources = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $CatalogId -ExpandProperty "scopes" -all
   
   foreach ($r in $catalogResources) { if ($r.OriginId -eq $servicePrincipalId) { $resource = $r; $resourceId = $r.id; $resourceScope = $r.Scopes[0]; break } }
   if ($resourceId -eq $null) { throw "resource was not added" }
   

6. Haal de rollen van de toepassing op.

   $resourceRoleFilter = "(originSystem eq 'AadApplication' and resource/id eq '" + $resourceId + "')"
   $resourceRoles = @(get-mgentitlementmanagementcatalogresourcerole  -AccessPackageCatalogId $catalogId -Filter $resourceRoleFilter -All -ExpandProperty "resource")
   if ($resourceRoles -eq $null -or $resourceRoles.count -eq 0) { throw "no roles available" }
   

7. Selecteer de rol die wordt opgenomen in het toegangspakket.

   $resourceRole = $null
   foreach ($r in $resourceRoles) { if ($r.DisplayName -eq $servicePrincipalRoleName) { $resourceRole = $r; break; } }
   if ($resourceRole -eq $null) { throw "role $servicePrincipalRoleName not located" }
   

Het toegangspakket voor de toepassing maken

Vervolgens gebruikt u PowerShell om een toegangspakket te maken in een catalogus met de rol van de toepassing.

1. Geef de naam en beschrijving van het toegangspakket op.

   $accessPackageName = "SAP Cloud Identity Services"
   $accessPackageDescription = "A user of SAP Cloud Identity Services"
   $accessPackageHidden = $true
   

2. Controleer of het toegangspakket nog niet bestaat.

   foreach ($a in $catalog.AccessPackages) { if ($a.DisplayName -eq $accessPackageName) { throw "access package $accessPackageName already exists" } }
   

3. Maak het toegangspakket.

   $accessPackageParams = @{
       displayName = $accessPackageName
       description = $accessPackageDescription
       isHidden = $accessPackageHidden
       catalog = @{
           id = $catalog.id
       }
   }
   $accessPackage = New-MgEntitlementManagementAccessPackage -BodyParameter $accessPackageParams
   $accessPackageId = $accessPackage.Id
   

De toepassingsrol toevoegen aan het toegangspakket

Nadat u een toegangspakket hebt gemaakt, koppelt u de rol van de resource in de catalogus aan het toegangspakket.

$rrsParams = @{
 role = @{
     id =  $resourceRole.Id
     displayName =  $resourceRole.DisplayName
     description =  $resourceRole.Description
     originSystem =  $resourceRole.OriginSystem
     originId =  $resourceRole.OriginId
     resource = @{
         id = $resource.Id
         originId = $resource.OriginId
         originSystem = $resource.OriginSystem
     }
 }
 scope = @{
     id = $resourceScope.Id
     originId = $resourceScope.OriginId
     originSystem = $resourceScope.OriginSystem
 }
}

$roleAddRes = New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $accessPackageId -BodyParameter $rrsParams

Beleid voor toewijzing van toegangspakketten maken voor directe toewijzing

In deze sectie maakt u het eerste toegangspakkettoewijzingsbeleid in het toegangspakket, een beleid voor toewijzing van toegangspakketten voor directe toewijzing, dat kan worden gebruikt om de gebruikers bij te houden die al toegang hebben tot de toepassing. In het voorbeeldbeleid dat in deze sectie is gemaakt, kunnen alleen de beheerders of beheerders van pakkettoewijzingen toegang toewijzen, gebruikers voor onbepaalde tijd toegang behouden en zijn er geen goedkeuringen of toegangsbeoordelingen.

1. Maak een beleid.

   $policy1Name = "Direct assignment policy"
   $policy1Description = "policy for administrative assignment"
   
   $policy1params = @{
    displayName = $policy1Name
    description = $policy1Description
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $true
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $true
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $accessPackageId
    }
   }
   
   $policy1Res = New-MgEntitlementManagementAssignmentPolicy -BodyParameter $policy1params
   $directAssignmentPolicyId = $policy1Res.Id
   
   

Scheiding van takenbeperkingen configureren

Microsoft Entra-rechtenbeheer kan scheiding van taken afdwingen om te voorkomen dat een gebruiker die al een bestaande toewijzing heeft aan een ander aangewezen toegangspakket of lidmaatschap van een aangewezen groep, een toegangspakket aanvraagt.

