Ändra resursroller för ett åtkomstpaket i berättigandehantering
Som åtkomstpakethanterare kan du när som helst ändra resurserna i ett åtkomstpaket utan att behöva bekymra dig om att etablera användarens åtkomst till de nya resurserna eller ta bort deras åtkomst från tidigare resurser. I den här artikeln beskrivs hur du ändrar resursrollerna för ett befintligt åtkomstpaket.
Den här videon innehåller en översikt över hur du ändrar ett åtkomstpaket.
Sök efter resurser i katalogen
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Om du behöver lägga till resurser i ett åtkomstpaket bör du kontrollera om de resurser du behöver är tillgängliga i åtkomstpaketets katalog. Om du är en åtkomstpakethanterare kan du inte lägga till resurser i en katalog, även om du äger dem. Du är begränsad till att använda de resurser som är tillgängliga i katalogen.
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
På sidan Access-paket öppnar du det åtkomstpaket som du vill kontrollera för att säkerställa att katalogen har de resurser som krävs.
I den vänstra menyn väljer du Katalog och öppnar sedan katalogen.
I den vänstra menyn väljer du Resurser för att se listan över resurser i den här katalogen.
Om resurserna inte redan finns i katalogen och du är administratör eller katalogägare kan du lägga till resurser i en katalog. De typer av resurser som du kan lägga till är grupper, program som du har integrerat med din katalog och SharePoint Online-webbplatser. Till exempel:
- Grupper kan vara molnskapade Microsoft 365 grupe eller molnskapade Microsoft Entra-säkerhetsgrupper. Grupper som har sitt ursprung i en lokalni Active Directory kan inte tilldelas som resurser eftersom deras ägare, eller medlem, attribut inte kan ändras i Microsoft Entra-ID. Om du vill ge användare åtkomst till ett program som använder AD-säkerhetsgruppsmedlemskap skapar du en ny grupp i Microsoft Entra-ID, konfigurerar tillbakaskrivning av grupper till AD och aktiverar att gruppen skrivs till AD. Grupper som har sitt ursprung i Exchange Online som distributionsgrupper kan inte heller ändras i Microsoft Entra-ID.
- Program kan vara Microsoft Entra-företagsprogram, som inkluderar SaaS-program (programvara som en tjänst), lokala program som använder en annan katalog eller databas och dina egna program som är integrerade med Microsoft Entra-ID. Om ditt program ännu inte har integrerats med din Microsoft Entra-katalog kan du läsa styra åtkomsten för program i din miljö och integrera ett program med Microsoft Entra-ID.
- Webbplatser kan vara SharePoint Online-webbplatser eller SharePoint Online-webbplatssamlingar.
Om du är en åtkomstpakethanterare och behöver lägga till resurser i katalogen kan du be katalogägaren att lägga till dem.
Avgöra vilka resursroller som ska ingå i ett åtkomstpaket
En resursroll är en samling behörigheter som är associerade med och definierade av en resurs. Resurser kan göras tillgängliga för användare som ska tilldelas om du lägger till resursroller från var och en av katalogens resurser i ditt åtkomstpaket. Du kan lägga till resursroller som tillhandahålls av grupper, team, program och SharePoint-webbplatser. När en användare får en tilldelning till ett åtkomstpaket läggs de till i alla resursroller i åtkomstpaketet.
När de förlorar en tilldelning av åtkomstpaket tas de bort från alla resursroller i åtkomstpaketet.
Kommentar
Om användarna har lagts till i resurser utanför berättigandehantering och de behöver behålla åtkomsten även om de senare får åtkomstpakettilldelningar och deras åtkomstpakettilldelningar upphör att gälla, lägger de inte till resursrollerna i ett åtkomstpaket.
Om du vill att vissa användare ska få olika resursroller än andra måste du skapa flera åtkomstpaket i katalogen med separata åtkomstpaket för var och en av resursrollerna. Du kan också markera åtkomstpaketen som inkompatibla med varandra så att användarna inte kan begära åtkomst till åtkomstpaket som skulle ge dem överdriven åtkomst.
I synnerhet kan program ha flera approller. När du lägger till ett programs approll som en resursroll i ett åtkomstpaket måste du ange lämplig roll för dessa användare i åtkomstpaketet om programmet har mer än en approll.
