Een beleid voor automatische toewijzing configureren voor een toegangspakket in rechtenbeheer
U kunt regels gebruiken om de toewijzing van toegangspakketten te bepalen op basis van gebruikerseigenschappen in Microsoft Entra-id, onderdeel van Microsoft Entra. In Rechtenbeheer kan een toegangspakket meerdere beleidsregels hebben en elk beleid bepaalt hoe gebruikers een toewijzing krijgen aan het toegangspakket en hoe lang. Als beheerder kunt u een beleid voor automatische toewijzingen instellen door een lidmaatschapsregel op te geven, die Rechtenbeheer volgt om automatisch toewijzingen te maken en te verwijderen. Net als bij een dynamische groep worden gebruikerskenmerken geëvalueerd voor overeenkomsten met de lidmaatschapsregel van het beleid wanneer een beleid voor automatische toewijzing wordt gemaakt. Wanneer een kenmerk voor een gebruiker wordt gewijzigd, worden deze beleidsregels voor automatische toewijzing in de toegangspakketten verwerkt voor lidmaatschapswijzigingen. Toewijzingen aan gebruikers worden vervolgens toegevoegd of verwijderd, afhankelijk van of ze voldoen aan de regelcriteria.
U kunt maximaal één beleid voor automatische toewijzing in een toegangspakket hebben en het beleid kan alleen worden gemaakt door een beheerder. (Cataloguseigenaren en toegangspakketbeheerders kunnen geen beleid voor automatische toewijzing maken.)
In dit artikel wordt beschreven hoe u een beleid voor automatische toewijzing van een toegangspakket voor een bestaand toegangspakket maakt.
Voordat u begint
U moet kenmerken hebben ingevuld voor de gebruikers die binnen het bereik vallen om toegang te krijgen. De kenmerken die u kunt gebruiken in de regelscriteria van een toewijzingsbeleid voor toegangspakketten zijn de kenmerken die worden vermeld in ondersteunde eigenschappen, samen met extensiekenmerken en aangepaste extensie-eigenschappen. Deze kenmerken kunnen worden overgebracht naar Microsoft Entra ID door de gebruiker, een HR-systeem, zoals SuccessFactors, Microsoft Entra Connect-cloudsynchronisatie of Microsoft Entra Connect Sync, te patchen. De regels kunnen maximaal 15.000 gebruikers per beleid bevatten.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Een beleid voor automatische toewijzing maken
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Als u een beleid voor een toegangspakket wilt maken, moet u beginnen vanaf het beleidstabblad van het toegangspakket. Volg deze stappen om een nieuw beleid voor automatische toewijzing voor een toegangspakket te maken.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.
Open een toegangspakket op de pagina Access-pakketten .
Selecteer Beleid en voeg vervolgens beleid voor automatische toewijzing toe om een nieuw beleid te maken.
Op het eerste tabblad geeft u de regel op. Selecteer Bewerken.
Geef een regel op voor dynamische lidmaatschapsgroepen met behulp van de opbouwfunctie voor lidmaatschapsregels of door te klikken op Bewerken in het tekstvak voor de regelsyntaxis.
Notitie
Het is mogelijk dat de opbouwfunctie voor regels bepaalde regels die zijn samengesteld in het tekstvak niet kan weergeven en dat voor het valideren van een regel momenteel de rol Groepsbeheerder is vereist. Zie de opbouwfunctie voor regels in het Microsoft Entra-beheercentrum voor meer informatie.
Selecteer Opslaan om de regeleditor voor dynamische lidmaatschapsgroepen te sluiten.
Standaard moeten de selectievakjes voor het automatisch maken en verwijderen van toewijzingen ingeschakeld blijven.
Als u wilt dat gebruikers de toegang gedurende een beperkte tijd behouden nadat ze buiten het bereik zijn gegaan, kunt u een duur opgeven in uren of dagen. Wanneer een werknemer bijvoorbeeld de verkoopafdeling verlaat, kunt u hen toestaan om zeven dagen toegang te behouden om hen toe te staan verkoop-apps te gebruiken en het eigendom van hun resources in die apps over te dragen aan een andere werknemer.
Selecteer Volgende om het tabblad Aangepaste extensies te openen.
Als u aangepaste extensies in uw catalogus hebt die u wilt uitvoeren wanneer het beleid toegang toewijst of verwijdert, kunt u deze toevoegen aan dit beleid. Selecteer vervolgens naast het tabblad Controleren .
Typ een naam en een beschrijving voor het beleid.
Selecteer Maken om het beleid op te slaan.
Notitie
Op dit moment maakt Rechtenbeheer automatisch een dynamische beveiligingsgroep die overeenkomt met elk beleid, om de gebruikers binnen het bereik te evalueren. Deze groep mag niet worden gewijzigd, behalve door Rechtenbeheer zelf. Deze groep kan ook automatisch worden gewijzigd of verwijderd door Rechtenbeheer, dus gebruik deze groep niet voor andere toepassingen of scenario's.
Microsoft Entra ID evalueert de gebruikers in de organisatie die binnen het bereik van deze regel vallen en maakt toewijzingen voor gebruikers die nog geen toewijzingen hebben voor het toegangspakket. Een beleid kan maximaal 15.000 gebruikers bevatten in de regel. Het kan enkele minuten duren voordat de evaluatie plaatsvindt, of voor latere updates van de kenmerken van de gebruiker worden weergegeven in de toewijzingen van toegangspakketten.
Programmatisch beleid voor automatische toewijzing maken
Er zijn twee manieren om programmatisch een toegangspakkettoewijzingsbeleid te maken voor automatische toewijzing, via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.
Een toewijzingsbeleid voor toegangspakketten maken via Graph
U kunt een beleid maken met Behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All
machtiging, of een toepassing in een catalogusrol of met de EntitlementManagement.ReadWrite.All
machtiging, kan het maken van een assignmentPolicy-API aanroepen. Neem in de nettolading van uw aanvraag de displayName
eigenschappen , description
en specificAllowedTargets
automaticRequestSettings
accessPackage
eigenschappen van het beleid op.
Een toewijzingsbeleid voor toegangspakketten maken via PowerShell
U kunt ook een beleid maken in PowerShell met de cmdlets van de Microsoft Graph PowerShell-cmdlets voor identity governance-module versie 1.16.0 of hoger.
Dit volgende script illustreert het gebruik van het v1.0
profiel om een beleid te maken voor automatische toewijzing aan een toegangspakket. Zie Een assignmentPolicy maken en een toegangspakket maken in rechtenbeheer voor een toepassing met één rol met behulp van PowerShell voor meer voorbeelden.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$pparams = @{
DisplayName = "Sales department users"
Description = "All users from sales department"
AllowedTargetScope = "specificDirectoryUsers"
SpecificAllowedTargets = @( @{
"@odata.type" = "#microsoft.graph.attributeRuleMembers"
description = "All users from sales department"
membershipRule = '(user.department -eq "Sales")'
} )
AutomaticRequestSettings = @{
RequestAccessForAllowedTargets = $true
}
AccessPackage = @{
Id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams