Yetkilendirme yönetiminde erişim paketi için atamaları görüntüleme, ekleme ve kaldırma

  • Makale

Yetkilendirme yönetiminde, kimlerin erişim paketlerine, ilkelerine, durumlarına ve kullanıcı yaşam döngüsüne (önizleme) atandığını görebilirsiniz. Erişim paketi uygun bir ilkeye sahipse, kullanıcıyı doğrudan erişim paketine de atayabilirsiniz. Bu makalede, erişim paketleri için atamaların nasıl görüntüleneceği, ekleneceği ve kaldırılacağı açıklanır.

Önkoşullar

Yetkilendirme yönetimini kullanmak ve kullanıcılara paketlere erişim atamak için aşağıdaki lisanslardan birine sahip olmanız gerekir:

  • Microsoft Entra Kimliği P2
  • Enterprise Mobility + Security (EMS) E5 lisansı
  • aboneliği Microsoft Entra Kimlik Yönetimi

Kimin ödevi olduğunu görüntüleme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Önkoşul rolü: Global Yönetici istrator, Identity Governance Yönetici istrator, Katalog sahibi, Access paket yöneticisi veya Access paket atama yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Etkin atamaların listesini görmek için Atamalar'ı seçin.

    List of assignments to an access package

  5. Daha fazla ayrıntı görmek için belirli bir ödevi seçin.

  6. Tüm kaynak rolleri düzgün sağlanmamış atamaların listesini görmek için filtre durumunu seçin ve Teslim'i seçin.

    İstekler sayfasında kullanıcının ilgili isteğini bularak teslim hatalarıyla ilgili ek ayrıntıları görebilirsiniz.

  7. Süresi dolan atamaları görmek için filtre durumunu seçin ve Ardından Süresi Doldu'ya tıklayın.

  8. Filtrelenen listenin CSV dosyasını indirmek için İndir'i seçin.

Atamaları program aracılığıyla görüntüleme

Microsoft Graph ile atamaları görüntüleme

Microsoft Graph'i kullanarak bir erişim paketindeki atamaları da alabilirsiniz. Temsilci EntitlementManagement.Read.All veya EntitlementManagement.ReadWrite.All izne sahip bir uygulamayla uygun roldeki bir kullanıcı, accessPackageAssignments listelemek için API'yi çağırabilir. Uygulama iznine EntitlementManagement.Read.All veya EntitlementManagement.ReadWrite.All iznine sahip bir uygulama, tüm kataloglardaki atamaları almak için bu API'yi de kullanabilir.

Microsoft Graph sonuçları sayfalarda döndürür ve sonuçların tüm sayfaları okunana kadar her yanıtla birlikte özelliğindeki @odata.nextLink bir sonraki sonuç sayfasına başvuru döndürmeye devam eder. Tüm sonuçları okumak için, uygulamanızdaki Microsoft Graph verilerini sayfalama bölümünde açıklandığı gibi özellik artık döndürülmeyene @odata.nextLink kadar her yanıtta döndürülen özelliğiyle @odata.nextLink Microsoft Graph'ı çağırmaya devam etmeniz gerekir.

Kimlik idaresi yöneticisi birden çok katalogdan erişim paketlerini alabilir, ancak kullanıcı veya uygulama hizmet sorumlusu yalnızca kataloğa özgü temsilci yönetici rollerine atanmışsa, isteğin belirli bir erişim paketini belirtmek için bir filtre sağlaması gerekir. Örneğin: $filter=accessPackage/id eq 'a914b616-e04e-476b-aa37-91038f0b165b'.

PowerShell ile atamaları görüntüleme

Kimlik İdaresi modülü sürüm 2.1.x veya üzeri modül sürümü için Microsoft Graph PowerShell cmdlet'lerinden cmdlet'iyle Get-MgEntitlementManagementAssignment PowerShell'deki bir erişim paketine atamaları da alabilirsiniz. Bu betik, belirli bir erişim paketine tüm atamaları almak için Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ın kullanılmasını gösterir. Bu cmdlet, cmdlet'ten Get-MgEntitlementManagementAccessPackage gelen yanıta dahil edilen erişim paketi kimliğini parametre olarak alır. Tüm atama sayfalarının Get-MgEntitlementManagementAccessPackage döndürülmesini sağlamak üzere bayrağını -All eklemek için cmdlet'ini kullandığınızdan emin olun.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Önceki sorgu süresi dolmuş ve teslim edilen atamaların yanı sıra teslim edilen atamaları döndürür. Süresi dolan veya teslim edilen atamaları dışlamak istiyorsanız, hem erişim paketi kimliğini hem de atamaların durumunu içeren bir filtre kullanabilirsiniz. Bu betik, belirli bir erişim paketi için yalnızca durumundaki Delivered atamaları almak için filtre kullanmayı gösterir. Betik daha sonra, atama başına bir satır içeren bir CSV dosyası assignments.csvoluşturur.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Doğrudan kullanıcı atama

