De bestaande gebruikers van een toepassing beheren - Microsoft PowerShell

Er zijn drie veelvoorkomende scenario's waarin microsoft Entra-id moet worden gevuld met bestaande gebruikers van een toepassing voordat u de toepassing gebruikt met een Microsoft Entra ID-governance functie, zoals toegangsbeoordelingen.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Toepassing gemigreerd naar Microsoft Entra-id na gebruik van een eigen id-provider

In het eerste scenario bestaat de toepassing al in de omgeving. Voorheen gebruikte de toepassing een eigen id-provider of gegevensarchief om bij te houden welke gebruikers toegang hadden.

Wanneer u de toepassing wijzigt zodat deze afhankelijk is van Microsoft Entra-id, hebben alleen gebruikers die zich in Microsoft Entra-id bevinden en toegang tot die toepassing toegang hebben. Als onderdeel van deze configuratiewijziging kunt u ervoor kiezen om de bestaande gebruikers uit het gegevensarchief van die toepassing naar Microsoft Entra-id te brengen. Deze gebruikers blijven vervolgens toegang hebben via Microsoft Entra-id.

Als gebruikers die zijn gekoppeld aan de toepassing die in Microsoft Entra-id worden weergegeven, kunnen Microsoft Entra-id gebruikers bijhouden die toegang hebben tot de toepassing, ook al is hun relatie met de toepassing elders afkomstig. De relatie kan bijvoorbeeld afkomstig zijn uit de database of directory van een toepassing.

Nadat Microsoft Entra ID op de hoogte is van de toewijzing van een gebruiker, kan deze updates verzenden naar het gegevensarchief van de toepassing. Updates worden onder meer verzonden wanneer de kenmerken van die gebruiker worden gewijzigd of wanneer de gebruiker buiten het bereik van de toepassing komt te vallen.

Toepassing die geen Microsoft Entra-id gebruikt als enige id-provider

In het tweede scenario is een toepassing niet alleen afhankelijk van Microsoft Entra-id als id-provider.

In sommige gevallen kan een toepassing afhankelijk zijn van AD-groepen. Dit scenario wordt beschreven in Patroon B in Voorbereiding op een toegangsbeoordeling van de toegang van gebruikers tot een toepassing. U hoeft de inrichting voor die toepassing niet te configureren zoals beschreven in dat artikel. Volg in plaats daarvan de instructies voor Patroon B in dat artikel over het controleren van het lidmaatschap van AD-groepen.

In andere gevallen kan een toepassing ondersteuning bieden voor meerdere id-providers of een eigen ingebouwde referentieopslag hebben. Dit scenario wordt beschreven als patroon C in Voorbereiden voor een beoordeling van de toegang van gebruikers tot een toepassing.

Het is mogelijk niet haalbaar om andere id-providers of lokale verificatie van aanmeldingsgegevens te verwijderen uit de toepassing. Als u in dat geval Microsoft Entra-id wilt gebruiken om te controleren wie toegang heeft tot die toepassing, of als u iemands toegang uit die toepassing wilt verwijderen, moet u toewijzingen maken in Microsoft Entra-id die toepassingsgebruikers vertegenwoordigen die niet afhankelijk zijn van Microsoft Entra-id voor verificatie.

Deze toewijzingen zijn nodig als u van plan bent om alle gebruikers met toegang tot de toepassing te controleren als onderdeel van een toegangsbeoordeling.

Stel bijvoorbeeld dat een gebruiker zich in het gegevensarchief van de toepassing bevindt. Microsoft Entra-id is geconfigureerd om roltoewijzingen aan de toepassing te vereisen. De gebruiker heeft echter geen toepassingsroltoewijzing in Microsoft Entra-id.

Als de gebruiker wordt bijgewerkt in Microsoft Entra ID, worden er geen wijzigingen naar de toepassing verzonden. En als de roltoewijzingen van de toepassing worden beoordeeld, wordt de gebruiker niet opgenomen in de beoordeling. Als u alle gebruikers wilt opnemen in de beoordeling, moet u toepassingsroltoewijzingen hebben voor alle gebruikers van de toepassing.

De toepassing maakt geen gebruik van Microsoft Entra-id als id-provider en biedt ook geen ondersteuning voor inrichting

Voor sommige oudere toepassingen is het mogelijk niet haalbaar om andere id-providers of lokale referentieverificatie uit de toepassing te verwijderen of ondersteuning in te schakelen voor het inrichten van protocollen voor deze toepassingen.

Dit scenario van een toepassing die geen ondersteuning biedt voor inrichtingsprotocollen, wordt behandeld in een afzonderlijk artikel, de bestaande gebruikers van een toepassing die geen ondersteuning biedt voor inrichting.

Terminologie

Dit artikel illustreert het proces voor het beheren van toepassingsroltoewijzingen met behulp van de Microsoft Graph PowerShell-cmdlets. Hierbij wordt gebruikgemaakt van de volgende Microsoft Graph-terminologie.

In Microsoft Entra-id vertegenwoordigt een service-principal (ServicePrincipal) een toepassing in de adreslijst van een bepaalde organisatie. ServicePrincipal heeft een eigenschap genaamd AppRoles die de rollen bevat die door een toepassing worden ondersteund, zoals Marketing specialist. AppRoleAssignment koppelt een gebruiker aan een service-principal en geeft aan welke rol die gebruiker heeft in die toepassing. Een toepassing kan meer dan één service-principal hebben, als eenmalige aanmelding bij de toepassing en inrichting voor de toepassing afzonderlijk worden verwerkt.

U kunt ook Microsoft Entra-toegangspakketten voor rechtenbeheer gebruiken om gebruikers tijdgebonden toegang te geven tot de toepassing. In rechtenbeheer AccessPackage bevat een of meer resourcerollen, mogelijk van meerdere service-principals. AccessPackage heeft ook toewijzingen (Assignment) voor gebruikers aan het toegangspakket.

