Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu w zarządzaniu upoważnieniami

Artykuł
10/24/2023

W zarządzaniu upoważnieniami możesz zobaczyć, kto został przypisany do pakietów dostępu, ich zasad, stanu i cyklu życia użytkownika (wersja zapoznawcza). Jeśli pakiet dostępu ma odpowiednie zasady, możesz również bezpośrednio przypisać użytkownika do pakietu dostępu. W tym artykule opisano sposób wyświetlania, dodawania i usuwania przypisań dla pakietów dostępu.

Wymagania wstępne

Aby korzystać z zarządzania upoważnieniami i przypisywać użytkowników do uzyskiwania dostępu do pakietów, musisz mieć jedną z następujących licencji:

Microsoft Entra ID P2
Licencja Enterprise Mobility + Security (EMS) E5
subskrypcja Zarządzanie tożsamością Microsoft Entra

Wyświetlanie, kto ma przypisanie

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Rola wymagań wstępnych: globalny Administracja istrator, Administracja istrator tożsamości, właściciel katalogu, menedżer pakietów programu Access lub menedżer przypisań pakietów programu Access

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Na stronie Pakiety dostępu otwórz pakiet dostępu.
Wybierz pozycję Przypisania , aby wyświetlić listę aktywnych przypisań.
Wybierz określone przypisanie, aby wyświetlić więcej szczegółów.
Aby wyświetlić listę przypisań, które nie miały poprawnie aprowizowania wszystkich ról zasobów, wybierz stan filtru i wybierz pozycję Dostarczanie.

Dodatkowe szczegóły dotyczące błędów dostarczania można wyświetlić, lokalizując odpowiednie żądanie użytkownika na stronie Żądania .
Aby wyświetlić wygasłe przypisania, wybierz stan filtru i wybierz pozycję Wygasłe.
Aby pobrać plik CSV z przefiltrowanej listy, wybierz pozycję Pobierz.

Programowe wyświetlanie przypisań

Wyświetlanie przypisań za pomocą programu Microsoft Graph

Przy użyciu programu Microsoft Graph można również pobrać przypisania w pakiecie dostępu. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.Read.All uprawnienia lub EntitlementManagement.ReadWrite.All może wywołać interfejs API, aby wyświetlić listę accessPackageAssignments. Aplikacja z uprawnieniem EntitlementManagement.Read.All lub EntitlementManagement.ReadWrite.All uprawnieniem aplikacji może również używać tego interfejsu API do pobierania przypisań we wszystkich katalogach.

Program Microsoft Graph zwróci wyniki na stronach i będzie nadal zwracać odwołanie do następnej strony wyników we @odata.nextLink właściwości z każdą odpowiedzią, dopóki wszystkie strony wyników nie zostaną odczytane. Aby odczytać wszystkie wyniki, musisz nadal wywoływać program Microsoft Graph z właściwością zwróconą @odata.nextLink w każdej odpowiedzi, dopóki @odata.nextLink właściwość nie zostanie już zwrócona, zgodnie z opisem w artykule stronicowanie danych programu Microsoft Graph w aplikacji.

Chociaż administrator ładu tożsamości może pobrać pakiety dostępu z wielu katalogów, jeśli jednostka usługi użytkownika lub aplikacji jest przypisana tylko do ról administracyjnych delegowanych specyficznych dla katalogu, żądanie musi podać filtr, aby wskazać określony pakiet dostępu, taki jak: $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'.

Wyświetlanie przypisań za pomocą programu PowerShell

Możesz również pobrać przypisania do pakietu dostępu w programie PowerShell za pomocą Get-MgEntitlementManagementAssignment polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.x lub nowszej. Ten skrypt ilustruje użycie modułu poleceń cmdlet programu PowerShell programu Microsoft Graph w wersji 2.4.0 w celu pobrania wszystkich przypisań do określonego pakietu dostępu. To polecenie cmdlet przyjmuje jako parametr identyfikator pakietu dostępu, który jest uwzględniony w odpowiedzi z Get-MgEntitlementManagementAccessPackage polecenia cmdlet. Upewnij się, że podczas używania Get-MgEntitlementManagementAccessPackage polecenia cmdlet do uwzględnienia -All flagi powoduje zwrócenie wszystkich stron przypisań.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Poprzednie zapytanie zwraca wygasłe i dostarcza przypisania, a także dostarczone przypisania. Jeśli chcesz wykluczyć wygasłe lub dostarczać przypisania, możesz użyć filtru zawierającego identyfikator pakietu dostępu, a także stan przypisań. Ten skrypt ilustruje użycie filtru do pobrania tylko przypisań w stanie Delivered dla określonego pakietu dostępu. Następnie skrypt wygeneruje plik assignments.csvCSV z jednym wierszem na przypisanie.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Bezpośrednie przypisywanie użytkownika