Bazı durumlarda, kullanıcıların erişim paketini isteme işlemine girmemesi için belirli kullanıcıları doğrudan bir erişim paketine atamak isteyebilirsiniz. Kullanıcıları doğrudan atamak için, erişim paketinin yönetici doğrudan atamalarına izin veren bir ilkesi olmalıdır.

Önkoşul rolü: Global Yönetici istrator, Identity Governance Yönetici istrator, Katalog sahibi, Access paket yöneticisi veya Access paket atama yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Soldaki menüden Ödevler'i seçin.

  5. Pakete erişmek için kullanıcı ekle'yi açmak için Yeni atama'ya tıklayın.

    Assignments - Add user to access package

  6. İlke seçin listesinde, kullanıcıların gelecekteki isteklerinin ve yaşam döngüsünün yönetileceği ve izlendiği bir ilke seçin. Seçili kullanıcıların farklı ilke ayarlarına sahip olmasını istiyorsanız Yeni ilke oluştur'u seçerek yeni ilke ekleyebilirsiniz.

  7. İlkeyi seçtikten sonra, seçilen ilkenin altında Bu erişim paketini atamak istediğiniz kullanıcıları seçmek için Kullanıcı ekle seçeneğini belirleyebilirsiniz.

    Not

    Soruları olan bir ilke seçerseniz, aynı anda yalnızca bir kullanıcı atayabilirsiniz.

  8. Seçili kullanıcıların atamasının başlamasını ve bitmesini istediğiniz tarih ve saati ayarlayın. Bir bitiş tarihi sağlanmazsa ilkenin yaşam döngüsü ayarları kullanılır.

  9. İsteğe bağlı olarak, kayıt tutma için doğrudan atamanız için bir gerekçe belirtin.

  10. Seçili ilke ek istek sahibi bilgileri içeriyorsa, kullanıcılar adına soruları yanıtlamak için Soruları görüntüle'yi ve ardından Kaydet'i seçin.

    Assignments - click view questions

    Assignments - questions pane

  11. Seçili kullanıcıları erişim paketine doğrudan atamak için Ekle'yi seçin.

    Birkaç dakika sonra, Kullanıcıları Atamalar listesinde görmek için Yenile'yi seçin.

Not

Kullanıcıları bir erişim paketine atarken, yöneticilerin mevcut ilke gereksinimlerine göre kullanıcıların bu erişim paketi için uygun olduğunu doğrulaması gerekir. Aksi takdirde, kullanıcılar erişim paketine başarıyla atanamaz. Erişim paketi, kullanıcı isteklerinin onaylanmasını gerektiren bir ilke içeriyorsa, kullanıcılar belirlenen onaylayanlardan gerekli onaylar olmadan pakete doğrudan atanamaz.

Herhangi bir kullanıcıyı doğrudan atama (Önizleme)

Yetkilendirme yönetimi, iş ortaklarıyla işbirliği yapmayı kolaylaştırmak için dış kullanıcıları doğrudan erişim paketine atamanıza da olanak tanır. Bunu yapmak için, erişim paketinin henüz dizininizdeki kullanıcıların erişim istemesine izin veren bir ilkesi olmalıdır.

Önkoşul rolü: Global Yönetici istrator, Identity Governance Yönetici istrator, Katalog sahibi, Access paket yöneticisi veya Access paket atama yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Soldaki menüden Ödevler'i seçin.

  5. Pakete erişmek için kullanıcı ekle'yi açmak için Yeni atama'ya tıklayın.

  6. İlke seçin listesinde, dizininizde olmayan kullanıcılar için olarak ayarlanmış bir ilke seçin

  7. Herhangi bir kullanıcı'ya tıklayın. Bu erişim paketine atamak istediğiniz kullanıcıları belirtebilirsiniz. Assignments - Add any user to access package

