Delen via


Een catalogus met resources maken en beheren in rechtenbeheer

In dit artikel leest u hoe u een catalogus met resources en toegangspakketten maakt en beheert in rechtenbeheer.

Een catalogus maken

Een catalogus is een container met resources en toegangspakketten. U maakt een catalogus wanneer u gerelateerde resources en toegangspakketten wilt groeperen. Een beheerder kan een catalogus maken. Bovendien kan een gebruiker die is gedelegeerd aan de rol catalogusmaker een catalogus maken voor resources die ze eigenaar zijn. Een niet-beheerder die de catalogus maakt, wordt de eerste cataloguseigenaar. Een cataloguseigenaar kan meer gebruikers, groepen gebruikers of toepassingsservice-principals toevoegen als cataloguseigenaren.

Een catalogus maken:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn onder andere de maker van de catalogus. Gebruikers aan wie de rol Gebruikersbeheerder is toegewezen, kunnen geen catalogussen meer maken of toegangspakketten beheren in een catalogus die ze niet bezitten. Als gebruikers in uw organisatie de rol Gebruikersbeheerder hebben toegewezen om catalogi, toegangspakketten of beleidsregels in rechtenbeheer te configureren, moet u deze gebruikers in plaats daarvan de rol Identity Governance Administrator toewijzen.

  2. Blader naar catalogussen voor rechtenbeheer voor identiteitsbeheer>>.

    Schermopname van rechtenbeheercatalogussen in het Microsoft Entra-beheercentrum.

  3. Selecteer Nieuwe catalogus.

  4. Voer een unieke naam in voor de catalogus en geef een beschrijving op.

    Gebruikers zien deze informatie in de details van een toegangspakket.

  5. Als u wilt dat de toegangspakketten in deze catalogus beschikbaar zijn om gebruikers te vragen zodra ze zijn gemaakt, stelt u Ingeschakeld in op Ja.

  6. Als u wilt toestaan dat gebruikers in externe mappen van verbonden organisaties toegangspakketten in deze catalogus kunnen aanvragen, stelt u Ingeschakeld in op Ja. De toegangspakketten moeten ook een beleid hebben waarmee gebruikers van verbonden organisaties aanvragen kunnen aanvragen. Als de toegangspakketten in deze catalogus alleen bedoeld zijn voor gebruikers die al in de map staan, stelt u Ingeschakeld in op Nee.

    Schermopname van het deelvenster Nieuwe catalogus.

  7. Selecteer Maken om de catalogus te maken.

Programmatisch een catalogus maken

Er zijn twee manieren om programmatisch een catalogus te maken.

Een catalogus maken met Microsoft Graph

U kunt een catalogus maken met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging, of een toepassing met de EntitlementManagement.ReadWrite.All toepassingsmachtiging, kan de API aanroepen om een catalogus te maken.

Een catalogus maken met PowerShell

U kunt ook een catalogus maken in PowerShell met de New-MgEntitlementManagementCatalog cmdlet van de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance versie 2.2.0 of hoger.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"

Resources toevoegen aan een catalogus

Als u resources in een toegangspakket wilt opnemen, moeten de resources in een catalogus aanwezig zijn. De typen resources die u aan een catalogus kunt toevoegen, zijn groepen, toepassingen en SharePoint Online-sites.

  • Groepen kunnen in de cloud worden gemaakt Microsoft 365 Groepen of door de cloud gemaakte Microsoft Entra-beveiligingsgroepen.

    • Groepen die afkomstig zijn uit een on-premises Active Directory, kunnen niet worden toegewezen als resources omdat hun eigenaar- of lidkenmerken niet kunnen worden gewijzigd in Microsoft Entra-id. Als u een gebruiker toegang wilt geven tot een toepassing die gebruikmaakt van ad-beveiligingsgroepslidmaatschappen, maakt u een nieuwe beveiligingsgroep in Microsoft Entra-id, configureert u write-back van groepen naar AD en stelt u in dat deze groep naar AD kan worden geschreven, zodat de in de cloud gemaakte groep kan worden gebruikt door een AD-toepassing.

    • Groepen die afkomstig zijn uit Exchange Online als distributiegroepen kunnen ook niet worden gewijzigd in Microsoft Entra-id, zodat ze niet kunnen worden toegevoegd aan catalogi.

  • Toepassingen kunnen Microsoft Entra-bedrijfstoepassingen zijn, waaronder SaaS-toepassingen (Software as a Service), on-premises toepassingen en uw eigen toepassingen die zijn geïntegreerd met Microsoft Entra ID.

  • Sites kunnen SharePoint Online-sites of SharePoint Online-siteverzamelingen zijn.

Notitie

Zoek sharePoint-site op sitenaam of een exacte URL omdat het zoekvak hoofdlettergevoelig is.

