Delen via


Resourcerollen wijzigen voor een toegangspakket in rechtenbeheer

Als toegangspakketbeheerder kunt u de resources in een toegangspakket op elk gewenst moment wijzigen zonder dat u zich zorgen hoeft te maken over het inrichten van de toegang van de gebruiker tot de nieuwe resources of het verwijderen van de toegang van de vorige resources. Dit artikel beschrijft hoe u de resourcerollen wijzigt voor een bestaand toegangspakket.

Deze video biedt een overzicht van het wijzigen van een toegangspakket.

Catalogus controleren op resources

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Als u resources wilt toevoegen aan een toegangspakket, moet u controleren of de resources die u nodig hebt, beschikbaar zijn in de catalogus van het toegangspakket. Als u een toegangspakketbeheerder bent, kunt u geen resources toevoegen aan een catalogus, ook niet als u eigenaar ervan bent. U bent beperkt tot het gebruik van de resources die beschikbaar zijn in de catalogus.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Access-pakketten het toegangspakket dat u wilt controleren om ervoor te zorgen dat de catalogus over de benodigde resources beschikt.

  4. Selecteer Catalogus in het linkermenu en open de catalogus.

  5. Selecteer Resources in het linkermenu om de lijst met resources in deze catalogus weer te geven.

    Lijst van resources in een catalogus

  6. Als de resources nog niet in de catalogus staan en u een beheerder of cataloguseigenaar bent, kunt u resources toevoegen aan een catalogus. De typen resources die u kunt toevoegen, zijn groepen, toepassingen die u hebt geïntegreerd met uw directory en SharePoint Online-sites. Voorbeeld:

    • Groepen kunnen in de cloud worden gemaakt Microsoft 365 Groepen of door de cloud gemaakte Microsoft Entra-beveiligingsgroepen. Groepen die afkomstig zijn uit een on-premises Active Directory kunnen niet worden toegewezen als resources omdat hun eigenaar of lid kenmerken niet kunnen worden gewijzigd in Microsoft Entra-id. Als u gebruikers toegang wilt geven tot een toepassing die gebruikmaakt van AD-beveiligingsgroepslidmaatschappen, maakt u een nieuwe groep in Microsoft Entra-id, configureert u write-back van groepen naar AD en stelt u in dat die groep naar AD kan worden geschreven. Groepen die afkomstig zijn uit Exchange Online als distributiegroepen kunnen ook niet worden gewijzigd in Microsoft Entra-id.
    • Toepassingen kunnen Microsoft Entra-bedrijfstoepassingen zijn, waaronder SaaS-toepassingen (Software as a Service), on-premises toepassingen die gebruikmaken van een andere directory of database en uw eigen toepassingen die zijn geïntegreerd met Microsoft Entra ID. Als uw toepassing nog niet is geïntegreerd met uw Microsoft Entra-directory, raadpleegt u de toegang voor toepassingen in uw omgeving en integreert u een toepassing met Microsoft Entra-id.
    • Sites kunnen SharePoint Online-sites of SharePoint Online-siteverzamelingen zijn.
  7. Als u een toegangspakketbeheerder bent en u resources aan de catalogus moet toevoegen, kunt u de cataloguseigenaar vragen deze toe te voegen.

Bepalen welke resourcerollen moeten worden opgenomen in een toegangspakket

Een resourcerol is een verzameling machtigingen die zijn gekoppeld aan en gedefinieerd door een resource. Resources kunnen beschikbaar worden gesteld om gebruikers toe te wijzen als u resourcerollen van elk van de resources van de catalogus toevoegt aan uw toegangspakket. U kunt resourcerollen toevoegen die worden geleverd door groepen, teams, toepassingen en SharePoint-sites. Wanneer een gebruiker een toewijzing voor een toegangspakket ontvangt, worden deze toegevoegd aan alle resourcerollen in het toegangspakket.

Wanneer ze een toewijzing van een toegangspakket verliezen, worden ze verwijderd uit alle resourcerollen in het toegangspakket.

Notitie

Als gebruikers buiten rechtenbeheer aan de resources zijn toegevoegd en ze toegang moeten behouden, zelfs als ze later toegangspakkettoewijzingen ontvangen en hun toegangspakkettoewijzingen verlopen, voegt u de resourcerollen niet toe aan een toegangspakket.

