Delen via

Aanvraaginstellingen wijzigen voor een toegangspakket in rechtenbeheer

Als toegangspakketbeheerder kunt u de identiteiten wijzigen die op elk gewenst moment een toegangspakket kunnen aanvragen door een beleid voor toegangspakkettoewijzingsaanvragen te bewerken of een nieuw beleid toe te voegen aan het toegangspakket. In dit artikel wordt beschreven hoe u de aanvraaginstellingen voor een bestaand toewijzingsbeleid voor toegangspakketten wijzigt.

Kiezen tussen een of meerdere beleidsregels

De manier waarop u opgeeft wie een toegangspakket kan aanvragen, is met een beleid. Voordat u een nieuw beleid maakt of een bestaand beleid bewerkt in een toegangspakket, moet u bepalen hoeveel beleidsregels het toegangspakket nodig heeft.

Wanneer u een toegangspakket maakt, kunt u de aanvraag-, goedkeurings- en levenscyclusinstellingen opgeven, die zijn opgeslagen in het eerste beleid van het toegangspakket. De meeste toegangspakketten hebben één beleid voor identiteiten om toegang aan te vragen, maar één toegangspakket kan meerdere beleidsregels hebben. U maakt meerdere beleidsregels voor een toegangspakket als u wilt toestaan dat verschillende sets identiteiten worden toegewezen met verschillende aanvraag- en goedkeuringsinstellingen.

Eén beleid kan bijvoorbeeld niet worden gebruikt om interne en externe identiteiten toe te wijzen aan hetzelfde toegangspakket. U kunt echter twee beleidsregels maken in hetzelfde toegangspakket, één voor interne identiteiten en één voor externe identiteiten. Als er meerdere beleidsregels zijn die op een gebruiker van toepassing kunnen zijn bij een verzoek, wordt hen op het moment van hun aanvraag gevraagd om het beleid te kiezen dat ze willen gebruiken. In het volgende diagram ziet u een toegangspakket met twee beleidsregels.

Diagram dat meerdere beleidsregels illustreert, samen met meerdere resourcerollen, kan worden opgenomen in een toegangspakket.

Naast beleidsregels voor identiteiten om toegang aan te vragen, kunt u ook beleidsregels hebben voor automatische toewijzing en beleidsregels voor directe toewijzing door beheerders of cataloguseigenaren.

Hoeveel beleidsregels heb ik nodig?

Scenariobeschrijving Aantal beleidsregels
Ik wil dat alle identiteiten in mijn directory dezelfde aanvraag- en goedkeuringsinstellingen hebben voor een toegangspakket Eén
Ik wil dat alle identiteiten in bepaalde verbonden organisaties een toegangspakket kunnen aanvragen Eén
Ik wil identiteiten in mijn directory en ook identiteiten buiten mijn directory toestaan om een toegangspakket aan te vragen Twee
Ik wil verschillende goedkeuringsinstellingen opgeven voor sommige identiteiten Eén voor elke groep identiteiten
Ik wil dat sommige toegangsverpakkingen voor identiteiten verlopen, terwijl andere identiteiten hun toegang kunnen verlengen. Eén voor elke groep identiteiten
Ik wil dat sommige identiteiten toegang aanvragen en dat toegang aan andere identiteiten wordt toegewezen door een beheerder. Twee
Ik wil dat bepaalde identiteiten in mijn organisatie automatisch toegang krijgen, andere identiteiten in mijn organisatie kunnen aanvragen en andere identiteiten moeten worden toegewezen door een beheerder Drie

Zie Meerdere beleidsregels voor informatie over de prioriteitslogica die wordt gebruikt wanneer meerdere beleidsregels van toepassing zijn.

Een bestaand toegangspakket openen en een nieuw beleid met andere aanvraaginstellingen toevoegen

Als u een set identiteiten hebt met verschillende instellingen voor aanvragen en goedkeuringen, moet u waarschijnlijk een nieuw beleid maken. Volg deze stappen om een nieuw beleid toe te voegen aan een bestaand toegangspakket:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.

  3. Open op de pagina Access-pakketten het toegangspakket dat u wilt bewerken.

  4. Selecteer Beleid en vervolgens Beleid toevoegen.

  5. Typ op het tabblad Basisbeginselen een naam en een beschrijving voor het beleid.

    Beleid maken met naam en beschrijving

  6. Selecteer Volgende om het tabblad Aanvragen te openen.

  7. Wijzig de instelling Gebruikers die toegang kunnen aanvragen. Gebruik de stappen in de volgende secties om de instelling te wijzigen in een van de volgende opties:

Voor gebruikers, service-principals en agentidentiteiten in uw directory

Volg deze stappen als u wilt toestaan dat identiteiten in uw directory dit toegangspakket kunnen aanvragen. Wanneer u het aanvraagbeleid definieert, kunt u afzonderlijke identiteiten of meer algemene groepen identiteiten opgeven. Uw organisatie kan bijvoorbeeld al een groep hebben, zoals Alle werknemers. Als die groep wordt toegevoegd aan het beleid voor identiteiten die toegang kunnen aanvragen, kan elk lid van die groep vervolgens toegang aanvragen.

