Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leest u hoe u een catalogus met resources en toegangspakketten maakt en beheert in rechtenbeheer. Catalogi worden ook gebruikt in toegangsbeoordelingen (preview).
Machtigingsniveaus voor catalogus (preview)
Microsoft Entra ID Governance-catalogi hebben twee bevoegdheidsniveaus die de beveiligings- en beheervereisten bepalen:
Bevoegdheidsniveaus
Standaardcatalogus
- Het standaardtype voor de meeste catalogi.
- Blijft standaard zolang deze geen geprivilegieerde resources bevat.
- Ondersteunt alle catalogusbeheeracties en toegangspatronen.
Geprivilegieerde catalogus
- Automatisch toegewezen wanneer een catalogus resources bevat die verhoogde machtigingen verlenen, zoals:
- Microsoft Entra-rollen
- Toepassings-API-machtigingen
- Deze catalogi passen strengere besturingselementen voor toegang en governance toe vanwege hun beveiligingsgevoelige aard, zoals meer beperkende toepassingsmachtigingen, strengere rolvereisten voor catalogusaanpassing en beperkingen voor automatisering om het risico op onbedoelde bevoegde toegangstoewijzingen te verminderen.
- Automatisch toegewezen wanneer een catalogus resources bevat die verhoogde machtigingen verlenen, zoals:
Welke wijzigingen voor bevoorrechte catalogi?
Geprivilegieerde catalogi hebben strengere controles om gevoelige resources te beveiligen:
Toegang tot toepassingen:
- Toepassingen moeten machtigingen voor directoryrolbeheer hebben om naar een geprivilegieerde catalogus te schrijven.
- Aanvragen zonder deze machtigingen worden geblokkeerd.
Gebruikerstoegang:
- Alleen gebruikers die:
- Globale beheerders of beheerders met bevoorrechte rollen die ook de rol Identity Governance Administrator hebben, kunnen acties voor maken, bijwerken of verwijderen uitvoeren.
- Andere gebruikers kunnen de catalogus lezen, maar deze niet wijzigen.
- Alleen gebruikers die:
Beleid voor automatische toewijzing:
- U kunt geen nieuw beleid voor automatische toewijzing maken voor bevoorrechte catalogi.
- Dit voorkomt geautomatiseerde distributie van bevoorrechte rollen of machtigingen.
Als u het bevoegdheidsniveau van een catalogus handmatig wilt bijwerken, raadpleegt u: Het bevoegdheidsniveau van een catalogus (preview) bijwerken.
Een catalogus maken
Een catalogus is een container met resources en toegangspakketten. U maakt een catalogus wanneer u gerelateerde resources en toegangspakketten wilt groeperen. Een beheerder kan een catalogus maken. Bovendien kan een gebruiker die is gedelegeerd aan de rol catalogusmaker een catalogus maken voor resources die ze eigenaar zijn. Een niet-beheerder die de catalogus maakt, wordt de eerste cataloguseigenaar. Een cataloguseigenaar kan meer gebruikers, groepen gebruikers of toepassingsservice-principals toevoegen als cataloguseigenaren.
Een catalogus maken:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Aanbeveling
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn onder andere de maker van de catalogus. Identiteiten waaraan de rol Gebruikersbeheerder is toegewezen, kunnen geen catalogi meer maken of toegangspakketten beheren in een catalogus die ze niet bezitten. Als identiteiten in uw organisatie de rol Gebruikersbeheerder hebben toegewezen om catalogi, toegangspakketten of beleidsregels in rechtenbeheer te configureren, moet u in plaats daarvan deze identiteiten de rol Identity Governance Administrator toewijzen.
Blader naar ID Governance>Catalogussen.
Selecteer Nieuwe catalogus.
Voer een unieke naam in voor de catalogus en geef een beschrijving op.
Gebruikers zien deze informatie in de details van een toegangspakket.
Als u wilt dat de toegangspakketten in deze catalogus beschikbaar zijn voor gebruikers om aan te vragen zodra ze zijn aangemaakt, stelt u Ingeschakeld in op Ja.
Als u wilt toestaan dat gebruikers in externe mappen van verbonden organisaties toegangspakketten in deze catalogus kunnen aanvragen, stelt u Ingeschakeld in opJa. De toegangspakketten moeten ook een beleid hebben waarmee gebruikers van verbonden organisaties aanvragen kunnen aanvragen. Als de toegangspakketten in deze catalogus alleen bedoeld zijn voor gebruikers die al in de directory staan, stelt u Ingeschakeld voor externe gebruikers in op Nee.