Als u wilt dat sommige gebruikers verschillende resourcerollen ontvangen dan andere, moet u meerdere toegangspakketten maken in de catalogus, met afzonderlijke toegangspakketten voor elk van de resourcerollen. U kunt de toegangspakketten ook markeren als niet compatibel met elkaar, zodat gebruikers geen toegang kunnen aanvragen tot toegangspakketten die hen overmatige toegang zouden geven.

Toepassingen kunnen met name meerdere app-rollen hebben. Wanneer u de app-rol van een toepassing toevoegt als een resourcerol aan een toegangspakket, moet u, als die toepassing meer dan één app-rol heeft, de juiste rol opgeven voor die gebruikers in het toegangspakket.

Notitie

Als een toepassing meerdere app-rollen heeft en meer dan één rol van die toepassing zich in een toegangspakket bevindt, ontvangt de gebruiker alle opgenomen rollen van deze toepassing. Als u in plaats daarvan wilt dat gebruikers slechts een deel van de rollen van de toepassing hebben, moet u meerdere toegangspakketten maken in de catalogus, met afzonderlijke toegangspakketten voor elk van de app-rollen.

Bovendien kunnen toepassingen ook vertrouwen op beveiligingsgroepen voor het uitdrukken van machtigingen. Een toepassing kan bijvoorbeeld één app-rol User hebben en ook het lidmaatschap van twee groepen controleren: een Ordinary Users groep en een Administrative Access groep. Een gebruiker van de toepassing moet lid zijn van precies een van deze twee groepen. Als u wilt configureren dat gebruikers een van beide machtigingen konden aanvragen, zou u in een catalogus drie resources plaatsen: de toepassing, de groep Ordinary Users en de groep Administrative Access. Vervolgens maakt u in die catalogus twee toegangspakketten en geeft u aan dat elk toegangspakket niet compatibel is met het andere:

  • een eerste toegangspakket met twee resourcerollen, de app-rol User van de toepassing en het lidmaatschap van de groep Ordinary Users
  • een tweede toegangspakket met twee resourcerollen, de app-rol User van de toepassing en het lidmaatschap van de groep Administrative Access

Controleren of gebruikers al zijn toegewezen aan de resourcerol

Wanneer een resourcerol wordt toegevoegd aan een toegangspakket door een beheerder, blijven gebruikers die al in die resourcerol zitten, maar geen toewijzingen voor het toegangspakket hebben, in de resourcerol, maar worden ze niet toegewezen aan het toegangspakket. Als een gebruiker bijvoorbeeld lid is van een groep en er vervolgens een toegangspakket wordt gemaakt en de lidrol van die groep wordt toegevoegd aan een toegangspakket, ontvangt de gebruiker niet automatisch een toewijzing aan het toegangspakket.

Als u wilt dat de gebruikers met een resourcerollidmaatschap ook worden toegewezen aan het toegangspakket, kunt u gebruikers rechtstreeks toewijzen aan een toegangspakket via het Microsoft Entra-beheercentrum of bulksgewijs via Graph of PowerShell. De gebruikers die u aan het toegangspakket toewijst, krijgen vervolgens ook toegang tot de andere resourcerollen in het toegangspakket. Omdat gebruikers die zich in de resourcerol bevonden, echter al toegang hebben voordat ze aan het toegangspakket worden toegevoegd, worden ze verwijderd uit die resourcerol wanneer hun toewijzing van het toegangspakket wordt verwijderd.

Resourcerollen toevoegen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Access-pakketten het toegangspakket waaraan u resourcerollen wilt toevoegen.

  4. Selecteer resourcerollen in het linkermenu.

  5. Selecteer Resourcerollen toevoegen om de pagina Resourcerollen toevoegen te openen voor toegang tot de pakketpagina.

    Toegangspakket - resourcerollen toevoegen

  6. Afhankelijk van of u een lidmaatschap van een groep of team wilt toevoegen, voert u toegang tot een toepassing, SharePoint-site of Microsoft Entra-rol (preview) de stappen uit in een van de volgende resourcerolsecties.

Een groeps- of teamresourcerol toevoegen

U kunt rechtenbeheer automatisch gebruikers toevoegen aan een groep of een team in Microsoft Teams wanneer ze een toegangspakket krijgen toegewezen.