Kommentar
Om ett program har flera approller och mer än en roll för programmet finns i ett åtkomstpaket får användaren alla de roller som ingår i programmet. Om du i stället vill att användarna bara ska ha några av programmets roller måste du skapa flera åtkomstpaket i katalogen med separata åtkomstpaket för var och en av approllerna.
Dessutom kan program också förlita sig på säkerhetsgrupper för att uttrycka behörigheter. Ett program kan till exempel ha en enda approll User
och även kontrollera medlemskapet för två grupper – en Ordinary Users
grupp och en Administrative Access
grupp. En användare av programmet måste vara medlem i exakt en av dessa två grupper. Om du vill konfigurera att användarna kan begära någon av behörigheterna lägger du till en katalog med tre resurser: programmet, gruppen Ordinary Users
och gruppen Administrative Access
. Sedan skapar du två åtkomstpaket i katalogen och anger att varje åtkomstpaket inte är kompatibelt med det andra:
- ett första åtkomstpaket som har två resursroller, programmets approll
User
och medlemskap i gruppenOrdinary Users
- ett andra åtkomstpaket som har två resursroller, programmets approll
User
och medlemskap i gruppenAdministrative Access
Kontrollera om användarna redan har tilldelats resursrollen
När en resursroll läggs till i ett åtkomstpaket av en administratör förblir användare som redan har den resursrollen, men som inte har tilldelningar till åtkomstpaketet, kvar i resursrollen, men som inte tilldelas åtkomstpaketet. Om en användare till exempel är medlem i en grupp och sedan ett åtkomstpaket skapas och gruppens medlemsroll läggs till i ett åtkomstpaket, får användaren inte automatiskt en tilldelning till åtkomstpaketet.
Om du vill att de användare som har ett resursrollmedlemskap också ska tilldelas till åtkomstpaketet kan du direkt tilldela användare till ett åtkomstpaket med hjälp av administrationscentret för Microsoft Entra, eller massvis via Graph eller PowerShell. De användare som du tilldelar åtkomstpaketet får sedan också åtkomst till de andra resursrollerna i åtkomstpaketet. Men eftersom de användare som var i resursrollen redan har åtkomst innan de läggs till i åtkomstpaketet tas de bort från den resursrollen när deras åtkomstpakettilldelning tas bort.
Lägga till resursroller
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
På sidan Access-paket öppnar du det åtkomstpaket som du vill lägga till resursroller i.
I den vänstra menyn väljer du Resursroller.
Välj Lägg till resursroller för att öppna sidan Lägg till resursroller för att komma åt paket.
Beroende på om du vill lägga till ett medlemskap i en grupp eller ett team, utför åtkomst till ett program, SharePoint-webbplats eller Microsoft Entra-roll (förhandsversion) stegen i något av följande resursrollavsnitt.
Lägga till en grupp- eller gruppresursroll
Du kan låta rättighetshantering automatiskt lägga till användare i en grupp eller ett team i Microsoft Teams när de tilldelas ett åtkomstpaket.
- När ett medlemskap i en grupp eller ett team är en resursroll som ingår i ett åtkomstpaket och en användare har tilldelats åtkomstpaketet läggs användaren till som medlem i gruppen eller teamet, om den inte redan finns.
- När en användares åtkomstpakettilldelning upphör att gälla tas de bort från gruppen eller teamet, såvida de för närvarande inte har en tilldelning till ett annat åtkomstpaket som innehåller samma grupp eller team.
Du kan välja valfri Microsoft Entra-säkerhetsgrupp eller Microsoft 365-grupp. Användare i en administratörsroll som kan hantera grupper kan lägga till valfri grupp i en katalog. katalogägare kan lägga till valfri grupp i katalogen om de är ägare till gruppen. Tänk på följande Microsoft Entra-begränsningar när du väljer en grupp:
- När en användare, inklusive en gäst, läggs till som medlem i en grupp eller ett team kan de se alla andra medlemmar i gruppen eller teamet.
- Microsoft Entra-ID kan inte ändra medlemskapet för en grupp som synkroniserades från Windows Server Active Directory med hjälp av Microsoft Entra Connect, eller som skapades i Exchange Online som en distributionsgrupp. Om du planerar att hantera åtkomst till program som använder AD-säkerhetsgrupper kan du läsa om hur du konfigurerar tillbakaskrivning av grupper med berättigandehantering.
