Delen via

Resourcerollen wijzigen voor een access-pakket in rechtenbeheer

Als beheerder van toegangspakketten kunt u de resources in een toegangspakket op elk gewenst moment wijzigen zonder dat u zich zorgen hoeft te maken over het toewijzen van toegang tot de nieuwe resources of het intrekken van hun toegang tot de vorige resources. In dit artikel wordt beschreven hoe u de resourcerollen voor een bestaand access-pakket wijzigt.

Deze video biedt een overzicht van het wijzigen van een access-pakket.

Raadpleeg de catalogus voor middelen

Als u resources zoals groepen of apps wilt toevoegen aan een access-pakket, moet u controleren of de resources die u nodig hebt, beschikbaar zijn in de catalogus van het access-pakket. Als u een access package manager bent, kunt u geen resources toevoegen aan een catalogus, zelfs niet als u de eigenaar bent van deze resources. U bent beperkt tot het gebruik van de resources die beschikbaar zijn in de catalogus.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Beheerder van identiteitsbeheer.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en de Access package manager.

  2. Blader naar ID Governance>Rechtenbeheer>Toegangspakket.

  3. Open op de pagina Access-pakketten het access pakket dat u wilt controleren om ervoor te zorgen dat de catalogus over de benodigde resources beschikt.

  4. Selecteer Catalogus in het linkermenu en open de catalogus.

  5. Selecteer Resources in het linkermenu om de lijst met resources in deze catalogus weer te geven.

    Lijst met resources in een catalogus

  6. Als de resources nog niet in de catalogus staan en u een beheerder of cataloguseigenaar bent, kunt u resources toevoegen aan een catalogus. De typen resources die u kunt toevoegen, zijn groepen, toepassingen die u hebt geïntegreerd met uw directory en SharePoint Online-sites. Voorbeeld:

    • In de cloud gemaakte groepen kunnen Microsoft 365-groepen of in de cloud gemaakte Microsoft Entra-beveiligingsgroepen zijn. Groepen die afkomstig zijn uit een on-premises Active Directory kunnen niet worden toegewezen als resources omdat hun eigenaar of lid kenmerken niet kunnen worden gewijzigd in Microsoft Entra ID. Als u identiteiten toegang wilt geven tot een toepassing die gebruikmaakt van AD-beveiligingsgroepslidmaatschappen, maakt u een nieuwe groep in Microsoft Entra ID, configureert u groepsschrijven naar AD en stelt u in dat die groep naar AD kan worden geschreven. Groepen die in Exchange Online als distributiegroepen zijn aangemaakt, kunnen ook niet worden gewijzigd in Microsoft Entra ID.
    • Toepassingen kunnen Microsoft Entra-bedrijfstoepassingen zijn, waaronder SaaS-toepassingen (Software as a Service), on-premises toepassingen die gebruikmaken van een andere directory of database en uw eigen toepassingen die zijn geïntegreerd met Microsoft Entra ID. Als uw toepassing nog niet is geïntegreerd met uw Microsoft Entra-directory, raadpleegt u govern access voor toepassingen in uw omgeving en integratie van een toepassing met Microsoft Entra ID.
    • Sites kunnen SharePoint Online-sites of SharePoint Online-siteverzamelingen zijn.

  7. Als u een access package manager bent en u resources aan de catalogus moet toevoegen, kunt u de cataloguseigenaar vragen deze toe te voegen.

Bepalen welke resourcerollen moeten worden opgenomen in een access-pakket

Een resourcerol is een verzameling machtigingen die zijn gekoppeld aan en gedefinieerd door een resource. Resources kunnen beschikbaar worden gesteld voor het toewijzen van identiteiten als u rollen van resources van elk van de bronnen in de catalogus toevoegt aan uw toegangspakket. U kunt resourcerollen toevoegen die worden geleverd door groepen, teams, toepassingen en SharePoint-sites. Wanneer een gebruiker een toewijzing ontvangt aan een access-pakket, worden deze toegevoegd aan alle resourcerollen in het access-pakket.

