De bestaande gebruikers van een toepassing beheren - Microsoft PowerShell

Er zijn drie veelvoorkomende scenario's waarin microsoft Entra-id moet worden gevuld met bestaande gebruikers van een toepassing voordat u de toepassing gebruikt met een Microsoft Entra ID-governance functie, zoals toegangsbeoordelingen.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Toepassing gemigreerd naar Microsoft Entra-id na gebruik van een eigen id-provider

In het eerste scenario bestaat de toepassing al in de omgeving. Voorheen gebruikte de toepassing een eigen id-provider of gegevensarchief om bij te houden welke gebruikers toegang hadden.

Wanneer u de toepassing wijzigt zodat deze afhankelijk is van Microsoft Entra-id, hebben alleen gebruikers die zich in Microsoft Entra-id bevinden en toegang tot die toepassing toegang hebben. Als onderdeel van deze configuratiewijziging kunt u ervoor kiezen om de bestaande gebruikers uit het gegevensarchief van die toepassing naar Microsoft Entra-id te brengen. Deze gebruikers blijven vervolgens toegang hebben via Microsoft Entra-id.

Door gebruikers die aan de applicatie zijn gekoppeld te vertegenwoordigen in Microsoft Entra ID, kan Microsoft Entra ID gebruikers bijhouden die toegang hebben tot de applicatie, zelfs als hun relatie met de applicatie ergens anders is ontstaan. De relatie kan bijvoorbeeld afkomstig zijn uit de database of directory van een toepassing.

Nadat Microsoft Entra ID op de hoogte is van de toewijzing van een gebruiker, kan deze updates verzenden naar het gegevensarchief van de toepassing. Updates worden onder meer verzonden wanneer de kenmerken van die gebruiker worden gewijzigd of wanneer de gebruiker buiten het bereik van de toepassing komt te vallen.

Toepassing die geen Microsoft Entra-id gebruikt als enige id-provider

In het tweede scenario is een toepassing niet alleen afhankelijk van Microsoft Entra-id als id-provider.

In sommige gevallen kan een toepassing afhankelijk zijn van AD-groepen. Dit scenario wordt beschreven in Patroon B in Voorbereiding op een toegangsbeoordeling van de toegang van gebruikers tot een toepassing. U hoeft de inrichting voor die toepassing niet te configureren zoals beschreven in dat artikel. Volg in plaats daarvan de instructies voor Patroon B in dat artikel over het controleren van het lidmaatschap van AD-groepen.

In andere gevallen kan een toepassing ondersteuning bieden voor meerdere id-providers of een eigen ingebouwde referentieopslag hebben. Dit scenario wordt beschreven als patroon C in Voorbereiden voor een beoordeling van de toegang van gebruikers tot een toepassing.

Het is mogelijk niet haalbaar om andere id-providers of lokale verificatie van aanmeldingsgegevens te verwijderen uit de toepassing. Als u in dat geval Microsoft Entra-id wilt gebruiken om te controleren wie toegang heeft tot die toepassing, of als u iemands toegang uit die toepassing wilt verwijderen, moet u toewijzingen maken in Microsoft Entra-id die toepassingsgebruikers vertegenwoordigen die niet afhankelijk zijn van Microsoft Entra-id voor verificatie.

Deze toewijzingen zijn nodig als u van plan bent om alle gebruikers met toegang tot de toepassing te controleren als onderdeel van een toegangsbeoordeling.

Stel bijvoorbeeld dat een gebruiker zich in het gegevensarchief van de toepassing bevindt. Microsoft Entra-id is geconfigureerd om roltoewijzingen aan de toepassing te vereisen. De gebruiker heeft echter geen toepassingsroltoewijzing in Microsoft Entra-id.

Als de gebruiker wordt bijgewerkt in Microsoft Entra ID, worden er geen wijzigingen naar de toepassing verzonden. En als de roltoewijzingen van de toepassing worden beoordeeld, wordt de gebruiker niet opgenomen in de beoordeling. Als u alle gebruikers wilt opnemen in de beoordeling, moet u toepassingsroltoewijzingen hebben voor alle gebruikers van de toepassing.

De applicatie maakt geen gebruik van Microsoft Entra ID als identiteit provider en ondersteunt ook geen provisioning.

Voor sommige oudere toepassingen is het mogelijk niet haalbaar om andere id-providers of lokale referentieverificatie uit de toepassing te verwijderen of ondersteuning in te schakelen voor het inrichten van protocollen voor deze toepassingen.

Dit scenario van een toepassing die geen ondersteuning biedt voor inrichtingsprotocollen, wordt behandeld in een afzonderlijk artikel, Bestuur de bestaande gebruikers van een toepassing die geen ondersteuning biedt voor inrichtingsprotocollen.

Terminologie

Dit artikel illustreert het proces voor het beheren van toepassingsroltoewijzingen met behulp van de Microsoft Graph PowerShell-cmdlets. Hierbij wordt gebruikgemaakt van de volgende Microsoft Graph-terminologie.

In Microsoft Entra-id vertegenwoordigt een service-principal (ServicePrincipal) een toepassing in de adreslijst van een bepaalde organisatie. ServicePrincipal heeft een eigenschap genaamd AppRoles die de rollen bevat die door een toepassing worden ondersteund, zoals Marketing specialist. AppRoleAssignment koppelt een gebruiker aan een service-principal en geeft aan welke rol die gebruiker heeft in die toepassing. Een toepassing kan meer dan één service-principal hebben, als eenmalige aanmelding bij de toepassing en inrichting voor de toepassing afzonderlijk worden verwerkt.

U kunt ook Microsoft Entra-toegangspakketten voor rechtenbeheer gebruiken om gebruikers tijdgebonden toegang te geven tot de toepassing. In toegangsrechtenbeheer bevat AccessPackage een of meer resourcerollen, mogelijk van meerdere service principals. AccessPackage heeft ook toewijzingen (Assignment) voor gebruikers op het toegangspakket.