W niektórych przypadkach możesz chcieć bezpośrednio przypisać określonych użytkowników do pakietu dostępu, aby użytkownicy nie musieli przechodzić przez proces żądania pakietu dostępu. Aby bezpośrednio przypisywać użytkowników, pakiet dostępu musi mieć zasady umożliwiające przypisywanie bezpośrednie przez administratora.

Rola wymagań wstępnych: globalny Administracja istrator, Administracja istrator zarządzania tożsamościami, właściciel wykazu, menedżer pakietów programu Access lub menedżer przypisań pakietów programu Access

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Na stronie Pakiety dostępu otwórz pakiet dostępu.
W menu po lewej stronie wybierz pozycję Przypisania.
Wybierz pozycję Nowe przypisanie , aby otworzyć pozycję Dodaj użytkownika w celu uzyskania dostępu do pakietu.
Na liście Wybierz zasady wybierz zasady, według których będą zarządzane i śledzone przyszłe żądania i cykl życia użytkowników. Jeśli chcesz, aby wybrani użytkownicy mieli różne ustawienia zasad, możesz wybrać pozycję Utwórz nowe zasady , aby dodać nowe zasady.
Po wybraniu zasad będzie można dodać użytkowników, aby wybrać użytkowników, do których chcesz przypisać ten pakiet dostępu, w ramach wybranych zasad.

Uwaga

Jeśli wybierzesz zasady z pytaniami, możesz jednocześnie przypisać tylko jednego użytkownika.
Ustaw datę i godzinę przypisania wybranych użytkowników do rozpoczęcia i zakończenia. Jeśli data zakończenia nie zostanie podana, zostaną użyte ustawienia cyklu życia zasad.
Opcjonalnie podaj uzasadnienie bezpośredniego przypisania do przechowywania rekordów.
Jeśli wybrane zasady zawierają dodatkowe informacje o żądaniu, wybierz pozycję Wyświetl pytania , aby odpowiedzieć na nie w imieniu użytkowników, a następnie wybierz pozycję Zapisz.
Wybierz pozycję Dodaj , aby bezpośrednio przypisać wybranych użytkowników do pakietu dostępu.

Po kilku chwilach wybierz pozycję Odśwież , aby zobaczyć użytkowników na liście Przypisania.

Uwaga

Podczas przypisywania użytkowników do pakietu dostępu administratorzy muszą sprawdzić, czy użytkownicy kwalifikują się do tego pakietu dostępu na podstawie istniejących wymagań zasad. W przeciwnym razie użytkownicy nie zostaną pomyślnie przypisani do pakietu dostępu. Jeśli pakiet dostępu zawiera zasady, które wymagają zatwierdzenia żądań użytkowników, użytkownicy nie mogą być bezpośrednio przypisani do pakietu bez niezbędnych zatwierdzeń od wyznaczonych osób zatwierdzających.

Bezpośrednie przypisywanie dowolnego użytkownika (wersja zapoznawcza)