Wanneer ze een toewijzing van een access-pakket verliezen, worden ze verwijderd uit alle resourcerollen in het access-pakket.

Notitie

Als identiteiten buiten rechtenbeheer aan de resources zijn toegevoegd en ze toegang moeten behouden, zelfs als ze later toegangspakkettoewijzingen ontvangen en hun toegangspakkettoewijzingen verlopen, voeg de resourcerollen dan niet toe aan een toegangspakket.

Als u wilt dat sommige identiteiten verschillende resourcerollen ontvangen dan andere, moet u meerdere access pakketten in de catalogus maken, met afzonderlijke access pakketten voor elk van de resourcerollen. Als u bijvoorbeeld API-machtigingen wilt toewijzen aan een agent-id (preview), hebt u dit nodig in een afzonderlijk access-pakket van lid- of gastgebruikers, omdat er geen API-machtigingen aan leden of gastgebruikers zijn toegewezen. U kunt de toegangspakketten ook markeren als incompatibel met elkaar, zodat gebruikers geen toegang kunnen aanvragen tot toegangspakketten die hen te veel toegang zouden geven.

Toepassingen kunnen met name meerdere app-rollen hebben. Wanneer u de app-rol van een toepassing toevoegt als een resourcerol aan een access-pakket, moet u, als die toepassing meer dan één app-rol heeft, de juiste rol opgeven voor die identiteiten in het access-pakket.

Notitie

Als een toepassing meerdere app-rollen heeft en meer dan één rol van die toepassing zich in een access pakket bevindt, ontvangt de gebruiker alle opgenomen rollen van deze toepassing. Als u in plaats daarvan wilt dat identiteiten slechts enkele rollen van de toepassing hebben, moet u meerdere access pakketten in de catalogus maken, met afzonderlijke access pakketten voor elk van de app-rollen.

Bovendien kunnen toepassingen ook vertrouwen op beveiligingsgroepen voor het uitdrukken van machtigingen. Een toepassing kan bijvoorbeeld één app-rol hebben User en ook het lidmaatschap van twee groepen controleren: een Ordinary Users-groep en een Administrative Access-groepen. Een gebruiker van de toepassing moet lid zijn van precies een van deze twee groepen. Als u wilt configureren dat identiteiten een van beide machtigingen kunnen aanvragen, zou u in een catalogus drie resources plaatsen: de toepassing, de groep Ordinary Users en de groep Administrative Access. Vervolgens maakt u in die catalogus twee access pakketten en geeft u aan dat elk access pakket is incompatibel met de andere:

  • een eerste access-pakket met twee resourcerollen, de app-rol van de toepassing User en lidmaatschap van de groep Ordinary Users
  • een tweede access-pakket met twee resource rollen, de app-rol van de toepassing User en het lidmaatschap van de groep Administrative Access

Controleren of identiteiten al zijn toegewezen aan de resource-rol

Wanneer een resourcerol wordt toegevoegd aan een access-pakket door een beheerder, blijven identiteiten die zich al in die resourcerol bevinden, maar geen toewijzingen aan het access-pakket hebben, in de resourcerol, maar worden ze niet toegewezen aan het access-pakket. Als een identiteit bijvoorbeeld lid is van een groep en vervolgens een access-pakket wordt gemaakt en de lidrol van die groep wordt toegevoegd aan een access-pakket, ontvangt de identiteit niet automatisch een toewijzing aan het access-pakket.

Als u wilt dat de identiteit met een resourcerollidmaatschap ook aan een toegangspakket wordt toegewezen, kunt u direct een identiteit toewijzen aan een toegangspakket met behulp van het Microsoft Entra-beheercentrum of in bulk via Microsoft Graph of PowerShell. De identiteiten die u aan het toegangspakket toewijst, ontvangen vervolgens ook toegang tot de andere resource-rollen in het toegangspakket. Omdat deze identiteiten in de resourcerol echter al toegang hebben voordat ze aan het toegangspakket worden toegevoegd, worden ze verwijderd uit die resourcerol wanneer hun toegangspakkettoewijzing wordt ingetrokken.