Wanneer u een toewijzing voor een gebruiker voor een toegangspakket maakt, maakt Microsoft Entra-rechtenbeheer automatisch de benodigde AppRoleAssignment exemplaren voor de gebruiker aan in de service-principal van elke toepassing binnen het toegangspakket. Zie de zelfstudie Toegang tot resources beheren in Microsoft Entra-rechtenbeheer voor meer informatie over het maken van toegangspakketten via PowerShell.

Voordat u begint

• U moet een van de volgende licenties hebben in uw tenant:

  • Microsoft Entra ID P2 of Microsoft Entra ID-Governance
  • Enterprise Mobility + Security E5-licentie

• U moet een geschikte beheerdersrol hebben. Als dit de eerste keer is dat u deze stappen uitvoert, hebt u de rol Globale beheerder nodig om het gebruik van Microsoft Graph PowerShell te autoriseren in uw tenant.

• Uw toepassing heeft ten minste één service-principal in uw tenant nodig:

  • Als de toepassing gebruikmaakt van een LDAP-directory, volgt u de handleiding voor het configureren van Microsoft Entra-id voor het inrichten van gebruikers in LDAP-directory's via de sectie voor het downloaden, installeren en configureren van het Microsoft Entra Connect Provisioning Agent-pakket.
  • Als de toepassing gebruikmaakt van een SQL-database, volgt u de handleiding voor het configureren van Microsoft Entra-id voor het inrichten van gebruikers in SQL-toepassingen via de sectie voor het downloaden, installeren en configureren van het Microsoft Entra Connect Provisioning Agent-pakket.
  • Als de toepassing GEBRUIKMAAKT van SAP Cloud Identity Services of een cloudtoepassing is die het SCIM-protocol ondersteunt en de toepassing nog niet is geconfigureerd in uw tenant, registreert u de toepassing verderop in deze handleiding vanuit de toepassingsgalerie.
  • Als de toepassing on-premises is en het SCIM-protocol ondersteunt, volgt u de handleiding voor het configureren van Microsoft Entra-id voor het inrichten van gebruikers in on-premises SCIM-toepassingen.

Bestaande gebruikers verzamelen uit een toepassing

De eerste stap om ervoor te zorgen dat alle gebruikers worden vastgelegd in Microsoft Entra ID, is het verzamelen van de lijst met bestaande gebruikers die toegang hebben tot de toepassing.

Sommige toepassingen hebben mogelijk een ingebouwde opdracht om een lijst van huidige gebruikers te exporteren uit het gegevensarchief. In andere gevallen kan de toepassing afhankelijk zijn van een externe directory of database.

In sommige omgevingen bevindt de toepassing zich mogelijk in een netwerksegment of systeem dat niet geschikt is voor het beheren van toegang tot Microsoft Entra-id. Mogelijk moet u de lijst met gebruikers uit die map of database extraheren en deze vervolgens overdragen als een bestand naar een ander systeem dat kan worden gebruikt voor Interacties met Microsoft Entra.

In deze sectie worden vier benaderingen uitgelegd voor het ophalen van een lijst met gebruikers in een CSV-bestand (door komma's gescheiden waarden):

• Vanuit een LDAP-directory
• Vanuit een SQL Server-database
• Vanuit een andere SQL-database
• Van SAP Cloud Identity Services

Bestaande gebruikers verzamelen uit een toepassing die gebruikmaakt van een LDAP-directory

Deze sectie is van toepassing op toepassingen die een LDAP-directory gebruiken als het onderliggende gegevensarchief voor gebruikers die zich niet verifiëren bij Microsoft Entra-id. Veel LDAP-directory's, zoals Active Directory, bevatten een opdracht die een lijst van gebruikers produceert.

1. Bepaal welke van de gebruikers in die directory in aanmerking komen als gebruikers van de applicatie. Deze keuze is afhankelijk van de configuratie van uw toepassing. Voor sommige toepassingen is elke bestaande gebruiker in een LDAP-directory een geldige gebruiker. Voor andere toepassingen moet de gebruiker mogelijk een bepaald kenmerk hebben of lid zijn van een groep in die directory.

2. Voer de opdracht uit waarmee de subset van gebruikers wordt opgehaald uit uw directory. Zorg ervoor dat de uitvoer de kenmerken van gebruikers bevat die zullen worden gebruikt voor het afstemmen met Microsoft Entra ID. Voorbeelden van deze kenmerken zijn werknemers-id, accountnaam en e-mailadres.

   Met deze opdracht wordt bijvoorbeeld een CSV-bestand geproduceerd in de huidige bestandssysteemmap met het userPrincipalName kenmerk van elke persoon in de LDAP-map:

   $out_filename = ".\users.csv"
   csvde -f $out_filename -l userPrincipalName,cn -r "(objectclass=person)"
   

3. Breng indien nodig het CSV-bestand met de lijst met van gebruikers over naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.

4. Lees verder in de sectie Controleren of Microsoft Entra ID gebruikers heeft die overeenkomen met gebruikers uit de applicatie verderop in dit artikel.

Bestaande gebruikers verzamelen uit een databasetabel van een toepassing met behulp van een SQL Server-wizard

Deze sectie is van toepassing op toepassingen die gebruikmaken van SQL Server als het onderliggende gegevensarchief.

Haal eerst een lijst van gebruikers op uit de tabellen. De meeste databases bieden een manier om de inhoud van tabellen te exporteren naar een standaardbestandsindeling, zoals een CSV-bestand. Als de toepassing een SQL Server-database gebruikt, kunt u de SQL Server-wizard voor importeren en exporteren gebruiken om delen van een database te exporteren. Als u geen hulpprogramma hebt voor uw database, kunt u het ODBC-stuurprogramma gebruiken met PowerShell, zoals beschreven in de volgende sectie.