Als u geen scheiding van takenvereisten voor deze toepassing hebt, gaat u verder in het volgende gedeelte.

Als u scheiding van takenvereisten hebt, configureert u de incompatibele toegangspakketten of bestaande groepen voor uw toegangspakket.

Voor elk toegangspakket dat moet worden gemarkeerd als niet compatibel met een ander, kunt u een PowerShell-configuratie van toegangspakketten gebruiken als niet compatibel.

1. Geef het andere toegangspakket op dat niet compatibel is met dit pakket. Wijzig de waarde van incompatibleAccessPackageId in de id van een ander toegangspakket in Microsoft Entra-rechtenbeheer.

   $incompatibleAccessPackageId = "67cc7175-7a3d-4cb2-860f-4d9217ba96ca"
   

2. Maak de incompatibele verwijzing voor dit toegangspakket.

   $incompatible1params = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $incompatibleAccessPackageId
   }
   New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $accessPackageId -BodyParameter $incompatible1params
   

3. Maak de incompatibele verwijzing voor het andere toegangspakket.

   $incompatible2params = @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $accessPackageId
   }
   New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $incompatibleAccessPackageId -BodyParameter $incompatible2params
   

4. Herhaal dit voor andere toegangspakketten.

5. Als voor uw scenario de mogelijkheid is vereist om een scheiding van taken te overschrijven, kunt u ook extra toegangspakketten instellen voor deze overschrijvingsscenario's.

Toewijzingen toevoegen van bestaande gebruikers die al toegang hebben tot de toepassing

Voeg toewijzingen toe van bestaande gebruikers, die al toegang hebben tot de toepassing, aan het toegangspakket en het bijbehorende beleid voor directe toewijzing. U kunt elke gebruiker rechtstreeks toewijzen aan een toegangspakket.

1. Haal de bestaande roltoewijzingen van de toepassing op.

   $existingAppRoleAssignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $servicePrincipalId -All)
   

2. Als u wilt voorkomen dat er dubbele toewijzingen worden gemaakt, haalt u eventuele bestaande toewijzingen op voor het toegangspakket.

   $existingAssignments1filter = "accessPackage/id eq '" + $accessPackageId + "' and state eq 'Delivered'"
   $existingassignments1 = @(Get-MgEntitlementManagementAssignment -Filter $existingAssignments1filter -ExpandProperty target -All -ErrorAction Stop)
   $existingusers1 = @()
   foreach ($a in $existingassignments1) { $existingusers1 += $a.Target.ObjectId}
   

3. Nieuwe opdrachten maken.

   foreach ($ar in $existingAppRoleAssignments) {
    if ($ar.principalType -ne "User") {
      write-warning "non-user assigned to application role"
    }
    $arpid = $ar.principalId
    if ($existingusers1.contains($arpId)) { continue }
   
    $params = @{
      requestType = "adminAdd"
      assignment = @{
         targetId = $arpId
         assignmentPolicyId = $directAssignmentPolicyId
         accessPackageId = $accessPackageId
      }
    }
    try {
      New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
    } catch {
      write-error "cannot create request for user $upn"
    }
   }
   

Toewijzingen toevoegen voor eventuele extra gebruikers die toegang moeten hebben tot de toepassing

Dit script illustreert het gebruik van de Microsoft Graph PowerShell-cmdlets om toewijzingen toe te voegen voor extra gebruikers, zodat ze toegang hebben tot de toepassing. Als u geen gebruikers hebt die toegang nodig hebben en deze niet automatisch zou ontvangen, gaat u verder in de volgende sectie.

In dit script wordt ervan uitgegaan dat u een CSV-invoerbestand met één kolom hebt, UserPrincipalNameom deze gebruikers toe te wijzen aan het toegangspakket via het beleid voor directe toewijzing.

1. Geef de naam van het invoerbestand op.

   $inputpath = "users.csv"
   

2. Als u wilt voorkomen dat er dubbele toewijzingen worden gemaakt, haalt u eventuele bestaande toewijzingen op voor het toegangspakket.