  • Wanneer een lidmaatschap van een groep of team een resourcerol is die deel uitmaakt van een toegangspakket en een gebruiker aan dat toegangspakket is toegewezen, wordt de gebruiker toegevoegd als lid van die groep of het team, als deze nog niet aanwezig is.
  • Wanneer de toewijzing van het toegangspakket van een gebruiker verloopt, worden ze verwijderd uit de groep of het team, tenzij ze momenteel een toewijzing hebben aan een ander toegangspakket dat dezelfde groep of hetzelfde team bevat.

U kunt elke Microsoft Entra-beveiligingsgroep of Microsoft 365-groep selecteren. Gebruikers met een beheerdersrol die groepen kunnen beheren, kunnen elke groep toevoegen aan een catalogus; cataloguseigenaren kunnen elke groep aan de catalogus toevoegen als ze eigenaar van de groep zijn. Houd rekening met de volgende Microsoft Entra-beperkingen bij het selecteren van een groep:

  • Wanneer een gebruiker, waaronder een gast, wordt toegevoegd aan een groep of team, kan deze alle andere leden van de groep of het team zien.
  • Microsoft Entra ID kan het lidmaatschap van een groep die is gesynchroniseerd vanuit Windows Server Active Directory, niet wijzigen met behulp van Microsoft Entra Connect of die is gemaakt in Exchange Online als distributiegroep. Als u van plan bent om toegang te beheren tot toepassingen die gebruikmaken van AD-beveiligingsgroepen, raadpleegt u hoe u groeps terugschrijven instelt met rechtenbeheer.
  • Dynamische lidmaatschapsgroepen kunnen niet worden bijgewerkt door een lid toe te voegen of te verwijderen, zodat ze niet geschikt zijn voor gebruik met rechtenbeheer.
  • Microsoft 365-groepen hebben extra beperkingen, zoals beschreven in het overzicht van Microsoft 365 Groepen voor beheerders, waaronder een limiet van 100 eigenaren per groep, limieten voor het aantal leden dat gelijktijdig toegang heeft tot groepsgesprekken en 7.000 groepen per lid.

Zie Groepen vergelijken en Microsoft 365-groepen en Microsoft Teams voor meer informatie.

  1. Selecteer Groepen en Teams op de pagina Resourcerollen toevoegen om het deelvenster Groepen selecteren te openen.

  2. Selecteer de groepen en teams die u wilt opnemen in het toegangspakket.

    Toegangspakket - Resourcerollen toevoegen - Groepen selecteren

  3. Selecteer Selecteren.

    Zodra u de groep of het team hebt geselecteerd, wordt in de kolom Subtype een van de volgende subtypen weergegeven:

    Subtype Beschrijving
    Beveiliging Wordt gebruikt voor het verlenen van toegang tot resources.
    Distributie Wordt gebruikt voor het verzenden van meldingen naar een groep personen.
    Microsoft 365 Microsoft 365-groep die niet is ingeschakeld voor Teams. Wordt gebruikt voor samenwerking tussen gebruikers, zowel binnen als buiten uw bedrijf.
    Team Microsoft 365-groep die niet is ingeschakeld voor Teams. Wordt gebruikt voor samenwerking tussen gebruikers, zowel binnen als buiten uw bedrijf.
  4. Selecteer in de lijst Rol de optie Eigenaar of Lid.

    Doorgaans selecteert u de rol Lid. Als u de rol Eigenaar selecteert, worden gebruikers eigenaar van de groep, zodat deze gebruikers andere leden of eigenaren kunnen toevoegen of verwijderen.

    Toegangspakket - Resourcerol toevoegen voor een groep of team

  5. Selecteer Toevoegen.

    Gebruikers met bestaande toewijzingen voor het toegangspakket worden automatisch leden (of eigenaren) van deze groep of team nadat deze is toegevoegd. Zie wanneer wijzigingen worden toegepast voor meer informatie.

Een toepassingsresourcerol toevoegen

U kunt Microsoft Entra ID automatisch gebruikers toegang geven tot een Microsoft Entra-bedrijfstoepassing, waaronder SaaS-toepassingen, on-premises toepassingen en de toepassingen van uw organisatie die zijn geïntegreerd met Microsoft Entra ID, wanneer een gebruiker een toegangspakket wordt toegewezen. Voor toepassingen die integreren met Microsoft Entra ID via federatieve eenmalige aanmelding, geeft Microsoft Entra ID federatietokens uit voor gebruikers die zijn toegewezen aan de toepassing.