Wanneer u een toewijzing voor een gebruiker voor een toegangspakket maakt, maakt Microsoft Entra-rechtenbeheer automatisch de benodigde AppRoleAssignment exemplaren voor de gebruiker aan de service-principal van elke toepassing in het toegangspakket. Zie de zelfstudie Toegang tot resources beheren in Microsoft Entra-rechtenbeheer voor meer informatie over het maken van toegangspakketten via PowerShell.

Voordat u begint

• U moet een van de volgende licenties hebben in uw tenant:

  • Microsoft Entra ID P2 of Microsoft Entra ID-governance
  • Enterprise Mobility + Security E5-licentie

• U moet een geschikte beheerdersrol hebben. Als dit de eerste keer is dat u deze stappen uitvoert, hebt u de rol Globale beheerder nodig om het gebruik van Microsoft Graph PowerShell te autoriseren in uw tenant.

• Uw toepassing heeft ten minste één service-principal in uw tenant nodig:

  • Als de toepassing gebruikmaakt van een LDAP-directory, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in LDAP-directory's via de sectie voor het downloaden, installeren en configureren van het Microsoft Entra Verbinding maken Provisioning Agent-pakket.
  • Als de toepassing gebruikmaakt van een SQL-database, volgt u de handleiding voor het configureren van Microsoft Entra-id voor het inrichten van gebruikers in SQL-toepassingen via de sectie voor het downloaden, installeren en configureren van het Microsoft Entra Verbinding maken Provisioning Agent-pakket.
  • Als de toepassing GEBRUIKMAAKT van SAP Cloud Identity Services of een cloudtoepassing is die het SCIM-protocol ondersteunt en de toepassing nog niet is geconfigureerd in uw tenant, registreert u de toepassing verderop in deze handleiding vanuit de toepassingsgalerie.
  • Als de toepassing on-premises is en het SCIM-protocol ondersteunt, volgt u de handleiding voor het configureren van Microsoft Entra-id voor het inrichten van gebruikers in on-premises SCIM-toepassingen.

Bestaande gebruikers verzamelen uit een toepassing

De eerste stap om ervoor te zorgen dat alle gebruikers worden vastgelegd in Microsoft Entra ID, is het verzamelen van de lijst met bestaande gebruikers die toegang hebben tot de toepassing.

Sommige toepassingen hebben mogelijk een ingebouwde opdracht om een lijst van huidige gebruikers te exporteren uit het gegevensarchief. In andere gevallen kan de toepassing afhankelijk zijn van een externe directory of database.

In sommige omgevingen bevindt de toepassing zich mogelijk in een netwerksegment of systeem dat niet geschikt is voor het beheren van toegang tot Microsoft Entra-id. Mogelijk moet u de lijst met gebruikers uit die map of database extraheren en deze vervolgens overdragen als een bestand naar een ander systeem dat kan worden gebruikt voor Interacties met Microsoft Entra.

In deze sectie worden vier benaderingen uitgelegd voor het ophalen van een lijst met gebruikers in een CSV-bestand (door komma's gescheiden waarden):

• Vanuit een LDAP-directory
• Vanuit een SQL Server-database
• Vanuit een andere SQL-toepassing
• Van SAP Cloud Identity Services

Bestaande gebruikers verzamelen uit een toepassing die gebruikmaakt van een LDAP-directory

Deze sectie is van toepassing op toepassingen die een LDAP-directory gebruiken als het onderliggende gegevensarchief voor gebruikers die zich niet verifiëren bij Microsoft Entra-id. Veel LDAP-directory's, zoals Active Directory, bevatten een opdracht die een lijst van gebruikers produceert.

1. Bepaal welke van de gebruikers in die directory binnen het bereik vallen als gebruikers van de toepassing. Deze keuze is afhankelijk van de configuratie van uw toepassing. Voor sommige toepassingen is elke bestaande gebruiker in een LDAP-directory een geldige gebruiker. Voor andere toepassingen moet de gebruiker mogelijk een bepaald kenmerk hebben of lid zijn van een groep in die directory.

2. Voer de opdracht uit waarmee de subset van gebruikers wordt opgehaald uit uw directory. Zorg ervoor dat de uitvoer de kenmerken bevat van gebruikers die worden gebruikt voor overeenkomende Microsoft Entra-id. Voorbeelden van deze kenmerken zijn werknemers-id, accountnaam en e-mailadres.

   Met deze opdracht wordt bijvoorbeeld een CSV-bestand geproduceerd in de huidige bestandssysteemmap met het userPrincipalName kenmerk van elke persoon in de LDAP-map:

   $out_filename = ".\users.csv"
   csvde -f $out_filename -l userPrincipalName,cn -r "(objectclass=person)"
   

3. Breng indien nodig het CSV-bestand met de lijst met van gebruikers over naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.

4. Lees verder op de bevestiging dat Microsoft Entra ID gebruikers bevat die overeenkomen met gebruikers uit de sectie van de toepassing verderop in dit artikel.

Bestaande gebruikers verzamelen uit een databasetabel van een toepassing met behulp van een SQL Server-wizard

Deze sectie is van toepassing op toepassingen die gebruikmaken van SQL Server als het onderliggende gegevensarchief.

Haal eerst een lijst van gebruikers op uit de tabellen. De meeste databases bieden een manier om de inhoud van tabellen te exporteren naar een standaardbestandsindeling, zoals een CSV-bestand. Als de toepassing een SQL Server-database gebruikt, kunt u de SQL Server-wizard voor importeren en exporteren gebruiken om delen van een database te exporteren. Als u geen hulpprogramma hebt voor uw database, kunt u het ODBC-stuurprogramma gebruiken met PowerShell, zoals beschreven in de volgende sectie.

1. Meld u aan bij het systeem waarop SQL Server is geïnstalleerd.
2. Open SQL Server 2019 Importeren en exporteren (64-bits) of het equivalent voor uw database.
3. Selecteer de bestaande database als bron.
4. Selecteer Bestemming plat bestand als de bestemming. Geef een bestandsnaam op en wijzig de waarde van Codepagina naar 65001 (UTF-8).
5. Voltooi de wizard en selecteer de optie om direct uit te voeren.
6. Wacht tot de uitvoering is voltooid.
7. Breng indien nodig het CSV-bestand met de lijst met van gebruikers over naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.
8. Lees verder op de bevestiging dat Microsoft Entra ID gebruikers bevat die overeenkomen met gebruikers uit de sectie van de toepassing verderop in dit artikel.

Bestaande gebruikers verzamelen uit een databasetabel van een toepassing met behulp van PowerShell

Deze sectie is van toepassing op toepassingen die een andere SQL-database gebruiken als het onderliggende gegevensarchief, waarbij u de ECMA-connectorhost gebruikt om gebruikers in te richten in die toepassing. Als u de inrichtingsagent nog niet hebt geconfigureerd, gebruik dan deze handleiding om het DSN-verbindingsbestand te maken dat u in deze sectie gaat gebruiken.

1. Meld u aan bij het systeem waarop de inrichtingsagent zich bevindt of wordt geïnstalleerd.

2. Open PowerShell.

3. Maak een verbindingsreeks voor het maken van een verbinding met uw databasesysteem.

   De onderdelen van een verbindingsreeks zijn afhankelijk van de vereisten van uw database. Als u SQL Server gebruikt, zie dan de lijst van DSN- en verbindingsreekstrefwoorden en -kenmerken.

   Als u een andere database gebruikt, moet u de verplichte trefwoorden opnemen om verbinding te maken met die database. Als uw database bijvoorbeeld de volledig gekwalificeerde padnaam van het DSN-bestand, een gebruikers-id en een wachtwoord gebruikt, maak de verbindingsreeks dan met behulp van de volgende opdrachten:

   $filedsn = "c:\users\administrator\documents\db.dsn"
   $db_cs = "filedsn=" + $filedsn + ";uid=p;pwd=secret"
   

4. Open een verbinding met uw database en geef de verbindingsreeks op met behulp van de volgende opdrachten:

   $db_conn = New-Object data.odbc.OdbcConnection
   $db_conn.ConnectionString = $db_cs
   $db_conn.Open()
   

5. Maak een SQL-query om de gebruikers op te halen uit de databasetabel. Zorg ervoor dat u de kolommen opneemt die worden gebruikt om gebruikers in de database van de toepassing te koppelen aan die gebruikers in Microsoft Entra-id. Kolommen kunnen onder andere werknemers-id, accountnaam of e-mailadres zijn.

   Als uw gebruikers bijvoorbeeld zijn opgeslagen in een databasetabel met de naam USERS met de kolommen name en email, voer dan de volgende opdracht in:

   $db_query = "SELECT name,email from USERS"
   
   

6. Verzend de query naar de database via de verbinding:

   $result = (new-object data.odbc.OdbcCommand($db_query,$db_conn)).ExecuteReader()
   $table = new-object System.Data.DataTable
   $table.Load($result)
   

   Het resultaat is de lijst van rijen die gebruikers vertegenwoordigen die zijn opgehaald uit de query.

7. Schrijf het resultaat naar een CSV-bestand:

   $out_filename = ".\users.csv"
   $table.Rows | Export-Csv -Path $out_filename -NoTypeInformation -Encoding UTF8
   

8. Als op dit systeem geen Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd of als er geen verbinding is met Microsoft Entra-id, moet u het CSV-bestand met de lijst met gebruikers overdragen naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.

Bestaande gebruikers verzamelen van SAP Cloud Identity Services

Deze sectie is van toepassing op SAP-toepassingen die SAP Cloud Identity Services gebruiken als de onderliggende service voor het inrichten van gebruikers.

1. Meld u aan bij uw SAP Cloud Identity Services-Beheer Console https://<tenantID>.accounts.ondemand.com/admin of https://<tenantID>.trial-accounts.ondemand.com/admin als er een proefversie is.
2. Navigeer naar Gebruikers en autorisaties > om gebruikers te exporteren.
3. Selecteer alle kenmerken die vereist zijn voor het koppelen van Microsoft Entra-gebruikers aan die in SAP. Dit omvat de SCIM ID, userNameen emailsandere kenmerken die u mogelijk gebruikt in uw SAP-systemen.
4. Selecteer Exporteren en wacht totdat de browser het CSV-bestand downloadt.
5. Als op dit systeem geen Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd of als er geen verbinding is met Microsoft Entra-id, moet u het CSV-bestand met de lijst met gebruikers overdragen naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.

Controleer of Microsoft Entra ID gebruikers bevat die overeenkomen met gebruikers uit de toepassing

Nu u een lijst hebt met alle gebruikers die zijn verkregen uit de toepassing, komt u overeen met die gebruikers uit het gegevensarchief van de toepassing met gebruikers in Microsoft Entra-id.

Voordat u verder gaat, moet u de informatie bekijken over Overeenkomende gebruikers in het bron- en doelsysteem. Daarna configureert u Microsoft Entra-inrichting met gelijkwaardige toewijzingen. Met deze stap kan Microsoft Entra-inrichting query's uitvoeren op het gegevensarchief van de toepassing met dezelfde overeenkomende regels.

De id's van de gebruikers in Microsoft Entra-id ophalen

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell-cmdlets .

