Dela via

Visa, lägga till och ta bort tilldelningar för ett åtkomstpaket i berättigandehantering

  • Artikel

I berättigandehantering kan du se vem som har tilldelats åtkomstpaket, deras princip, status och användarlivscykel (förhandsversion). Om ett åtkomstpaket har en lämplig princip kan du också tilldela användaren direkt till ett åtkomstpaket. Den här artikeln beskriver hur du visar, lägger till och tar bort tilldelningar för åtkomstpaket.

Förutsättningar

Om du vill använda rättighetshantering och tilldela användare åtkomstpaket måste du ha någon av följande licenser:

  • Microsoft Entra ID P2
  • Enterprise Mobility + Security (EMS) E5-licens
  • Microsoft Entra ID-styrningsprenumeration

Visa vem som har en tilldelning

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren, åtkomstpakethanteraren och tilldelningshanteraren för åtkomstpaket.

  2. Bläddra till Åtkomstpaket för rättighetshantering>

  3. Öppna ett åtkomstpaket på sidan Access-paket .

  4. Välj Tilldelningar för att se en lista över aktiva tilldelningar.

    Lista över tilldelningar till ett åtkomstpaket

  5. Välj en specifik tilldelning om du vill se mer information.

  6. Om du vill se en lista över tilldelningar som inte hade alla resursroller korrekt etablerade väljer du filterstatus och väljer Leverera.

    Du kan se mer information om leveransfel genom att hitta användarens motsvarande begäran på sidan Begäranden .

  7. Om du vill se förfallna tilldelningar väljer du filterstatus och väljer Förfallen.

  8. Om du vill ladda ned en CSV-fil i den filtrerade listan väljer du Ladda ned.

Visa tilldelningar programmatiskt

Visa tilldelningar med Microsoft Graph

Du kan också hämta tilldelningar i ett åtkomstpaket med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerat EntitlementManagement.Read.All eller EntitlementManagement.ReadWrite.All behörighet kan anropa API:et för att visa åtkomstPaketTilldelningar. Ett program som har programbehörighet EntitlementManagement.Read.All eller EntitlementManagement.ReadWrite.All behörighet kan också använda det här API:et för att hämta tilldelningar i alla kataloger.

Microsoft Graph returnerar resultatet på sidor och fortsätter att returnera en referens till nästa sida med resultat i @odata.nextLink egenskapen med varje svar tills alla sidor i resultaten har lästs. Om du vill läsa alla resultat måste du fortsätta att anropa Microsoft Graph med egenskapen @odata.nextLink som returneras i varje svar tills egenskapen inte längre returneras, enligt beskrivningen @odata.nextLink i växling av Microsoft Graph-data i din app.

En administratör för identitetsstyrning kan hämta åtkomstpaket från flera kataloger, men om användarens eller programtjänstens huvudnamn endast har tilldelats katalogspecifika delegerade administrativa roller måste begäran ange ett filter för att ange ett specifikt åtkomstpaket, till exempel: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.

Visa tilldelningar med PowerShell

Du kan också hämta tilldelningar till ett åtkomstpaket i PowerShell med cmdleten Get-MgEntitlementManagementAssignmentfrån Microsoft Graph PowerShell-cmdletar för modulversion 2.1.x eller senare av modulen Identity Governance . Det här skriptet illustrerar hur du använder Microsoft Graph PowerShell-cmdlets-modulen version 2.4.0 för att hämta alla tilldelningar till ett visst åtkomstpaket. Den här cmdleten tar som parameter åtkomstpaket-ID, som ingår i svaret från cmdleten Get-MgEntitlementManagementAccessPackage . Se till att när du använder cmdleten Get-MgEntitlementManagementAccessPackage-All för att inkludera flaggan så att alla sidor med tilldelningar returneras.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

Föregående fråga returnerar utgångna och levererar tilldelningar tillsammans med levererade tilldelningar. Om du vill undanta förfallna eller leverera tilldelningar kan du använda ett filter som innehåller åtkomstpaket-ID:t och tilldelningarnas tillstånd. Det här skriptet illustrerar hur du använder ett filter för att endast hämta tilldelningar i tillstånd Delivered för ett visst åtkomstpaket. Skriptet genererar sedan en CSV-fil assignments.csvmed en rad per tilldelning.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Tilldela en användare direkt

I vissa fall kanske du vill tilldela specifika användare direkt till ett åtkomstpaket så att användarna inte behöver gå igenom processen med att begära åtkomstpaketet. Om du vill tilldela användare direkt måste åtkomstpaketet ha en princip som tillåter direkttilldelningar för administratörer.