Als uw toepassing nog niet is geïntegreerd met uw Microsoft Entra-directory, raadpleegt u de toegang voor toepassingen in uw omgeving en integreert u een toepassing met Microsoft Entra-id.

Toepassingen kunnen meerdere app-rollen hebben gedefinieerd in hun manifest en worden beheerd via de gebruikersinterface van app-rollen. Wanneer u de app-rol van een toepassing toevoegt als een resourcerol aan een toegangspakket, moet u, als die toepassing meer dan één app-rol heeft, de juiste rol opgeven voor die gebruikers in dat toegangspakket. Als u toepassingen ontwikkelt, vindt u meer informatie over het toevoegen van deze aan uw toepassingen in Procedure: de rolclaim configureren die is uitgegeven in het SAML-token voor bedrijfstoepassingen. Als u de Microsoft-verificatiebibliotheken gebruikt, is er ook een codevoorbeeld voor het gebruik van app-rollen voor toegangsbeheer.

Notitie

Als een toepassing meerdere app-rollen heeft en meer dan één rol van die toepassing zich in een toegangspakket bevindt, ontvangt de gebruiker alle opgenomen rollen van deze toepassing. Als u in plaats daarvan wilt dat gebruikers slechts een deel van de rollen van de toepassing hebben, moet u meerdere toegangspakketten maken in de catalogus, met afzonderlijke toegangspakketten voor elk van de app-rollen.

Zodra een app-rol een resource van een toegangspakket is:

  • Wanneer een gebruiker aan dat toegangspakket wordt toegewezen, wordt de gebruiker toegevoegd aan die app-rol, als deze nog niet aanwezig is. Als voor de toepassing kenmerken zijn vereist, worden de waarden van de kenmerken die zijn verzameld uit de aanvraag naar de gebruiker geschreven.
  • Wanneer de toewijzing van het toegangspakket van een gebruiker verloopt, wordt de toegang verwijderd uit de toepassing, tenzij ze een toewijzing hebben aan een ander toegangspakket dat die app-rol bevat. Als de vereiste kenmerken van de toepassing zijn, worden deze kenmerken verwijderd van de gebruiker.

Hier volgen enkele overwegingen bij het selecteren van een toepassing:

  • Toepassingen kunnen ook groepen hebben toegewezen aan hun app-rollen. U kunt ervoor kiezen om een groep toe te voegen in plaats van een toepassing en de bijbehorende rol in een toegangspakket. De toepassing is echter niet zichtbaar voor de gebruiker als onderdeel van het toegangspakket in de portal Mijn toegang.
  • Het Microsoft Entra-beheercentrum kan ook service-principals weergeven voor services die niet als toepassingen kunnen worden geselecteerd. Exchange Online en SharePoint Online zijn met name services, niet toepassingen met resourcerollen in de directory, zodat ze niet kunnen worden opgenomen in een toegangspakket. Gebruik in plaats daarvan op groepen gebaseerde licenties om een geschikte licentie te maken voor een gebruiker die toegang nodig heeft tot deze services.
  • Toepassingen die alleen gebruikers van persoonlijke Microsoft-accounts ondersteunen voor verificatie en geen ondersteuning bieden voor organisatieaccounts in uw directory, hebben geen toepassingsrollen en kunnen niet worden toegevoegd voor toegang tot pakketcatalogussen.
  1. Selecteer op de pagina Resourcerollen toevoegen voor toegang tot pakket toepassingen om het deelvenster Toepassingen selecteren te openen.

  2. Selecteer de toepassingen die u wilt opnemen in het toegangspakket.

    Toegangspakket - Resourcerollen toevoegen - Groepen selecteren

  3. Selecteer Selecteren.

  4. Selecteer een app-rol in de lijst Rollen .

    Toegangspakket - Resourcerol toevoegen voor een toepassing

  5. Selecteer Toevoegen.

    Gebruikers met bestaande toewijzingen aan het toegangspakket krijgen automatisch toegang tot deze toepassing wanneer deze wordt toegevoegd. Zie wanneer wijzigingen worden toegepast voor meer informatie.

Een SharePoint-siteresourcerol toevoegen

Microsoft Entra ID kan gebruikers automatisch toegang geven tot een SharePoint Online-site of SharePoint Online-siteverzameling wanneer ze een toegangspakket krijgen toegewezen.