  8. Kullanıcının Adını (isteğe bağlı) ve kullanıcının E-posta adresini (gerekli) girin.

    Not

    • Eklemek istediğiniz kullanıcının ilke kapsamında olması gerekir. Örneğin, ilkeniz Belirli bağlı kuruluşlar olarak ayarlandıysa, kullanıcının e-posta adresi seçili kuruluşların etki alanından olmalıdır. Eklemeye çalıştığınız kullanıcının e-posta adresi jen@foo.com ancak seçili kuruluşun etki alanı bar.com ise, bu kullanıcıyı erişim paketine ekleyemezsiniz.
    • Benzer şekilde, ilkenizi Tüm yapılandırılmış bağlı kuruluşları içerecek şekilde ayarlarsanız, kullanıcının e-posta adresi yapılandırılmış bağlı kuruluşlarınızdan birinden olmalıdır. Aksi takdirde, kullanıcı erişim paketine eklenmez.
    • Erişim paketine herhangi bir kullanıcı eklemek istiyorsanız, ilkenizi yapılandırırken Tüm kullanıcılar 'ı (Tüm bağlı kuruluşlar + herhangi bir dış kullanıcı) seçtiğinizden emin olmanız gerekir.

  9. Seçili kullanıcıların atamasının başlamasını ve bitmesini istediğiniz tarih ve saati ayarlayın. Bir bitiş tarihi sağlanmazsa ilkenin yaşam döngüsü ayarları kullanılır.

  10. Seçili kullanıcıları erişim paketine doğrudan atamak için Ekle'yi seçin.

  11. Birkaç dakika sonra, Kullanıcıları Atamalar listesinde görmek için Yenile'yi seçin.

Kullanıcıları doğrudan program aracılığıyla atama

Microsoft Graph ile erişim paketine kullanıcı atama

Ayrıca, Microsoft Graph kullanarak bir kullanıcıyı doğrudan erişim paketine atayabilirsiniz. Temsilci EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya veya uygulama iznine sahip bir uygulamaya sahip uygun bir roldeki EntitlementManagement.ReadWrite.All kullanıcı, accessPackageAssignmentRequest oluşturmak için API'yi çağırabilir. Bu istekte özelliğin requestType değeri olmalıdır adminAddve assignment özellik, atanan kullanıcının öğesini içeren targetId bir yapıdır.

PowerShell ile erişim paketine kullanıcı atama

Kimlik İdaresi modülü sürüm 2.1.x veya üzeri modül sürümünden Microsoft Graph PowerShell cmdlet'leri cmdlet'ini kullanarak New-MgEntitlementManagementAssignmentRequest PowerShell'deki bir erişim paketine kullanıcı atayabilirsiniz. Bu betik, Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ın kullanılmasını gösterir.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "cdbdf152-82ce-479c-b5b8-df90f561d5c7"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Ayrıca, Kimlik İdaresi modülü sürüm 2.4.0 veya sonraki bir sürümdeki Microsoft Graph PowerShell cmdlet'leri ile New-MgBetaEntitlementManagementAccessPackageAssignment PowerShell kullanarak dizininizdeki birden çok kullanıcıyı bir erişim paketine atayabilirsiniz. Bu cmdlet parametre olarak alır

  • cmdlet'inden Get-MgEntitlementManagementAccessPackage gelen yanıta dahil edilen erişim paketi kimliği,
  • cmdlet'inden gelen yanıttaki assignmentpoliciesGet-MgEntitlementManagementAccessPackage alanındaki ilkeye dahil edilen erişim paketi atama ilkesi kimliği,
  • hedef kullanıcıların nesne kimlikleri, dize dizisi olarak veya cmdlet'ten Get-MgGroupMember döndürülen kullanıcı üyelerinin listesi olarak.

Örneğin, şu anda bir grubun üyesi olan tüm kullanıcıların da bir erişim paketine atamaları olduğundan emin olmak istiyorsanız, şu anda atamaları olmayan kullanıcılar için istekler oluşturmak için bu cmdlet'i kullanabilirsiniz. Bu cmdlet'in yalnızca atamalar oluşturacağını unutmayın; artık bir grubun üyesi olmayan kullanıcıların atamalarını kaldırmaz.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Henüz dizininizde olmayan bir kullanıcı için bir atama eklemek isterseniz, Kimlik İdaresi beta modülü sürüm 2.1.x veya üzeri beta modül sürümü için Microsoft Graph PowerShell cmdlet'leri cmdlet'ini kullanabilirsiniz.New-MgBetaEntitlementManagementAccessPackageAssignmentRequest Bu betik, Graph beta profilini ve Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ı kullanmayı gösterir. Bu cmdlet parametre olarak alır

  • cmdlet'inden Get-MgEntitlementManagementAccessPackage gelen yanıta dahil edilen erişim paketi kimliği,
  • cmdlet'inden Get-MgEntitlementManagementAccessPackage gelen yanıttaki alanında ilkeye assignmentpolicies dahil edilen erişim paketi atama ilkesi kimliği,
  • hedef kullanıcının e-posta adresi.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Erişim atamayı yaşam döngüsü iş akışının bir parçası olarak yapılandırma

Microsoft Entra Yaşam Döngüsü İş Akışları özelliğinde, ekleme iş akışına Kullanıcı erişimi paketi ataması isteme görevi ekleyebilirsiniz. Görev, kullanıcıların sahip olması gereken bir erişim paketi belirtebilir. İş akışı bir kullanıcı için çalıştırıldığında, otomatik olarak bir erişim paketi atama isteği oluşturulur.

