Aracılığıyla paylaş

Yetkilendirme yönetiminde erişim paketi için atamaları görüntüleme, ekleme ve kaldırma

  • Makale

Yetkilendirme yönetiminde, kimlerin erişim paketlerine, ilkelerine, durumlarına ve kullanıcı yaşam döngüsüne (önizleme) atandığı görebilirsiniz. Erişim paketi uygun bir ilkeye sahipse, kullanıcıyı doğrudan erişim paketine de atayabilirsiniz. Bu makalede, erişim paketleri için atamaların nasıl görüntüleneceği, ekleneceği ve kaldırılacağı açıklanır.

Önkoşullar

Yetkilendirme yönetimini kullanmak ve kullanıcılara paketlere erişim atamak için aşağıdaki lisanslardan birine sahip olmanız gerekir:

  • Microsoft Entra Kimliği P2
  • Enterprise Mobility + Security (EMS) E5 lisansı
  • aboneliği Microsoft Entra Kimlik Yönetimi

Kimin ödevi olduğunu görüntüleme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibi, Erişim Paketi yöneticisi ve Erişim Paketi atama yöneticisidir.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Etkin atamaların listesini görmek için Atamalar'ı seçin.

    Erişim paketi atamalarının listesi

  5. Daha fazla ayrıntı görmek için belirli bir ödevi seçin.

  6. Tüm kaynak rolleri düzgün sağlanmamış atamaların listesini görmek için filtre durumunu seçin ve Teslim'i seçin.

    İstekler sayfasında kullanıcının ilgili isteğini bularak teslim hatalarıyla ilgili daha fazla ayrıntı görebilirsiniz.

  7. Süresi dolan atamaları görmek için filtre durumunu seçin ve Ardından Süresi Doldu'ya tıklayın.

  8. Filtrelenen listenin CSV dosyasını indirmek için İndir'i seçin.

Atamaları program aracılığıyla görüntüleme

Microsoft Graph ile atamaları görüntüleme

Microsoft Graph'i kullanarak bir erişim paketindeki atamaları da alabilirsiniz. Temsilci EntitlementManagement.Read.All veya EntitlementManagement.ReadWrite.All izne sahip bir uygulamayla uygun roldeki bir kullanıcı, accessPackageAssignments listelemek için API'yi çağırabilir. Uygulama iznine EntitlementManagement.Read.All veya EntitlementManagement.ReadWrite.All iznine sahip bir uygulama, tüm kataloglardaki atamaları almak için bu API'yi de kullanabilir.

Microsoft Graph sonuçları sayfalarda döndürür ve sonuçların tüm sayfaları okunana kadar her yanıtla birlikte özelliğindeki @odata.nextLink bir sonraki sonuç sayfasına başvuru döndürmeye devam eder. Tüm sonuçları okumak için, uygulamanızdaki Microsoft Graph verilerini sayfalama bölümünde açıklandığı gibi özellik artık döndürülmeyene @odata.nextLink kadar her yanıtta döndürülen özelliğiyle @odata.nextLink Microsoft Graph'ı çağırmaya devam etmeniz gerekir.

Kimlik İdaresi Yöneticisi birden çok katalogdan erişim paketlerini alabilir, ancak kullanıcı veya uygulama hizmet sorumlusu yalnızca kataloğa özgü temsilci yönetici rollerine atanmışsa, isteğin belirli bir erişim paketini belirtmek için bir filtre sağlaması gerekir; örneğin: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.

PowerShell ile atamaları görüntüleme

Kimlik İdaresi modülü sürüm 2.1.x veya üzeri modül sürümü için Microsoft Graph PowerShell cmdlet'lerinden cmdlet'iyle Get-MgEntitlementManagementAssignment PowerShell'deki bir erişim paketine atamaları da alabilirsiniz. Bu betik, belirli bir erişim paketine tüm atamaları almak için Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ın kullanılmasını gösterir. Bu cmdlet, cmdlet'ten Get-MgEntitlementManagementAccessPackage gelen yanıta dahil edilen erişim paketi kimliğini parametre olarak alır. Tüm atama sayfalarının Get-MgEntitlementManagementAccessPackage döndürülmesini sağlamak üzere bayrağını -All eklemek için cmdlet'ini kullandığınızdan emin olun.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Önceki sorgu süresi dolmuş ve teslim edilen atamalarla birlikte atamaları teslim eder. Süresi dolan veya teslim edilen atamaları dışlamak istiyorsanız, erişim paketi kimliğini ve atamaların durumunu içeren bir filtre kullanabilirsiniz. Bu betik, belirli bir erişim paketi için yalnızca durumundaki Delivered atamaları almak için filtre kullanmayı gösterir. Betik daha sonra, atama başına bir satır içeren bir CSV dosyası assignments.csvoluşturur.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Doğrudan kullanıcı atama

Bazı durumlarda, kullanıcıların erişim paketini isteme işlemine girmemesi için belirli kullanıcıları doğrudan bir erişim paketine atamak isteyebilirsiniz. Kullanıcıları doğrudan atamak için, erişim paketinin yönetici doğrudan atamalarına izin veren bir ilkesi olmalıdır.

