Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В управлении правами вы увидите, кто назначен для доступа к пакетам, их политике, состоянию и жизненному циклу идентификации (предварительная версия). Если пакет доступа имеет соответствующую политику, вы также можете напрямую назначить идентификаторы пакету доступа. В этой статье описывается, как просматривать, добавлять и удалять назначения для пакетов доступа.
Просмотр того, у кого есть назначение
Войдите в Центр администрирования Microsoft Entra в роли администратора управления удостоверениями или выше.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога, диспетчер пакетов доступа и диспетчер назначения пакетов доступа.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
На странице пакетов доступа откройте пакет доступа.
Выберите Назначения, чтобы просмотреть список активных назначений.
Выберите определенное назначение, чтобы просмотреть дополнительные сведения.
Чтобы просмотреть список назначений, для которых не были правильно подготовлены все роли ресурсов, выберите состояние фильтра и щелкните Доставка.
Дополнительные сведения об ошибках доставки можно увидеть, найдя соответствующий запрос пользователя на странице «Запросы».
Чтобы просмотреть просроченные назначения, щелкните состояние фильтра и выберите Срок действия истек.
Чтобы скачать CSV-файл отфильтрованного списка, нажмите кнопку "Скачать".
Просмотр задач программным способом
Просмотр назначений с помощью Microsoft Graph
Также вы можете извлечь задания в пакете доступа с помощью Microsoft Graph. Пользователь с соответствующей ролью в приложении, содержащем делегированное разрешение EntitlementManagement.Read.All или EntitlementManagement.ReadWrite.All, может вызвать API, чтобы вывести список объектов accessPackageAssignment. Приложение с разрешением EntitlementManagement.Read.All или EntitlementManagement.ReadWrite.All может использовать этот API для извлечения назначений из всех каталогов. Приложение с присвоенной ролью в каталоге может использовать этот API для получения назначений в этом каталоге.
Microsoft Graph вернет результаты на страницах и продолжит возвращать ссылку на следующую страницу результатов в @odata.nextLink свойстве с каждым ответом, пока не будут прочитаны все страницы результатов. Чтобы прочитать все результаты, необходимо продолжать вызывать Microsoft Graph со свойством @odata.nextLink , возвращенным в каждом ответе, пока @odata.nextLink свойство больше не будет возвращено, как описано в описании разбиения данных Microsoft Graph в приложении.
Хотя администратор управления удостоверениями может получить пакеты доступа из нескольких каталогов, если служебный субъект пользователя или приложения назначен только делегированным административным ролям конкретного каталога, запрос должен содержать фильтр, чтобы указать конкретный пакет доступа, например: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.
Просмотр назначений с помощью PowerShell
Вы также можете получить назначения в пакет доступа в PowerShell с помощью командлета из модуля Get-MgEntitlementManagementAssignment версии 2.1.x или более поздней версии. Этот скрипт иллюстрирует использование модуля командлетов Microsoft Graph PowerShell версии 2.4.0 для получения всех назначений для определенного пакета доступа. Этот командлет в качестве параметра принимает идентификатор пакета для доступа, который включен в ответ командлета Get-MgEntitlementManagementAccessPackage. Убедитесь, что при использовании командлета Get-MgEntitlementManagementAccessPackage необходимо включить флаг -All, чтобы вернуть все страницы назначений.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}
Предыдущий запрос возвращает срок действия и доставку назначений вместе с доставленными назначениями. Если вы хотите исключить истекший срок действия или доставку назначений, можно использовать фильтр, включающий идентификатор пакета доступа и состояние назначений. Этот скрипт иллюстрирует использование фильтра для получения только назначений в состоянии Delivered для определенного пакета доступа. Затем скрипт создаст CSV-файл assignments.csvс одной строкой на назначение.
Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"
Непосредственное назначение идентификации
В некоторых случаях может потребоваться напрямую назначить определенные удостоверения пакету доступа, чтобы удостоверения не проходили через процесс запроса пакета доступа. Для прямого назначения удостоверений пакет доступа должен содержать политику, которая позволяет администраторам осуществлять прямые назначения.
Примечание.
При назначении идентификаторов пакету разрешений, администраторам потребуется убедиться, что идентификаторы соответствуют требованиям для доступа на основе существующих условий политики. В противном случае не удастся успешно назначить идентификаторы пакету доступа.
Войдите в Центр администрирования Microsoft Entra в роли администратора управления удостоверениями или выше.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога, диспетчер пакетов доступа и диспетчер назначения пакетов доступа.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
На странице пакетов Access откройте пакет доступа.
В меню слева нажмите Назначения.
Щелкните Новое назначение, чтобы открыть "Добавить пользователя для доступа к пакету".
В списке Выберите политику выберите политику, которая будет применяться для управления будущими запросами пользователей и жизненным циклом. Если выбранным пользователям требуется назначить разные параметры политики, можно выбрать Создать новую политику, чтобы добавить новую политику.
Выбрав политику, вы сможете добавить пользователей, чтобы выбрать пользователей, которым нужно назначить этот пакет доступа, в соответствии с выбранной политикой.
Примечание.
При выборе политики с вопросами можно назначить только одного пользователя за раз. Если внешний пользователь уже существует в каталоге, используйте вариант идентификации в моем каталоге и выберите существующего пользователя. Используйте параметр "Внешний пользователь" , если пользователь не существует в каталоге.
Задайте дату и время начала и окончания назначения выбранных пользователей. Если дата окончания не указана, используются параметры жизненного цикла политики.
