Sdílet prostřednictvím

Zobrazení, přidání a odebrání přiřazení přístupového balíčku ve správě nároků

  • Článek

Ve správě nároků můžete zjistit, kdo je přiřazený pro přístup k balíčkům, jejich zásadám, stavu a životnímu cyklu uživatelů (Preview). Pokud má přístupový balíček odpovídající zásadu, můžete uživateli přiřadit také přístupový balíček. Tento článek popisuje, jak zobrazit, přidat a odebrat přiřazení pro přístupové balíčky.

Požadavky

Pokud chcete používat správu nároků a přiřazovat uživatelům přístup k balíčkům, musíte mít jednu z následujících licencí:

  • Microsoft Entra ID P2
  • Licence Enterprise Mobility + Security (EMS) E5
  • Předplatné zásad správného řízení pro Microsoft Entra ID

Zobrazení, kdo má zadání

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu, správce přístupových balíčků a správce přiřazení přístupového balíčku.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. Výběrem možnosti Přiřazení zobrazíte seznam aktivních přiřazení.

    Seznam přiřazení přístupového balíčku

  5. Výběrem konkrétního přiřazení zobrazíte další podrobnosti.

  6. Pokud chcete zobrazit seznam přiřazení, která nemají správně zřízené všechny role prostředků, vyberte stav filtru a vyberte Doručit.

    Další podrobnosti o chybách doručení najdete tak, že na stránce Požadavky najdete odpovídající požadavek uživatele.

  7. Pokud chcete zobrazit přiřazení s vypršenou platností, vyberte stav filtru a vyberte Konec platnosti.

  8. Pokud chcete stáhnout soubor CSV filtrovaného seznamu, vyberte Stáhnout.

Zobrazení přiřazení prostřednictvím kódu programu

Zobrazení přiřazení pomocí Microsoft Graphu

Přiřazení v přístupových balíčcích můžete také načíst pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.Read.All oprávnění, EntitlementManagement.ReadWrite.All může volat rozhraní API k zobrazení seznamu přístupPackageAssignments. Aplikace, která má oprávnění EntitlementManagement.Read.All aplikace nebo EntitlementManagement.ReadWrite.All oprávnění, může toto rozhraní API také použít k načtení přiřazení napříč všemi katalogy.

Microsoft Graph vrátí výsledky na stránkách a bude vracet odkaz na další stránku výsledků ve @odata.nextLink vlastnosti s každou odpovědí, dokud se nepřečtou všechny stránky výsledků. Pokud chcete přečíst všechny výsledky, musíte i nadále volat Microsoft Graph s vlastností vrácenou @odata.nextLink v každé odpovědi, dokud @odata.nextLink se tato vlastnost už nevrátí, jak je popsáno ve stránkování dat Microsoft Graphu ve vaší aplikaci.

I když správce zásad správného řízení identit může načíst přístupové balíčky z více katalogů, pokud je instanční objekt uživatele nebo aplikace přiřazen pouze k delegovaným rolím správce specifické pro katalog, musí požadavek poskytnout filtr, který označuje konkrétní přístupový balíček, například: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.

Zobrazení přiřazení pomocí PowerShellu

Přiřazení k přístupovém balíčku můžete také načíst v PowerShellu Get-MgEntitlementManagementAssignment pomocí rutiny Microsoft Graph PowerShellu pro modul zásad správného řízení identit verze 2.1.x nebo novější verze modulu. Tento skript ukazuje použití modulu Microsoft Graph PowerShellu verze 2.4.0 k načtení všech přiřazení ke konkrétnímu přístupovém balíčku. Tato rutina přebírá jako parametr ID přístupového balíčku, který je součástí odpovědi rutiny Get-MgEntitlementManagementAccessPackage . Při použití rutiny Get-MgEntitlementManagementAccessPackage k zahrnutí příznaku -All nezapomeňte vrátit všechny stránky přiřazení.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Předchozí dotaz vrátí vypršení platnosti a doručení přiřazení spolu s doručenými přiřazeními. Pokud chcete vyloučit vypršení platnosti nebo doručení přiřazení, můžete použít filtr, který obsahuje ID přístupového balíčku a stav přiřazení. Tento skript znázorňuje použití filtru k načtení pouze přiřazení ve stavu Delivered pro konkrétní přístupový balíček. Skript pak vygeneruje soubor assignments.csvCSV s jedním řádkem na přiřazení.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Přímé přiřazení uživatele

V některých případech můžete chtít k přístupovém balíčku přímo přiřadit konkrétní uživatele, aby uživatelé nemuseli procházet procesem žádosti o přístupový balíček. Pokud chcete přímo přiřadit uživatele, musí mít přístupový balíček zásadu, která umožňuje přímé přiřazení správce.