  1. Selecteer op de pagina Resourcerollen toevoegen om toegang te krijgen tot pakketpagina SharePoint-sites om het deelvenster SharePoint Online-sites selecteren te openen.

    Toegangspakket - Toegangsrollen toevoegen - SharePoint-sites selecteren - Portalweergave

  2. Selecteer de SharePoint Online-sites die u wilt opnemen in het toegangspakket.

    Toegangspakket - Toegangsrollen toevoegen - SharePoint Online-sites selecteren

  3. Selecteer Selecteren.

  4. Selecteer een SharePoint Online-site in de lijst Rol.

    Toegangspakket - Toegangsrol toevoegen voor een SharePoint Online-site

  5. Selecteer Toevoegen.

    Gebruikers met bestaande toewijzingen aan het toegangspakket krijgen automatisch toegang tot deze SharePoint Online-site wanneer deze wordt toegevoegd. Zie wanneer wijzigingen worden toegepast voor meer informatie.

Een Microsoft Entra-roltoewijzing toevoegen

Wanneer gebruikers aanvullende machtigingen nodig hebben om toegang te krijgen tot de resources van uw organisatie, kunt u deze machtigingen beheren door ze Microsoft Entra-rollen toe te wijzen via toegangspakketten. Door Microsoft Entra-rollen toe te wijzen aan werknemers en gasten, met behulp van Rechtenbeheer, kunt u de rechten van een gebruiker bekijken om snel te bepalen welke rollen aan die gebruiker zijn toegewezen. Wanneer u een Microsoft Entra-rol opneemt als een resource in een toegangspakket, kunt u ook opgeven of die roltoewijzing 'in aanmerking komt' of 'actief' is.

Het toewijzen van Microsoft Entra-rollen via toegangspakketten helpt bij het efficiënt beheren van roltoewijzingen op schaal en verbetert de levenscyclus van roltoewijzingen.

Notitie

U wordt aangeraden Privileged Identity Management te gebruiken om Just-In-Time-toegang te bieden tot een gebruiker om een taak uit te voeren waarvoor verhoogde machtigingen zijn vereist. Deze machtigingen worden verstrekt via de Microsoft Entra-rollen, die zijn gelabeld als 'privileged', in onze documentatie hier: ingebouwde Microsoft Entra-rollen. Rechtenbeheer is beter geschikt voor het toewijzen van gebruikers een bundel resources, waaronder een Microsoft Entra-rol, die nodig is om een taak uit te voeren. Gebruikers die zijn toegewezen aan toegangspakketten, hebben meestal langdurigere toegang tot resources. Hoewel u wordt aangeraden om rollen met hoge bevoegdheden te beheren via Privileged Identity Management, kunt u geschiktheid voor deze rollen instellen via toegangspakketten in Rechtenbeheer.

Volg deze stappen om een Microsoft Entra-rol op te nemen als een resource in een toegangspakket:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar toegangspakketten voor identiteitsbeheerrechten>>.

  3. Open op de pagina Access-pakketten het toegangspakket waaraan u resourcerollen wilt toevoegen en selecteer Resourcerollen.

  4. Selecteer Op de pagina Resourcerollen toevoegen voor toegang tot pakket Microsoft Entra-rollen (preview) om het deelvenster Microsoft Entra-rollen selecteren te openen.

  5. Selecteer de Microsoft Entra-rollen die u wilt opnemen in het toegangspakket. Schermopname van het selecteren van een rol voor het toegangspakket.

  6. Selecteer In de lijst Rollen de optie In aanmerking komend lid of actief lid. Schermopname van het kiezen van een rol voor de resourcerol in het toegangspakket.

  7. Selecteer Toevoegen.

Notitie

Als u In aanmerking komt, komen gebruikers in aanmerking voor die rol en kunnen ze hun toewijzing activeren met Behulp van Privileged Identity Management in het Microsoft Entra-beheercentrum. Als u Actief selecteert, hebben gebruikers een actieve roltoewijzing totdat ze geen toegang meer hebben tot het toegangspakket. Voor Entra-rollen die zijn gelabeld als 'privileged', kunt u alleen In aanmerking komend selecteren. Hier vindt u een lijst met bevoorrechte rollen: ingebouwde Microsoft Entra-rollen.

Als u programmatisch een Microsoft Entra-rol wilt toevoegen, raadpleegt u: Een Microsoft Entra-rol toevoegen als een resource in een toegangspakket programmatisch.