De eerste keer dat uw organisatie deze cmdlets gebruikt voor dit scenario, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell te kunnen gebruiken in uw tenant. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Gebruikersbeheerder, als u verwacht nieuwe gebruikers te maken.
• Toepassingsbeheerder of identiteitsbeheerbeheerder, als u alleen toepassingsroltoewijzingen beheert.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeer dan de module Microsoft.Graph.Users en andere met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleer dan of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken naar Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Als dit de eerste keer is dat u deze opdracht hebt gebruikt, moet u mogelijk toestemming geven voor de Microsoft Graph-opdrachtregelprogramma's om deze machtigingen te hebben.

5. Lees de lijst van gebruikers verkregen uit het gegevensarchief van de toepassing in de PowerShell-sessie. Als de lijst van gebruikers zich in een CSV-bestand bevindt, kunt u de PowerShell-cmdlet Import-Csv gebruiken en de naam van het bestand uit de vorige sectie opgeven als argument.

   Als het bestand dat is verkregen uit SAP Cloud Identity Services bijvoorbeeld de naam Users-exported-from-sap.csv heeft en zich in de huidige map bevindt, voert u deze opdracht in.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Als u een database of map gebruikt, voert u de volgende opdracht in als het bestand de naam users.csv heeft en zich in de huidige map bevindt:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Kies de kolom van het users.csv-bestand dat overeenkomt met een kenmerk van een gebruiker in Microsoft Entra-id.

   Als u SAP Cloud Identity Services gebruikt, is de standaardtoewijzing het SAP SCIM-kenmerk userName met het kenmerk userPrincipalNameMicrosoft Entra-id:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Als u bijvoorbeeld een database of map gebruikt, hebt u mogelijk gebruikers in een database waarin de waarde in de kolom met de naam EMail dezelfde waarde heeft als in het kenmerk userPrincipalNameMicrosoft Entra:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Haal de id's van die gebruikers op in Microsoft Entra ID.

   Het volgende PowerShell-script gebruikt de eerder aangegeven waarden $dbusers, $db_match_column_name en $azuread_match_attr_name. Er wordt een query uitgevoerd op De Microsoft Entra-id om een gebruiker te zoeken die een kenmerk heeft met een overeenkomende waarde voor elke record in het bronbestand. Als er veel gebruikers zijn in het bestand dat is verkregen uit de bron-SAP Cloud Identity Services, -database of -map, kan het enkele minuten duren voordat dit script is voltooid. Als u geen kenmerk hebt in Microsoft Entra ID met de waarde en een contains of andere filterexpressie moet gebruiken, moet u dit script aanpassen en dat in stap 11 hieronder om een andere filterexpressie te gebruiken.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Bekijk de resultaten van de voorgaande query's. Kijk of een van de gebruikers in SAP Cloud Identity Services, de database of map zich niet in Microsoft Entra ID kan bevinden vanwege fouten of ontbrekende overeenkomsten.

   Het volgende PowerShell-script geeft de aantallen records weer die niet zijn gevonden:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Wanneer het script is voltooid, wordt er een fout weergegeven als records uit de gegevensbron zich niet in Microsoft Entra-id bevinden. Als niet alle records voor gebruikers uit het gegevensarchief van de toepassing zich kunnen bevinden als gebruikers in Microsoft Entra ID, moet u onderzoeken welke records niet overeenkomen en waarom.

   Iemands e-mailadres en userPrincipalName zijn bijvoorbeeld gewijzigd in Microsoft Entra-id zonder dat de bijbehorende mail eigenschap wordt bijgewerkt in de gegevensbron van de toepassing. Of de gebruiker heeft de organisatie misschien al verlaten, maar is nog aanwezig in de gegevensbron van de toepassing. Of er is mogelijk een leverancier- of superbeheerdersaccount in de gegevensbron van de toepassing die niet overeenkomt met een specifieke persoon in Microsoft Entra-id.

10. Als er gebruikers zijn die zich niet konden bevinden in Microsoft Entra-id of niet actief waren en zich konden aanmelden, maar u hun toegang wilt laten controleren of hun kenmerken bijgewerkt in SAP Cloud Identity Services, de database of map, moet u de toepassing, de overeenkomende regel bijwerken of Microsoft Entra-gebruikers voor hen maken. Zie toewijzingen en gebruikersaccounts beheren in toepassingen die niet overeenkomen met gebruikers in Microsoft Entra-id voor meer informatie over welke wijziging moet worden aangebracht.

    Als u de optie kiest om gebruikers te maken in Microsoft Entra ID, kunt u gebruikers bulksgewijs maken met behulp van:

    • Een CSV-bestand, zoals beschreven in gebruikers bulksgewijs maken in het Microsoft Entra-beheercentrum
    • De cmdlet New-MgUser

    Zorg ervoor dat deze nieuwe gebruikers worden gevuld met de kenmerken die vereist zijn voor Microsoft Entra-id, zodat deze later overeenkomen met de bestaande gebruikers in de toepassing, en de kenmerken die zijn vereist voor Microsoft Entra-id, inclusief userPrincipalName, mailNickname en displayName. Deze userPrincipalName moet uniek zijn voor alle gebruikers in de directory.

    U hebt bijvoorbeeld gebruikers in een database waarin de waarde in de kolom met de naam EMail de waarde is die u wilt gebruiken als microsoft Entra user principal Name, de waarde in de kolom Alias bevat de e-mailnaam van Microsoft Entra ID en de waarde in de kolom Full name bevat de weergavenaam van de gebruiker:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Vervolgens kunt u dit script gebruiken om Microsoft Entra-gebruikers te maken voor gebruikers in SAP Cloud Identity Services, de database of directory die niet overeenkomen met gebruikers in Microsoft Entra ID. Houd er rekening mee dat u dit script mogelijk moet wijzigen om extra Microsoft Entra-kenmerken toe te voegen die nodig zijn in uw organisatie, of als dat niet mailNicknameuserPrincipalNamehet $azuread_match_attr_name enige is, om dat Microsoft Entra-kenmerk op te geven.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Nadat u ontbrekende gebruikers aan Microsoft Entra ID hebt toegevoegd, voert u het script opnieuw uit vanaf stap 7. Voer vervolgens het script uit vanaf stap 8. Controleer dat er geen fouten worden gerapporteerd.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Registreer de toepassing

Als de toepassing al is geregistreerd in Microsoft Entra ID, gaat u verder met de volgende stap.