  1. Selecteer in de sectie Gebruikers die toegang kunnen aanvragen, voor gebruikers, serviceprincipals en agentidentiteiten in uw directory.

    Wanneer u deze optie selecteert, worden nieuwe opties weergegeven om verder te verfijnen wie in uw directory dit toegangspakket kan aanvragen.

    Toegangspakket - Aanvragen - Voor gebruikers in uw directory

  2. Selecteer een van de volgende opties:

    Beschrijving
    Specifieke gebruikers en groepen Kies deze optie als u wilt dat alleen de gebruikers en groepen in uw directory die u opgeeft, dit toegangspakket kunnen aanvragen.
    Alle leden (exclusief gasten) Kies deze optie als u wilt dat alle lidgebruikers in uw directory dit toegangspakket kunnen aanvragen. Deze optie omvat geen gastgebruikers die u mogelijk hebt uitgenodigd in uw directory.
    Alle gebruikers (inclusief gasten) Kies deze optie als u wilt dat alle lidgebruikers en gastgebruikers in uw directory dit toegangspakket kunnen aanvragen.
    Alle service-principals (preview) Kies deze optie als u wilt dat alle service-principals in uw directory dit toegangspakket kunnen aanvragen.
    Alle agents (preview) Kies deze optie als u wilt dat alle agents in uw directory toegang toegewezen krijgen.

    Gastgebruikers zijn externe gebruikers die met Microsoft Entra B2B in uw directory zijn uitgenodigd. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID voor meer informatie over de verschillen tussen lidgebruikers en gastgebruikers.

    Voor de preview-versie van alle service-principals en alle agents is microsoft Entra Agent-id vereist. Zie Identiteiten van agents beheren (preview) voor meer informatie.

  3. Als u Specifieke gebruikers en groepen hebt geselecteerd, selecteert u Gebruikers en groepen toevoegen.

  4. Selecteer in het deelvenster 'Gebruikers en groepen selecteren' de gebruikers en groepen die u wilt toevoegen.

    Toegangspakket - Aanvragen - Gebruikers en groepen selecteren

  5. Selecteer Selecteren om de gebruikers en groepen toe te voegen.

  6. Als u goedkeuring wilt vereisen, gebruikt u de stappen in Goedkeuringsinstellingen wijzigen voor een toegangspakket in rechtenbeheer om goedkeuringsinstellingen te configureren.

  7. Ga naar de sectie Wie kan toegang aanvragen .

Voor gebruikers die zich niet in uw directory bevinden

Gebruikers die zich niet in uw directory bevinden , verwijzen naar gebruikers die zich in een andere Microsoft Entra-directory of -domein bevinden. Deze gebruikers zijn mogelijk nog niet uitgenodigd in uw adreslijst. Microsoft Entra-directory's moeten worden ingesteld om uitnodigingen toe te staan binnen samenwerkingsbeperkingen. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Notitie

Er wordt een gastgebruikersaccount gemaakt voor een gebruiker die zich nog niet in uw directory bevindt, waarvan de aanvraag is goedgekeurd of automatisch is goedgekeurd. De gast wordt uitgenodigd, maar ontvangt geen uitnodigingsmail. In plaats daarvan ontvangen ze een e-mail wanneer hun toegangspakkettoewijzing wordt bezorgd. Later, wanneer die gastgebruiker geen toegangspakkettoewijzingen meer heeft, omdat de laatste toewijzing is verlopen of geannuleerd, wordt dat gastgebruikersaccount geblokkeerd voor aanmelding en vervolgens verwijderd. Als u gastgebruikers voor onbepaalde tijd in uw directory wilt laten staan, zelfs als ze geen toegangspakkettoewijzingen hebben, kunt u de instellingen voor uw rechtenbeheerconfiguratie wijzigen. Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie over het gastgebruikersobject.

Volg deze stappen als u wilt dat gebruikers die zich niet in uw directory bevinden, dit toegangspakket kunnen aanvragen:

  1. Selecteer in de sectie Gebruikers die toegang kunnen aanvragen voor gebruikers die zich niet in uw directory bevinden.

    Wanneer u deze optie selecteert, worden nieuwe opties weergegeven.

    Schermopname van de selectie van toegangspakketten voor gebruikers die zich niet in uw directory bevinden.