Poznámka:

Při přiřazování uživatelů k přístupovém balíčku musí správci ověřit, že uživatelé mají na tento přístupový balíček nárok na základě stávajících požadavků zásad. V opačném případě nebudou uživatelé úspěšně přiřazeni k přístupovém balíčku.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu, správce přístupových balíčků a správce přiřazení přístupového balíčku.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. V nabídce vlevo vyberte Zadání.

  5. Výběrem možnosti Nové přiřazení otevřete možnost Přidat uživatele pro přístup k balíčku.

    Přiřazení – Přidání uživatele do přístupového balíčku

  6. V seznamu Vybrat zásady vyberte zásadu, podle které se budou řídit a sledovat budoucí požadavky a životní cyklus uživatelů. Pokud chcete, aby vybraní uživatelé měli různá nastavení zásad, můžete výběrem možnosti Vytvořit novou zásadu přidat novou zásadu.

  7. Jakmile vyberete zásadu, můžete přidat uživatele, abyste vybrali uživatele, ke kterému chcete přiřadit tento přístupový balíček, pod zvolenou zásadou.

    Poznámka:

    Pokud vyberete zásadu s otázkami, můžete přiřadit jenom jednoho uživatele najednou.

  8. Nastavte datum a čas, kdy má přiřazení vybraných uživatelů začínat a končit. Pokud není zadané koncové datum, použijí se nastavení životního cyklu zásad.

  9. Volitelně můžete zadat odůvodnění vašeho přímého přiřazení pro uchovávání záznamů.

  10. Pokud vybraná zásada obsahuje další informace žadatele, vyberte Zobrazit otázky a odpovězte na ně jménem uživatelů a pak vyberte Uložit.

    Zadání – kliknutí na zobrazit otázky

    Zadání – podokno otázek

  11. Výběrem možnosti Přidat můžete vybraným uživatelům přiřadit přístupový balíček přímo.

    Po chvíli vyberte Aktualizovat a zobrazte uživatele v seznamu Přiřazení.

Poznámka:

Správci přiřazení přístupového balíčku už nebudou moct obejít nastavení schválení, pokud zásady vyžadují schválení. To znamená, že uživatelé nemohou být přímo přiřazeni k balíčku bez potřebných schválení od určených schvalovatelů. V případě, že potřebujete obejít schválení, doporučujeme pro přístupový balíček vytvořit druhou zásadu, která nevyžaduje schválení a je vymezena pouze uživatelům, kteří potřebují přístup.

Přímé přiřazení libovolného uživatele (Preview)

Správa nároků také umožňuje přímé přiřazování externích uživatelů k přístupovým balíčkům, aby se usnadnila spolupráce s partnery. K tomu musí mít přístupový balíček zásadu, která uživatelům, kteří ještě nejsou ve vašem adresáři, aby požádali o přístup.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

    Tip

    Mezi další role s nejnižšími oprávněními, které můžou tuto úlohu dokončit, patří vlastník katalogu, správce přístupových balíčků a správce přiřazení přístupového balíčku.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. V nabídce vlevo vyberte Zadání.

  5. Výběrem možnosti Nové přiřazení otevřete možnost Přidat uživatele pro přístup k balíčku.

  6. V seznamu Vybrat zásady vyberte zásadu, která umožňuje nastavit hodnotu Pro uživatele, kteří nejsou ve vašem adresáři.

  7. Vyberte libovolného uživatele. Můžete určit, kteří uživatelé chcete přiřadit k tomuto přístupového balíčku. Přiřazení – Přidání libovolného uživatele pro přístupový balíček

  8. Zadejte jméno uživatele (volitelné) a e-mailovou adresu uživatele (povinné).

    Poznámka:

    • Uživatel, kterého chcete přidat, musí být v rámci zásad. Pokud je například vaše zásada nastavená na konkrétní připojené organizace, musí e-mailová adresa uživatele být z domén vybraných organizací. Pokud má uživatel, kterého se pokoušíte přidat, e-mailovou adresu jen@foo.com ale doména vybrané organizace je bar.com, nebudete moct tohoto uživatele přidat do přístupového balíčku.
    • Podobně platí, že pokud nastavíte zásadu tak, aby zahrnovala všechny nakonfigurované připojené organizace, musí e-mailová adresa uživatele být z jedné z nakonfigurovaných připojených organizací. Jinak se uživatel nepřidá do přístupového balíčku.
    • Pokud chcete do přístupového balíčku přidat libovolného uživatele, musíte při konfiguraci zásad vybrat Všechny uživatele (všechny připojené organizace + jakýkoli externí uživatel ).