Zarządzanie upoważnieniami umożliwia również bezpośrednie przypisywanie użytkowników zewnętrznych do pakietu dostępu w celu ułatwienia współpracy z partnerami. W tym celu pakiet dostępu musi mieć zasady umożliwiające użytkownikom jeszcze w katalogu żądanie dostępu.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Na stronie Pakiety dostępu otwórz pakiet dostępu.
W menu po lewej stronie wybierz pozycję Przypisania.
Wybierz pozycję Nowe przypisanie , aby otworzyć pozycję Dodaj użytkownika w celu uzyskania dostępu do pakietu.
Na liście Wybierz zasady wybierz zasady, które zezwalają na ustawienie Dla użytkowników, którzy nie znajdują się w katalogu
Wybierz pozycję Dowolny użytkownik. Możesz określić, którzy użytkownicy mają zostać przypisani do tego pakietu dostępu.
Wprowadź nazwę użytkownika (opcjonalnie) i adres e-mail użytkownika (wymagany).
Uwaga
- Użytkownik, który chcesz dodać, musi należeć do zakresu zasad. Jeśli na przykład zasady są ustawione na Określone połączone organizacje, adres e-mail użytkownika musi pochodzić z domen wybranych organizacji. Jeśli użytkownik, który próbujesz dodać, ma adres e-mail jen@foo.com ale domena wybranej organizacji jest bar.com, nie będzie można dodać tego użytkownika do pakietu dostępu.
- Podobnie, jeśli zasady zostaną ustawione tak, aby obejmowały wszystkie skonfigurowane połączone organizacje, adres e-mail użytkownika musi pochodzić z jednej ze skonfigurowanych połączonych organizacji. W przeciwnym razie użytkownik nie zostanie dodany do pakietu dostępu.
- Jeśli chcesz dodać dowolnego użytkownika do pakietu dostępu, podczas konfigurowania zasad należy wybrać pozycję Wszyscy użytkownicy (Wszyscy połączeni organizacje i dowolny użytkownik zewnętrzny).
Ustaw datę i godzinę przypisania wybranych użytkowników do rozpoczęcia i zakończenia. Jeśli data zakończenia nie zostanie podana, zostaną użyte ustawienia cyklu życia zasad.
Wybierz pozycję Dodaj , aby bezpośrednio przypisać wybranych użytkowników do pakietu dostępu.
Po kilku chwilach wybierz pozycję Odśwież , aby zobaczyć użytkowników na liście Przypisania.

Programowe przypisywanie użytkowników

Przypisywanie użytkownika do pakietu dostępu za pomocą programu Microsoft Graph

Możesz również bezpośrednio przypisać użytkownika do pakietu dostępu przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia lub aplikację z EntitlementManagement.ReadWrite.All uprawnieniem aplikacji, może wywołać interfejs API, aby utworzyć element accessPackageAssignmentRequest. W tym żądaniu wartość requestType właściwości powinna mieć adminAddwartość , a assignment właściwość jest strukturą zawierającą targetId przypisany użytkownik.

Przypisywanie użytkownika do pakietu dostępu za pomocą programu PowerShell

Możesz przypisać użytkownika do pakietu dostępu w programie PowerShell za pomocą New-MgEntitlementManagementAssignmentRequest polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.x lub nowszej. Ten skrypt ilustruje użycie modułu poleceń cmdlet programu PowerShell programu Microsoft Graph w wersji 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Możesz również przypisać wielu użytkowników, którzy znajdują się w katalogu do pakietu dostępu przy użyciu programu PowerShell z New-MgBetaEntitlementManagementAccessPackageAssignment poleceniem cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.4.0 lub nowszej. To polecenie cmdlet przyjmuje jako parametry

identyfikator pakietu dostępu, który znajduje się w odpowiedzi polecenia Get-MgEntitlementManagementAccessPackage cmdlet,
identyfikator zasad przypisania pakietu dostępu, który jest uwzględniony w zasadach w polu w assignmentpolicies odpowiedzi z Get-MgEntitlementManagementAccessPackage polecenia cmdlet,
identyfikatory obiektów użytkowników docelowych, jako tablica ciągów lub jako lista członków użytkownika zwróconych z Get-MgGroupMember polecenia cmdlet.

Jeśli na przykład chcesz upewnić się, że wszyscy użytkownicy, którzy są obecnie członkami grupy, również mają przypisania do pakietu dostępu, możesz użyć tego polecenia cmdlet, aby utworzyć żądania dla tych użytkowników, którzy obecnie nie mają przypisań. Należy pamiętać, że to polecenie cmdlet utworzy tylko przypisania; nie usuwa przypisań dla użytkowników, którzy nie są już członkami grupy.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Jeśli chcesz dodać przypisanie dla użytkownika, który nie znajduje się jeszcze w katalogu, możesz użyć New-MgBetaEntitlementManagementAccessPackageAssignmentRequest polecenia cmdlet z poleceń cmdlet programu PowerShell programu Microsoft Graph dla modułu wersji beta identity Governance w wersji 2.1.x lub nowszej wersji modułu beta. Ten skrypt ilustruje użycie profilu programu Graph i modułu poleceń cmdlet programu PowerShell programu Microsoft Graph beta w wersji 2.4.0. To polecenie cmdlet przyjmuje jako parametry

identyfikator pakietu dostępu, który znajduje się w odpowiedzi polecenia Get-MgEntitlementManagementAccessPackage cmdlet,
identyfikator zasad przypisania pakietu dostępu, który jest uwzględniony w zasadach w polu w assignmentpolicies odpowiedzi z Get-MgEntitlementManagementAccessPackage polecenia cmdlet,
adres e-mail użytkownika docelowego.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Konfigurowanie przypisania dostępu w ramach przepływu pracy cyklu życia