• Als de toepassing gebruikmaakt van een LDAP-directory, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in de sectie LDAP-directory's om een nieuwe registratie te maken voor een on-premises ECMA-app in Microsoft Entra ID.
• Als de toepassing gebruikmaakt van een SQL-database, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in de sectie MET SQL-toepassingen om een nieuwe registratie te maken voor een on-premises ECMA-app in Microsoft Entra ID.
• Als u SAP Cloud Identity Services gebruikt, volgt u de handleiding voor het configureren van Microsoft Entra ID voor het inrichten van gebruikers in SAP Cloud Identity Services.
• Als het een cloudtoepassing is die ondersteuning biedt voor het SCIM-protocol, kunt u de toepassing toevoegen vanuit de toepassingsgalerie.
• Als de toepassing on-premises is en het SCIM-protocol ondersteunt, volgt u de handleiding voor het configureren van Microsoft Entra-id voor het inrichten van gebruikers in on-premises SCIM-toepassingen.

Controleren op gebruikers die nog niet zijn toegewezen aan de toepassing

In de vorige stappen is bevestigd dat alle gebruikers in het gegevensarchief van de toepassing bestaan als gebruikers in Microsoft Entra-id. Mogelijk worden ze momenteel echter niet allemaal toegewezen aan de rollen van de toepassing in Microsoft Entra-id. De volgende stappen zijn dus om te zien welke gebruikers geen toewijzingen hebben aan toepassingsrollen.

1. Zoek de service-principal-id op voor de service-principal van de toepassing. Als u onlangs een service-principal hebt gemaakt voor een toepassing die gebruikmaakt van een LDAP-directory of een SQL-database, gebruikt u de naam van die service-principal.

   Als de bedrijfstoepassing bijvoorbeeld CORPDB1 heet, voer dan de volgende opdrachten in:

   $azuread_app_name = "CORPDB1"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Haal de gebruikers op die momenteel toewijzingen hebben aan de toepassing in Microsoft Entra-id.

   Dit bouwt voort op de $azuread_sp variabele die is ingesteld in de vorige opdracht.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Vergelijk de lijst van gebruikers-id's uit de vorige sectie met de gebruikers die momenteel aan de toepassing zijn toegewezen:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
   

   Als nul gebruikers niet zijn toegewezen aan toepassingsrollen, waarmee wordt aangegeven dat alle gebruikers wel zijn toegewezen aan toepassingsrollen, hoeft u geen verdere wijzigingen aan te brengen voordat u een toegangsbeoordeling uitvoert.

   Als een of meer gebruikers momenteel niet zijn toegewezen aan de toepassingsrollen, moet u de procedure voortzetten en ze toevoegen aan een van de rollen van de toepassing.

4. Selecteer de rol van de toepassing waaraan de resterende gebruikers moeten worden toegewezen.

   Een toepassing kan meer dan één rol hebben en een service-principal kan extra rollen hebben. Gebruik deze opdracht om de beschikbare rollen van een service-principal weer te geven:

   $azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User"} | ft DisplayName,Id
   

   Selecteer de juiste rol in de lijst en haal de bijbehorende rol-id op. Als de rolnaam bijvoorbeeld is Admin, geef die waarde dan op in de volgende PowerShell-opdrachten:

   $azuread_app_role_name = "Admin"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq $azuread_app_role_name}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

Toepassingsinrichting configureren

Als uw toepassing gebruikmaakt van een LDAP-directory, een SQL-database, SAP Cloud Identity Services of SCIM ondersteunt, configureert u het inrichten van Microsoft Entra-gebruikers voor de toepassing voordat u nieuwe toewijzingen maakt. Als u inrichting configureert voordat u toewijzingen maakt, kan Microsoft Entra ID overeenkomen met de gebruikers in Microsoft Entra-id met de toewijzingen van de toepassingsrol aan de gebruikers die zich al in het gegevensarchief van de toepassing bevinden. Als uw toepassing een on-premises directory of database heeft die moet worden ingericht en ook federatieve eenmalige aanmelding ondersteunt, hebt u mogelijk twee service-principals nodig om de toepassing in uw directory weer te geven: één voor inrichting en één voor eenmalige aanmelding. Als uw toepassing geen ondersteuning biedt voor het inrichten, gaat u verder met lezen in de volgende sectie.

1. Zorg dat de toepassing zodanig is geconfigureerd dat gebruikers toepassingsroltoewijzingen moeten hebben, zodat alleen geselecteerde gebruikers worden ingericht voor de toepassing.

2. Als inrichting niet is geconfigureerd voor de toepassing, configureer die dan nu (maar start de inrichting niet):

   • Als de toepassing gebruikmaakt van een LDAP-directory, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in LDAP-directory's.
   • Als de toepassing een SQL-database gebruikt, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in SQL-toepassingen.
   • Als de toepassing SAP Cloud Identity Services gebruikt, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in SAP Cloud Identity Services.
   • Volg voor andere toepassingen stap 1-3 voor het configureren van inrichting via Graph-API's.

3. Controleer het tabblad Eigenschappen voor de toepassing. Controleer of de vereiste gebruikerstoewijzing is ingesteld op Ja. Als deze optie is ingesteld op Nee, hebben alle gebruikers in uw directory, inclusief externe identiteiten, toegang tot de toepassing en kunt u de toegang tot de toepassing niet controleren.