  2. Geef aan of de gebruikers die toegang kunnen aanvragen, moeten worden gekoppeld aan een bestaande verbonden organisatie of dat iedereen op internet kan zijn. Een verbonden organisatie is een organisatie waarmee u een vooraf bestaande relatie hebt, die mogelijk een externe Microsoft Entra-directory of een andere id-provider heeft. Selecteer een van de volgende opties:

    Beschrijving
    Specifieke verbonden organisaties Kies deze optie als u een keuze wilt maken uit een lijst met organisaties die uw beheerder eerder heeft toegevoegd. Alle gebruikers uit de geselecteerde organisaties kunnen dit toegangspakket aanvragen.
    Alle geconfigureerde verbonden organisaties Kies deze optie als alle gebruikers uit al uw geconfigureerde verbonden organisaties dit toegangspakket kunnen aanvragen. Alleen gebruikers van geconfigureerde verbonden organisaties kunnen toegangspakketten aanvragen, dus als een gebruiker niet afkomstig is van een Microsoft Entra-tenant, domein of id-provider die is gekoppeld aan een bestaande verbonden organisatie, kunnen ze geen aanvraag indienen.
    Alle gebruikers (alle verbonden organisaties + nieuwe externe gebruikers) Kies deze optie als elke gebruiker op internet dit toegangspakket moet kunnen aanvragen. Als ze geen deel uitmaken van een verbonden organisatie in uw adreslijst, wordt er automatisch een verbonden organisatie voor hen gemaakt wanneer ze het pakket aanvragen. De automatisch gemaakte verbonden organisatie bevindt zich in een voorgestelde staat. Zie Staateigenschap van verbonden organisaties voor meer informatie over de voorgestelde status.

  3. Als u Specifieke verbonden organisaties hebt geselecteerd, selecteert u Directory's toevoegen om uit een lijst met verbonden organisaties te kiezen die uw beheerder eerder heeft toegevoegd.

  4. Typ de naam of domeinnaam om te zoeken naar een eerder verbonden organisatie.

    Toegangspakket - Aanvragen - Directory's selecteren

    Als de organisatie waarmee u wilt samenwerken niet in de lijst staat, kunt u de beheerder vragen deze toe te voegen als een verbonden organisatie. Zie Een verbonden organisatie toevoegen voor meer informatie.

  5. Zodra u al uw verbonden organisaties hebt geselecteerd, selecteert u Selecteren.

    Notitie

    Alle gebruikers uit de geselecteerde verbonden organisaties kunnen dit toegangspakket aanvragen. Voor een verbonden organisatie met een Microsoft Entra-directory kunnen gebruikers van alle geverifieerde domeinen die zijn gekoppeld aan de Microsoft Entra-directory aanvragen, tenzij deze domeinen worden geblokkeerd door de Azure B2B-acceptatie- of blokkeringslijst. Zie Uitnodigingen voor B2B-gebruikers uit bepaalde organisaties toestaan of blokkeren voor meer informatie.

  6. Gebruik vervolgens de stappen in Goedkeuringsinstellingen wijzigen voor een toegangspakket in rechtenbeheer om goedkeuringsinstellingen te configureren om op te geven wie aanvragen van gebruikers die niet in uw organisatie moeten worden goedgekeurd.

  7. Ga naar de sectie Wie kan toegang aanvragen .

Geen (alleen directe beheerderstoewijzingen)

Volg deze stappen als u toegangsaanvragen wilt overslaan en beheerders toestemming wilt geven om specifieke gebruikers direct toe te wijzen aan dit toegangspakket. Gebruikers hoeven het toegangspakket niet aan te vragen. U kunt nog steeds levenscyclusinstellingen instellen, maar er zijn geen aanvraaginstellingen.

  1. Selecteer Geen (alleen directe toewijzingen van beheerders) in de sectie Gebruikers die toegang kunnen aanvragen.

    Schermopname van een toegangspakket voor de selectie

    Nadat u het toegangspakket hebt gemaakt, kunt u specifieke interne en externe gebruikers direct toewijzen aan het toegangspakket. Als u een externe gebruiker opgeeft, wordt er een gastgebruikersaccount gemaakt in uw directory. Zie Toewijzingen voor een toegangspakket weergeven, toevoegen en verwijderen voor meer informatie over het direct toewijzen van een gebruiker.

  2. Ga naar de sectie Wie kan toegang aanvragen .

Notitie

Bij het toewijzen van gebruikers aan een toegangspakket moeten beheerders controleren of de gebruikers in aanmerking komen voor dat toegangspakket op basis van de bestaande beleidsvereisten. Anders worden de gebruikers niet toegewezen aan het toegangspakket. Als het toegangspakket een beleid bevat waarmee wordt vereist dat gebruikersaanvragen worden goedgekeurd, kunnen gebruikers niet rechtstreeks worden toegewezen aan het pakket zonder de benodigde goedkeuring(en) van de aangewezen fiatteur(s).