1. Meld u aan bij het systeem waarop SQL Server is geïnstalleerd.
2. Open SQL Server 2019 Importeren en Exporteren (64 bit) of het equivalent voor uw database.
3. Selecteer de bestaande database als bron.
4. Selecteer Flat File Destination als de bestemming. Geef een bestandsnaam op en wijzig de waarde van Codepagina naar 65001 (UTF-8).
5. Voltooi de wizard en selecteer de optie om direct uit te voeren.
6. Wacht tot de uitvoering is voltooid.
7. Breng indien nodig het CSV-bestand met de lijst met van gebruikers over naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.
8. Lees verder bij de sectie Controleren of Microsoft Entra ID gebruikers heeft die overeenkomen met gebruikers van de toepassing verderop in dit artikel.

Bestaande gebruikers verzamelen uit een databasetabel van een toepassing met behulp van PowerShell

Deze sectie is van toepassing op toepassingen die een andere SQL-database gebruiken als het onderliggende gegevensarchief, waarbij u de ECMA-connectorhost gebruikt om gebruikers in te richten in die toepassing. Als u de inrichtingsagent nog niet hebt geconfigureerd, gebruik dan deze handleiding om het DSN-verbindingsbestand te maken dat u in deze sectie gaat gebruiken.

1. Log in op het systeem waar de provisioning-agent is of zal worden geïnstalleerd.

2. Open PowerShell.

3. Maak een verbindingsreeks voor het maken van een verbinding met uw databasesysteem.

   De onderdelen van een verbindingsreeks zijn afhankelijk van de vereisten van uw database. Als u SQL Server gebruikt, zie dan de lijst van DSN- en verbindingsreekstrefwoorden en -kenmerken.

   Als u een andere database gebruikt, moet u de verplichte trefwoorden opnemen om verbinding te maken met die database. Als uw database bijvoorbeeld de volledig gekwalificeerde padnaam van het DSN-bestand, een gebruikers-id en een wachtwoord gebruikt, maak de verbindingsreeks dan met behulp van de volgende opdrachten:

   $filedsn = "c:\users\administrator\documents\db.dsn"
   $db_cs = "filedsn=" + $filedsn + ";uid=p;pwd=secret"
   

4. Open een verbinding met uw database en geef de verbindingsreeks op met behulp van de volgende opdrachten:

   $db_conn = New-Object data.odbc.OdbcConnection
   $db_conn.ConnectionString = $db_cs
   $db_conn.Open()
   

5. Maak een SQL-query om de gebruikers op te halen uit de databasetabel. Zorg ervoor dat u de kolommen opneemt die worden gebruikt om gebruikers in de database van de toepassing te koppelen aan die gebruikers in Microsoft Entra-id. Kolommen kunnen onder andere werknemers-id, accountnaam of e-mailadres zijn.

   Als uw gebruikers bijvoorbeeld zijn opgeslagen in een databasetabel met de naam USERS met de kolommen name en email, voer dan de volgende opdracht in:

   $db_query = "SELECT name,email from USERS"
   
   

6. Verzend de query naar de database via de verbinding:

   $result = (new-object data.odbc.OdbcCommand($db_query,$db_conn)).ExecuteReader()
   $table = new-object System.Data.DataTable
   $table.Load($result)
   

   Het resultaat is de lijst van rijen die gebruikers vertegenwoordigen die zijn opgehaald uit de query.

7. Schrijf het resultaat naar een CSV-bestand:

   $out_filename = ".\users.csv"
   $table.Rows | Export-Csv -Path $out_filename -NoTypeInformation -Encoding UTF8
   

8. Als op dit systeem geen Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd of als er geen verbinding is met Microsoft Entra-id, moet u het CSV-bestand met de lijst met gebruikers overdragen naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.

Bestaande gebruikers verzamelen van SAP Cloud Identity Services

Deze sectie is van toepassing op SAP-toepassingen die SAP Cloud Identity Services gebruiken als de onderliggende service voor het inrichten van gebruikers.

1. Meld u aan bij uw SAP Cloud Identity Services-beheerconsole, https://<tenantID>.accounts.ondemand.com/adminof https://<tenantID>.trial-accounts.ondemand.com/admin als er een proefversie is.
2. Navigeer naar Gebruikers en autorisaties > om gebruikers te exporteren.
3. Selecteer alle kenmerken die vereist zijn voor het koppelen van Microsoft Entra-gebruikers aan die in SAP. Dit omvat de SCIM ID, userNameen emailsandere kenmerken die u mogelijk gebruikt in uw SAP-systemen.
4. Selecteer Exporteren en wacht totdat de browser het CSV-bestand downloadt.
5. Als op dit systeem geen Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd of als er geen verbinding is met Microsoft Entra-id, moet u het CSV-bestand met de lijst met gebruikers overdragen naar een systeem waarop de Microsoft Graph PowerShell-cmdlets zijn geïnstalleerd.

Controleer of Microsoft Entra ID gebruikers bevat die overeenkomen met gebruikers uit de toepassing

Nu u een lijst hebt met alle gebruikers die zijn verkregen uit de toepassing, gaat u deze gebruikers uit het gegevensarchief van de toepassing matchen met gebruikers in Microsoft Entra ID.

Voordat u verder gaat, moet u de informatie bekijken over Overeenkomende gebruikers in het bron- en doelsysteem. Daarna configureert u Microsoft Entra-inrichting met gelijkwaardige toewijzingen. Met deze stap kan Microsoft Entra-provisioning gegevens opvragen in het gegevensarchief van de toepassing met dezelfde overeenkomende regels.

De id's van de gebruikers in Microsoft Entra-id ophalen

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell-cmdlets .

De eerste keer dat uw organisatie deze cmdlets gebruikt voor dit scenario, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell te kunnen gebruiken in uw tenant. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Gebruikersbeheerder, als u verwacht nieuwe gebruikers te maken.
• Toepassingsbeheerder of identiteitsbeheerbeheerder, als u alleen toepassingsroltoewijzingen beheert.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeer dan de module Microsoft.Graph.Users en andere met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleer dan of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken met Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Als dit de eerste keer is dat u deze opdracht hebt gebruikt, moet u mogelijk toestemming geven voor de Microsoft Graph-opdrachtregelprogramma's om deze machtigingen te hebben.

