Udostępnij za pośrednictwem


Zmienianie ról zasobów dla pakietu dostępu w zarządzaniu upoważnieniami

Jako menedżer pakietów dostępu możesz w dowolnym momencie zmienić zasoby w pakiecie dostępu bez obaw o aprowizowanie dostępu użytkownika do nowych zasobów lub usunięcie ich dostępu z poprzednich zasobów. W tym artykule opisano sposób zmiany ról zasobów dla istniejącego pakietu dostępu.

Ten klip wideo zawiera omówienie sposobu zmiany pakietu dostępu.

Sprawdzanie wykazu zasobów

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Jeśli musisz dodać zasoby do pakietu dostępu, sprawdź, czy potrzebne zasoby są dostępne w wykazie pakietu dostępu. Jeśli jesteś menedżerem pakietów dostępu, nie możesz dodawać zasobów do wykazu, nawet jeśli jesteś właścicielem. Ograniczasz się do korzystania z zasobów dostępnych w wykazie.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, który chcesz sprawdzić, aby upewnić się, że jego wykaz zawiera niezbędne zasoby.

  4. W menu po lewej stronie wybierz pozycję Wykaz , a następnie otwórz wykaz.

  5. W menu po lewej stronie wybierz pozycję Zasoby , aby wyświetlić listę zasobów w tym wykazie.

    Lista zasobów w wykazie

  6. Jeśli zasoby nie są jeszcze w wykazie i jesteś administratorem lub właścicielem wykazu, możesz dodać zasoby do wykazu. Typy zasobów, które można dodać, to grupy, aplikacje zintegrowane z katalogiem i witryny usługi SharePoint Online. Na przykład:

    • Grupy mogą być tworzone w chmurze Grupy Microsoft 365 lub utworzone w chmurze grupy zabezpieczeń firmy Microsoft Entra. Nie można przypisać grup, które pochodzą z lokalna usługa Active Directory jako zasobów, ponieważ ich właściciel lub członek nie można zmienić atrybutów w identyfikatorze Entra firmy Microsoft. Aby zapewnić użytkownikom dostęp do aplikacji korzystającej z członkostwa w grupach zabezpieczeń usługi AD, utwórz nową grupę w usłudze Microsoft Entra ID, skonfiguruj zapisywanie zwrotne grup w usłudze AD i włącz zapisywanie tej grupy w usłudze AD. Grupy pochodzące z usługi Exchange Online jako grupy dystrybucyjne nie mogą być modyfikowane w identyfikatorze Entra firmy Microsoft.
    • Aplikacje mogą być aplikacjami firmy Microsoft Entra dla przedsiębiorstw, które obejmują aplikacje typu oprogramowanie jako usługa (SaaS), aplikacje lokalne korzystające z innego katalogu lub bazy danych oraz własne aplikacje zintegrowane z identyfikatorem Microsoft Entra ID. Jeśli twoja aplikacja nie została jeszcze zintegrowana z katalogiem Microsoft Entra, zobacz Zarządzanie dostępem do aplikacji w środowisku i integrowanie aplikacji z identyfikatorem Entra firmy Microsoft.
    • Witryny mogą być witrynami usługi SharePoint Online lub zbiorami witryn usługi SharePoint Online.
  7. Jeśli jesteś menedżerem pakietów dostępu i musisz dodać zasoby do wykazu, możesz poprosić właściciela wykazu o ich dodanie.

Określanie ról zasobów do uwzględnienia w pakiecie dostępu

Rola zasobu to kolekcja uprawnień skojarzonych z zasobem i zdefiniowana przez ten zasób. Zasoby można udostępnić użytkownikom do przypisania w przypadku dodawania ról zasobów z każdego z zasobów katalogu do pakietu dostępu. Role zasobów, które są udostępniane przez grupy, zespoły, aplikacje i witryny programu SharePoint. Gdy użytkownik otrzyma przypisanie do pakietu dostępu, zostanie dodany do wszystkich ról zasobów w pakiecie dostępu.

Gdy utracą przypisanie pakietu dostępu, zostaną one usunięte ze wszystkich ról zasobów w pakiecie dostępu.

Uwaga

Jeśli użytkownicy zostali dodani do zasobów poza zarządzaniem upoważnieniami i muszą zachować dostęp, nawet jeśli później otrzymają przypisania pakietów dostępu i ich przypisania pakietów dostępu wygasają, nie dodawaj ról zasobów do pakietu dostępu.

Jeśli chcesz, aby niektórzy użytkownicy otrzymywali różne role zasobów niż inne, musisz utworzyć wiele pakietów dostępu w katalogu z oddzielnymi pakietami dostępu dla każdej z ról zasobów. Możesz również oznaczyć pakiety dostępu jako niezgodne ze sobą, aby użytkownicy nie mogli żądać dostępu do pakietów, które dałyby im nadmierny dostęp.

W szczególności aplikacje mogą mieć wiele ról aplikacji. Po dodaniu roli aplikacji jako roli zasobu do pakietu dostępu, jeśli ta aplikacja ma więcej niż jedną rolę aplikacji, musisz określić odpowiednią rolę dla tych użytkowników w pakiecie dostępu.

Uwaga

Jeśli aplikacja ma wiele ról aplikacji i więcej niż jedną rolę tej aplikacji znajduje się w pakiecie dostępu, użytkownik otrzyma wszystkie uwzględnione role aplikacji. Jeśli zamiast tego chcesz, aby użytkownicy mieli tylko niektóre role aplikacji, musisz utworzyć wiele pakietów dostępu w katalogu z oddzielnymi pakietami dostępu dla każdej z ról aplikacji.

Ponadto aplikacje mogą również polegać na grupach zabezpieczeń do wyrażania uprawnień. Na przykład aplikacja może mieć jedną rolę User aplikacji, a także sprawdzić członkostwo dwóch grup — grupę Ordinary UsersAdministrative Access i grupy. Użytkownik aplikacji musi być członkiem dokładnie jednej z tych dwóch grup. Jeśli chcesz skonfigurować, że użytkownicy mogą zażądać dowolnego uprawnienia, należy umieścić w wykazie trzy zasoby: aplikację, grupę Ordinary Users i grupę Administrative Access. Następnie należy utworzyć w tym wykazie dwa pakiety dostępu i wskazać, że każdy pakiet dostępu jest niezgodny z innymi:

  • pierwszy pakiet dostępu, który ma dwie role zasobów, rolę User aplikacji i członkostwo w grupie Ordinary Users
  • drugi pakiet dostępu, który ma dwie role zasobów, rolę User aplikacji i członkostwo w grupie Administrative Access

Sprawdź, czy użytkownicy są już przypisani do roli zasobu

Gdy rola zasobu zostanie dodana do pakietu dostępu przez administratora, użytkownicy, którzy są już w tej roli zasobu, ale nie mają przypisań do pakietu dostępu, pozostaną w roli zasobu, ale nie zostaną przypisani do pakietu dostępu. Jeśli na przykład użytkownik jest członkiem grupy, a następnie zostanie utworzony pakiet dostępu, a rola członka tej grupy zostanie dodana do pakietu dostępu, użytkownik nie otrzyma automatycznie przypisania do pakietu dostępu.

Jeśli chcesz, aby użytkownicy, którzy mieli członkostwo w roli zasobu, również zostali przypisani do pakietu dostępu, możesz bezpośrednio przypisać użytkowników do pakietu dostępu przy użyciu centrum administracyjnego firmy Microsoft Entra lub zbiorczo za pośrednictwem programu Graph lub programu PowerShell. Użytkownicy przypisani do pakietu dostępu otrzymają również dostęp do innych ról zasobów w pakiecie dostępu. Jednak ponieważ ci użytkownicy, którzy byli w roli zasobu, mają już dostęp przed dodaniu do pakietu dostępu, po usunięciu przypisania pakietu dostępu zostaną usunięci z tej roli zasobu.

Dodawanie ról zasobów

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, do którego chcesz dodać role zasobów.

  4. W menu po lewej stronie wybierz pozycję Role zasobów.

  5. Wybierz pozycję Dodaj role zasobów, aby otworzyć stronę Dodawanie ról zasobów w celu uzyskania dostępu do pakietu.

    Pakiet dostępu — dodawanie ról zasobów

  6. W zależności od tego, czy chcesz dodać członkostwo w grupie lub zespole, dostęp do aplikacji, witryny programu SharePoint lub roli Microsoft Entra (wersja zapoznawcza) wykonaj kroki w jednej z poniższych sekcji roli zasobu.

Dodawanie roli zasobu grupy lub zespołu

Po przypisaniu pakietu dostępu możesz automatycznie dodawać użytkowników do grupy lub zespołu w usłudze Microsoft Teams.

  • Jeśli członkostwo w grupie lub zespole jest rolą zasobu, która jest częścią pakietu dostępu, a użytkownik jest przypisany do tego pakietu dostępu, użytkownik zostanie dodany jako członek do tej grupy lub zespołu, jeśli jeszcze nie istnieje.
  • Po wygaśnięciu przypisania pakietu dostępu użytkownika zostaną one usunięte z grupy lub zespołu, chyba że obecnie mają przypisanie do innego pakietu dostępu zawierającego tę samą grupę lub zespół.

Możesz wybrać dowolną grupę zabezpieczeń firmy Microsoft lub grupę platformy Microsoft 365. Użytkownicy w roli administratora, którzy mogą zarządzać grupami, mogą dodawać dowolną grupę do katalogu; Właściciele wykazu mogą dodawać dowolną grupę do katalogu, jeśli są właścicielami grupy. Podczas wybierania grupy należy pamiętać o następujących ograniczeniach firmy Microsoft:

  • Gdy użytkownik, w tym gość, jest dodawany jako członek do grupy lub zespołu, może zobaczyć wszystkich pozostałych członków tej grupy lub zespołu.
  • Identyfikator Entra firmy Microsoft nie może zmienić członkostwa grupy, która została zsynchronizowana z usługi Active Directory systemu Windows Server przy użyciu programu Microsoft Entra Connect lub została utworzona w usłudze Exchange Online jako grupa dystrybucyjna. Jeśli planujesz zarządzać dostępem do aplikacji korzystających z grup zabezpieczeń usługi AD, zobacz , jak skonfigurować zapisywanie zwrotne grup przy użyciu zarządzania upoważnieniami.
  • Nie można zaktualizować dynamicznych grup członkostwa przez dodanie lub usunięcie członka, więc nie są one odpowiednie do użycia z zarządzaniem upoważnieniami.
  • Grupy platformy Microsoft 365 mają dodatkowe ograniczenia, opisane w omówieniu Grupy Microsoft 365 dla administratorów, w tym limit 100 właścicieli na grupę, limity liczby członków mogą uzyskiwać dostęp do konwersacji grupy jednocześnie i 7000 grup na członka.

Aby uzyskać więcej informacji, zobacz Porównanie grup i Grupy Microsoft 365 i usługi Microsoft Teams.

  1. Na stronie Dodawanie ról zasobów w celu uzyskania dostępu do pakietu wybierz pozycję Grupy i usługa Teams, aby otworzyć okienko Wybieranie grup.