W funkcji Przepływy pracy cyklu życia firmy Microsoft możesz dodać zadanie Przypisywanie pakietów żądania dostępu użytkowników do przepływu pracy dołączania. Zadanie może określać pakiet dostępu, który powinni mieć użytkownicy. Po uruchomieniu przepływu pracy dla użytkownika zostanie automatycznie utworzone żądanie przypisania pakietu dostępu.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
Przejdź do przepływu pracy cyklu życia ładu>tożsamości Przepływy> pracy.
Wybierz przepływ pracy dołączania lub przenoszenia pracownika.
Wybierz pozycję Zadania i wybierz pozycję Dodaj zadanie.
Wybierz pozycję Zażądaj przypisania pakietu dostępu użytkownika i wybierz pozycję Dodaj.
Wybierz nowo dodane zadanie.
Wybierz pozycję Wybierz pakiet dostępu i wybierz pakiet dostępu, do którego mają zostać przypisani nowi lub przeniesieni użytkownicy.
Wybierz pozycję Wybierz zasady i wybierz zasady przypisywania pakietu dostępu w tym pakiecie dostępu.
Wybierz pozycję Zapisz.

Usuwanie przypisania

Możesz usunąć przypisanie, którego zażądał wcześniej użytkownik lub administrator.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Na stronie Pakiety dostępu otwórz pakiet dostępu.
W menu po lewej stronie wybierz pozycję Przypisania.
Zaznacz pole wyboru obok użytkownika, którego przypisanie chcesz usunąć z pakietu dostępu.
Wybierz przycisk Usuń w górnej części okienka po lewej stronie.

Zostanie wyświetlone powiadomienie informujące o usunięciu przypisania.

Programowe usuwanie przypisania

Usuwanie przypisania za pomocą programu Microsoft Graph

Możesz również usunąć przypisanie użytkownika do pakietu dostępu przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia lub aplikację z EntitlementManagement.ReadWrite.All uprawnieniem aplikacji, może wywołać interfejs API, aby utworzyć element accessPackageAssignmentRequest. W tym żądaniu wartość requestType właściwości powinna mieć adminRemovewartość , a assignment właściwość jest strukturą zawierającą id właściwość identyfikującą accessPackageAssignment usuwane.

Usuwanie przypisania za pomocą programu PowerShell

Możesz usunąć przypisanie użytkownika w programie PowerShell przy użyciu New-MgEntitlementManagementAssignmentRequest polecenia cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.x lub nowszej. Ten skrypt ilustruje użycie modułu poleceń cmdlet programu PowerShell programu Microsoft Graph w wersji 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Konfigurowanie usuwania przypisania w ramach przepływu pracy cyklu życia

W funkcji Przepływy pracy cyklu życia firmy Microsoft można dodać przypisanie pakietu Usuń dostęp dla zadania użytkownika do przepływu pracy odłączania. To zadanie może określać pakiet dostępu, do którego może zostać przypisany użytkownik. Po uruchomieniu przepływu pracy dla użytkownika przypisanie pakietu dostępu zostanie automatycznie usunięte.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
Przejdź do przepływu pracy cyklu życia ładu>tożsamości Przepływy> pracy.
Wybierz przepływ pracy odłączania pracownika.
Wybierz pozycję Zadania i wybierz pozycję Dodaj zadanie.
Wybierz pozycję Usuń przypisanie pakietu dostępu dla użytkownika i wybierz pozycję Dodaj.
Wybierz nowo dodane zadanie.
Wybierz pozycję Wybierz pakiety dostępu, a następnie wybierz co najmniej jeden pakiet dostępu, z którego powinni zostać usunięci użytkownicy odłączeni.
Wybierz pozycję Zapisz.