5. Lees de lijst van gebruikers verkregen uit het gegevensarchief van de toepassing in de PowerShell-sessie. Als de lijst van gebruikers zich in een CSV-bestand bevindt, kunt u de PowerShell-cmdlet Import-Csv gebruiken en de naam van het bestand uit de vorige sectie opgeven als argument.

   Als het bestand dat is verkregen uit SAP Cloud Identity Services bijvoorbeeld de naam Users-exported-from-sap.csv heeft en zich in de huidige map bevindt, voert u deze opdracht in.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Als u een database of map gebruikt, voert u de volgende opdracht in als het bestand de naam users.csv heeft en zich in de huidige map bevindt:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Kies de kolom van het users.csv-bestand dat overeenkomt met een kenmerk van een gebruiker in Microsoft Entra-id.

   Als u SAP Cloud Identity Services gebruikt, is de standaardtoewijzing het SAP SCIM-kenmerk userName met het Microsoft Entra ID-kenmerk userPrincipalName:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Als u bijvoorbeeld een database of map gebruikt, hebt u mogelijk gebruikers in een database waarin de waarde in de kolom met de naam EMail dezelfde waarde heeft als in het kenmerk userPrincipalNameMicrosoft Entra:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Haal de id's van die gebruikers op in Microsoft Entra ID.

   Het volgende PowerShell-script gebruikt de eerder aangegeven waarden $dbusers, $db_match_column_name en $azuread_match_attr_name. Er wordt een query uitgevoerd op De Microsoft Entra-id om een gebruiker te zoeken die een kenmerk heeft met een overeenkomende waarde voor elke record in het bronbestand. Als er veel gebruikers zijn in het bestand dat is verkregen uit de bron SAP Cloud Identity Services, database of directory, kan het enkele minuten duren voordat dit script is voltooid. Als u geen attribuut in Microsoft Entra ID hebt met de waarde en een contains of andere filterexpressie moet gebruiken, moet u dit script aanpassen en dat script in stap 11 hieronder om een andere filterexpressie te gebruiken.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Bekijk de resultaten van de voorgaande query's. Kijk of een van de gebruikers in SAP Cloud Identity Services, de database of map zich niet in Microsoft Entra ID kan bevinden vanwege fouten of ontbrekende overeenkomsten.

   Het volgende PowerShell-script geeft de aantallen records weer die niet zijn gevonden:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Wanneer het script is voltooid, wordt er een fout weergegeven als records uit de gegevensbron zich niet in Microsoft Entra-id bevinden. Als niet alle records voor gebruikers uit het gegevensarchief van de toepassing kunnen worden teruggevonden als gebruikers in Microsoft Entra ID, moet u nagaan welke records niet overeenkomen en waarom.

   Iemands e-mailadres en userPrincipalName zijn bijvoorbeeld gewijzigd in Microsoft Entra-id zonder dat de bijbehorende mail eigenschap wordt bijgewerkt in de gegevensbron van de toepassing. Of de gebruiker heeft de organisatie misschien al verlaten, maar is nog aanwezig in de gegevensbron van de toepassing. Of er is mogelijk een leverancier- of superbeheerdersaccount in de gegevensbron van de toepassing die niet overeenkomt met een specifieke persoon in Microsoft Entra-id.

10. Als er gebruikers zijn die niet gevonden konden worden in Microsoft Entra ID, of die niet actief waren en zich niet konden aanmelden, maar u hun toegang wilt laten controleren of hun kenmerken wilt bijwerken in SAP Cloud Identity Services, de database of directory, moet u de applicatie bijwerken, de overeenkomende regel instellen, of Microsoft Entra-gebruikers voor hen bijwerken of aanmaken. Voor meer informatie over welke wijziging u moet aanbrengen, zie het beheren van toewijzingen en gebruikersaccounts in toepassingen die niet overeenkomen met gebruikers in Microsoft Entra ID.

    Als u de optie kiest om gebruikers te maken in Microsoft Entra ID, kunt u gebruikers bulksgewijs maken met behulp van:

    • Een CSV-bestand, zoals beschreven in Bulk aanmaken van gebruikers in het Microsoft Entra-beheercentrum
    • De cmdlet New-MgUser

    Zorg ervoor dat deze nieuwe gebruikers worden gevuld met de kenmerken die vereist zijn voor Microsoft Entra-id, zodat deze later overeenkomen met de bestaande gebruikers in de toepassing, en de kenmerken die zijn vereist voor Microsoft Entra-id, inclusief userPrincipalName, mailNickname en displayName. Deze userPrincipalName moet uniek zijn voor alle gebruikers in de directory.

    U hebt bijvoorbeeld gebruikers in een database waarin de waarde in de kolom met de naam EMail de waarde is die u wilt gebruiken als microsoft Entra user principal Name, de waarde in de kolom Alias bevat de e-mailnaam van Microsoft Entra ID en de waarde in de kolom Full name bevat de weergavenaam van de gebruiker:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Vervolgens kunt u dit script gebruiken om Microsoft Entra-gebruikers te maken voor gebruikers in SAP Cloud Identity Services, de database of directory die niet overeenkomen met gebruikers in Microsoft Entra ID. Houd er rekening mee dat je dit script mogelijk moet aanpassen om extra Microsoft Entra-attributen toe te voegen die in jouw organisatie nodig zijn, of als $azuread_match_attr_name, mailNickname en userPrincipalName niet het enige alternatief zijn om dat Microsoft Entra-kenmerk te verstrekken.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Nadat u ontbrekende gebruikers aan Microsoft Entra ID hebt toegevoegd, voert u het script opnieuw uit vanaf stap 7. Voer vervolgens het script uit vanaf stap 8. Controleer dat er geen fouten worden gerapporteerd.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Registreer de toepassing

Als de toepassing al is geregistreerd in Microsoft Entra ID, gaat u verder met de volgende stap.