Not

Kullanıcıları bir erişim paketine atarken, yöneticilerin mevcut ilke gereksinimlerine göre kullanıcıların bu erişim paketi için uygun olduğunu doğrulaması gerekir. Aksi takdirde, kullanıcılar erişim paketine başarıyla atanamaz.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibi, Erişim Paketi yöneticisi ve Erişim Paketi atama yöneticisidir.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Soldaki menüden Ödevler'i seçin.

  5. Pakete erişmek için kullanıcı ekle'yi açmak için Yeni atama'ya tıklayın.

    Atamalar - Erişim paketine kullanıcı ekleme

  6. İlke seçin listesinde, kullanıcıların gelecekteki isteklerinin ve yaşam döngüsünün yönetileceği ve izlendiği bir ilke seçin. Seçili kullanıcıların farklı ilke ayarlarına sahip olmasını istiyorsanız Yeni ilke oluştur'u seçerek yeni ilke ekleyebilirsiniz.

  7. İlkeyi seçtikten sonra, seçilen ilkenin altında, bu erişim paketini atamak istediğiniz kullanıcıları seçmek için kullanıcılar ekleyebilirsiniz.

    Not

    Soruları olan bir ilke seçerseniz, aynı anda yalnızca bir kullanıcı atayabilirsiniz.

  8. Seçili kullanıcıların atamasının başlamasını ve bitmesini istediğiniz tarih ve saati ayarlayın. Bir bitiş tarihi sağlanmazsa ilkenin yaşam döngüsü ayarları kullanılır.

  9. İsteğe bağlı olarak, kayıt tutma için doğrudan atamanız için bir gerekçe belirtin.

  10. Seçili ilke ek istek sahibi bilgileri içeriyorsa, kullanıcılar adına soruları yanıtlamak için Soruları görüntüle'yi ve ardından Kaydet'i seçin.

    Ödevler - soruları görüntüle'ye tıklayın

    Ödevler - sorular bölmesi

  11. Seçili kullanıcıları erişim paketine doğrudan atamak için Ekle'yi seçin.

    Birkaç dakika sonra, Kullanıcıları Atamalar listesinde görmek için Yenile'yi seçin.

Not

İlke onay gerektiriyorsa, erişim paketi atama yöneticileri artık onay ayarlarını atlayamaz. Başka bir deyişle kullanıcılar, belirlenen onaylayanlardan gerekli onaylar olmadan doğrudan pakete atanamaz. Onayı atlamanız gerekiyorsa, erişim paketinde onay gerektirmeyen ve kapsamı yalnızca erişime ihtiyacı olan kullanıcılar tarafından belirlenmiş ikinci bir ilke oluşturmanızı öneririz.

Herhangi bir kullanıcıyı doğrudan atama (Önizleme)

Yetkilendirme yönetimi, iş ortaklarıyla işbirliği yapmayı kolaylaştırmak için dış kullanıcıları doğrudan erişim paketine atamanıza da olanak tanır. Bunu yapmak için, erişim paketinin henüz dizininizdeki kullanıcıların erişim istemesine izin veren bir ilkesi olmalıdır.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

    İpucu

    Bu görevi tamamlayabilen diğer en düşük ayrıcalık rolleri katalog sahibi, Erişim Paketi yöneticisi ve Erişim Paketi atama yöneticisidir.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Soldaki menüden Ödevler'i seçin.

  5. Pakete erişmek için kullanıcı ekle'yi açmak için Yeni atama'ya tıklayın.

  6. İlke seçin listesinde, dizininizde olmayan kullanıcılar için olarak ayarlanmış bir ilke seçin

  7. Herhangi bir kullanıcı'ya tıklayın. Bu erişim paketine atamak istediğiniz kullanıcıları belirtebilirsiniz. Atamalar - Pakete erişmek için herhangi bir kullanıcıyı ekleme

  8. Kullanıcının Adını (isteğe bağlı) ve kullanıcının E-posta adresini (gerekli) girin.

    Not

    • Eklemek istediğiniz kullanıcının ilke kapsamında olması gerekir. Örneğin, ilkeniz Belirli bağlı kuruluşlar olarak ayarlandıysa, kullanıcının e-posta adresi seçili kuruluşların etki alanından olmalıdır. Eklemeye çalıştığınız kullanıcının e-posta adresi jen@foo.com ancak seçili kuruluşun etki alanı bar.com ise, bu kullanıcıyı erişim paketine ekleyemezsiniz.
    • Benzer şekilde, ilkenizi Tüm yapılandırılmış bağlı kuruluşları içerecek şekilde ayarlarsanız, kullanıcının e-posta adresi yapılandırılmış bağlı kuruluşlarınızdan birinden olmalıdır. Aksi takdirde, kullanıcı erişim paketine eklenmez.
    • Erişim paketine herhangi bir kullanıcı eklemek istiyorsanız, ilkenizi yapılandırırken Tüm kullanıcılar 'ı (Tüm bağlı kuruluşlar + herhangi bir dış kullanıcı) seçtiğinizden emin olmanız gerekir.