Resourcerollen toevoegen

Notitie

U moet een Global Administrator of Privileged Role Administrator zijn met Catalog Owner-machtigingen om Microsoft Entra-rollen toe te voegen aan een catalogus. Zodra een Microsoft Entra-rol is toegevoegd aan een catalogus, kunnen Identity Governance-beheerders en Access-pakketbeheerders access pakketten maken met die Microsoft Entra-rol en andere identiteiten met machtigingen voor het beheren van access pakketten identiteiten kunnen toewijzen aan die Microsoft Entra-rol. Op dezelfde manier kunnen toepassingen met de machtigingen EntitlementManagement.RW.All Microsoft Entra-rollen niet toevoegen aan catalogi, tenzij ze ook de rol Global Administrator of Privileged Role Administrator hebben met de benodigde rechtenbeheermachtigingen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Beheerder van identiteitsbeheer.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus en de Access package manager.

  2. Blader naar ID Governance>Entitlement management>Access package.

  3. Open op de pagina Access-pakketten het access-pakket waaraan u resourcerollen wilt toevoegen.

  4. In het linkermenu, selecteer Resourcerollen.

  5. Selecteer Resourcerollen toevoegen om de pagina 'Resourcerollen toevoegen aan toegangspakket' te openen.

    Access-pakket - Resourcerollen toevoegen

  6. Afhankelijk van of u een lidschap van een groep of team wilt toevoegen, toegang tot een toepassing, SharePoint-site, Microsoft Entra-rol (Preview), API-machtiging (Preview), of SAP IAG-toegangsrecht (Preview) wilt toevoegen, voert u de stappen uit in een van de volgende resourcerolsecties.

Een groeps- of teamresourcerol toevoegen

U kunt met machtigingenbeheer identiteiten automatisch aan een groep of team in Microsoft Teams toevoegen wanneer hen een toegangspakket wordt toegewezen.

  • Wanneer het lidmaatschap van een groep of team een resourcerol is die deel uitmaakt van een toegangspakket, en een gebruiker is toegewezen aan dat toegangspakket, wordt de gebruiker als lid aan die groep of dat team toegevoegd, als hij nog geen lid is.
  • Wanneer de access pakkettoewijzing van een gebruiker verloopt, worden ze verwijderd uit de groep of het team, tenzij ze momenteel een toewijzing hebben aan een ander access pakket dat dezelfde groep of hetzelfde team bevat.

U kunt elke Microsoft Entra-beveiligingsgroep of Microsoft 365 Groep selecteren. Identiteiten in een beheerdersrol die groepen kan beheren, kunnen elke groep toevoegen aan een catalogus; cataloguseigenaren kunnen elke groep aan de catalogus toevoegen als ze eigenaar van de groep zijn. Houd rekening met de volgende Microsoft Entra-beperkingen bij het selecteren van een groep:

  • Wanneer een gebruiker, waaronder een gast, wordt toegevoegd aan een groep of team, kan deze alle andere leden van de groep of het team zien.
  • Microsoft Entra ID kan het lidmaatschap van een groep die is gesynchroniseerd vanuit Windows Server Active Directory niet wijzigen met behulp van Microsoft Entra Connect of die is gemaakt in Exchange Online als distributiegroep. Als u van plan bent om toegang te beheren voor toepassingen die gebruikmaken van AD-beveiligingsgroepen, raadpleegt u hoe u groepswriteback instelt met toestemmingsbeheer.
  • Dynamische lidmaatschapsgroepen kunnen niet worden bijgewerkt door een lid toe te voegen of te verwijderen, zodat ze niet geschikt zijn voor gebruik met rechtenbeheer.
  • Microsoft 365 groepen hebben aanvullende beperkingen, zoals beschreven in het overzicht van Microsoft 365 Groups voor beheerders, inclusief een limiet van 100 eigenaren per groep, limieten voor het aantal leden dat gelijktijdig toegang heeft tot groepsgesprekken en 7.000 groepen per lid.