  9. Nastavte datum a čas, kdy má přiřazení vybraných uživatelů začínat a končit. Pokud není zadané koncové datum, použijí se nastavení životního cyklu zásad.

  10. Výběrem možnosti Přidat můžete vybraným uživatelům přiřadit přístupový balíček přímo.

  11. Po chvíli vyberte Aktualizovat a zobrazte uživatele v seznamu Přiřazení.

Přímé přiřazování uživatelů prostřednictvím kódu programu

Přiřazení uživatele k přístupovém balíčku pomocí Microsoft Graphu

Uživatele můžete také přímo přiřadit k přístupovým balíčkům pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, nebo aplikace s oprávněním EntitlementManagement.ReadWrite.All aplikace, může volat rozhraní API k vytvoření accessPackageAssignmentRequest. V tomto požadavku by měla být adminAddhodnota requestType vlastnosti a assignment vlastnost je struktura, která obsahuje targetId přiřazeného uživatele.

Přiřazení uživatele k přístupovém balíčku pomocí PowerShellu

Uživatele můžete přiřadit k přístupovém balíčku v PowerShellu New-MgEntitlementManagementAssignmentRequest pomocí rutiny Microsoft Graph PowerShellu pro modul zásad správného řízení identit verze 2.1.x nebo novější. Tento skript ukazuje použití modulu microsoft Graph PowerShellu verze 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Můžete také naplnit přiřazení stávajících kolekcí uživatelů ve vašem adresáři, včetně těch přiřazených k aplikaci nebo uvedených v textovém souboru. Další informace najdete v tématu Přidání přiřazení stávajících uživatelů, kteří už mají přístup k aplikaci , a přidání přiřazení pro všechny další uživatele, kteří by měli mít k aplikaci přístup.

Můžete také přiřadit více uživatelů, kteří jsou ve vašem adresáři, k přístupovém balíčku pomocí PowerShellu s rutinou New-MgBetaEntitlementManagementAccessPackageAssignment z rutin Microsoft Graph PowerShellu pro modul zásad správného řízení identit verze 2.4.0 nebo novější. Tato rutina přebírá jako parametry.

  • ID přístupového balíčku, které je součástí odpovědi rutiny Get-MgEntitlementManagementAccessPackage ,
  • ID zásady přiřazení přístupového balíčku, které je součástí zásady v assignmentpolicies poli v odpovědi rutiny Get-MgEntitlementManagementAccessPackage ,
  • ID objektů cílových uživatelů, buď jako pole řetězců, nebo jako seznam členů uživatele vrácených z rutiny Get-MgGroupMember .

Pokud například chcete zajistit, aby všichni uživatelé, kteří jsou aktuálně členy skupiny, měli přiřazení k přístupovém balíčku, můžete pomocí této rutiny vytvořit žádosti pro uživatele, kteří momentálně nemají přiřazení. Tato rutina vytvoří pouze přiřazení; neodebere přiřazení pro uživatele, kteří už nejsou členy skupiny. Pokud chcete mít přiřazení přístupového balíčku ke sledování členství ve skupině a přidávání a odebírání přiřazení v průběhu času, použijte místo toho zásadu automatického přiřazení.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Pokud chcete přidat přiřazení pro uživatele, který ještě není ve vašem adresáři, můžete použít New-MgBetaEntitlementManagementAccessPackageAssignmentRequest rutinu z rutin Prostředí Microsoft Graph PowerShell pro beta modul zásad správného řízení identit verze 2.1.x nebo novější beta modulu. Tento skript ukazuje použití profilu Microsoft Graphu a modulu rutin Prostředí Microsoft Graph beta PowerShell verze 2.4.0. Tato rutina přebírá jako parametry.