Kommentar

När du tilldelar användare till ett åtkomstpaket måste administratörer kontrollera att användarna är berättigade till det åtkomstpaketet baserat på de befintliga principkraven. Annars tilldelas inte användarna åtkomstpaketet.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren, åtkomstpakethanteraren och tilldelningshanteraren för åtkomstpaket.

  2. Bläddra till Åtkomstpaket för rättighetshantering>

  3. Öppna ett åtkomstpaket på sidan Access-paket.

  4. I den vänstra menyn väljer du Tilldelningar.

  5. Välj Ny tilldelning för att öppna Lägg till användare för att komma åt paketet.

    Tilldelningar – Lägg till användare i åtkomstpaketet

  6. I listan Välj princip väljer du en princip som användarnas framtida begäranden och livscykel ska styras och spåras av. Om du vill att de valda användarna ska ha olika principinställningar kan du välja Skapa ny princip för att lägga till en ny princip.

  7. När du har valt en princip kan du lägga till användare för att välja de användare som du vill tilldela det här åtkomstpaketet till, under den valda principen.

    Kommentar

    Om du väljer en princip med frågor kan du bara tilldela en användare i taget.

  8. Ange datum och tid som du vill att de valda användarnas tilldelning ska starta och avsluta. Om inget slutdatum anges används principens livscykelinställningar.

  9. Du kan också ange en motivering för din direkta tilldelning för arkivhandling.

  10. Om den valda principen innehåller ytterligare information om begäranden väljer du Visa frågor för att besvara dem för användarnas räkning och väljer sedan Spara.

    Tilldelningar – klicka på visa frågor

    Tilldelningar – frågefönstret

  11. Välj Lägg till för att direkt tilldela de valda användarna till åtkomstpaketet.

    Efter en liten stund väljer du Uppdatera för att se användarna i listan Tilldelningar.

Kommentar

Åtkomstpakettilldelningshanterare kommer inte längre att kunna kringgå godkännandeinställningarna om principen kräver godkännande. Det innebär att användarna inte kan tilldelas paketet direkt utan nödvändiga godkännanden från de utsedda godkännare. Om du behöver kringgå godkännandet rekommenderar vi att du skapar en andra princip för åtkomstpaketet som inte kräver godkännande och endast är begränsad till användare som behöver åtkomst.

Tilldela en användare direkt (förhandsversion)

Med berättigandehantering kan du också direkt tilldela externa användare till ett åtkomstpaket för att underlätta samarbetet med partner. För att göra detta måste åtkomstpaketet ha en princip som tillåter användare som ännu inte finns i katalogen att begära åtkomst.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

    Dricks

    Andra roller med minsta behörighet som kan slutföra den här uppgiften är katalogägaren, åtkomstpakethanteraren och tilldelningshanteraren för åtkomstpaket.

  2. Bläddra till Åtkomstpaket för rättighetshantering>

  3. Öppna ett åtkomstpaket på sidan Access-paket .

  4. I den vänstra menyn väljer du Tilldelningar.

  5. Välj Ny tilldelning för att öppna Lägg till användare för att komma åt paketet.

  6. I listan Välj princip väljer du en princip som tillåter som är inställd på För användare som inte finns i din katalog

  7. Välj Valfri användare. Du kan ange vilka användare du vill tilldela till det här åtkomstpaketet. Tilldelningar – Lägg till alla användare för att komma åt paketet

  8. Ange användarens namn (valfritt) och användarens e-postadress (krävs).

    Kommentar

    • Den användare som du vill lägga till måste ligga inom omfånget för principen. Om din princip till exempel är inställd på Specifika anslutna organisationer måste användarens e-postadress komma från de valda organisationens domäner. Om användaren som du försöker lägga till har en e-postadress för jen@foo.com men den valda organisationens domän är bar.com, kan du inte lägga till den användaren i åtkomstpaketet.
    • På samma sätt måste användarens e-postadress komma från någon av dina konfigurerade anslutna organisationer om du anger att principen ska inkludera Alla konfigurerade anslutna organisationer. Annars läggs inte användaren till i åtkomstpaketet.
    • Om du vill lägga till någon användare i åtkomstpaketet måste du se till att du väljer Alla användare (Alla anslutna organisationer + alla externa användare) när du konfigurerar din princip.

  9. Ange datum och tid som du vill att de valda användarnas tilldelning ska starta och avsluta. Om inget slutdatum anges används principens livscykelinställningar.

  10. Välj Lägg till för att direkt tilldela de valda användarna till åtkomstpaketet.

  11. Efter en liten stund väljer du Uppdatera för att se användarna i listan Tilldelningar.

Tilldela användare programmatiskt direkt

Tilldela en användare till ett åtkomstpaket med Microsoft Graph

Du kan också tilldela en användare direkt till ett åtkomstpaket med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet, eller ett program med EntitlementManagement.ReadWrite.All programbehörighet, kan anropa API:et för att skapa en accessPackageAssignmentRequest. I den här begäran ska värdet för requestType egenskapen vara adminAdd, och egenskapen assignment är en struktur som innehåller den targetId användare som tilldelas.

Tilldela en användare till ett åtkomstpaket med PowerShell

Du kan tilldela en användare till ett åtkomstpaket i PowerShell med cmdleten New-MgEntitlementManagementAssignmentRequestfrån Microsoft Graph PowerShell-cmdletarna för modulen Identitetsstyrning version 2.1.x eller senare. Det här skriptet illustrerar hur du använder Microsoft Graph PowerShell-cmdlets-modulen version 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Du kan också fylla i tilldelningar för befintliga samlingar av användare i din katalog, inklusive de som har tilldelats till ett program eller visas i en textfil. Mer information finns i Lägga till tilldelningar av befintliga användare som redan har åtkomst till programmet och Lägg till tilldelningar för ytterligare användare som ska ha åtkomst till programmet.

Du kan också tilldela flera användare som finns i din katalog till ett åtkomstpaket med hjälp av PowerShell med cmdleten New-MgBetaEntitlementManagementAccessPackageAssignmentfrån Microsoft Graph PowerShell-cmdletarna för modulen Identitetsstyrning version 2.4.0 eller senare. Den här cmdleten tar som parametrar

  • åtkomstpaket-ID:t, som ingår i svaret från cmdleten Get-MgEntitlementManagementAccessPackage ,
  • princip-ID för åtkomstpakettilldelning, som ingår i principen i assignmentpolicies fältet i svaret från cmdleten Get-MgEntitlementManagementAccessPackage ,
  • objekt-ID:t för målanvändarna, antingen som en matris med strängar eller som en lista över användarmedlemmar som returneras från cmdleten Get-MgGroupMember .

Om du till exempel vill se till att alla användare som för närvarande är medlemmar i en grupp också har tilldelningar till ett åtkomstpaket kan du använda den här cmdleten för att skapa begäranden för de användare som för närvarande inte har tilldelningar. Den här cmdleten skapar bara tilldelningar. Det tar inte bort tilldelningar för användare som inte längre är medlemmar i en grupp. Om du vill att tilldelningarna av ett åtkomstpaket ska spåra medlemskapet i en grupp och lägga till och ta bort tilldelningar över tid använder du en automatisk tilldelningsprincip i stället.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Om du vill lägga till en tilldelning för en användare som ännu inte finns i din katalog kan du använda cmdleten New-MgBetaEntitlementManagementAccessPackageAssignmentRequestfrån Microsoft Graph PowerShell-cmdletarna för betamodulen Identity Governance version 2.1.x eller senare av betamodulen. Det här skriptet illustrerar hur du använder Microsoft Graph-profilen beta och Microsoft Graph PowerShell-cmdlets-modulen version 2.4.0. Den här cmdleten tar som parametrar