  9. Seçili kullanıcıların atamasının başlamasını ve bitmesini istediğiniz tarih ve saati ayarlayın. Bir bitiş tarihi sağlanmazsa ilkenin yaşam döngüsü ayarları kullanılır.

  10. Seçili kullanıcıları erişim paketine doğrudan atamak için Ekle'yi seçin.

  11. Birkaç dakika sonra, Kullanıcıları Atamalar listesinde görmek için Yenile'yi seçin.

Kullanıcıları doğrudan program aracılığıyla atama

Microsoft Graph ile erişim paketine kullanıcı atama

Ayrıca, Microsoft Graph kullanarak bir kullanıcıyı doğrudan erişim paketine atayabilirsiniz. Temsilci EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya veya uygulama iznine sahip bir uygulamaya sahip uygun bir roldeki EntitlementManagement.ReadWrite.All kullanıcı, accessPackageAssignmentRequest oluşturmak için API'yi çağırabilir. Bu istekte özelliğin requestType değeri olmalıdır adminAddve assignment özellik, atanan kullanıcının öğesini içeren targetId bir yapıdır.

PowerShell ile erişim paketine kullanıcı atama

Kimlik İdaresi modülü sürüm 2.1.x veya üzeri modül sürümünden Microsoft Graph PowerShell cmdlet'leri cmdlet'ini kullanarak New-MgEntitlementManagementAssignmentRequest PowerShell'deki bir erişim paketine kullanıcı atayabilirsiniz. Bu betik, Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ın kullanılmasını gösterir.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Ayrıca, bir uygulamaya atananlar veya bir metin dosyasında listelenenler de dahil olmak üzere dizininizdeki mevcut kullanıcı koleksiyonları için atamaları doldurabilirsiniz. Daha fazla bilgi için bkz. Uygulamaya zaten erişimi olan mevcut kullanıcıların atamalarını ekleme ve Uygulamaya erişimi olması gereken ek kullanıcılar için atama ekleme.

Ayrıca, Kimlik İdaresi modülü sürüm 2.4.0 veya sonraki bir sürümdeki Microsoft Graph PowerShell cmdlet'leri ile New-MgBetaEntitlementManagementAccessPackageAssignment PowerShell kullanarak dizininizdeki birden çok kullanıcıyı bir erişim paketine atayabilirsiniz. Bu cmdlet parametre olarak alır

  • cmdlet'inden Get-MgEntitlementManagementAccessPackage gelen yanıta dahil edilen erişim paketi kimliği,
  • cmdlet'inden gelen yanıttaki assignmentpolicies Get-MgEntitlementManagementAccessPackage alanındaki ilkeye dahil edilen erişim paketi atama ilkesi kimliği,
  • hedef kullanıcıların nesne kimlikleri, dize dizisi olarak veya cmdlet'ten Get-MgGroupMember döndürülen kullanıcı üyelerinin listesi olarak.

Örneğin, şu anda bir grubun üyesi olan tüm kullanıcıların da bir erişim paketine atamaları olduğundan emin olmak istiyorsanız, şu anda atamaları olmayan kullanıcılar için istekler oluşturmak için bu cmdlet'i kullanabilirsiniz. Bu cmdlet yalnızca atamalar oluşturur; artık bir grubun üyesi olmayan kullanıcıların atamalarını kaldırmaz. Erişim paketinin atamalarının bir grubun üyeliğini izlemesini ve zaman içinde atamaları ekleyip kaldırmasını istiyorsanız, bunun yerine otomatik atama ilkesini kullanın.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Henüz dizininizde olmayan bir kullanıcı için bir atama eklemek isterseniz, Kimlik İdaresi beta modülü sürüm 2.1.x veya üzeri beta modül sürümü için Microsoft Graph PowerShell cmdlet'leri cmdlet'ini kullanabilirsiniz.New-MgBetaEntitlementManagementAccessPackageAssignmentRequest Bu betik, Microsoft Graph beta profilini ve Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ı kullanmayı gösterir. Bu cmdlet parametre olarak alır