- Dynamiska medlemskapsgrupper kan inte uppdateras genom att lägga till eller ta bort en medlem, så de är inte lämpliga för användning med berättigandehantering.
- Microsoft 365-grupper har ytterligare begränsningar som beskrivs i översikten över Microsoft 365 grupe för administratörer, inklusive en gräns på 100 ägare per grupp, gränser för hur många medlemmar som kan komma åt gruppkonversationer samtidigt och 7 000 grupper per medlem.
Mer information finns i Jämför grupper och Microsoft 365 grupe och Microsoft Teams.
På sidan Lägg till resursroller för att komma åt paket väljer du Grupper och Teams för att öppna fönstret Välj grupper.
Välj de grupper och team som du vill inkludera i åtkomstpaketet.
Välj Välj.
När du har valt gruppen eller teamet visas en av följande undertyper i kolumnen Undertyp :
Undertyp beskrivning Säkerhet Används för att bevilja åtkomst till resurser. Distribution Används för att skicka meddelanden till en grupp med personer. Microsoft 365 Microsoft 365-grupp som inte är Teams-aktiverad. Används för samarbete mellan användare, både inom och utanför företaget. Team Microsoft 365-grupp som är Teams-aktiverad. Används för samarbete mellan användare, både inom och utanför företaget. I listan Roll väljer du Ägare eller Medlem.
Du väljer vanligtvis rollen Medlem. Om du väljer rollen Ägare blir användarna ägare till gruppen, vilket gör att användarna kan lägga till eller ta bort andra medlemmar eller ägare.
Markera Lägga till.
Alla användare med befintliga tilldelningar till åtkomstpaketet blir automatiskt medlemmar (eller ägare) i den här gruppen eller teamet när de har lagts till. Mer information finns i när ändringar tillämpas.
Lägga till en programresursroll
Du kan låta Microsoft Entra-ID automatiskt tilldela användare åtkomst till ett Microsoft Entra-företagsprogram, inklusive SaaS-program, lokala program och organisationens program som är integrerade med Microsoft Entra-ID, när en användare tilldelas ett åtkomstpaket. För program som integreras med Microsoft Entra-ID via federerad enkel inloggning utfärdar Microsoft Entra ID federationstoken för användare som tilldelats till programmet.
Om ditt program ännu inte har integrerats med din Microsoft Entra-katalog kan du läsa styra åtkomsten för program i din miljö och integrera ett program med Microsoft Entra-ID.
Program kan ha flera approller definierade i sitt manifest och hanteras via användargränssnittet för approller. När du lägger till ett programs approll som en resursroll i ett åtkomstpaket måste du ange lämplig roll för dessa användare i åtkomstpaketet om programmet har mer än en approll. Om du utvecklar program kan du läsa mer om hur dessa roller läggs till i dina program i Så här konfigurerar du rollanspråket som utfärdats i SAML-token för företagsprogram. Om du använder Microsofts autentiseringsbibliotek finns det också ett kodexempel för hur du använder approller för åtkomstkontroll.
Kommentar
Om ett program har flera approller och mer än en roll för programmet finns i ett åtkomstpaket får användaren alla de roller som ingår i programmet. Om du i stället vill att användarna bara ska ha några av programmets roller måste du skapa flera åtkomstpaket i katalogen med separata åtkomstpaket för var och en av approllerna.
När en approll är en resurs i ett åtkomstpaket:
- När en användare har tilldelats åtkomstpaketet läggs användaren till i den approllen, om den inte redan finns. Om programmet kräver attribut skrivs värdena för de attribut som samlas in från begäran till användaren.
- När en användares åtkomstpakettilldelning upphör att gälla tas deras åtkomst bort från programmet, såvida de inte har en tilldelning till ett annat åtkomstpaket som innehåller den approllen. Om programmet kräver attribut tas dessa attribut bort från användaren.
Här följer några saker att tänka på när du väljer ett program:
- Program kan också ha grupper tilldelade till sina approller. Du kan välja att lägga till en grupp i stället för ett program och dess roll i ett åtkomstpaket, men programmet visas inte för användaren som en del av åtkomstpaketet i Min åtkomst-portalen.