Resourcerollen programmatisch toevoegen

Er zijn twee manieren om een resourcerol programmatisch toe te voegen aan een toegangspakket, via Microsoft Graph en via de PowerShell-cmdlets voor Microsoft Graph.

Resourcerollen toevoegen aan een toegangspakket met Microsoft Graph

U kunt een resourcerol toevoegen aan een toegangspakket met behulp van Microsoft Graph. Een gebruiker in een geschikte rol met een toepassing met de gedelegeerde EntitlementManagement.ReadWrite.All-machtiging kan de API aanroepen voor:

  1. Vermeld de resources in de catalogus en maak een accessPackageResourceRequest voor resources die nog niet in de catalogus aanwezig zijn.
  2. Haal de rollen en bereiken van elke resource in de catalogus op. Deze lijst met rollen wordt vervolgens gebruikt om een rol te selecteren bij het maken van een resourceRoleScope.
  3. Maak een resourceRoleScope voor elke resourcerol die nodig is in het toegangspakket.

Resourcerollen toevoegen aan een toegangspakket met Microsoft PowerShell

U kunt ook resourcerollen toevoegen aan een toegangspakket in PowerShell met de cmdlets van de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance versie 2.1.x of hoger.

Haal eerst de id van de catalogus en van de resource in die catalogus en de bijbehorende bereiken en rollen op die u wilt opnemen in het toegangspakket. Gebruik een script dat vergelijkbaar is met het volgende voorbeeld. Hierbij wordt ervan uitgegaan dat er één toepassingsresource in de catalogus staat.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Wijs vervolgens de resourcerol van die resource toe aan het toegangspakket. Als u bijvoorbeeld de eerste resourcerol van de eerder geretourneerde resource wilt opnemen als een resourcerol van een toegangspakket, gebruikt u een script dat vergelijkbaar is met de volgende.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Zie Een toegangspakket maken in rechtenbeheer voor een toepassing met één rol met behulp van PowerShell voor meer informatie.

Resourcerollen verwijderen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en access-pakketbeheer.

  2. Blader naar het toegangspakket rechtenbeheer voor identiteitsbeheer>>.

  3. Open op de pagina Access-pakketten het toegangspakket waarvoor u resourcerollen wilt verwijderen.

  4. Selecteer resourcerollen in het linkermenu.

  5. Zoek in de lijst van resourcerollen de resourcerol die u wilt verwijderen.

  6. Selecteer het beletselteken (...) en selecteer vervolgens Resourcerol verwijderen.

    Gebruikers met bestaande toewijzingen voor het toegangspakket hebben automatisch hun toegang tot deze resourcerol ingetrokken wanneer deze wordt verwijderd.

Wanneer wijzigingen worden toegepast

In rechtenbeheer verwerkt Microsoft Entra ID bulkwijzigingen voor toewijzing en resources in uw toegangspakketten meerdere keren per dag. Dus als u een toewijzing maakt of de resourcerollen van uw toegangspakket wijzigt, kan het tot 24 uur duren voordat die wijziging is aangebracht in Microsoft Entra-id, plus de hoeveelheid tijd die nodig is om deze wijzigingen door te geven aan andere Microsoft Online Services of verbonden SaaS-toepassingen. Als uw wijziging slechts enkele objecten beïnvloedt, duurt de wijziging waarschijnlijk slechts een paar minuten om toe te passen in Microsoft Entra-id, waarna andere Microsoft Entra-onderdelen die wijziging detecteren en de SaaS-toepassingen bijwerken. Als uw wijziging van invloed is op duizenden objecten, duurt de wijziging langer. Als u bijvoorbeeld een toegangspakket hebt met 2 toepassingen en 100 gebruikerstoewijzingen en u besluit een SharePoint-siterol toe te voegen aan het toegangspakket, kan er een vertraging optreden totdat alle gebruikers deel uitmaken van die SharePoint-siterol. U kunt de voortgang bewaken via het Microsoft Entra-auditlogboek, het Microsoft Entra-inrichtingslogboek en de auditlogboeken van de SharePoint-site.

Wanneer u een lid van een team verwijdert, worden ze ook verwijderd uit de Microsoft 365-groep. Het verwijderen uit de chatfunctionaliteit van het team kan worden uitgesteld. Zie Groepslidmaatschap voor meer informatie.

Volgende stappen