  2. Wybierz grupy i zespoły, które chcesz uwzględnić w pakiecie dostępu.

    Pakiet dostępu — dodawanie ról zasobów — wybieranie grup

  3. Wybierz pozycję Wybierz.

    Po wybraniu grupy lub zespołu kolumna Podtyp zawiera jeden z następujących podtypów:

    Typ podrzędny opis
    Zabezpieczenia Służy do udzielania dostępu do zasobów.
    Dystrybucja Służy do wysyłania powiadomień do grupy osób.
    Microsoft 365 Grupa platformy Microsoft 365, która nie jest włączona w usłudze Teams. Służy do współpracy między użytkownikami, zarówno wewnątrz, jak i poza firmą.
    Zespół Grupa platformy Microsoft 365, która jest włączona w usłudze Teams. Służy do współpracy między użytkownikami, zarówno wewnątrz, jak i poza firmą.
  4. Na liście Rola wybierz pozycję Właściciel lub Członek.

    Zazwyczaj wybierasz rolę Członek. Jeśli wybierzesz rolę Właściciel, użytkownicy staną się właścicielem grupy, co umożliwi tym użytkownikom dodawanie lub usuwanie innych członków lub właścicieli.

    Pakiet dostępu — dodawanie roli zasobu dla grupy lub zespołu

  5. Wybierz Dodaj.

    Wszyscy użytkownicy z istniejącymi przypisaniami do pakietu dostępu automatycznie staną się członkami (lub właścicielami) tej grupy lub zespołu po jego dodaniu. Aby uzyskać więcej informacji, zobacz , kiedy zmiany są stosowane.

Dodawanie roli zasobu aplikacji

Identyfikator Entra firmy Microsoft może automatycznie przypisywać użytkownikom dostęp do aplikacji dla przedsiębiorstw Firmy Microsoft Entra, w tym aplikacji SaaS, aplikacji lokalnych i aplikacji organizacji zintegrowanych z identyfikatorem Microsoft Entra ID, gdy użytkownik ma przypisany pakiet dostępu. W przypadku aplikacji, które integrują się z identyfikatorem Entra firmy Microsoft za pośrednictwem federacyjnego logowania jednokrotnego, usługa Microsoft Entra ID wystawia tokeny federacyjne dla użytkowników przypisanych do aplikacji.

Jeśli twoja aplikacja nie została jeszcze zintegrowana z katalogiem Microsoft Entra, zobacz Zarządzanie dostępem do aplikacji w środowisku i integrowanie aplikacji z identyfikatorem Entra firmy Microsoft.

Aplikacje mogą mieć wiele ról aplikacji zdefiniowanych w manifeście i zarządzać nimi za pośrednictwem interfejsu użytkownika ról aplikacji. Po dodaniu roli aplikacji jako roli zasobu do pakietu dostępu, jeśli ta aplikacja ma więcej niż jedną rolę aplikacji, należy określić odpowiednią rolę dla tych użytkowników w tym pakiecie dostępu. Jeśli tworzysz aplikacje, możesz dowiedzieć się więcej na temat sposobu dodawania tych ról do aplikacji w temacie Instrukcje: konfigurowanie oświadczenia roli wystawionego w tokenie SAML dla aplikacji dla przedsiębiorstw. Jeśli używasz bibliotek uwierzytelniania firmy Microsoft, istnieje również przykładowy kod służący do używania ról aplikacji do kontroli dostępu.

Uwaga

Jeśli aplikacja ma wiele ról aplikacji i więcej niż jedną rolę tej aplikacji znajduje się w pakiecie dostępu, użytkownik otrzyma wszystkie uwzględnione role aplikacji. Jeśli zamiast tego chcesz, aby użytkownicy mieli tylko niektóre role aplikacji, musisz utworzyć wiele pakietów dostępu w katalogu z oddzielnymi pakietami dostępu dla każdej z ról aplikacji.

Gdy rola aplikacji jest zasobem pakietu dostępu:

  • Po przypisaniu tego pakietu dostępu użytkownik zostanie dodany do tej roli aplikacji, jeśli jeszcze nie istnieje. Jeśli aplikacja wymaga atrybutów, wartości atrybutów zebranych z żądania zostaną zapisane dla użytkownika.
  • Po wygaśnięciu przypisania pakietu dostępu użytkownika jego dostęp zostanie usunięty z aplikacji, chyba że ma przypisanie do innego pakietu dostępu zawierającego rolę tej aplikacji. Jeśli wymagane atrybuty aplikacji, te atrybuty zostaną usunięte z użytkownika.

Poniżej przedstawiono niektóre zagadnienia dotyczące wybierania aplikacji:

  • Aplikacje mogą również mieć grupy przypisane do swoich ról aplikacji. Możesz dodać grupę zamiast aplikacji i jej roli w pakiecie dostępu, jednak aplikacja nie będzie widoczna dla użytkownika w ramach pakietu dostępu w portalu Mój dostęp.
  • Centrum administracyjne firmy Microsoft Entra może również wyświetlać jednostki usługi dla usług, których nie można wybrać jako aplikacji. W szczególności usługi Exchange Online i SharePoint Online to usługi, a nie aplikacje, które mają role zasobów w katalogu, więc nie mogą być uwzględnione w pakiecie dostępu. Zamiast tego użyj licencjonowania opartego na grupach w celu uzyskania odpowiedniej licencji dla użytkownika, który potrzebuje dostępu do tych usług.
  • Aplikacje, które obsługują tylko użytkowników osobistych kont Microsoft na potrzeby uwierzytelniania i nie obsługują kont organizacyjnych w katalogu, nie mają ról aplikacji i nie można ich dodać do katalogów pakietów dostępu.
  1. Na stronie Dodawanie ról zasobów w celu uzyskania dostępu do pakietu wybierz pozycję Aplikacje, aby otworzyć okienko Wybierz aplikacje.

  2. Wybierz aplikacje, które chcesz uwzględnić w pakiecie dostępu.

    Pakiet dostępu — dodawanie ról zasobów — wybieranie aplikacji

  3. Wybierz pozycję Wybierz.

  4. Na liście Rola wybierz rolę aplikacji.

    Pakiet dostępu — dodawanie roli zasobu dla aplikacji

  5. Wybierz Dodaj.

    Wszyscy użytkownicy z istniejącymi przypisaniami do pakietu dostępu automatycznie otrzymają dostęp do tej aplikacji po dodaniu. Aby uzyskać więcej informacji, zobacz , kiedy zmiany są stosowane.

Dodawanie roli zasobu witryny programu SharePoint

Identyfikator entra firmy Microsoft może automatycznie przypisywać użytkownikom dostęp do witryny usługi SharePoint Online lub zbioru witryn usługi SharePoint Online po przypisaniu pakietu dostępu.

  1. Na stronie Dodawanie ról zasobów w celu uzyskania dostępu do pakietu wybierz pozycję Witryny programu SharePoint, aby otworzyć okienko Wybierz witryny usługi SharePoint Online.

    Pakiet dostępu — dodawanie ról zasobów — wybieranie witryn programu SharePoint — widok portalu

  2. Wybierz witryny usługi SharePoint Online, które mają zostać uwzględnione w pakiecie dostępu.

    Pakiet dostępu — dodawanie ról zasobów — wybieranie witryn usługi SharePoint Online

  3. Wybierz pozycję Wybierz.

  4. Na liście Rola wybierz rolę witryny usługi SharePoint Online.

    Pakiet dostępu — dodawanie roli zasobu dla witryny usługi SharePoint Online

  5. Wybierz Dodaj.

    Wszyscy użytkownicy z istniejącymi przypisaniami do pakietu dostępu automatycznie otrzymają dostęp do tej witryny usługi SharePoint Online po dodaniu. Aby uzyskać więcej informacji, zobacz , kiedy zmiany są stosowane.

Dodawanie przypisania roli Entra firmy Microsoft

Jeśli użytkownicy potrzebują dodatkowych uprawnień dostępu do zasobów organizacji, możesz zarządzać tymi uprawnieniami, przypisując im role Firmy Microsoft Entra za pośrednictwem pakietów dostępu. Przypisując role firmy Microsoft Entra pracownikom i gościom, korzystając z funkcji Zarządzanie upoważnieniami, możesz sprawdzić uprawnienia użytkownika, aby szybko określić, które role są przypisane do tego użytkownika. Jeśli dołączysz rolę Microsoft Entra jako zasób w pakiecie dostępowym, możesz również określić, czy to przypisanie roli jest kwalifikujące się, czy aktywne.

Przypisywanie ról firmy Microsoft Entra za pomocą pakietów dostępu ułatwia efektywne zarządzanie przypisaniami ról na dużą skalę i poprawia cykl życia przypisywania ról.

Uwaga

Zalecamy użycie usługi Privileged Identity Management w celu zapewnienia użytkownikowi dostępu just in time do wykonania zadania wymagającego podwyższonych uprawnień. Te uprawnienia są udostępniane za pośrednictwem ról entra firmy Microsoft, które są oznaczone jako "uprzywilejowane", w naszej dokumentacji tutaj: Wbudowane role firmy Microsoft Entra. Zarządzanie upoważnieniami lepiej nadaje się do przypisywania użytkownikom pakietu zasobów, które mogą obejmować rolę Firmy Microsoft Entra, niezbędną do wykonania zadania. Użytkownicy przypisani do pakietów dostępu mają zwykle bardziej długotrwały dostęp do zasobów. Zalecamy zarządzanie rolami z wysokimi uprawnieniami za pomocą usługi Privileged Identity Management, ale można skonfigurować uprawnienia do tych ról za pośrednictwem pakietów dostępu w usłudze Zarządzanie upoważnieniami.

Wykonaj następujące kroki, aby uwzględnić rolę Microsoft Entra jako zasób w pakiecie dostępu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji Identity governance Management Access packages (Pakiety dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami).>

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, do którego chcesz dodać role zasobów, i wybierz pozycję Role zasobów.

  4. Na stronie Dodawanie ról zasobów w celu uzyskania dostępu do pakietu wybierz pozycję Role entra firmy Microsoft (wersja zapoznawcza), aby otworzyć okienko Wybieranie ról firmy Microsoft Entra.

  5. Wybierz role firmy Microsoft Entra, które chcesz uwzględnić w pakiecie dostępu. Zrzut ekranu przedstawiający wybieranie roli dla pakietu dostępu.

  6. Na liście Rola wybierz pozycję Uprawniony członek lub Aktywny członek. Zrzut ekranu przedstawiający wybieranie roli zasobu w pakiecie dostępu.

  7. Wybierz Dodaj.

Uwaga

Jeśli wybierzesz opcję Kwalifikujące się, użytkownicy będą kwalifikować się do tej roli i mogą aktywować swoje przypisanie przy użyciu usługi Privileged Identity Management w centrum administracyjnym firmy Microsoft Entra. W przypadku wybrania opcji Aktywne użytkownicy będą mieć aktywne przypisanie roli, dopóki nie będą już mieli dostępu do pakietu dostępu. W przypadku ról Entra, które są oznaczone jako "uprzywilejowane", będzie można wybrać tylko opcję Kwalifikujące. Listę ról uprzywilejowanych można znaleźć tutaj: Wbudowane role firmy Microsoft Entra.

Aby programowo dodać rolę Entra firmy Microsoft, zobacz: Programowe dodawanie roli Entra firmy Microsoft jako zasobu w pakiecie dostępu.

Programowe dodawanie ról zasobów

Istnieją dwa sposoby programowego dodawania roli zasobu do pakietu dostępu za pomocą programu Microsoft Graph oraz poleceń cmdlet programu PowerShell dla programu Microsoft Graph.