4. Controleer de kenmerktoewijzingen voor inrichting voor die toepassing. Zorg ervoor dat overeenkomende objecten die dit kenmerk gebruiken, is ingesteld voor het Microsoft Entra-kenmerk en de kolom die u in de vorige secties hebt gebruikt voor overeenkomsten.

   Als deze regels niet dezelfde kenmerken gebruiken die u eerder hebt gebruikt, kunnen bestaande gebruikers in het gegevensarchief van de toepassing mogelijk niet worden gevonden wanneer toepassingsroltoewijzingen worden gemaakt. Microsoft Entra-id kan dan per ongeluk dubbele gebruikers maken.

5. Controleer dat er een kenmerktoewijzing is voor isSoftDeleted aan een kenmerk van de toepassing.

   Wanneer een gebruiker niet is toegewezen aan de toepassing, voorlopig verwijderd in Microsoft Entra-id of wordt geblokkeerd voor aanmelding, wordt het kenmerk dat is toegewezen aan isSoftDeletedMicrosoft Entra bijgewerkt door Microsoft Entra-inrichting. Als er geen kenmerk is toegewezen, blijven gebruikers waarvan de toepassingsroltoewijzing wordt opgeheven aanwezig in het gegevensarchief van de toepassing.

6. Als inrichting al is ingeschakeld voor de toepassing, controleer dan of de toepassingsinrichting niet in quarantaine is. Los eventuele problemen op die de quarantaine veroorzaken voordat u verder gaat.

App-roltoewijzingen maken in Microsoft Entra-id

Als u wilt dat Microsoft Entra ID overeenkomt met de gebruikers in de toepassing met de gebruikers in Microsoft Entra ID, moet u toepassingsroltoewijzingen maken in Microsoft Entra-id. Elke toepassingsroltoewijzing koppelt één gebruiker aan één toepassingsrol van één service-principal.

Wanneer een toepassingsroltoewijzing wordt gemaakt in Microsoft Entra ID voor een gebruiker aan een toepassing, en de toepassing ondersteuning biedt voor inrichting, dan:

• Microsoft Entra ID voert een query uit op de toepassing via SCIM of de bijbehorende map of database om te bepalen of de gebruiker al bestaat.
• Wanneer volgende updates worden aangebracht in de kenmerken van de gebruiker in Microsoft Entra ID, worden deze updates naar de toepassing verzonden door Microsoft Entra-id.
• De gebruiker blijft voor onbepaalde tijd in de toepassing, tenzij deze buiten Microsoft Entra-id wordt bijgewerkt of totdat de toewijzing in Microsoft Entra-id wordt verwijderd.
• Bij de volgende toegangsbeoordeling van de roltoewijzingen van die toepassing wordt de gebruiker opgenomen in de toegangsbeoordeling.
• Als de gebruiker wordt geweigerd in een toegangsbeoordeling, wordt de toepassingsroltoewijzing verwijderd. Microsoft Entra ID informeert de toepassing dat de gebruiker is geblokkeerd voor aanmelding.

Als de toepassing geen ondersteuning biedt voor het inrichten,

• De gebruiker blijft voor onbepaalde tijd in de toepassing, tenzij deze buiten Microsoft Entra-id wordt bijgewerkt of totdat de toewijzing in Microsoft Entra-id wordt verwijderd.
• Bij de volgende beoordeling van de roltoewijzingen van die toepassing wordt de gebruiker opgenomen in de beoordeling.
• Als de gebruiker wordt geweigerd in een toegangsbeoordeling, wordt de toepassingsroltoewijzing verwijderd. De gebruiker kan zich niet meer aanmelden bij Microsoft Entra ID voor de toepassing.

1. Maak toepassingsroltoewijzingen voor gebruikers die momenteel geen roltoewijzingen hebben:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id 
   }
   

2. Wacht één minuut tot wijzigingen zijn doorgegeven in Microsoft Entra-id.

Controleer of Microsoft Entra-inrichting overeenkomt met de bestaande gebruikers

1. Voer een query uit op de Microsoft Entra-id om de bijgewerkte lijst met roltoewijzingen te verkrijgen:

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

2. Vergelijk de lijst van gebruikers-id's uit de vorige sectie met de gebruikers die momenteel aan de toepassing zijn toegewezen:

   $azuread_still_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_still_not_in_role_list += $id }
   }
   $azuread_still_not_in_role_count = $azuread_still_not_in_role_list.Count
   if ($azuread_still_not_in_role_count -gt 0) {
      Write-Output "$azuread_still_not_in_role_count users in the application's data store are not assigned to the application roles."
   }
   

   Als er geen gebruikers zijn toegewezen aan toepassingsrollen, controleert u het Auditlogboek van Microsoft Entra op een fout uit een vorige stap.

3. Als de service-principal van de toepassing is geconfigureerd voor inrichting en de inrichtingsstatus voor de service-principal is uitgeschakeld, schakelt u deze in op Aan. U kunt de inrichting ook starten met behulp van Graph-API's.

4. Op basis van de richtlijnen voor hoe lang het duurt om gebruikers in te richten, wacht u tot de inrichting van Microsoft Entra overeenkomt met de bestaande gebruikers van de toepassing aan die gebruikers die zojuist zijn toegewezen.

5. Controleer de inrichtingsstatus via de portal of de Graph-API's om zeker te zijn dat alle gebruikers zijn gekoppeld.

   Als u niet ziet dat gebruikers worden ingericht, raadpleeg dan de probleemoplossingsgids voor het niet inrichten van gebruikers. Als u een fout ziet in de inrichtingsstatus en inricht in een on-premises toepassing, raadpleeg dan de probleemoplossingsgids voor on-premises toepassingsinrichting.