   $existingAssignments2filter = "accessPackage/id eq '" + $accessPackageId + "' and state eq 'Delivered'"
   $existingassignments2 = @(Get-MgEntitlementManagementAssignment -Filter $existingAssignments2filter -ExpandProperty target -All -ErrorAction Stop)
   $existingusers2 = @()
   foreach ($a in $existingassignments2) { $existingusers2 += $a.Target.ObjectId}
   

3. Nieuwe opdrachten maken.

   $users = import-csv -Path $inputpath
   foreach ($userrecord in $users) {
      $upn = $userrecord.UserPrincipalName
      if ($null -eq $upn) {throw "no UserPrincipalName" }
      $u = $null
      try {
         $u = Get-MgUser -UserId $upn
      } catch {
         write-error "no user $upn"
      }
      if ($u -eq $null) { continue }
      if ($existingusers2.contains($u.Id)) { continue }
   
      $params = @{
         requestType = "adminAdd"
         assignment = @{
            targetId = $u.Id
            assignmentPolicyId = $directAssignmentPolicyId
            accessPackageId = $accessPackageId
         }
      }
      try {
         New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
      } catch {
         write-error "cannot create request for user $upn"
      }
   }
   

Een beleid toevoegen aan de toegangspakketten voor automatische toewijzing

Als het beleid van uw organisatie voor wie toegang kan krijgen tot een toepassing een regel bevat op basis van de kenmerken van de gebruiker om automatisch toegang toe te wijzen en te verwijderen op basis van deze kenmerken, kunt u dit vertegenwoordigen met behulp van een beleid voor automatische toewijzing. Een toegangspakket kan maximaal één beleid voor automatische toewijzing hebben. Als u geen vereiste voor een automatische toewijzing hebt, gaat u verder in de volgende sectie.

1. Geef de filterexpressie voor automatische toewijzing op zodat gebruikers een opdracht kunnen ontvangen. Wijzig de waarde van autoAssignmentPolicyFilter een filter voor de gebruikers in uw Microsoft Entra-id die binnen het bereik vallen. De syntaxis en toegestane kenmerken zijn opgenomen in dynamische lidmaatschapsregels voor groepen in Microsoft Entra-id.

   $autoAssignmentPolicyFilter = '(user.city -eq "Redmond")'
   

2. Gebruik PowerShell om een beleid voor automatische toewijzing in het toegangspakket te maken.

   $policy2Name = "Automatic assignment policy"
   $policy2Description = "policy for automatic assignment"
   
   $policy2Params = @{
    DisplayName = $policy2Name
    Description = $policy2Description
    AllowedTargetScope = "specificDirectoryUsers"
    SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = $policy2Description
        membershipRule = $autoAssignmentPolicyFilter
    } )
    AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
    }
    AccessPackage = @{
      Id = $accessPackageId
    }
   }
   New-MgEntitlementManagementAssignmentPolicy -BodyParameter $policy2Params
   

Aanvullende beleidsregels maken zodat gebruikers toegang kunnen aanvragen

Als gebruikers die nog geen toegang hebben om aan de toepassing te worden toegewezen, kunnen aanvragen, dan kunt u ook een toewijzingsbeleid voor toegangspakketten configureren zodat gebruikers een toegangspakket kunnen aanvragen. U kunt extra beleidsregels toevoegen aan een toegangspakket en in elk beleid opgeven welke gebruikers kunnen aanvragen en wie moet goedkeuren. Als u alleen gebruikers automatisch of door een beheerder toegang wilt geven, gaat u verder in de volgende sectie.

Zie Een toewijzingsbeleid maken via PowerShell, accessPackageAssignmentPolicy en Een assignmentPolicy maken voor meer voorbeelden.

