Dela via

Konfigurera en automatisk tilldelningsprincip för ett åtkomstpaket i berättigandehantering

  • Artikel

Du kan använda regler för att fastställa tilldelning av åtkomstpaket baserat på användaregenskaper i Microsoft Entra ID, en del av Microsoft Entra. I Berättigandehantering kan ett åtkomstpaket ha flera principer, och varje princip fastställer hur användare får en tilldelning till åtkomstpaketet och hur länge. Som administratör kan du upprätta en princip för automatiska tilldelningar genom att ange en medlemskapsregel, som Berättigandehantering följer för att skapa och ta bort tilldelningar automatiskt. På samma sätt som en dynamisk grupp utvärderas användarattribut för matchningar med principens medlemskapsregel när en automatisk tilldelningsprincip skapas. När ett attribut ändras för en användare bearbetas dessa automatiska tilldelningsprincipregler i åtkomstpaketen för medlemskapsändringar. Tilldelningar till användare läggs sedan till eller tas bort beroende på om de uppfyller regelvillkoren.

Du kan ha högst en automatisk tilldelningsprincip i ett åtkomstpaket och principen kan bara skapas av en administratör. (Katalogägare och åtkomstpakethanterare kan inte skapa automatiska tilldelningsprinciper.)

Den här artikeln beskriver hur du skapar en princip för automatisk tilldelning av åtkomstpaket för ett befintligt åtkomstpaket.

Innan du börjar

Du måste ha attribut ifyllda för de användare som ska få åtkomst tilldelad. De attribut som du kan använda i regelvillkoren för en tilldelningsprincip för åtkomstpaket är de attribut som anges i egenskaper som stöds, tillsammans med tilläggsattribut och anpassade tilläggsegenskaper. Dessa attribut kan tas in i Microsoft Entra ID genom att patcha användaren, ett HR-system som SuccessFactors, Microsoft Entra Connect cloud sync eller Microsoft Entra Connect Sync. Reglerna kan inkludera upp till 15 000 användare per policy.

Licenskrav

För att kunna använda den här funktionen krävs Microsoft Entra ID-styrning eller Microsoft Entra Suite-licenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.

Skapa en princip för automatisk tilldelning

Om du vill skapa en princip för ett åtkomstpaket måste du börja från åtkomstpaketets principflik. Följ de här stegen för att skapa en ny princip för automatisk tilldelning för ett åtkomstpaket.

  1. Logga in på Microsoft Entra administrationscenter som minst en identitetsstyrningsadministratör.

  2. Bläddra till Identitetsstyrning>Rättighetshantering>Åtkomstpaket.

  3. Öppna ett åtkomstpaket på sidan Access-paket .

  4. Välj Principer och sedan Lägg till princip för automatisk tilldelning för att skapa en ny princip.

  5. På den första fliken anger du regeln. Välj Redigera.

  6. Ange en regel för dynamiska medlemskapsgrupper med hjälp av medlemskapsregelverktyget eller genom att klicka på Redigera i textrutan regelsyntax.

    Kommentar

    Regelverktyget kanske inte kan visa vissa regler som skapats i textrutan, och för att verifiera en regel krävs för närvarande att du är i rollen Gruppadministratör. Mer information finns i regelbyggaren i administrationscentret för Microsoft Entra.

    Skärmbild av konfigurationen av en regelkonfiguration för automatisk tilldelningsprincip för åtkomstpaket.

  7. Välj Spara för att stänga regelredigeraren för dynamiska medlemskapsgrupper.

  8. Som standard bör kryssrutorna för att automatiskt skapa och ta bort tilldelningar vara markerade.

  9. Om du vill att användarna ska behålla åtkomsten under en begränsad tid efter att de har upphört att gälla kan du ange en varaktighet i timmar eller dagar. När en anställd till exempel lämnar försäljningsavdelningen kan du låta dem fortsätta att behålla åtkomsten i sju dagar så att de kan använda försäljningsappar och överföra ägarskapet för sina resurser i dessa appar till en annan anställd.

  10. Välj Nästa för att öppna fliken Anpassade tillägg .

  11. Om du har anpassade tillägg i katalogen som du vill ska köras när principen tilldelar eller tar bort åtkomst, kan du lägga till dem i den här principen. Välj sedan nästa för att öppna fliken Granska.

  12. Ange ett namn och en beskrivning för principen.

    Skärmbild av fliken Automatisk granskning av tilldelningsprincip för åtkomstpaket.

  13. Välj Skapa för att spara principen.

    Anmärkning

    Just nu skapar Behörighetshantering automatiskt en dynamisk säkerhetsgrupp som motsvarar varje princip för att utvärdera användare inom räckvidden. Den här gruppen ska inte ändras förutom av Entitlement Management själv. Den här gruppen kan också ändras eller tas bort automatiskt av Berättigandehantering, så använd inte den här gruppen för andra program eller scenarier.

  14. Microsoft Entra-ID utvärderar de användare i organisationen som omfattas av den här regeln och skapar tilldelningar för de användare som inte redan har tilldelningar till åtkomstpaketet. En policy kan innehålla högst 15 000 användare i sin regel. Det kan ta flera minuter innan utvärderingen sker eller att efterföljande uppdateringar av användarens attribut återspeglas i tilldelningarna för åtkomstpaket.

Skapa en automatisk tilldelningsprincip programmatiskt

Det finns två sätt att skapa en princip för tilldelning av åtkomstpaket för automatisk tilldelning programmatiskt, via Microsoft Graph och via PowerShell-cmdletarna för Microsoft Graph.

Skapa en tilldelningsprincip för åtkomstpaket via Graph

Du kan skapa en princip med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet eller ett program i en katalogroll eller med behörigheten EntitlementManagement.ReadWrite.All kan anropa skapa ett assignmentPolicy-API . I begärans nyttolast inkluderar du displayName, description, specificAllowedTargets, automaticRequestSettings och accessPackage egenskaperna för policyn.

Skapa en tilldelningsprincip för åtkomstpaket via PowerShell

Du kan också skapa en princip i PowerShell med cmdletar från Microsoft Graph PowerShell-cmdletar för modulen Identitetsstyrning version 1.16.0 eller senare.

Följande skript illustrerar hur du använder profilen v1.0 för att skapa en princip för automatisk tilldelning till ett åtkomstpaket. Se skapa en assignmentPolicy och Skapa ett åtkomstpaket i berättigandehantering för ett program med en enda roll med hjälp av PowerShell för fler exempel.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Nästa steg