Vereiste rollen: Zie Vereiste rollen om resources toe te voegen aan een catalogus.

Resources toevoegen aan een catalogus:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar catalogussen voor rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Catalogi de catalogus waaraan u resources wilt toevoegen.

  4. Selecteer Resources in het linkermenu.

  5. Selecteer Resources toevoegen.

  6. Selecteer het resourcetype Groepen en Teams, Toepassingen of SharePoint-sites.

    Als u geen resource ziet die u wilt toevoegen of als u geen resource kunt toevoegen, controleert u of u over de vereiste Directory- en rechtenbeheerrol van Microsoft Entra beschikt. Mogelijk moet iemand met de vereiste rollen de resource aan uw catalogus toevoegen. Bekijk Vereiste rollen om bronnen aan een catalogus toe te voegen voor meer informatie.

  7. Selecteer een of meer resources van het type dat u wilt toevoegen aan de catalogus.

    Schermopname van het deelvenster Resources toevoegen aan een catalogus.

  8. Wanneer u klaar bent, selecteert u Toevoegen.

    Deze resources kunnen nu worden opgenomen in toegangspakketten in de catalogus.

Resourcekenmerken toevoegen in de catalogus

Kenmerken zijn vereiste velden die aanvragers moeten beantwoorden voordat ze hun toegangsaanvraag indienen. Hun antwoorden voor deze kenmerken worden weergegeven voor goedkeurders en worden ook gestempeld op het gebruikersobject in Microsoft Entra ID.

Notitie

Voor alle kenmerken die voor een resource zijn ingesteld, is een antwoord vereist voordat een aanvraag voor een toegangspakket met die resource kan worden ingediend. Als aanvragers geen antwoord geven, worden hun aanvraag niet verwerkt.

Kenmerken voor toegangsaanvragen vereisen:

  1. Selecteer Resources in het linkermenu en er wordt een lijst met resources in de catalogus weergegeven.

  2. Selecteer het beletselteken naast de resource waaraan u kenmerken wilt toevoegen en selecteer vervolgens Kenmerken vereisen.

    Schermopname van het selecteren van kenmerken Vereisen

  3. Selecteer het kenmerktype:

    1. Ingebouwde kenmerken van microsoft Entra-gebruikersprofielen.
    2. De extensie directoryschema biedt een manier om meer gegevens op te slaan in Microsoft Entra-gebruikers. U kunt het schema uitbreiden door een extensiekenmerk te maken. Deze extensiekenmerken op gebruikersobjecten kunnen worden gebruikt om claims naar toepassingen te verzenden tijdens het inrichten of eenmalige aanmelding.
  4. Als u Ingebouwd hebt gekozen, selecteert u een kenmerk in de vervolgkeuzelijst. Als u directoryschema-extensie hebt gekozen, voert u de kenmerknaam in het tekstvak in.

    Notitie

    Het kenmerk User.mobilePhone is een gevoelige eigenschap die alleen door sommige beheerders kan worden bijgewerkt. Meer informatie vindt u op Wie kan gevoelige gebruikerskenmerken bijwerken?.

  5. Selecteer de antwoordindeling die u wilt gebruiken voor het antwoord van aanvragers. Antwoordindelingen zijn korte tekst, meerdere keuzen en lange tekst.

  6. Als u meerdere opties selecteert, selecteert u Bewerken en lokaliseren om de antwoordopties te configureren.

    1. Voer in het deelvenster Vraag weergeven/bewerken dat wordt weergegeven de antwoordopties in die u de aanvrager wilt geven wanneer ze de vraag beantwoorden in de vakken Antwoordwaarden .
    2. Selecteer de taal voor de antwoordoptie. U kunt antwoordopties lokaliseren als u meer talen kiest.
    3. Voer zoveel antwoorden in als u nodig hebt en selecteer Opslaan.
  7. Als u wilt dat de kenmerkwaarde kan worden bewerkt tijdens directe toewijzingen en selfserviceaanvragen, selecteert u Ja.

    Notitie

    Schermopname van het bewerken van kenmerken.

    • Als u Nee selecteert in het vak Kenmerkwaarde kan worden bewerkt en de kenmerkwaarde leeg is, kunnen gebruikers de waarde van dat kenmerk invoeren. Na het opslaan kan de waarde niet worden bewerkt.
    • Als u Nee selecteert in het vak Kenmerkwaarde kan worden bewerkt en de kenmerkwaarde niet leeg is, kunnen gebruikers de vooraf bestaande waarde niet bewerken tijdens directe toewijzingen en selfserviceaanvragen.

    Schermopname van het toevoegen van lokalisaties.

  8. Als u lokalisatie wilt toevoegen, selecteert u Lokalisatie toevoegen.

    1. Selecteer in het deelvenster Lokalisaties voor vraag toevoegen de taalcode voor de taal waarin u de vraag met betrekking tot het geselecteerde kenmerk wilt lokaliseren.