6. Controleer het inrichtingslogboek via het Microsoft Entra-beheercentrum of Graph-API's. Filter het logboek op de status Failure. Als er fouten zijn met een ErrorCode of DuplicateTargetEntries, geeft dit een dubbelzinnigheid aan in uw inrichtingskoppelingsregels. U moet de Microsoft Entra-gebruikers of de toewijzingen bijwerken die worden gebruikt om ervoor te zorgen dat elke Microsoft Entra-gebruiker overeenkomt met één toepassingsgebruiker. Filter vervolgens het logboek op de actie Create en status Skipped. Als gebruikers zijn overgeslagen met de SkipReason-code notEffectivelyEntitled, kan dit erop wijzen dat de gebruikersaccounts in Microsoft Entra-id niet overeenkomen omdat de status van het gebruikersaccount is uitgeschakeld.

Nadat de Microsoft Entra-inrichtingsservice overeenkomt met de gebruikers op basis van de toepassingsroltoewijzingen die u hebt gemaakt, worden volgende wijzigingen aan deze gebruikers naar de toepassing verzonden.

De juiste revisoren selecteren

Wanneer u elke toegangsbeoordeling maakt, kunnen beheerders een of meer revisoren kiezen. De revisoren kunnen een beoordeling uitvoeren door gebruikers te kiezen voor continue toegang tot een resource of door ze te verwijderen.

Doorgaans is een resource-eigenaar verantwoordelijk voor het uitvoeren van een beoordeling. Als u een beoordeling van een groep maakt, als onderdeel van het controleren van de toegang voor een toepassing die is geïntegreerd in patroon B, kunt u de groepseigenaren selecteren als revisoren. Omdat toepassingen in Microsoft Entra-id niet noodzakelijkerwijs een eigenaar hebben, is de optie voor het selecteren van de eigenaar van de toepassing als revisor niet mogelijk. In plaats daarvan kunt u bij het maken van de beoordeling de namen van de toepassingseigenaren opgeven als revisoren.

U kunt er ook voor kiezen om bij het maken van een beoordeling van een groep of toepassing een beoordeling met meerdere fasen te maken. U kunt bijvoorbeeld de manager van elke toegewezen gebruiker de eerste fase van de beoordeling laten uitvoeren en de resource-eigenaar de tweede fase. Op die manier kan de resource-eigenaar zich richten op de gebruikers die al zijn goedgekeurd door hun manager.

Controleer voordat u de beoordelingen maakt of u voldoende Microsoft Entra ID P2 of Microsoft Entra ID-governance SKU-seats in uw tenant hebt. Controleer ook of alle revisoren actieve gebruikers zijn met e-mailadressen. Wanneer de toegangsbeoordelingen worden gestart, bekijken ze elk een e-mail van Microsoft Entra-id. Als de revisor geen postvak heeft, ontvangt deze geen e-mail wanneer de beoordeling wordt gestart of een e-mailherinnering. En als ze zijn geblokkeerd om zich aan te melden bij Microsoft Entra ID, kunnen ze de beoordeling niet uitvoeren.

Toegangsbeoordelingen of rechtenbeheer configureren

Zodra de gebruikers zich in de toepassingsrollen bevinden en u de revisoren hebt geïdentificeerd, kunt u deze gebruikers en eventuele extra gebruikers beheren die toegang nodig hebben, met behulp van toegangsbeoordelingen of rechtenbeheer.

• Als de toepassing slechts één toepassingsrol heeft, wordt de toepassing vertegenwoordigd door één service-principal in uw directory en hebben geen extra gebruikers toegang nodig tot de toepassing. Ga vervolgens verder met de volgende sectie om bestaande toegang te controleren en te verwijderen met behulp van een toegangsbeoordeling.
• Ga anders verder in het gedeelte van dit artikel om toegang te beheren met behulp van rechtenbeheer.

Bestaande toegang controleren en verwijderen met behulp van een toegangsbeoordeling van app-roltoewijzingen

Als de toepassing meerdere toepassingsrollen heeft, wordt vertegenwoordigd door meerdere service-principals of als u een proces wilt hebben voor gebruikers om toegang tot de toepassing aan te vragen of toe te wijzen, gaat u verder in het volgende gedeelte van dit artikel om toegang te beheren met rechtenbeheer.

Nu de bestaande gebruikers toewijzingen hebben aan een toepassingsrol, kunt u Microsoft Entra-id configureren om een beoordeling van deze toewijzingen te starten.

1. Voor deze stap moet u de rol of Identity Governance administrator de Global administrator rol hebben.

2. Volg de instructies in de handleiding voor het maken van een toegangsbeoordeling van groepen of toepassingen om de beoordeling van de roltoewijzingen van de toepassing te maken. Configureer de beoordeling om resultaten toe te passen wanneer deze is voltooid. U kunt de toegangsbeoordeling maken in PowerShell met de New-MgIdentityGovernanceAccessReviewDefinition cmdlet vanuit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance . Zie voor meer informatie de voorbeelden.

   Notitie

   Als u beslissingshelpers voor beoordeling inschakelt bij het maken van de toegangsbeoordeling, zijn de aanbevelingen voor beslissingshelpers gebaseerd op de intervalperiode van 30 dagen, afhankelijk van wanneer de gebruiker zich voor het laatst bij de toepassing heeft aangemeld met behulp van Microsoft Entra ID.

3. Wanneer de toegangsbeoordeling wordt gestart, vraagt u de revisoren om invoer te geven. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toegang tot de toepassing controleren.

4. Zodra de beoordelingen zijn gestart, kunt u de voortgang ervan controleren en de goedkeurders indien nodig bijwerken totdat de toegangsbeoordeling is voltooid. Vervolgens kunt u bevestigen dat de gebruikers, waarvan de toegang is geweigerd door de revisoren, hun toegang uit de toepassing hebben verwijderd.

5. Als automatisch toepassen niet is geselecteerd toen de beoordeling werd gemaakt, moet u de controleresultaten toepassen wanneer deze is voltooid.