Selecteer Maken om de catalogus te maken.
Programmatisch een catalogus maken
Er zijn twee manieren om programmatisch een catalogus te maken.
Een catalogus maken met Microsoft Graph
U kunt een catalogus maken met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, of een toepassing met de EntitlementManagement.ReadWrite.All toepassingsmachtiging, kan de API aanroepen om een catalogus te maken.
Een catalogus maken met PowerShell
U kunt ook een catalogus maken in PowerShell met de New-MgEntitlementManagementCatalog cmdlet van de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance versie 2.2.0 of hoger.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
Resources toevoegen aan een catalogus
Als u resources in een toegangspakket wilt opnemen, moeten de resources in een catalogus aanwezig zijn. De typen resources die u kunt toevoegen aan een catalogus voor gebruik in toegangspakketten zijn groepen, toepassingen, SharePoint Online-sites en (in preview) SAP IAG-resources.
Groepen kunnen in de cloud worden gemaakt Microsoft 365 Groepen of door de cloud gemaakte Microsoft Entra-beveiligingsgroepen.
Groepen die afkomstig zijn uit een on-premises Active Directory, kunnen niet worden toegewezen als resources omdat hun eigenaar- of lidkenmerken niet kunnen worden gewijzigd in Microsoft Entra-id. Als u een gebruiker toegang wilt geven tot een toepassing die gebruikmaakt van ad-beveiligingsgroepslidmaatschappen, kunt u de bron van autoriteit van een bestaande groep wijzigen voor het terugschrijven van groepen of een nieuwe beveiligingsgroep maken in Microsoft Entra-id, het terugschrijven van groepen naar AD configureren en deze groep inschakelen naar AD, zodat de in de cloud gemaakte groep kan worden gebruikt door een AD-toepassing.
Groepen die afkomstig zijn uit Exchange Online als distributiegroepen kunnen ook niet worden gewijzigd in Microsoft Entra-id, zodat ze niet kunnen worden toegevoegd aan catalogi.
Toepassingen kunnen Microsoft Entra-bedrijfstoepassingen zijn, waaronder SaaS-toepassingen (Software as a Service), on-premises toepassingen en uw eigen toepassingen die zijn geïntegreerd met Microsoft Entra ID.
Als uw toepassing nog niet is geïntegreerd met Microsoft Entra ID, raadpleegt u de toegang voor toepassingen in uw omgeving en integreert u een toepassing met Microsoft Entra-id en voegt u de toepassing toe aan uw directory voordat u deze aan de catalogus toevoegt.
Zie voor meer informatie over het selecteren van de juiste resources voor toepassingen met meerdere rollen hoe u bepaalt welke resourcerollen moeten worden opgenomen in een toegangspakket.
Sites kunnen SharePoint Online-sites of SharePoint Online-siteverzamelingen zijn.
Notitie
Zoek sharePoint-site op sitenaam of een exacte URL omdat het zoekvak hoofdlettergevoelig is.
Catalogustoegangsbeoordelingen (preview) staan ook toe dat aangepaste gegevensbronnen in een catalogus worden opgenomen.
Wanneer resources die zijn toegevoegd aan een catalogus verhoogde machtigingen verlenen, heeft de catalogus automatisch het bevoegdheidsniveauPrivileged.
Vereiste rollen: Zie Vereiste rollen om resources toe te voegen aan een catalogus.
Resources toevoegen aan een catalogus:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar ID Governance>Catalogussen.
Open op de pagina Catalogi de catalogus waaraan u resources wilt toevoegen.
Selecteer Resources in het linkermenu.
Selecteer Resources toevoegen.
Selecteer het resourcetype Groepen en Teams, Toepassingen of SharePoint-sites.
Als u geen resource ziet die u wilt toevoegen of als u geen resource kunt toevoegen, controleert u of u over de vereiste Directory- en rechtenbeheerrol van Microsoft Entra beschikt. Mogelijk moet iemand met de vereiste rollen de resource aan uw catalogus toevoegen. Zie Vereiste rollen voor het toevoegen van resources aan een catalogus voor meer informatie.
Selecteer een of meer resources van het type dat u wilt toevoegen aan de catalogus.
Wanneer u klaar bent, selecteert u Toevoegen.
Deze resources kunnen nu worden opgenomen in toegangspakketten in de catalogus.