Zie Compare groups and Microsoft 365 Groups and Microsoft Teams voor meer informatie.

  1. Selecteer op de pagina Ressourcerollen toevoegen aan toegangspakketGroepen en Teams om het deelvenster Groepen selecteren te openen.

  2. Selecteer de groepen en teams die u wilt opnemen in het access pakket.

    Access-pakket - Resourcerollen toevoegen - Groepen selecteren

  3. Selecteer Selecteren.

    Zodra u de groep of het team hebt geselecteerd, wordt in de kolom Subtype een van de volgende subtypen weergegeven:

    Subtype Beschrijving
    Beveiliging Wordt gebruikt voor het verlenen van toegang tot middelen.
    Distributie Wordt gebruikt voor het verzenden van meldingen naar een groep personen.
    Microsoft 365 Microsoft 365 Groep waarvoor Teams niet is ingeschakeld. Wordt gebruikt voor samenwerking tussen identiteiten, zowel binnen als buiten uw bedrijf.
    Team Microsoft 365 Groep waarvoor Teams is ingeschakeld. Wordt gebruikt voor samenwerking tussen identiteiten, zowel binnen als buiten uw bedrijf.

  4. Selecteer in de lijst Rol de rol die u wilt toewijzen. Als de groep wordt beheerd door Privileged Identity Management, zijn in aanmerking komende lidmaatschappen zoals Eligible Owner en Eligible Member ook opties die kunnen worden geselecteerd.

    Doorgaans selecteert u de rol Lid. Als u de rol Eigenaar selecteert, worden identiteiten eigenaar van de groep, zodat deze identiteiten andere leden of eigenaren kunnen toevoegen of verwijderen.

    Scherm van beschikbare rollen die aan PIM moeten worden toegewezen voor groepsresources in een access package.

  5. Selecteer Toevoegen.

    Elke identiteit met bestaande toewijzingen aan het toegangspakket worden automatisch lid (of eigenaar) van deze groep of dit team nadat het is toegevoegd. Zie wanneer wijzigingen worden toegepast voor meer informatie.

Notitie

Als de verloopperiode van een Access-pakket de beleidsinstelling 'Vervallen in aanmerking komende toewijzingen na' in de beheerde PIM-groep overschrijdt, kan dit verschillen veroorzaken tussen Entitlement Management en Privileged Identity Management, waardoor identiteiten toegang verliezen terwijl Entitlement Management aangeeft dat ze nog steeds zijn toegewezen. Zie voor meer informatie: Groepen gebruiken die beheerd worden door Privileged Identity Management met toegangspakkettenreferentie.

Een rol voor applicatiebronnen toevoegen

U kunt Microsoft Entra ID gebruikersidentiteiten automatisch toegang toewijzen aan een Microsoft Entra-bedrijfstoepassing, waaronder SaaS-toepassingen, on-premises toepassingen en de toepassingen van uw organisatie die zijn geïntegreerd met Microsoft Entra ID, wanneer een gebruiker een toegangspakket krijgt toegewezen. Voor toepassingen die worden geïntegreerd met Microsoft Entra ID via federatieve eenmalige aanmelding, geeft Microsoft Entra ID federatietokens uit voor identiteiten die zijn toegewezen aan de toepassing.

Als uw toepassing nog niet is geïntegreerd met uw Microsoft Entra-directory, raadpleegt u govern access voor toepassingen in uw omgeving en integratie van een toepassing met Microsoft Entra ID.