- Administrationscentret för Microsoft Entra kan också visa tjänstens huvudnamn för tjänster som inte kan väljas som program. I synnerhet Är Exchange Online och SharePoint Online tjänster, inte program som har resursroller i katalogen, så de kan inte ingå i ett åtkomstpaket. Använd i stället gruppbaserad licensiering för att upprätta en lämplig licens för en användare som behöver åtkomst till dessa tjänster.
- Program som endast stöder personliga Microsoft-kontoanvändare för autentisering och inte stöder organisationskonton i din katalog, har inte programroller och kan inte läggas till för att komma åt paketkataloger.
På sidan Lägg till resursroller för att komma åt paket väljer du Program för att öppna fönstret Välj program.
Välj de program som du vill inkludera i åtkomstpaketet.
Välj Välj.
I listan Roll väljer du en approll.
Markera Lägga till.
Alla användare med befintliga tilldelningar till åtkomstpaketet får automatiskt åtkomst till det här programmet när det läggs till. Mer information finns i när ändringar tillämpas.
Lägga till en SharePoint-webbplatsresursroll
Microsoft Entra-ID kan automatiskt tilldela användare åtkomst till en SharePoint Online-webbplats eller SharePoint Online-webbplatssamling när de tilldelas ett åtkomstpaket.
På sidan Lägg till resursroller för att komma åt paket väljer du SharePoint-webbplatser för att öppna fönstret Välj SharePoint Online-webbplatser.
Välj de SharePoint Online-webbplatser som du vill inkludera i åtkomstpaketet.
Välj Välj.
I listan Roll väljer du en SharePoint Online-webbplatsroll.
Markera Lägga till.
Alla användare med befintliga tilldelningar till åtkomstpaketet får automatiskt åtkomst till den här SharePoint Online-webbplatsen när den läggs till. Mer information finns i när ändringar tillämpas.
Lägga till en Microsoft Entra-rolltilldelning
När användarna behöver ytterligare behörigheter för att få åtkomst till organisationens resurser kan du hantera dessa behörigheter genom att tilldela dem Microsoft Entra-roller via åtkomstpaket. Genom att tilldela Microsoft Entra-roller till anställda och gäster, med hjälp av Berättigandehantering, kan du titta på en användares rättigheter för att snabbt avgöra vilka roller som tilldelas den användaren. När du inkluderar en Microsoft Entra-roll som en resurs i ett åtkomstpaket kan du också ange om rolltilldelningen är "berättigad" eller "aktiv".
Genom att tilldela Microsoft Entra-roller via åtkomstpaket kan du effektivt hantera rolltilldelningar i stor skala och förbättra rolltilldelningens livscykel.
Kommentar
Vi rekommenderar att du använder Privileged Identity Management för att ge just-in-time-åtkomst till en användare för att utföra en uppgift som kräver utökade behörigheter. Dessa behörigheter tillhandahålls via Microsoft Entra-roller som är märkta som "privilegierade" i vår dokumentation här: Inbyggda Microsoft Entra-roller. Berättigandehantering passar bättre för att tilldela användare ett paket med resurser, som kan innehålla en Microsoft Entra-roll, som krävs för att utföra ett jobb. Användare som har tilldelats åtkomstpaket tenderar att ha mer långvarig åtkomst till resurser. Vi rekommenderar att du hanterar högprivilegierade roller via Privileged Identity Management, men du kan konfigurera behörighet för dessa roller via åtkomstpaket i Berättigandehantering.
Följ dessa steg för att inkludera en Microsoft Entra-roll som resurs i ett åtkomstpaket:
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
På sidan Åtkomstpaket öppnar du det åtkomstpaket som du vill lägga till resursroller i och väljer Resursroller.
På sidan Lägg till resursroller för att komma åt paket väljer du Microsoft Entra-roller (förhandsversion) för att öppna fönstret Välj Microsoft Entra-roller.
Välj de Microsoft Entra-roller som du vill inkludera i åtkomstpaketet.
I listan Roll väljer du Berättigad medlem eller Aktiv medlem.
Markera Lägga till.