• Als de toepassing gebruikmaakt van een LDAP-directory, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in de sectie LDAP-directory's om een nieuwe registratie te maken voor een on-premises ECMA-app in Microsoft Entra ID.
• Als de toepassing gebruikmaakt van een SQL-database, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in de sectie MET SQL-toepassingen om een nieuwe registratie te maken voor een on-premises ECMA-app in Microsoft Entra ID.
• Als u SAP Cloud Identity Services gebruikt, volgt u de handleiding voor het configureren van Microsoft Entra ID voor het inrichten van gebruikers in SAP Cloud Identity Services.
• Als het een cloudtoepassing is die ondersteuning biedt voor het SCIM-protocol, kunt u de toepassing toevoegen vanuit de toepassingsgalerie.
• Als de toepassing on-premises is en het SCIM-protocol ondersteunt, volgt u de handleiding voor het configureren van Microsoft Entra-id voor het inrichten van gebruikers in on-premises SCIM-toepassingen.

Controleren op gebruikers die nog niet zijn toegewezen aan de toepassing

In de vorige stappen is bevestigd dat alle gebruikers in het gegevensarchief van de toepassing bestaan als gebruikers in Microsoft Entra-id. Mogelijk worden ze momenteel echter niet allemaal toegewezen aan de rollen van de toepassing in Microsoft Entra-id. De volgende stappen zijn dus om te zien welke gebruikers geen toewijzingen hebben aan toepassingsrollen.

1. Zoek de principal-ID van de service op voor de serviceprincipal van de toepassing. Als u onlangs een service-principal hebt gemaakt voor een toepassing die gebruikmaakt van een LDAP-directory of een SQL-database, gebruikt u de naam van die service-principal.

   Als de bedrijfstoepassing bijvoorbeeld CORPDB1 heet, voer dan de volgende opdrachten in:

   $azuread_app_name = "CORPDB1"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Haal de gebruikers op die momenteel toewijzingen hebben aan de toepassing in Microsoft Entra ID.

   Dit bouwt voort op de $azuread_sp variabele die is ingesteld in de vorige opdracht.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Vergelijk de lijst van gebruikers-id's uit de vorige sectie met de gebruikers die momenteel aan de toepassing zijn toegewezen:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
   

   Als nul gebruikers niet zijn toegewezen aan toepassingsrollen, waarmee wordt aangegeven dat alle gebruikers wel zijn toegewezen aan toepassingsrollen, hoeft u geen verdere wijzigingen aan te brengen voordat u een toegangsbeoordeling uitvoert.

   Als een of meer gebruikers momenteel niet zijn toegewezen aan de toepassingsrollen, moet u de procedure voortzetten en ze toevoegen aan een van de rollen van de toepassing.

4. Selecteer de rol van de toepassing waaraan de resterende gebruikers moeten worden toegewezen.

   Een toepassing kan meer dan één rol hebben en een service-principal kan extra rollen hebben. Gebruik deze opdracht om de beschikbare rollen van een service-principal weer te geven:

   $azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User"} | ft DisplayName,Id
   

   Selecteer de juiste rol in de lijst en haal de bijbehorende rol-id op. Als de rolnaam bijvoorbeeld is Admin, geef die waarde dan op in de volgende PowerShell-opdrachten:

   $azuread_app_role_name = "Admin"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq $azuread_app_role_name}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

Toepassingsinrichting configureren

Als uw toepassing gebruikmaakt van een LDAP-directory, een SQL-database, SAP Cloud Identity Services of SCIM ondersteunt, configureert u het inrichten van Microsoft Entra-gebruikers voor de toepassing voordat u nieuwe toewijzingen maakt. Als u voorziening configureert voordat u toewijzingen maakt, kan Microsoft Entra ID de gebruikers in Microsoft Entra ID afstemmen op de toewijzingen van de toepassingsrol aan de gebruikers die zich al in het gegevensarchief van de toepassing bevinden. Als uw toepassing een on-premises directory of database heeft die moet worden ingericht en ook federatieve eenmalige aanmelding ondersteunt, hebt u mogelijk twee service-principals nodig om de toepassing in uw directory weer te geven: één voor inrichting en één voor eenmalige aanmelding. Als uw toepassing geen ondersteuning biedt voor het inrichten, gaat u verder met lezen in de volgende sectie.

1. Zorg dat de toepassing zodanig is geconfigureerd dat gebruikers toepassingsroltoewijzingen moeten hebben, zodat alleen geselecteerde gebruikers worden ingericht voor de toepassing.

2. Als voorziening niet is geconfigureerd voor de toepassing, configureer deze dan nu (maar start de voorziening niet):

   • Als de toepassing gebruikmaakt van een LDAP-directory, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in LDAP-directory's.
   • Als de toepassing een SQL-database gebruikt, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in SQL-toepassingen.
   • Als de toepassing SAP Cloud Identity Services gebruikt, volgt u de handleiding voor het configureren van Microsoft Entra-id om gebruikers in te richten in SAP Cloud Identity Services.
   • Volg voor andere toepassingen stap 1-3 voor het configureren van inrichting via Graph-API's.

3. Controleer het tabblad Eigenschappen voor de toepassing. Controleer of de optie Gebruikerstoewijzing vereist? is ingesteld op Ja. Als deze optie is ingesteld op Nee, hebben alle gebruikers in uw directory, inclusief externe identiteiten, toegang tot de toepassing en kunt u de toegang tot de toepassing niet controleren.

4. Controleer de kenmerktoewijzingen voor provisioning voor die toepassing. Zorg ervoor dat de instelling objecten matchen met dit kenmerk is ingesteld voor het Microsoft Entra-kenmerk en de kolom die u in de vorige secties hebt gebruikt voor het matchen.