  • ID přístupového balíčku, které je součástí odpovědi rutiny Get-MgEntitlementManagementAccessPackage ,
  • ID zásady přiřazení přístupového balíčku, které je součástí zásad v assignmentpolicies poli v odpovědi rutiny Get-MgEntitlementManagementAccessPackage ,
  • e-mailovou adresu cílového uživatele.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Konfigurace přiřazení přístupu jako součásti pracovního postupu životního cyklu

V části Pracovní postupy životního cyklu Microsoft Entra můžete do pracovního postupu připojování přidat úlohu přiřazení balíčku pro přístup uživatele k žádosti o přístup. Úkol může určit přístupový balíček, který mají uživatelé mít. Když se pracovní postup spustí pro uživatele, vytvoří se automaticky žádost o přiřazení přístupového balíčku.

  1. Přihlaste se do Centra pro správu Microsoft Entra s alespoň rolemi správce zásad správného řízení identit i správce pracovních postupů životního cyklu.

  2. Přejděte k pracovním postupům>pracovních postupů životního cyklu zásad správného řízení>identit.

  3. Vyberte pracovní postup onboardingu nebo přesunutí zaměstnance.

  4. Vyberte Úkoly a vyberte Přidat úkol.

  5. Vyberte Požádat o přiřazení balíčku pro přístup uživatele a vyberte Přidat.

  6. Vyberte nově přidaný úkol.

  7. Vyberte Vybrat přístupový balíček a zvolte přístupový balíček, ke kterému mají být přiřazeni noví nebo přesouvací uživatelé.

  8. Vyberte Možnost Vybrat zásadu a zvolte zásadu přiřazení přístupového balíčku v daném přístupovém balíčku.

  9. Zvolte Uložit.

Odebrání přiřazení

Přiřazení, které uživatel nebo správce dříve požadovali, můžete odebrat.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte k balíčku přístupu pro správu>nároků zásad správného řízení>identit.

  3. Na stránce Přístupové balíčky otevřete přístupový balíček.

  4. V nabídce vlevo vyberte Zadání.

  5. Zaškrtněte políčko vedle uživatele, jehož přiřazení chcete odebrat z přístupového balíčku.

  6. Vyberte tlačítko Odebrat v horní části levého podokna.

    Přiřazení – Odebrání uživatele z přístupového balíčku

    Zobrazí se oznámení s informací, že přiřazení bylo odebráno.

Odebrání přiřazení prostřednictvím kódu programu

Odebrání přiřazení pomocí Microsoft Graphu

Přiřazení uživatele k přístupovém balíčku můžete odebrat také pomocí Microsoft Graphu. Uživatel v příslušné roli s aplikací, která má delegovaná EntitlementManagement.ReadWrite.All oprávnění, nebo aplikace s oprávněním EntitlementManagement.ReadWrite.All aplikace, může volat rozhraní API k vytvoření accessPackageAssignmentRequest. V tomto požadavku by měla být adminRemovehodnota requestType vlastnosti a assignment vlastnost je struktura, která obsahuje id vlastnost identifikující accessPackageAssignment odebrání.

Odebrání přiřazení pomocí PowerShellu

Přiřazení uživatele můžete odebrat v PowerShellu New-MgEntitlementManagementAssignmentRequest pomocí rutiny Microsoft Graph PowerShellu pro modul zásad správného řízení identit verze 2.1.x nebo novější. Tento skript ukazuje použití modulu microsoft Graph PowerShellu verze 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Konfigurace odebrání přiřazení v rámci pracovního postupu životního cyklu

V části Pracovní postupy životního cyklu Microsoft Entra můžete přidat přiřazení odebrat přístupový balíček pro úkol uživatele do pracovního postupu zrušení zprovoznění. Tento úkol může určit přístupový balíček, ke kterému může být uživatel přiřazen. Když se pracovní postup spustí pro uživatele, přiřazení přístupového balíčku se odebere automaticky.

  1. Přihlaste se do Centra pro správu Microsoft Entra s alespoň rolemi správce zásad správného řízení identit i správce pracovních postupů životního cyklu.

  2. Přejděte k pracovním postupům>pracovních postupů životního cyklu zásad správného řízení>identit.

  3. Vyberte pracovní postup pro zprovoznění zaměstnance.

  4. Vyberte Úkoly a vyberte Přidat úkol.

  5. Vyberte Odebrat přiřazení přístupového balíčku pro uživatele a vyberte Přidat.

  6. Vyberte nově přidaný úkol.

  7. Vyberte Vybrat přístupové balíčky a zvolte jeden nebo více přístupových balíčků, ze kterého se mají uživatelé odhlásit.

  8. Vyberte Uložit.

Další kroky