Kommentar
Om du väljer Berättigad blir användarna berättigade till den rollen och kan aktivera tilldelningen med hjälp av Privileged Identity Management i administrationscentret för Microsoft Entra. Om du väljer Aktiv har användarna en aktiv rolltilldelning tills de inte längre har åtkomst till åtkomstpaketet. För Entra-roller som är taggade som "privilegierade" kan du bara välja Berättigad. Du hittar en lista över privilegierade roller här: Inbyggda Microsoft Entra-roller.
Information om hur du lägger till en Microsoft Entra-roll programmatiskt finns i: Lägga till en Microsoft Entra-roll som en resurs i ett åtkomstpaket programmatiskt.
Lägga till resursroller programmatiskt
Det finns två sätt att lägga till en resursroll i ett åtkomstpaket programmatiskt, via Microsoft Graph och via PowerShell-cmdletarna för Microsoft Graph.
Lägga till resursroller i ett åtkomstpaket med Microsoft Graph
Du kan lägga till en resursroll i ett åtkomstpaket med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All
behörighet kan anropa API:et för att:
- Visa en lista över resurserna i katalogen och skapa en accessPackageResourceRequest för alla resurser som ännu inte finns i katalogen.
- Hämta rollerna och omfången för varje resurs i katalogen. Den här listan över roller används sedan för att välja en roll när du sedan skapar ett resourceRoleScope.
- Skapa ett resourceRoleScope för varje resursroll som behövs i åtkomstpaketet.
Lägga till resursroller i ett åtkomstpaket med Microsoft PowerShell
Du kan också lägga till resursroller i ett åtkomstpaket i PowerShell med cmdletarna från Microsoft Graph PowerShell-cmdletarna för modulen Identitetsstyrning version 2.1.x eller senare.
Hämta först katalogens ID och resursen i katalogen och dess omfång och roller som du vill inkludera i åtkomstpaketet. Använd ett skript som liknar följande exempel. Detta förutsätter att det finns en enda programresurs i katalogen.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Tilldela sedan resursrollen från resursen till åtkomstpaketet. Om du till exempel vill inkludera den första resursrollen för resursen som returnerades tidigare som en resursroll för ett åtkomstpaket använder du ett skript som liknar följande.
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams
Mer information finns i Skapa ett åtkomstpaket i berättigandehantering för ett program med en enda roll med hjälp av PowerShell.
Ta bort resursroller
Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.
Dricks
Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren och Pakethanteraren för Åtkomst.
Bläddra till Åtkomstpaket för rättighetshantering>för identitetsstyrning.>
På sidan Access-paket öppnar du det åtkomstpaket som du vill ta bort resursroller för.
I den vänstra menyn väljer du Resursroller.
Leta upp den resursroll som du vill ta bort i listan över resursroller.
Välj ellipsen (...) och välj sedan Ta bort resursroll.
Alla användare med befintliga tilldelningar till åtkomstpaketet får automatiskt sin åtkomst återkallad till den här resursrollen när den tas bort.
När ändringar tillämpas
I berättigandehantering bearbetar Microsoft Entra-ID massändringar för tilldelning och resurser i dina åtkomstpaket flera gånger om dagen. Om du gör en tilldelning eller ändrar resursrollerna för ditt åtkomstpaket kan det ta upp till 24 timmar innan ändringen görs i Microsoft Entra-ID, plus hur lång tid det tar att sprida ändringarna till andra Microsoft Online-tjänster eller anslutna SaaS-program. Om ändringen bara påverkar några få objekt tar ändringen förmodligen bara några minuter att tillämpa i Microsoft Entra-ID, varefter andra Microsoft Entra-komponenter sedan identifierar ändringen och uppdaterar SaaS-programmen. Om ändringen påverkar tusentals objekt tar ändringen längre tid. Om du till exempel har ett åtkomstpaket med 2 program och 100 användartilldelningar och du bestämmer dig för att lägga till en SharePoint-webbplatsroll i åtkomstpaketet kan det uppstå en fördröjning tills alla användare ingår i sharepoint-webbplatsrollen. Du kan övervaka förloppet via Microsoft Entra-granskningsloggen, Microsoft Entra-etableringsloggen och SharePoint-webbplatsgranskningsloggarna.
När du tar bort en medlem i ett team tas de också bort från Microsoft 365-gruppen. Borttagningen från teamets chattfunktioner kan vara fördröjd. Mer information finns i Gruppmedlemskap.