  1. Microsoft Entra yönetim merkezinde genel yönetici olarak oturum açın.

  2. Kimlik idaresi>Yaşam Döngüsü iş akışları İş>Akışları'na göz atın.

  3. Bir çalışan ekleme veya taşıma iş akışı seçin.

  4. Görevler'i ve ardından Görev ekle'yi seçin.

  5. Kullanıcı erişim paketi ataması iste'yi seçin ve Ekle'yi seçin.

  6. Yeni eklenen görevi seçin.

  7. Erişim paketini seç'i seçin ve yeni veya hareketli kullanıcıların atanması gereken erişim paketini seçin.

  8. İlke Seç'i seçin ve bu erişim paketindeki erişim paketi atama ilkesini seçin.

  9. Kaydet'i seçin.

Atamayı kaldırma

Bir kullanıcının veya yöneticinin daha önce istediği bir atamayı kaldırabilirsiniz.

Önkoşul rolü: Global Yönetici istrator, Identity Governance Yönetici istrator, Katalog sahibi, Access paket yöneticisi veya Access paket atama yöneticisi

  1. Microsoft Entra yönetim merkezinde en azından Bir Kimlik İdaresi Yönetici istrator olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Soldaki menüden Ödevler'i seçin.

  5. Atamasını erişim paketinden kaldırmak istediğiniz kullanıcının yanındaki onay kutusunu seçin.

  6. Sol bölmenin üst kısmındaki Kaldır düğmesini seçin.

    Assignments - Remove user from access package

    Ödevin kaldırıldığını bildiren bir bildirim görüntülenir.

Atamayı program aracılığıyla kaldırma

Microsoft Graph ile ödevi kaldırma

Microsoft Graph'ı kullanarak bir kullanıcının erişim paketine atamasını da kaldırabilirsiniz. Temsilci EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya veya uygulama iznine sahip bir uygulamaya sahip uygun bir roldeki EntitlementManagement.ReadWrite.All kullanıcı, accessPackageAssignmentRequest oluşturmak için API'yi çağırabilir. Bu istekte özelliğin requestType değeri olmalıdır adminRemoveve assignment özelliği kaldırılan özelliği tanımlayan accessPackageAssignment özelliği içeren id bir yapıdır.

PowerShell ile atamayı kaldırma

Kimlik İdaresi modülü 2.1.x veya üzeri modül sürümü için Microsoft Graph PowerShell cmdlet'lerinden cmdlet'iyle New-MgEntitlementManagementAssignmentRequest PowerShell'de kullanıcının atamasını kaldırabilirsiniz. Bu betik, Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ın kullanılmasını gösterir.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "040a792f-4c5f-4395-902f-f0d9d192ab2c"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Atama kaldırmayı yaşam döngüsü iş akışının bir parçası olarak yapılandırma

Microsoft Entra Yaşam Döngüsü İş Akışları özelliğinde, bir çıkarma iş akışına kullanıcı görevi için erişim paketi atamasını kaldır ekleyebilirsiniz. Bu görev, kullanıcının atanabileceği bir erişim paketi belirtebilir. İş akışı bir kullanıcı için çalıştırıldığında, erişim paketi ataması otomatik olarak kaldırılır.

  1. Microsoft Entra yönetim merkezinde genel yönetici olarak oturum açın.

  2. Kimlik idaresi>Yaşam Döngüsü iş akışları İş>Akışları'na göz atın.

  3. Bir çalışanın katılım dışı bırakma iş akışını seçin.

  4. Görevler'i ve ardından Görev ekle'yi seçin.

  5. Kullanıcı için erişim paketi atamasını kaldır'ı seçin ve Ekle'yi seçin.

  6. Yeni eklenen görevi seçin.

  7. Erişim paketleri seç'i seçin ve eklenen kullanıcıların kaldırılacağı bir veya daha fazla erişim paketi seçin.

  8. Kaydet'i seçin.

Sonraki adımlar