    2. Voer in de taal die u hebt geconfigureerd de vraag in het vak Gelokaliseerd tekstvak in.

    3. Nadat u alle gewenste lokalisaties hebt toegevoegd, selecteert u Opslaan.

      Schermopname van het opslaan van de lokalisaties.

  9. Nadat alle kenmerkgegevens zijn voltooid op de pagina Kenmerken vereisen, selecteert u Opslaan.

Een Multi-Geo SharePoint-site toevoegen

  1. Als Multi-Geo is ingeschakeld voor SharePoint, selecteert u de omgeving waaruit u sites wilt selecteren.

    Schermopname van het deelvenster SharePoint Online-sites selecteren.

  2. Selecteer vervolgens de sites die u wilt toevoegen aan de catalogus.

Een resource programmatisch toevoegen aan een catalogus

U kunt ook een resource toevoegen aan een catalogus met behulp van Microsoft Graph. Een gebruiker met de juiste rol, of een catalogus en resource-eigenaar, met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging kan de API aanroepen om een resourceRequest te maken. Een toepassing met de toepassingsmachtigingen EntitlementManagement.ReadWrite.All en machtigingen voor het wijzigen van resources, zoals Group.ReadWrite.All, kan ook resources toevoegen aan de catalogus.

Een resource toevoegen aan een catalogus met PowerShell

U kunt ook een resource toevoegen aan een catalogus in PowerShell met de New-MgEntitlementManagementResourceRequest cmdlet uit de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 2.1.x of nieuwere moduleversie. In het volgende voorbeeld ziet u hoe u een groep als resource toevoegt aan een catalogus met behulp van de module module versie 2.4.0 van Microsoft Graph PowerShell.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"

$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
  requestType = "adminAdd"
  resource = @{
    originId = $g.Id
    originSystem = "AadGroup"
  }
  catalog = @{ id = $catalog.id }
}

New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources

Resources uit een catalogus verwijderen

U kunt resources uit een catalogus verwijderen. Een resource kan alleen uit een catalogus worden verwijderd als deze niet wordt gebruikt in een van de toegangspakketten van de catalogus.

Vereiste rollen: Zie Vereiste rollen om resources toe te voegen aan een catalogus.

Resources uit een catalogus verwijderen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar catalogussen voor rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Catalogi de catalogus waaruit u resources wilt verwijderen.

  4. Selecteer Resources in het linkermenu.

  5. Selecteer de resources die u wilt verwijderen.

  6. Selecteer Verwijderen. Selecteer eventueel het beletselteken (...) en selecteer vervolgens Resource verwijderen.

Meer cataloguseigenaren toevoegen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

De gebruiker die een catalogus heeft gemaakt, wordt de eerste cataloguseigenaar. Als u het beheer van een catalogus wilt delegeren, voegt u gebruikers toe aan de rol van cataloguseigenaar. Het toevoegen van meer cataloguseigenaren helpt bij het delen van de verantwoordelijkheden voor catalogusbeheer.

Een gebruiker toewijzen aan de rol van cataloguseigenaar:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus.

  2. Blader naar catalogussen voor rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Catalogi de catalogus waaraan u beheerders wilt toevoegen.

  4. Selecteer rollen en beheerders in het linkermenu.

    Schermopname van catalogusrollen en beheerders.

  5. Selecteer Eigenaren toevoegen om de leden voor deze rollen te selecteren.

  6. Selecteer Selecteren om deze leden toe te voegen.

Een catalogus bewerken

U kunt de naam en beschrijving voor een catalogus bewerken. Gebruikers zien deze informatie in de details van een toegangspakket.

Een catalogus bewerken:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn onder andere de maker van de catalogus.

  2. Blader naar catalogussen voor rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Catalogi de catalogus die u wilt bewerken.

  4. Selecteer Bewerken op de pagina Overzicht van de catalogus.

  5. Bewerk de naam, beschrijving of ingeschakelde instellingen van de catalogus.

    Schermopname van de instellingen voor de bewerkingscatalogus.

  6. Selecteer Opslaan.

Een catalogus verwijderen

U kunt een catalogus verwijderen, maar alleen als deze geen toegangspakketten heeft.

Een catalogus verwijderen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn onder andere de maker van de catalogus.

  2. Blader naar catalogussen voor rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Catalogi de catalogus die u wilt verwijderen.

  4. Selecteer Verwijderen op de pagina Overzicht van de catalogus.

  5. Selecteer Ja in het berichtvak dat wordt weergegeven.

Een catalogus programmatisch verwijderen

U kunt ook een catalogus verwijderen met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All machtiging kan de API aanroepen om een accessPackageCatalog te verwijderen.

Volgende stappen

Toegangsbeheer delegeren aan toegangspakketbeheerders