6. Wacht totdat de status van de beoordeling is gewijzigd in Resultaat toegepast. U zou kunnen verwachten dat geweigerde gebruikers, indien van toepassingsroltoewijzingen, binnen een paar minuten worden verwijderd.

7. Nadat de resultaten zijn toegepast, wordt de inrichting van microsoft Entra-id geweigerde gebruikers uit de toepassing ongedaan gemaakt. Op basis van de richtlijnen voor hoe lang het duurt om gebruikers in te richten, wacht u totdat Microsoft Entra-inrichting de inrichting van de geweigerde gebruikers ongedaan maakt. Controleer de inrichtingsstatus via de portal of Graph API's om ervoor te zorgen dat alle geweigerde gebruikers zijn verwijderd.

   Als u niet ziet dat gebruikers de inrichting ongedaan maken, raadpleegt u de probleemoplossingsgids voor het niet inrichten van gebruikers. Als u een fout ziet in de inrichtingsstatus en inricht in een on-premises toepassing, raadpleeg dan de probleemoplossingsgids voor on-premises toepassingsinrichting.

Nu u een basislijn hebt die ervoor zorgt dat bestaande toegang is gecontroleerd, kunt u doorgaan in de volgende sectie om rechtenbeheer te configureren om nieuwe toegangsaanvragen in te schakelen.

Toegang beheren met rechtenbeheer

In andere situaties, zoals het willen hebben van verschillende revisoren voor elke toepassingsrol, wordt de toepassing vertegenwoordigd door meerdere service-principals of wilt u een proces hebben voor gebruikers om toegang tot de toepassing aan te vragen of toe te wijzen, dan kunt u Microsoft Entra-id configureren met een toegangspakket voor elke toepassingsrol. Elk toegangspakket kan een beleid hebben voor terugkerende beoordeling van toewijzingen die zijn gemaakt voor dat toegangspakket. Zodra de toegangspakketten en -beleidsregels zijn gemaakt, kunt u de gebruikers met bestaande toepassingsroltoewijzingen toewijzen aan de toegangspakketten, zodat hun toewijzingen kunnen worden gecontroleerd via het toegangspakket.

In deze sectie configureert u Microsoft Entra-rechtenbeheer voor een beoordeling van toegangspakkettoewijzingen die de app-roltoewijzingen bevatten en configureert u ook extra beleidsregels, zodat gebruikers toegang kunnen aanvragen tot de rollen van uw toepassing.

1. Voor deze stap moet u zich in de Global administrator of rol bevinden of Identity Governance administrator worden gedelegeerd als catalogusmaker en de eigenaar van de toepassing.
2. Als u nog geen catalogus hebt voor uw toepassingsbeheerscenario, maakt u een catalogus in Microsoft Entra-rechtenbeheer. U kunt een PowerShell-script gebruiken om elke catalogus te maken.
3. Vul de catalogus met de benodigde resources in door de toepassing toe te voegen en eventuele Microsoft Entra-groepen waarop de toepassing afhankelijk is, als resources in die catalogus. U kunt een PowerShell-script gebruiken om elke resource toe te voegen aan een catalogus.
4. Maak voor elk van de toepassingen en voor elk van hun toepassingsrollen of -groepen een toegangspakket met die rol of groep als resource. In deze fase van het configureren van deze toegangspakketten configureert u het eerste toegangspakkettoewijzingsbeleid in elk toegangspakket als beleid voor directe toewijzing, zodat alleen beheerders toewijzingen van dat beleid kunnen maken, de vereisten voor toegangsbeoordeling voor bestaande gebruikers instellen, indien van toepassing, zodat ze de toegang niet voor onbepaalde tijd behouden. Als u veel toegangspakketten hebt, kunt u een PowerShell-script gebruiken om elk toegangspakket in een catalogus te maken.
5. Wijs voor elk toegangspakket bestaande gebruikers van de toepassing toe in die bijbehorende rol, of leden van die groep, aan het toegangspakket en het bijbehorende beleid voor directe toewijzing. U kunt een gebruiker rechtstreeks toewijzen aan een toegangspakket via het Microsoft Entra-beheercentrum of bulksgewijs via Graph of PowerShell.
6. Als u toegangsbeoordelingen hebt geconfigureerd in het toewijzingsbeleid voor toegangspakketten, vraagt u de revisoren om invoer te geven wanneer de toegangsbeoordeling wordt gestart. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toewijzingen van toegangspakketten bekijken. Zodra de beoordeling is voltooid, kunt u verwachten dat geweigerde gebruikers, indien aanwezig, hun toepassingsroltoewijzingen binnen een paar minuten worden verwijderd. Vervolgens begint Microsoft Entra ID met het ongedaan maken van de inrichting van geweigerde gebruikers uit de toepassing. Op basis van de richtlijnen voor hoe lang het duurt om gebruikers in te richten, wacht u totdat Microsoft Entra-inrichting de inrichting van de geweigerde gebruikers ongedaan maakt. Controleer de inrichtingsstatus via de portal of Graph API's om ervoor te zorgen dat alle geweigerde gebruikers zijn verwijderd.
7. Als u scheiding van takenvereisten hebt, configureert u de incompatibele toegangspakketten of bestaande groepen voor uw toegangspakket. Als voor uw scenario de mogelijkheid is vereist om een scheiding van taken te overschrijven, kunt u ook extra toegangspakketten instellen voor deze overschrijvingsscenario's.
8. Als u wilt toestaan dat gebruikers die nog geen toegang hebben om toegang aan te vragen, maakt u in elk toegangspakket aanvullende beleidsregels voor toegangspakketten voor gebruikers om toegang aan te vragen. Configureer de goedkeurings- en terugkerende vereisten voor toegangsbeoordeling in dat beleid.

Volgende stappen

• Voorbereiden voor een beoordeling van de toegang van gebruikers tot een toepassing
• Toegang tot resources beheren in Microsoft Entra-rechtenbeheer