Toepassingen kunnen meerdere app-rollen hebben gedefinieerd in hun manifest en worden beheerd via de gebruikersinterface van app-rollen. Wanneer u de app-rol van een toepassing als een resourcerol toevoegt aan een access-pakket, moet u, als die toepassing meer dan één app-rol heeft, de juiste rol opgeven voor die identiteiten in dat access pakket. Als u toepassingen ontwikkelt, vindt u meer informatie over het toevoegen van deze aan uw toepassingen in Procedure: de rolclaim configureren die is uitgegeven in het SAML-token voor bedrijfstoepassingen. Als u de Microsoft-verificatiebibliotheken gebruikt, is er ook een codevoorbeeld voor het gebruik van app-rollen voor access control.

Notitie

Als een toepassing meerdere app-rollen heeft en meer dan één rol van die toepassing zich in een access pakket bevindt, ontvangt de gebruiker alle opgenomen rollen van deze toepassing. Als u in plaats daarvan wilt dat identiteiten slechts enkele rollen van de toepassing hebben, moet u meerdere access pakketten in de catalogus maken, met afzonderlijke access pakketten voor elk van de app-rollen.

Zodra een app-rol een resource van een toegangspakket is:

  • Wanneer een gebruiker aan dat toegangspakket wordt toegewezen, wordt de gebruiker toegevoegd aan die app-rol, als deze niet reeds aanwezig is. Als voor de toepassing kenmerken zijn vereist, worden de waarden van de kenmerken die zijn verzameld uit de aanvraag naar de gebruiker geschreven.
  • Wanneer de toegangspakkettoewijzing van een gebruiker verloopt, wordt hun toegang uit de applicatie verwijderd, tenzij ze een toewijzing voor een ander toegangspakket hebben dat die app-rol inclusief bevat. Wanneer de applicatie vereiste attributen nodig heeft, worden deze attributen verwijderd van de gebruiker.

Hier volgen enkele overwegingen bij het selecteren van een toepassing:

  • Toepassingen kunnen ook groepen hebben toegewezen aan hun app-rollen. U kunt ervoor kiezen om een groep toe te voegen in plaats van een toepassing en de bijbehorende rol in een access-pakket. De toepassing is echter niet zichtbaar voor de gebruiker als onderdeel van het access-pakket in de portal Mijn Access.
  • Het Microsoft Entra-beheercentrum kan ook service-principals weergeven voor services die niet als toepassingen kunnen worden geselecteerd. Met name Exchange Online en SharePoint Online zijn services, niet toepassingen met resourcerollen in de directory, zodat ze niet kunnen worden opgenomen in een access-pakket. Gebruik in plaats daarvan groepslicenties om een geschikte licentie tot stand te brengen voor een gebruiker die access nodig heeft voor deze services.
  • Toepassingen die alleen persoonlijke Microsoft-accountgebruikers ondersteunen voor verificatie en geen ondersteuning bieden voor organisatieaccounts in uw directory, hebben geen toepassingsrollen en kunnen niet worden toegevoegd aan access pakketcatalogussen.
  • Als uw access-pakket betrekking heeft op agentidentiteiten of service-principals, moet u ervoor zorgen dat uw toepassing interacties van deze identiteiten ondersteunt. Als de toepassing API's met OAuth-machtigingen biedt, voegt u een API-machtiging toe aan het access-pakket in plaats van een app-rol toe te voegen. Zie De toewijzing van agentidentiteiten aan een toepassing beheren (preview) voor meer informatie.

  1. Selecteer op de pagina Toevoegingsresourcerollen voor access pakket de optie Toevoegingen om het deelvenster Toepassingen selecteren te openen.

  2. Selecteer de toepassingen die u wilt opnemen in het access-pakket.

    Access-pakket - Resourcerollen toevoegen - Toepassingen selecteren

  3. Selecteer Selecteren.

  4. Selecteer een app-rol in de lijst Rollen .

    Access-pakket - Resourcerol toevoegen voor een toepassing

  5. Selecteer Toevoegen.

    Identiteiten met bestaande toewijzingen aan het toegangsprogramma krijgen automatisch toegang tot deze toepassing wanneer deze toepassing wordt toegevoegd. Zie wanneer wijzigingen worden toegepast voor meer informatie.