Resourcekenmerken toevoegen in de catalogus
Kenmerken zijn vereiste velden die aanvragers moeten beantwoorden voordat ze hun toegangsaanvraag indienen. Hun antwoorden voor deze kenmerken worden weergegeven voor goedkeurders en worden ook gestempeld op het gebruikersobject in Microsoft Entra ID.
Notitie
Voor alle kenmerken die voor een resource zijn ingesteld, is een antwoord vereist voordat een aanvraag voor een toegangspakket met die resource kan worden ingediend. Als aanvragers geen antwoord geven, worden hun aanvraag niet verwerkt.
Om kenmerken te vereisen voor toegangsaanvragen:
Selecteer Resources in het linkermenu en er wordt een lijst met resources in de catalogus weergegeven.
Selecteer het beletselteken naast de resource waaraan u kenmerken wilt toevoegen en selecteer vervolgens Kenmerken vereisen.
Selecteer het kenmerktype:
- De ingebouwde functie omvat Microsoft Entra-gebruikersprofielkenmerken .
- De extensie directoryschema biedt een manier om meer gegevens op te slaan in Microsoft Entra-gebruikers. U kunt het schema uitbreiden door een extensiekenmerk te maken. Deze extensiekenmerken op gebruikersobjecten kunnen worden gebruikt om claims naar toepassingen te verzenden tijdens provisioning of eenmalige aanmelding.
Als u Ingebouwd hebt gekozen, selecteert u een kenmerk in de vervolgkeuzelijst. Als u directoryschema-extensie hebt gekozen, voert u de kenmerknaam in het tekstvak in.
Notitie
Het kenmerk User.mobilePhone is een gevoelige eigenschap die alleen door sommige beheerders kan worden bijgewerkt. Meer informatie vindt u op Wie kan gevoelige gebruikerskenmerken bijwerken?.
Selecteer de antwoordindeling die u wilt gebruiken voor het antwoord van aanvragers. Antwoordindelingen zijn korte tekst, meerdere keuzen en lange tekst.
Als u meerdere opties selecteert, selecteert u Bewerken en lokaliseren om de antwoordopties te configureren.
- Voer in het deelvenster Vraag weergeven/bewerken dat wordt weergegeven de antwoordopties in die u de aanvrager wilt geven wanneer ze de vraag beantwoorden in de vakken Antwoordwaarden .
- Selecteer de taal voor de antwoordoptie. U kunt antwoordopties lokaliseren als u meer talen kiest.
- Voer zoveel antwoorden in als u nodig hebt en selecteer Opslaan.
Als u wilt dat de kenmerkwaarde kan worden bewerkt tijdens directe toewijzingen en selfserviceaanvragen, selecteert u Ja.
Notitie
- Als u Nee selecteert in het vak Kenmerkwaarde kan worden bewerkt en de kenmerkwaarde leeg is, kunnen gebruikers de waarde van dat kenmerk invoeren. Na het opslaan kan de waarde niet worden bewerkt.
- Als u Nee selecteert in het vak Kenmerkwaarde kan worden bewerkt en de kenmerkwaarde niet leeg is, kunnen gebruikers de vooraf bestaande waarde niet bewerken tijdens directe toewijzingen en selfserviceaanvragen.
Als u lokalisatie wilt toevoegen, selecteert u Lokalisatie toevoegen.
Selecteer in het deelvenster Lokalisaties voor vraag toevoegen de taalcode voor de taal waarin u de vraag met betrekking tot het geselecteerde kenmerk wilt lokaliseren.
Voer in de taal die u hebt geconfigureerd de vraag in het vak Gelokaliseerd tekstvak in.
Nadat u alle gewenste lokalisaties hebt toegevoegd, selecteert u Opslaan.
Nadat alle kenmerkgegevens zijn voltooid op de pagina Kenmerken vereisen , selecteert u Opslaan.
Een Multi-Geo SharePoint-site toevoegen
Als Multi-Geo is ingeschakeld voor SharePoint, selecteert u de omgeving waaruit u sites wilt selecteren.
Selecteer vervolgens de sites die u wilt toevoegen aan de catalogus.
Een resource programmatisch toevoegen aan een catalogus
U kunt ook een resource toevoegen aan een catalogus met behulp van Microsoft Graph. Een gebruiker met de juiste rol, een cataloguseigenaar of een resource-eigenaar, die een toepassing heeft met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, kan de API aanroepen om een resourceverzoek te maken. Een toepassing met de toepassingsmachtigingen EntitlementManagement.ReadWrite.All en machtigingen voor het wijzigen van resources, zoals Group.ReadWrite.All, kan ook resources toevoegen aan de catalogus.
Een resource toevoegen aan een catalogus met PowerShell
U kunt ook een resource toevoegen aan een catalogus in PowerShell met de New-MgEntitlementManagementResourceRequest cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. In het volgende voorbeeld ziet u hoe u een groep als bron toevoegt aan een catalogus met behulp van de cmdlets module versie 2.4.0 van Microsoft Graph PowerShell.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
Resources uit een catalogus verwijderen
U kunt resources uit een catalogus verwijderen. Een resource kan alleen uit een catalogus worden verwijderd als deze niet wordt gebruikt in een van de toegangspakketten van de catalogus.
Vereiste rollen: Zie Vereiste rollen om resources toe te voegen aan een catalogus.
Resources uit een catalogus verwijderen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar ID Governance>Catalogussen.
Open op de pagina Catalogi de catalogus waaruit u resources wilt verwijderen.
Selecteer Resources in het linkermenu.
Selecteer de resources die u wilt verwijderen.
Selecteer verwijderen. Selecteer eventueel het beletselteken (...) en selecteer vervolgens Resource verwijderen.
Meer cataloguseigenaren toevoegen
De gebruiker die een catalogus heeft gemaakt, wordt de eerste cataloguseigenaar. Als u het beheer van een catalogus wilt delegeren, voegt u gebruikers toe aan de rol van cataloguseigenaar. Het toevoegen van meer cataloguseigenaren helpt bij het delen van de verantwoordelijkheden voor catalogusbeheer.
Een gebruiker toewijzen aan de rol van cataloguseigenaar:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Aanbeveling
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus.
Blader naar ID Governance>Catalogussen.
Open op de pagina Catalogi de catalogus waaraan u beheerders wilt toevoegen.
Selecteer rollen en beheerders in het linkermenu.
Selecteer Eigenaren toevoegen om de leden voor deze rollen te selecteren.
Selecteer Selecteren om deze leden toe te voegen.
Een catalogus bewerken
U kunt de naam en beschrijving voor een catalogus bewerken. Gebruikers zien deze informatie in de details van een toegangspakket.
Een catalogus bewerken:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Aanbeveling
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn onder andere de maker van de catalogus.
Blader naar ID Governance>Catalogussen.
Open op de pagina Catalogi de catalogus die u wilt bewerken.
Selecteer Bewerken op de pagina Overzicht van de catalogus.
Bewerk de naam, beschrijving of ingeschakelde instellingen van de catalogus.
Selecteer Opslaan.
Privilege-niveau van een catalogus bijwerken (preview)
Wanneer u resources toevoegt die verhoogde machtigingen verlenen, zoals Microsoft Entra-rollen of Application API-machtigingen, wordt de catalogus automatisch een privileged-niveau toegewezen. U kunt echter ook het bevoegdheidsniveau van een catalogus handmatig bijwerken. Voer hiervoor de volgende stappen uit:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Aanbeveling
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn onder andere de maker van de catalogus.
Blader naar ID Governance>Catalogussen.
Open op de pagina Catalogs de catalogus waarvan u het bevoegdheidsniveau wilt wijzigen.
Selecteer op de overzichtspagina van de catalogus onder Privilege-niveau (preview) welk niveau u wilt.
Selecteer Opslaan.
Privilege-niveau van een catalogus programmatisch bijwerken
Handmatig bijwerken doet u door de instelling PrivilegeLevel van het bevoegdheidsniveau van een catalogus via Microsoft Graph bij te werken. Een gebruiker in een juiste rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging kan de API aanroepen.
Een catalogus verwijderen
U kunt een catalogus verwijderen, maar alleen als deze geen toegangspakketten heeft.
Een catalogus verwijderen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Aanbeveling
Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn onder andere de maker van de catalogus.
Blader naar ID Governance>Catalogussen.
Open op de pagina Catalogi de catalogus die u wilt verwijderen.
Selecteer Verwijderen op de pagina Overzicht van de catalogus.
Selecteer Ja in het berichtvak dat wordt weergegeven.
Een catalogus programmatisch verwijderen
U kunt ook een catalogus verwijderen met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging kan de API aanroepen om een accessPackageCatalog te verwijderen.