   Als deze regels niet dezelfde kenmerken gebruiken die u eerder hebt gebruikt, kan het zijn dat Microsoft Entra ID bestaande gebruikers in het gegevensarchief van de toepassing niet kan vinden wanneer toepassingsroltoewijzingen worden gemaakt. Microsoft Entra-id kan dan per ongeluk dubbele gebruikers maken.

5. Controleer dat er een kenmerktoewijzing is voor isSoftDeleted aan een kenmerk van de toepassing.

   Wanneer een gebruiker niet meer aan de toepassing is toegewezen, zacht verwijderd is in Microsoft Entra-id of wordt geblokkeerd voor aanmelding, zal de Microsoft Entra-provisioning het kenmerk bijwerken dat is toegewezen aan isSoftDeleted. Als er geen kenmerk is toegewezen, zullen gebruikers die later uit de toepassingsrol zijn verwijderd, blijven bestaan in de datastore van de toepassing.

6. Als voorziening al is ingeschakeld voor de toepassing, controleer of de toepassingsvoorziening niet in quarantaine is. Los eventuele problemen op die de quarantaine veroorzaken voordat u verder gaat.

App-roltoewijzingen maken in Microsoft Entra-id

Om ervoor te zorgen dat Microsoft Entra ID de gebruikers in de toepassing met de gebruikers in Microsoft Entra ID overeenstemt, moet u toepassingsroltoewijzingen maken in Microsoft Entra ID. Elke toepassingsroltoewijzing koppelt één gebruiker aan één toepassingsrol van één service-principal.

Wanneer een toepassingsroltoewijzing wordt gemaakt in Microsoft Entra ID aan een gebruiker voor een toepassing, en de toepassing ondersteuning biedt voor voorziening, dan:

• Microsoft Entra ID voert een query uit op de toepassing via SCIM of de bijbehorende map of database om te bepalen of de gebruiker al bestaat.
• Wanneer volgende updates worden aangebracht in de kenmerken van de gebruiker in Microsoft Entra ID, worden deze updates naar de toepassing verzonden door Microsoft Entra-id.
• De gebruiker blijft voor onbepaalde tijd in de toepassing, tenzij deze buiten Microsoft Entra-id wordt bijgewerkt of totdat de toewijzing in Microsoft Entra-id wordt verwijderd.
• Bij de volgende toegangsbeoordeling van de roltoewijzingen van die toepassing wordt de gebruiker opgenomen in de toegangsbeoordeling.
• Als de gebruiker wordt geweigerd in een toegangsbeoordeling, wordt de toepassingsroltoewijzing verwijderd. Microsoft Entra ID informeert de toepassing dat de gebruiker is geblokkeerd voor aanmelding.

Als de toepassing geen ondersteuning biedt voor het inrichten,

• De gebruiker blijft voor onbepaalde tijd in de toepassing, tenzij deze buiten Microsoft Entra-id wordt bijgewerkt of totdat de toewijzing in Microsoft Entra-id wordt verwijderd.
• Bij de volgende beoordeling van de roltoewijzingen van die toepassing wordt de gebruiker opgenomen in de beoordeling.
• Als de gebruiker wordt geweigerd in een toegangsbeoordeling, wordt de toepassingsroltoewijzing verwijderd. De gebruiker kan zich niet meer aanmelden bij Microsoft Entra ID voor de toepassing.

1. Maak toepassingsroltoewijzingen voor gebruikers die momenteel geen roltoewijzingen hebben:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id 
   }
   

2. Wacht één minuut tot wijzigingen zijn doorgegeven in Microsoft Entra-id.

Controleer of Microsoft Entra-inrichting overeenkomt met de bestaande gebruikers

1. Voer een query uit op de Microsoft Entra-id om de bijgewerkte lijst met roltoewijzingen te verkrijgen:

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

2. Vergelijk de lijst van gebruikers-id's uit de vorige sectie met de gebruikers die momenteel aan de toepassing zijn toegewezen:

   $azuread_still_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_still_not_in_role_list += $id }
   }
   $azuread_still_not_in_role_count = $azuread_still_not_in_role_list.Count
   if ($azuread_still_not_in_role_count -gt 0) {
      Write-Output "$azuread_still_not_in_role_count users in the application's data store are not assigned to the application roles."
   }
   

   Als er geen gebruikers zijn toegewezen aan toepassingsrollen, controleert u het Auditlogboek van Microsoft Entra op een fout uit een vorige stap.

3. Als de service-principal van de toepassing is geconfigureerd voor voorziening, en de voorzieningsstatus voor de service-principal is Uit, zet u deze op Aan. U kunt ook de inrichting starten met behulp van Graph-API's.

4. Op basis van de richtlijnen voor hoeveel tijd nodig is om gebruikers in te richten, wacht u totdat Microsoft Entra-provisioning de bestaande gebruikers van de toepassing overeenstemt met de zojuist toegewezen gebruikers.

5. Controleer de inrichtingsstatus via het portaal of de Graph API's om ervoor te zorgen dat alle gebruikers succesvol zijn gekoppeld.

   Als u niet ziet dat gebruikers worden ingericht, raadpleeg dan de probleemoplossingsgids voor wanneer gebruikers niet worden ingericht. Als je een fout ziet in de inrichtingsstatus en een on-premises toepassing inricht, raadpleeg dan de probleemoplossingsgids voor on-premises toepassingsinrichting.

6. Controleer het inrichtingslogboek via het Microsoft Entra-beheercentrum of Graph-API's. Filter het logboek op de status Mislukking. Als er fouten zijn met een ErrorCode of DuplicateTargetEntries, geeft dit een dubbelzinnigheid aan in uw inrichtingskoppelingsregels. U moet de Microsoft Entra-gebruikers of de toewijzingen bijwerken die worden gebruikt om ervoor te zorgen dat elke Microsoft Entra-gebruiker overeenkomt met één toepassingsgebruiker. Filter vervolgens het logboek op de actie Maken en status Overgeslagen. Als gebruikers zijn overgeslagen met de SkipReason-code van NotEffectivelyEntitled, kan dit erop wijzen dat de gebruikersaccounts in Microsoft Entra ID niet overeenkwamen omdat de status van het gebruikersaccount uitgeschakeld was.