Een SharePoint-site-resourcerol toevoegen

Microsoft Entra ID kan identiteiten automatisch toegang toewijzen aan een SharePoint Online-site of SharePoint Online-siteverzameling wanneer ze een toegangspakket krijgen toegewezen.

  1. Selecteer op de pagina Rollen van hulpmiddelen toevoegen aan toegangspakketSharePoint-sites om het deelvenster SharePoint Online-sites te openen.

    Access-pakket - Resourcerollen toevoegen - SharePoint-sites selecteren - Portalweergave

  2. Selecteer de SharePoint Online-sites die u wilt opnemen in het access-pakket.

    Access-pakket - Resourcerollen toevoegen - SharePoint Online-sites selecteren

  3. Selecteer Selecteren.

  4. Selecteer een SharePoint Online-site in de lijst Rol.

    Access-pakket - Resourcerol toevoegen voor een SharePoint Online-site

  5. Selecteer Toevoegen.

    nl-NL: Identiteiten met bestaande toewijzingen aan het toegangspakket krijgen automatisch toegang tot deze SharePoint Online-site wanneer deze wordt toegevoegd. Zie wanneer wijzigingen worden toegepast voor meer informatie.

Een Microsoft Entra-roltoewijzing toevoegen

Wanneer identiteiten aanvullende machtigingen nodig hebben om de resources van uw organisatie te access, kunt u deze machtigingen beheren door ze Microsoft Entra-rollen toe te wijzen via access pakketten. Door Microsoft Entra-rollen toe te wijzen aan werknemers en gasten, met behulp van Rechtenbeheer, kunt u de rechten van een gebruiker bekijken om snel te bepalen welke rollen aan die gebruiker zijn toegewezen. Wanneer u een Microsoft Entra-rol opneemt als een resource in een access-pakket, kunt u ook opgeven of die roltoewijzing is eligible of active.

Als u Microsoft Entra-rollen toewijst via access-pakketten, kunt u roltoewijzingen op schaal efficiënt beheren en de levenscyclus van roltoewijzingen verbeteren.

Notitie

U wordt aangeraden Privileged Identity Management te gebruiken om Just-In-Time-access te bieden aan een gebruiker om een taak uit te voeren waarvoor verhoogde machtigingen zijn vereist. Deze machtigingen worden verstrekt via de Microsoft Entra-rollen die in onze documentatie zijn gelabeld als 'privileged': ingebouwde rollen van Microsoft Entra. Rechtenbeheer is beter geschikt voor het toewijzen van een bundel resources aan gebruikers, waaronder een Microsoft Entra-rol, die nodig is voor het uitvoeren van een taak. Gebruikers die zijn toegewezen aan toegangspakketten hebben meestal langdurigere toegang tot resources. Hoewel u wordt aangeraden om rollen met hoge bevoegdheden te beheren via Privileged Identity Management, kunt u geschiktheid voor deze rollen instellen via access pakketten in Rechtenbeheer.

Volg deze stappen om een Microsoft Entra-rol op te nemen als een resource in een access-pakket:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een Global Administrator of Privileged Role Administrator met machtigingen voor cataloguseigenaar.

  2. Blader naar ID Governance>Rechtenbeheer>Toegangspakketten.

  3. Open op de pagina Access pakketten het access-pakket waaraan u resourcerollen wilt toevoegen en selecteer Resourcerollen.

  4. Selecteer op de Rollen toevoegen aan toegangspakketpaginaMicrosoft Entra-rollen (Preview) om het deelvenster Selecteer Microsoft Entra-rollen te openen.

  5. Selecteer de Microsoft Entra-rollen die u wilt opnemen in het access-pakket. Afbeelding van het selecteren van de rol voor access package.

  6. Selecteer In de lijst Rollen de optie In aanmerking komend lid of actief lid. Screenshot van het selecteren van een rol voor de resourcerol in het toegangspakket.