  • åtkomstpaket-ID:t, som ingår i svaret från cmdleten Get-MgEntitlementManagementAccessPackage ,
  • princip-ID för åtkomstpakettilldelning, som ingår i principen i assignmentpolicies fältet i svaret från cmdleten Get-MgEntitlementManagementAccessPackage ,
  • målanvändarens e-postadress.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Konfigurera åtkomsttilldelning som en del av ett livscykelarbetsflöde

I funktionen Arbetsflöden för Microsoft Entra-livscykel kan du lägga till en uppgift för tilldelning av pakettilldelning för begärandeanvändare i ett arbetsflöde för registrering. Uppgiften kan ange ett åtkomstpaket som användarna ska ha. När arbetsflödet körs för en användare skapas en begäran om tilldelning av åtkomstpaket automatiskt.

  1. Logga in på administrationscentret för Microsoft Entra med minst rollen Administratör för identitetsstyrning och Arbetsflöden för livscykel.

  2. Bläddra till Arbetsflöden för livscykelarbetsflöden för identitetsstyrning>>.

  3. Välj en medarbetares registrering eller flytta arbetsflöde.

  4. Välj Aktiviteter och välj Lägg till aktivitet.

  5. Välj Begär tilldelning av användaråtkomstpaket och välj Lägg till.

  6. Välj den nyligen tillagda aktiviteten.

  7. Välj Välj Åtkomstpaket och välj det åtkomstpaket som nya eller rörliga användare ska tilldelas till.

  8. Välj Välj princip och välj principen för tilldelning av åtkomstpaket i åtkomstpaketet.

  9. Välj Spara.

Ta bort en tilldelning

Du kan ta bort en tilldelning som en användare eller administratör tidigare hade begärt.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Åtkomstpaket för rättighetshantering>

  3. Öppna ett åtkomstpaket på sidan Access-paket .

  4. I den vänstra menyn väljer du Tilldelningar.

  5. Markera kryssrutan bredvid den användare vars tilldelning du vill ta bort från åtkomstpaketet.

  6. Välj knappen Ta bort längst upp i den vänstra rutan.

    Tilldelningar – Ta bort användare från åtkomstpaketet

    Ett meddelande visas som informerar dig om att tilldelningen har tagits bort.

Ta bort en tilldelning programmatiskt

Ta bort en tilldelning med Microsoft Graph

Du kan också ta bort en tilldelning av en användare till ett åtkomstpaket med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet, eller ett program med EntitlementManagement.ReadWrite.All programbehörighet, kan anropa API:et för att skapa en accessPackageAssignmentRequest. I den här begäran ska värdet för requestType egenskapen vara adminRemove, och egenskapen assignment är en struktur som innehåller egenskapen id som identifierar den accessPackageAssignment som tas bort.

Ta bort en tilldelning med PowerShell

Du kan ta bort en användares tilldelning i PowerShell med cmdleten New-MgEntitlementManagementAssignmentRequestfrån Microsoft Graph PowerShell-cmdletarna för modulen Identitetsstyrning version 2.1.x eller senare. Det här skriptet illustrerar hur du använder Microsoft Graph PowerShell-cmdlets-modulen version 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Konfigurera borttagning av tilldelning som en del av ett livscykelarbetsflöde

I funktionen Arbetsflöden för Microsoft Entra-livscykel kan du lägga till tilldelningen Ta bort åtkomstpaket för användaruppgifter i ett arbetsflöde för avregistrering. Den uppgiften kan ange ett åtkomstpaket som användaren kan tilldelas till. När arbetsflödet körs för en användare tas deras åtkomstpakettilldelning bort automatiskt.

  1. Logga in på administrationscentret för Microsoft Entra med minst rollen Administratör för identitetsstyrning och Arbetsflöden för livscykel.

  2. Bläddra till Arbetsflöden för livscykelarbetsflöden för identitetsstyrning>>.

  3. Välj ett arbetsflöde för avregistrering av anställda.

  4. Välj Aktiviteter och välj Lägg till aktivitet.

  5. Välj Ta bort tilldelning av åtkomstpaket för användare och välj Lägg till.

  6. Välj den nyligen tillagda aktiviteten.

  7. Välj Välj Åtkomstpaket och välj ett eller flera åtkomstpaket som användare som ska tas bort från.

  8. Välj Spara.

Nästa steg