De aanvraaginstellingen van een bestaand beleid openen en bewerken

Als u de aanvraag- en goedkeuringsinstellingen voor een toegangspakket wilt wijzigen, moet u het bijbehorende beleid met die instellingen openen. Volg deze stappen om de aanvraaginstellingen voor een toewijzingsbeleid voor toegangspakketten te openen en te bewerken:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.

  3. Open op de pagina Access-pakketten het toegangspakket waarvan u de instellingen voor beleidsaanvragen wilt bewerken.

  4. Selecteer Beleid en selecteer vervolgens het beleid dat u wilt bewerken.

    Het deelvenster Beleidsdetails wordt onderaan de pagina geopend.

    Toegangspakket - Deelvenster Beleidsdetails

  5. Selecteer Bewerken om het beleid te bewerken.

    Toegangspakket - beleid bewerken

  6. Selecteer het tabblad Aanvragen om de aanvraaginstellingen te openen.

  7. Gebruik de stappen in de vorige secties om de aanvraaginstellingen zo nodig te wijzigen.

  8. Ga naar de sectie Wie kan toegang aanvragen .

Wie kan toegang aanvragen

Notitie

Voorheen beheerde de instelling met de naam "Nieuwe aanvragen en toewijzingen inschakelen" selfservicetoegangsaanvragen. Deze mogelijkheid wordt nu nauwkeuriger weerspiegeld door de optie Zelf.

  1. Nadat u hebt gekozen wie toegang kan krijgen en het bereik, kunt u opgeven wie toegang tot het toegangspakket kan aanvragen. Hier kunt u uzelf, de beheerder of de manager de mogelijkheid bieden om toegang tot het toegangspakket aan te vragen.

    U kunt deze in de toekomst altijd inschakelen nadat u klaar bent met het maken van het toegangspakket.

    Als u Geen (alleen directe toewijzingen voor beheerders) hebt geselecteerd, kunnen de selectievakjes in de sectie 'wie kan toegang aanvragen' niet worden geselecteerd.

    Schermopname van toegangspakketbeleid wie toegang kan aanvragen.

  2. Selecteer Volgende.

  3. Als u wilt vereisen dat aanvragers aanvullende informatie verstrekken bij het aanvragen van toegang tot een toegangspakket, gebruikt u de stappen in instellingen voor goedkeuring wijzigen en aanvragergegevens voor een toegangspakket in rechtenbeheer om aanvragergegevens te configureren.

  4. Configureer levenscyclusinstellingen.

  5. Als u een beleid bewerkt, selecteert u Bijwerken. Als u een nieuw beleid toevoegt, selecteert u Maken.

Programmatisch een beleid voor toewijzing van toegangspakketten maken

Er zijn twee manieren om programmatisch een toegangspakkettoewijzingsbeleid te maken via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.

Een toewijzingsbeleid voor toegangspakketten maken via Graph

U kunt een beleid maken met Behulp van Microsoft Graph. Een gebruiker in een passende rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, een toepassing in een catalogus-rol of een toepassing met de EntitlementManagement.ReadWrite.All toepassingsmachtiging, kan de create an assignmentPolicy API aanroepen.

Een toewijzingsbeleid voor toegangspakketten maken via PowerShell

U kunt ook een toegangspakket maken in PowerShell met de cmdlets van de Microsoft Graph PowerShell-cmdlets voor identity governance-moduleversie 2.1.x of hoger.

Dit volgende script illustreert het maken van een beleid voor directe toewijzing aan een toegangspakket. In dit beleid kan alleen de beheerder toegang toewijzen en zijn er geen goedkeuringen of toegangsbeoordelingen. Zie Een beleid voor automatische toewijzing maken voor een voorbeeld van het maken van een beleid voor automatische toewijzing en het maken van een assignmentPolicy voor meer voorbeelden.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Aanvragen van identiteiten met incompatibele toegang voorkomen

Naast de beleidscontroles op wie een verzoek kan indienen, wilt u mogelijk de toegang verder beperken om te voorkomen dat een identiteit die al toegang heeft - via een groep of een ander toegangspakket - te veel toegang krijgt.

Als u wilt configureren dat een identiteit geen toegangspakket kan aanvragen, als deze al een toewijzing aan een ander toegangspakket heeft of lid is van een groep, gebruikt u de stappen bij Scheiding van taken configureren om een toegangspakket te controleren.

Volgende stappen

  • Last updated on