  7. Selecteer Toevoegen.

Notitie

Als u Eligible selecteert, komen identiteiten in aanmerking voor die rol en kunnen ze hun toewijzing activeren met behulp van Privileged Identity Management in het Microsoft Entra-beheercentrum. Als u Active selecteert, hebben identiteiten een actieve roltoewijzing totdat ze geen toegang meer hebben tot het toegangspakket. Voor Entra-rollen die zijn gelabeld als 'privileged', kunt u alleen In aanmerking komend selecteren. Hier vindt u een lijst met bevoorrechte rollen: Microsoft Entra ingebouwde rollen.

Als u een Microsoft Entra-rol programmatisch wilt toevoegen, raadpleegt u: Voeg een Microsoft Entra-rol toe als een resource in een toegangspakket programmatisch.

Een API-machtiging toevoegen (preview)

Deze resourcerol wordt gebruikt voor het toewijzen van API-machtigingen aan een service-principal of agent-id als onderdeel van de Microsoft Entra Agent-id.

Microsoft Entra Agent ID maakt deel uit van Microsoft Agent 365. Beide zijn beschikbaar via het Frontier-programma in Microsoft 365. Als u deze functies wilt access, moet u een licentie voor Microsoft 365 Copilot hebben en Frontier voor uw gebruikers hebben ingeschakeld.

Volg de handleiding Frontier getting started of gebruik de volgende stappen om te controleren of Frontier is ingeschakeld:

  1. Meld u aan bij de Microsoft 365 admin center als een Billing Administrator.
  2. Blader naar Copilot>Instellingen>Gebruikerstoegang>Copilot Frontier en zorg ervoor dat het is ingeschakeld voor gebruikers. Als u deze opties niet ziet, neemt u contact op met de beheerder om uw Microsoft 365 Copilot licentie te controleren.

Voordat u API-machtigingen in een access-pakket optelt, moet u ervoor zorgen dat het access pakketbeleid is afgestemd op alle service-principals of alle agent-id's, omdat gebruikers geen API-machtigingen kunnen ontvangen. Selecteer vervolgens API-machtigingen (preview). Kies de brontoepassing die de API biedt: Microsoft Graph, een andere Microsoft-functie of een API die uw organisatie gebruikt vanuit een van de eigen toepassingen van uw organisatie. Als u Microsoft Graph kiest, selecteert u of uw agent een gedelegeerde of een toepassingsmachtiging vereist. Schakel vervolgens de selectievakjes in voor de benodigde machtiging en selecteer Machtigingen bijwerken.

Scherm van het toevoegen van API-machtigingen als resourcerollen aan een access package.

Notitie

Vanwege de autonome aard van agents en de mogelijke risico's die ze vormen, worden bepaalde microsoft-Graph API-machtigingen expliciet geblokkeerd voor agents om misbruik of onbedoelde access voor gevoelige gegevens te voorkomen. De machtigingen die worden vermeld in Microsoft Graph machtigingen die zijn geblokkeerd voor agents kunnen niet worden toegewezen aan agentidentiteiten.

Voeg een SAP IAG-toegangsrecht toe (Preview)

Zodra u SAP IAG hebt geïntegreerd en als resource aan een catalogus hebt toegevoegd, kunt u de toegangsrechten van SAP IAG selecteren om op te nemen in een toegangspakket.

  1. Selecteer SAP IAG op het tabblad Resourcerollen.

  2. In de tabel resources kunt u de specifieke bedrijfsrollen selecteren die u wilt opnemen in het access-pakket en Volgende selecteren. Schermopname van het instellen van een rol voor een SAP IAG-resource.

Resourcerollen programmatisch toevoegen

Er zijn twee manieren om een resourcerol programmatisch toe te voegen aan een access-pakket, via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.