  • cmdlet'inden Get-MgEntitlementManagementAccessPackage gelen yanıta dahil edilen erişim paketi kimliği,
  • cmdlet'inden Get-MgEntitlementManagementAccessPackage gelen yanıttaki alanında ilkeye assignmentpolicies dahil edilen erişim paketi atama ilkesi kimliği,
  • hedef kullanıcının e-posta adresi.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Erişim atamayı yaşam döngüsü iş akışının bir parçası olarak yapılandırma

Microsoft Entra Yaşam Döngüsü İş Akışları özelliğinde, ekleme iş akışına Kullanıcı erişimi paketi ataması isteme görevi ekleyebilirsiniz. Görev, kullanıcıların sahip olması gereken bir erişim paketi belirtebilir. İş akışı bir kullanıcı için çalıştırıldığında, otomatik olarak bir erişim paketi atama isteği oluşturulur.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi ve Yaşam Döngüsü İş Akışları Yöneticisi rolleri ile oturum açın.

  2. Kimlik idaresi>Yaşam Döngüsü iş akışları İş>Akışları'na göz atın.

  3. Bir çalışan ekleme veya taşıma iş akışı seçin.

  4. Görevler'i ve ardından Görev ekle'yi seçin.

  5. Kullanıcı erişim paketi ataması iste'yi seçin ve Ekle'yi seçin.

  6. Yeni eklenen görevi seçin.

  7. Erişim paketini seç'i seçin ve yeni veya hareketli kullanıcıların atanması gereken erişim paketini seçin.

  8. İlke Seç'i seçin ve bu erişim paketindeki erişim paketi atama ilkesini seçin.

  9. Kaydet'i seçin.

Atamayı kaldırma

Bir kullanıcının veya yöneticinin daha önce istediği bir atamayı kaldırabilirsiniz.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi olarak oturum açın.

  2. Kimlik idaresi>Yetkilendirme yönetimi>Erişim paketi'ne göz atın.

  3. Erişim paketleri sayfasında bir erişim paketi açın.

  4. Soldaki menüden Ödevler'i seçin.

  5. Atamasını erişim paketinden kaldırmak istediğiniz kullanıcının yanındaki onay kutusunu seçin.

  6. Sol bölmenin üst kısmındaki Kaldır düğmesini seçin.

    Atamalar - Kullanıcıyı erişim paketinden kaldırma

    Ödevin kaldırıldığını bildiren bir bildirim görüntülenir.

Atamayı program aracılığıyla kaldırma

Microsoft Graph ile ödevi kaldırma

Microsoft Graph'ı kullanarak bir kullanıcının erişim paketine atamasını da kaldırabilirsiniz. Temsilci EntitlementManagement.ReadWrite.All iznine sahip bir uygulamaya veya uygulama iznine sahip bir uygulamaya sahip uygun bir roldeki EntitlementManagement.ReadWrite.All kullanıcı, accessPackageAssignmentRequest oluşturmak için API'yi çağırabilir. Bu istekte özelliğin requestType değeri olmalıdır adminRemoveve assignment özelliği kaldırılan özelliği tanımlayan accessPackageAssignment özelliği içeren id bir yapıdır.

PowerShell ile atamayı kaldırma

Kimlik İdaresi modülü 2.1.x veya üzeri modül sürümü için Microsoft Graph PowerShell cmdlet'lerinden cmdlet'iyle New-MgEntitlementManagementAssignmentRequest PowerShell'de kullanıcının atamasını kaldırabilirsiniz. Bu betik, Microsoft Graph PowerShell cmdlet'leri modülü sürüm 2.4.0'ın kullanılmasını gösterir.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Atama kaldırmayı yaşam döngüsü iş akışının bir parçası olarak yapılandırma

Microsoft Entra Yaşam Döngüsü İş Akışları özelliğinde, bir çıkarma iş akışına kullanıcı görevi için erişim paketi atamasını kaldır ekleyebilirsiniz. Bu görev, kullanıcının atanabileceği bir erişim paketi belirtebilir. İş akışı bir kullanıcı için çalıştırıldığında, erişim paketi ataması otomatik olarak kaldırılır.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik İdaresi Yöneticisi ve Yaşam Döngüsü İş Akışları Yöneticisi rolleri ile oturum açın.

  2. Kimlik idaresi>Yaşam Döngüsü iş akışları İş>Akışları'na göz atın.

  3. Bir çalışanın katılım dışı bırakma iş akışını seçin.

  4. Görevler'i ve ardından Görev ekle'yi seçin.

  5. Kullanıcı için erişim paketi atamasını kaldır'ı seçin ve Ekle'yi seçin.

  6. Yeni eklenen görevi seçin.

  7. Erişim paketleri seç'i seçin ve eklenen kullanıcıların kaldırılacağı bir veya daha fazla erişim paketi seçin.

  8. Kaydet'i seçin.

Sonraki adımlar