Dodawanie ról zasobów do pakietu dostępu za pomocą programu Microsoft Graph

Rolę zasobu można dodać do pakietu dostępu przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API do:

  1. Wyświetl listę zasobów w wykazie i utwórz element accessPackageResourceRequest dla wszystkich zasobów, które nie znajdują się jeszcze w wykazie.
  2. Pobierz role i zakresy każdego zasobu w wykazie. Ta lista ról będzie następnie używana do wybierania roli podczas tworzenia zasobuRoleScope.
  3. Utwórz zasóbRoleScope dla każdej roli zasobu wymaganej w pakiecie dostępu.

Dodawanie ról zasobów do pakietu dostępu za pomocą programu Microsoft PowerShell

Role zasobów można również dodać do pakietu dostępu w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 2.1.x lub nowszej.

Najpierw pobierz identyfikator wykazu i zasobu w tym wykazie oraz jego zakresy i role, które mają zostać uwzględnione w pakiecie dostępu. Użyj skryptu podobnego do poniższego przykładu. Przyjęto założenie, że w wykazie znajduje się jeden zasób aplikacji.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Następnie przypisz rolę zasobu z tego zasobu do pakietu dostępu. Jeśli na przykład chcesz uwzględnić pierwszą rolę zasobu zwróconą wcześniej jako rolę zasobu dostępu, użyj skryptu podobnego do poniższego.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Jeśli rola nie ma identyfikatora, nie uwzględnij parametru id struktury role w ładunku żądania.

Aby uzyskać więcej informacji, zobacz Tworzenie pakietu dostępu w zarządzaniu upoważnieniami dla aplikacji z jedną rolą przy użyciu programu PowerShell.

Usuwanie ról zasobów

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

    Napiwek

    Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i menedżera pakietów programu Access.

  2. Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.

  3. Na stronie Pakiety dostępu otwórz pakiet dostępu, dla którego chcesz usunąć role zasobów.

  4. W menu po lewej stronie wybierz pozycję Role zasobów.

  5. Na liście ról zasobów znajdź rolę zasobu, którą chcesz usunąć.

  6. Wybierz wielokropek (...), a następnie wybierz pozycję Usuń rolę zasobu.

    Wszyscy użytkownicy z istniejącymi przypisaniami do pakietu dostępu będą automatycznie mieć dostęp odwołany do tej roli zasobu po jego usunięciu.

Po zastosowaniu zmian

W zarządzaniu upoważnieniami identyfikator Entra firmy Microsoft przetwarza zbiorcze zmiany przydziału i zasobów w pakietach dostępu kilka razy dziennie. W związku z tym w przypadku przypisania lub zmiany ról zasobów pakietu dostępu może upłynąć do 24 godzin, aby zmiana ta była wprowadzana w identyfikatorze Entra firmy Microsoft, a także czas potrzebny na propagowanie tych zmian do innych usług Microsoft Online Services lub połączonych aplikacji SaaS. Jeśli zmiana wpłynie na tylko kilka obiektów, zmiana będzie prawdopodobnie obowiązywać tylko kilka minut w identyfikatorze Entra firmy Microsoft, po czym inne składniki firmy Microsoft Entra wykryje tę zmianę i zaktualizują aplikacje SaaS. Jeśli zmiana wpłynie na tysiące obiektów, zmiana trwa dłużej. Jeśli na przykład masz pakiet dostępu z 2 aplikacjami i 100 przypisaniami użytkowników i zdecydujesz się dodać rolę witryny programu SharePoint do pakietu dostępu, może wystąpić opóźnienie, dopóki wszyscy użytkownicy nie będą częścią tej roli witryny programu SharePoint. Postęp można monitorować za pomocą dziennika inspekcji firmy Microsoft Entra, dziennika aprowizacji firmy Microsoft i dzienników inspekcji witryny programu SharePoint.

Usunięcie członka zespołu spowoduje również usunięcie ich z grupy platformy Microsoft 365. Usunięcie z funkcji czatu zespołu może być opóźnione. Aby uzyskać więcej informacji, zobacz Członkostwo w grupie.

Następne kroki