Resourcerollen toevoegen aan een toegangspakket met Microsoft Graph

U kunt een resourcerol toevoegen aan een access-pakket met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All-machtiging kan de API aanroepen voor:

  1. Vermeld de resources in de catalogus en maak een accessPackageResourceRequest voor resources die nog niet in de catalogus aanwezig zijn.
  2. Haal de rollen en toepassingsgebieden van elke resource in de catalogus op. Deze lijst met rollen wordt vervolgens gebruikt om een rol te selecteren bij het maken van een resourceRoleScope.
  3. Maak een resourceRoleScope voor elke resourcerol die nodig is in het access-pakket.

Resourcerollen toevoegen aan een access-pakket met Microsoft PowerShell

U kunt ook resource-rollen toevoegen aan een toegangspakket in PowerShell met de cmdlets van de Microsoft Graph PowerShell-cmdlets voor Identiteitsbeheer van moduleversie 2.1.x of hoger.

Haal eerst de ID van de catalogus op, evenals de ID van de resource binnen die catalogus en de bijbehorende scopes en rollen die u wilt opnemen in het access-pakket. Gebruik een script dat vergelijkbaar is met het volgende voorbeeld. Hierbij wordt ervan uitgegaan dat er één toepassingsresource in de catalogus staat.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Wijs vervolgens de resourcerol van die resource toe aan het access-pakket. Als u bijvoorbeeld de eerste resourcerol van de eerder geretourneerde resource wilt opnemen als een resourcerol van een access-pakket, gebruikt u een script dat vergelijkbaar is met het volgende.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Als de rol geen ID heeft, neem dan de id-parameter van de role-structuur niet op in de aanvraagpayload.

Zie Maak een access-pakket in rechtenbeheer voor een toepassing met één rol met behulp van PowerShell voor meer informatie.

Resourcerollen verwijderen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Beheerder van identiteitsbeheer.

    Aanbeveling

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en de Access package manager.

  2. Blader naar ID Governance>Entitlement management>Access package.

  3. Open op de pagina Access-pakketten het access-pakket waarvoor u resourcerollen wilt verwijderen.

  4. In het linkermenu, selecteer Resourcerollen.

  5. Zoek in de lijst van resourcerollen de resourcerol die u wilt verwijderen.

  6. Selecteer het beletselteken (...) en selecteer vervolgens Resourcerol verwijderen.

    Alle identiteiten met bestaande toewijzingen aan het access-pakket zullen automatisch hun toegang tot deze resourcerol kwijt zijn wanneer deze wordt verwijderd.

Wanneer wijzigingen worden toegepast

In rechtenbeheer verwerkt Microsoft Entra ID grote wijzigingen voor toewijzingen en bronnen in uw access-pakketten meerdere keren per dag. Dus als u een toewijzing maakt of de resourcerollen van uw access-pakket wijzigt, kan het tot 24 uur duren voordat deze wijziging in Microsoft Entra ID is aangebracht, plus de hoeveelheid tijd die nodig is om deze wijzigingen door te geven aan andere Microsoft Online Services- of verbonden SaaS-toepassingen. Als uw wijziging slechts enkele objecten beïnvloedt, duurt de wijziging waarschijnlijk slechts een paar minuten om toe te passen in Microsoft Entra ID, waarna andere Microsoft Entra-onderdelen die wijziging detecteren en de SaaS-toepassingen bijwerken. Als uw wijziging van invloed is op duizenden objecten, duurt de wijziging langer. Als u bijvoorbeeld een access-pakket hebt met 2 toepassingen en 100 gebruikerstoewijzingen en u besluit een SharePoint-siterol toe te voegen aan het access-pakket, kan er een vertraging optreden totdat alle identiteiten deel uitmaken van die SharePoint-siterol. U kunt de voortgang bewaken via het Microsoft Entra-auditlogboek, het Microsoft Entra-inrichtingslogboek en de auditlogboeken van de SharePoint-site.

Wanneer u een lid van een team verwijdert, worden ze ook verwijderd uit de Microsoft 365 Groep. Het verwijderen uit de chatfunctionaliteit van het team kan worden uitgesteld. Zie Groepslidmaatschap voor meer informatie.

Volgende stappen

  • Last updated on