1. Geef de naam, beschrijving van het beleid en de id op van een Microsoft Entra-gebruiker die de fiatteur wordt.

   $policy3Name = "example policy"
   $policy3Description = "example of a policy for users to request assignment"
   $policy3ApproverSingleUserId = "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"
   

2. Maak het beleid.

   $policy3Params = @{
    displayName = $policy3Name
    description = $policy3Description
    allowedTargetScope = "allMemberUsers"
    expiration = @{
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = "true"
        enableTargetsToSelfUpdateAccess = "true"
        enableTargetsToSelfRemoveAccess = "true"
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = "true"
        isApprovalRequiredForUpdate = "true"
        stages = @(
            @{
                durationBeforeAutomaticDenial = "P7D"
                isApproverJustificationRequired = "false"
                isEscalationEnabled = "false"
                fallbackPrimaryApprovers = @(
                )
                escalationApprovers = @(
                )
                fallbackEscalationApprovers = @(
                )
                primaryApprovers = @(
                    @{
                        "@odata.type" = "#microsoft.graph.singleUser"
                        userId = $policy3ApproverSingleUserId
                    }
                )
            }
        )
    }
    accessPackage = @{
        id = $accessPackageId
    }
   }
   
   New-MgEntitlementManagementAssignmentPolicy -BodyParameter $policy3Params
   

Taken voor levenscycluswerkstromen configureren

Als u microsoft Entra-levenscycluswerkstromen gebruikt voor deelname aan werknemers, verlaten gebeurtenissen verplaatst, kunt u ook taken toevoegen aan deze werkstromen om toewijzingen aan dit toegangspakket toe te voegen of te verwijderen. Als u geen levenscycluswerkstromen gebruikt, gaat u verder in de volgende sectie.

In dit voorbeeld ziet u hoe u een wijziging aanbrengt in de werkstromen voor joins en gebeurtenissen verlaat.

1. Haal de joiner categoriewerkstroom en de bijbehorende taken op met behulp van de opdracht Get-MgIdentityGovernanceLifecycleWorkflow .

2. Voeg een taak toe aan een lijst met taken in die werkstroom.

   Weergavenaam van taak	taskDefinitionId	Argumenten
   Toewijzing van gebruikerstoegangspakket aanvragen	c1ec1e76-f374-4375-aaa6-0bb6bd4c60be	naam: assignmentPolicyId waarde: de beleids-id van de toewijzing, zoals de waarde waaruit $directAssignmentPolicyId geen goedkeuring is vereist, voor het toegangspakket dat u de gebruiker wilt toewijzen. naam: accessPackageId waarde: De toegangspakket-id, $accessPackageIdvoor het toegangspakket dat u wilt toewijzen aan de gebruiker.

3. Maak een nieuwe versie van de werkstroom, inclusief de nieuwe taak, met behulp van de opdracht New-MgIdentityGovernanceLifecycleWorkflowNewVersion .

4. Haal de leaver categoriewerkstroom en de bijbehorende taken op met behulp van de opdracht Get-MgIdentityGovernanceLifecycleWorkflow .

5. Voeg een taak toe aan een lijst met taken in die werkstroom.

   Weergavenaam van taak	taskDefinitionId	Argumenten
   Toewijzing van toegangspakket voor gebruiker verwijderen	4a0b64f2-c7ec-46ba-b117-18f262946c50	naam: accessPackageId waarde: Een geldige toegangspakket-id, accessPackageId voor het toegangspakket dat u wilt intrekken van de gebruiker.

6. Maak een nieuwe versie van de werkstroom, inclusief de nieuwe taak, met behulp van de opdracht New-MgIdentityGovernanceLifecycleWorkflowNewVersion .

Toewijzingen beheren

Zodra de toegangspakketten, beleidsregels en initiële toewijzingen zijn gemaakt, krijgen gebruikers toegang tot de rol van de toepassing.

Later kunt u controleren op wijzigingen in de toewijzingen of programmatisch toewijzingen toevoegen of verwijderen.

Bestaande toewijzingen ophalen

Dit script illustreert het gebruik van een filter om de toewijzingen op te halen voor het toegangspakket dat de status heeft Delivered. Het script genereert een CSV-bestand assignments.csv met een lijst met gebruikers die toewijzingen hebben, met één rij per toewijzing.

$assignmentFilter = "accessPackage/id eq '" + $accessPackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $assignmentFilter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Een toewijzing verwijderen

U kunt de toewijzing van een gebruiker verwijderen met de New-MgEntitlementManagementAssignmentRequest cmdlet.

$userId = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Volgende stappen

• Toegang beheren voor bestaande gebruikers van een toepassing
• Toegang voor toepassingen in uw omgeving beheren