Nadat de Microsoft Entra-inrichtingsservice overeenkomt met de gebruikers op basis van de toepassingsroltoewijzingen die u hebt gemaakt, worden volgende wijzigingen aan deze gebruikers naar de toepassing verzonden.

De juiste revisoren selecteren

Wanneer u elke toegangsbeoordeling maakt, kunnen beheerders een of meer revisoren kiezen. De revisoren kunnen een beoordeling uitvoeren door gebruikers te kiezen voor continue toegang tot een resource of door ze te verwijderen.

Doorgaans is een resource eigenaar verantwoordelijk voor het uitvoeren van een controle. Als u een beoordeling van een groep maakt, als onderdeel van het controleren van de toegang voor een toepassing die is geïntegreerd in patroon B, kunt u de groepseigenaren selecteren als revisoren. Omdat toepassingen in Microsoft Entra-id niet noodzakelijkerwijs een eigenaar hebben, is de optie voor het selecteren van de eigenaar van de toepassing als revisor niet mogelijk. In plaats daarvan kunt u bij het maken van de beoordeling de namen van de toepassingseigenaren opgeven als revisoren.

U kunt er ook voor kiezen om bij het maken van een beoordeling van een groep of toepassing een beoordeling met meerdere fasen te maken. U kunt bijvoorbeeld de manager van elke toegewezen gebruiker de eerste fase van de beoordeling laten uitvoeren en de resource-eigenaar de tweede fase. Op die manier kan de resource-eigenaar zich richten op de gebruikers die al zijn goedgekeurd door hun manager.

Controleer of u voldoende plaatsen voor Microsoft Entra ID P2 of Microsoft Entra ID-governance SKU in uw tenant hebt voordat u de beoordelingen maakt. Controleer ook of alle revisoren actieve gebruikers zijn met e-mailadressen. Wanneer de toegangsbeoordelingen worden gestart, bekijken ze elk een e-mail van Microsoft Entra-id. Als de revisor geen postvak heeft, ontvangt deze geen e-mail wanneer de beoordeling wordt gestart of een e-mailherinnering. En als ze zijn geblokkeerd om zich aan te melden bij Microsoft Entra ID, kunnen ze de beoordeling niet uitvoeren.

Toegangsbeoordelingen of rechtenbeheer configureren

Zodra de gebruikers zich in de toepassingsrollen bevinden en u de revisoren hebt geïdentificeerd, kunt u deze gebruikers en eventuele extra gebruikers beheren die toegang nodig hebben, met behulp van toegangsbeoordelingen of rechtenbeheer.

• Als de toepassing slechts één toepassingsrol heeft, wordt de toepassing vertegenwoordigd door één service-principal in uw directory en hebben geen extra gebruikers toegang nodig tot de toepassing. Ga vervolgens verder met de volgende sectie om bestaande toegang te controleren en te verwijderen met behulp van een toegangsbeoordeling.
• Ga anders verder in het gedeelte van dit artikel om toegang te beheren met behulp van rechtenbeheer.

Bestaande toegang controleren en verwijderen met behulp van een toegangsbeoordeling van app-roltoewijzingen

Als de toepassing meerdere toepassingsrollen heeft, wordt vertegenwoordigd door meerdere service-principals of als u een proces wilt hebben voor gebruikers om toegang tot de toepassing aan te vragen of toe te wijzen, gaat u verder in het volgende gedeelte van dit artikel om toegang te beheren met rechtenbeheer.

Nu de bestaande gebruikers toewijzingen voor een toepassingsrol hebben, kunt u Microsoft Entra ID configureren om een beoordeling van die toewijzingen te starten.

1. Voor deze stap moet u de rol Globale beheerder of Identiteitsbeheerbeheerder hebben.

2. Volg de instructies in de handleiding voor het maken van een toegangsbeoordeling van groepen of toepassingen om de beoordeling van de roltoewijzingen van de toepassing te maken. Configureer de beoordeling om resultaten toe te passen wanneer deze is voltooid. U kunt de toegangsbeoordeling maken in PowerShell met de New-MgIdentityGovernanceAccessReviewDefinition cmdlet vanuit de Microsoft Graph PowerShell-cmdlets voor de module Identity Governance . Zie voor meer informatie de voorbeelden.

   Notitie

   Als u beslissingshelpers voor beoordeling inschakelt bij het maken van de toegangsbeoordeling, zijn de aanbevelingen voor beslissingshelpers gebaseerd op de intervalperiode van 30 dagen, afhankelijk van wanneer de gebruiker zich voor het laatst bij de toepassing heeft aangemeld met behulp van Microsoft Entra ID.

3. Wanneer de toegangsbeoordeling wordt gestart, vraagt u de beoordelaars om hun feedback te geven. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toegang tot de toepassing controleren.

4. Zodra de beoordelingen zijn gestart, kunt u de voortgang ervan controleren en de goedkeurders indien nodig bijwerken totdat de toegangsbeoordeling is voltooid. Vervolgens kunt u bevestigen dat de gebruikers, waarvan de toegang is geweigerd door de revisoren, hun toegang uit de toepassing hebben verwijderd.

5. Als automatisch toepassen niet is geselecteerd toen de beoordeling werd gemaakt, moet u de beoordelingsresultaten toepassen wanneer dit voltooid is.

6. Wacht totdat de status van de beoordeling is gewijzigd in Resultaat toegepast. U kunt verwachten dat, indien er geweigerde gebruikers zijn, hun toepassingsroltoewijzingen binnen een paar minuten worden verwijderd.

7. Nadat de resultaten zijn toegepast, zal Microsoft Entra ID beginnen met het verwijderen van geweigerde gebruikers uit de toepassing. Op basis van de richtlijnen voor hoe lang het duurt om gebruikers in te richten, wacht u totdat Microsoft Entra met het ontkoppelen van de geweigerde gebruikers begint. Controleer de inrichtingsstatus via de portal, of Graph-API's, zodat verzekerd is dat alle geweigerde gebruikers zijn verwijderd.

   Als u niet ziet dat gebruikers worden verwijderd, raadpleegt u de probleemoplossingsgids voor het oplossen van problemen wanneer gebruikers niet worden ingericht. Als u een fout ziet in de inrichtingsstatus en u een on-premises toepassing inricht, raadpleeg dan de probleemoplossingsgids voor on-premises toepassingsinrichting.

Nu u een basislijn hebt die ervoor zorgt dat bestaande toegang is gecontroleerd, kunt u doorgaan in de volgende sectie om rechtenbeheer te configureren om nieuwe toegangsaanvragen in te schakelen.

Toegang beheren met rechtenbeheer

In andere situaties, zoals het willen hebben van verschillende revisoren voor elke toepassingsrol, wordt de toepassing vertegenwoordigd door meerdere service-principals of wilt u een proces hebben voor gebruikers om toegang tot de toepassing aan te vragen of toe te wijzen, dan kunt u Microsoft Entra-id configureren met een toegangspakket voor elke toepassingsrol. Elk toegangspakket kan een beleid hebben voor terugkerende beoordeling van toewijzingen die zijn gemaakt voor dat toegangspakket. Zodra de toegangspakketten en -beleidsregels zijn gemaakt, kunt u de gebruikers met bestaande toepassingsroltoewijzingen toewijzen aan de toegangspakketten, zodat hun toewijzingen kunnen worden gecontroleerd via het toegangspakket.

In deze sectie configureert u Microsoft Entra-rechtenbeheer voor een beoordeling van toegangspakkettoewijzingen die de app-roltoewijzingen bevatten en configureert u ook extra beleidsregels, zodat gebruikers toegang kunnen aanvragen tot de rollen van uw toepassing.

1. Voor deze stap moet u de rol Globale beheerder of Identiteitsbeheerbeheerder hebben, of worden gedelegeerd als catalogusmaker en de eigenaar van de toepassing.
2. Als u nog geen catalogus hebt voor uw toepassingsbeheerscenario, maakt u een catalogus in Microsoft Entra-rechtenbeheer. U kunt een PowerShell-script gebruiken om elke catalogus temaken, zoals wordt weergegeven in een catalogus maken met behulp van PowerShell.
3. Vul de catalogus met de benodigde resources in door de toepassing toe te voegen en eventuele Microsoft Entra-groepen waarop de toepassing afhankelijk is, als resources in die catalogus. U kunt een PowerShell-script gebruiken om elke resource toe te voegen aan een catalogus, zoals wordt weergegeven in de toepassing als een resource aan de catalogustoevoegen.
4. Maak voor elk van de toepassingen en voor elk van hun toepassingsrollen of -groepen een toegangspakket met die rol of groep als resource. In deze fase van het configureren van deze toegangspakketten configureert u het eerste toegangspakkettoewijzingsbeleid in elk toegangspakket dat moet worden een beleid voor directe toewijzing, zodat alleen beheerders toewijzingen in dat beleid kunnen maken, de vereisten voor toegangsbeoordeling instellen voor bestaande gebruikers, indien van toepassing, zodat ze de toegang niet voor onbepaalde tijd behouden. Als u veel toegangspakketten hebt, kunt u een PowerShell-script gebruiken om elk toegangspakket te maken in een catalogus, zoals wordt weergegeven in een toegangspakket voor een toepassing maken met één rol.
5. Wijs voor elk toegangspakket bestaande gebruikers van de toepassing toe in die bijbehorende rol, of leden van die groep, aan het toegangspakket en het bijbehorende beleid voor directe toewijzing. U kunt een gebruiker rechtstreeks toewijzen aan een toegangspakket met behulp van het Microsoft Entra-beheercentrum, of bulksgewijs via Graph of PowerShell, zoals wordt weergegeven in toewijzingen van bestaande gebruikerstoevoegen.
6. Als u toegangsbeoordelingen hebt geconfigureerd in het toewijzingsbeleid voor toegangspakketten, vraag dan de revisoren om feedback te geven wanneer de toegangsbeoordeling begint. Standaard ontvangen ze elk een e-mail van Microsoft Entra ID met een koppeling naar het toegangsvenster, waar ze de toewijzingen van toegangspakketten bekijken. Zodra de beoordeling is voltooid, kunt u verwachten dat de roltoewijzingen van geweigerde gebruikers, indien aanwezig, binnen een paar minuten worden verwijderd. Vervolgens zal Microsoft Entra ID beginnen met het verwijderen van geweigerde gebruikers uit de applicatie. Op basis van de richtlijnen voor hoe lang het duurt om gebruikers te provisioneren, wacht u totdat Microsoft Entra begint met het deprovisioneren van de geweigerde gebruikers. Controleer de inrichtingsstatus via de Portal of Graph APIs om ervoor te zorgen dat alle geweigerde gebruikers zijn verwijderd.
7. Als u scheiding van takenvereisten hebt, configureert u de incompatibele toegangspakketten of bestaande groepen voor uw toegangspakket. Als voor uw scenario de mogelijkheid is vereist om een scheiding van taken te overschrijven, kunt u ook extra toegangspakketten instellen voor deze overschrijvingsscenario's.
8. Als u gebruikers wilt toestaan die nog geen toegang hebben om toegang aan te vragen, in elk toegangspakket aanvullende beleidsregels voor toegangspakketten maken zodat gebruikers toegang kunnen aanvragen. Configureer de goedkeurings- en terugkerende vereisten voor toegangsbeoordeling in dat beleid.

Volgende stappen

• Voorbereiden voor een beoordeling van de toegang van gebruikers tot een toepassing
• Toegang tot resources beheren in Microsoft Entra-rechtenbeheer