При необходимости укажите обоснование для прямого назначения в целях сохранения записей.
Если выбранная политика содержит дополнительные сведения о запросившей стороне, выберите Просмотр вопросов, чтобы ответить на них от имени пользователей, а затем щелкните Сохранить.
Нажмите кнопку "Добавить ", чтобы непосредственно назначить выбранные удостоверения пакету доступа.
Через несколько минут нажмите кнопку "Обновить ", чтобы просмотреть удостоверения в списке назначений.
Примечание.
Диспетчеры назначений пакетов доступа больше не смогут обойти параметры утверждения, если политика требует утверждения. Это означает, что удостоверения не могут быть назначены напрямую пакету без необходимых утверждений от назначенных утверждающих лиц. В случае, если необходимо обойти утверждение, рекомендуется создать вторую политику в пакете доступа, которая не требует утверждения и ограничена только удостоверениями, которым требуется доступ.
Непосредственно назначьте любой идентификатор (предварительный просмотр)
Управление правами также позволяет напрямую назначать внешние идентификации пакету доступа, чтобы упростить сотрудничество с партнерами. Для этого пакет доступа должен иметь политику, которая позволяет удостоверениям, которых еще нет в вашем каталоге, запрашивать доступ.
Войдите в Центр администрирования Microsoft Entra в роли администратора управления удостоверениями или выше.
Совет
Другие роли с минимальными привилегиями, которые могут выполнить эту задачу, включают владельца каталога, диспетчер пакетов доступа и диспетчер назначения пакетов доступа.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
На странице пакетов доступа откройте пакет доступа.
В меню слева нажмите Назначения.
Выберите новое назначение , чтобы открыть пакет доступа удостоверениям.
В списке Выбрать политику выберите политику, для которой можно задать значение For users not in your directory (Для пользователей вне вашего каталога).
Выберите внешнего пользователя (предварительная версия). Вы можете указать, какие пользователи нужно назначить этому пакету доступа.
Введите имя (необязательно) и адрес электронной почты (обязательно).
Примечание.
- Идентификатор, который нужно добавить, должен находиться в области политики. Например, если для политики установлено значение "Определенные подключенные организации", адрес электронной почты идентификатора должен быть из домена выбранной организации(й). Если удостоверение, которое вы пытаетесь добавить, имеет адрес электронной почты jen@foo.com но домен выбранной организации bar.com, вы не сможете добавить это удостоверение в пакет доступа.
- Аналогичным образом, если вы устанавливаете политику, включающую все настроенные подключённые организации, адрес электронной почты удостоверения должен быть из одной из ваших настроенных подключённых организаций. В противном случае удостоверение не будет добавлено в пакет доступа.
- Если вы хотите добавить любое удостоверение в пакет доступа, вам потребуется выбрать всех пользователей (все подключенные организации + любого внешнего пользователя) при настройке политики.
Установите дату и время, когда назначение выбранного идентификатора должно начаться и закончиться. Если дата окончания не указана, используются параметры жизненного цикла политики.
Нажмите кнопку "Добавить ", чтобы непосредственно назначить выбранные удостоверения пакету доступа.
Через несколько минут нажмите кнопку "Обновить ", чтобы просмотреть удостоверения в списке назначений.
Назначение идентификаторов программным способом
Назначьте удостоверение пакету доступа с помощью Microsoft Graph
Вы также можете напрямую назначить идентификаторы пакету доступа с помощью Microsoft Graph. Удостоверение в соответствующей роли с приложением, имеющим делегированное EntitlementManagement.ReadWrite.All разрешение, приложение с EntitlementManagement.ReadWrite.All разрешением на использование приложения или приложение в каталожной роли может вызвать API для создания запроса на назначение пакета доступа. В этом запросе значением свойства requestTypeдолжно быть adminAdd, а свойство assignment является структурой, содержащей targetId назначенного пользователя.
Назначение пользователю пакета для доступа с помощью PowerShell
Вы можете назначить пользователя пакету доступа в PowerShell, используя командлет из модуля командлетов Microsoft Graph PowerShell для управления удостоверениями версии 2.1.x или более поздней. Этот скрипт иллюстрирует использование модуля командлетов Microsoft Graph PowerShell версии 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
requestType = "adminAdd"
assignment = @{
targetId = $userid
assignmentPolicyId = $policy.Id
accessPackageId = $accesspackage.Id
}
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
Вы также можете распределять задачи для уже существующих групп пользователей в вашем каталоге, включая пользователей, назначенных приложению, или перечисленных в текстовом файле. Дополнительные сведения см. в разделе "Добавление назначений существующих пользователей, у которых уже есть доступ к приложению " и "Добавление назначений" для всех дополнительных пользователей, которым должен быть доступ к приложению.
Вы также можете назначить пакет доступа нескольким пользователям из вашего каталога, используя PowerShell, с командлетом New-MgBetaEntitlementManagementAccessPackageAssignment из модуля командлетов Microsoft Graph PowerShell для управления удостоверениями версии 2.4.0 или более поздней. В качестве параметров этот командлет принимает
- идентификатор пакета для доступа, который включен в ответ командлета
Get-MgEntitlementManagementAccessPackage, - идентификатор назначения пакета доступа, который включен в политику в поле
assignmentpoliciesв ответе командлетаGet-MgEntitlementManagementAccessPackage - идентификаторы объектов целевых пользователей, указанные либо в виде массива строк, либо в виде списка пользователей, возвращенных командлетом
Get-MgGroupMember.
Например, если вы хотите убедиться, что всем пользователям, входящим в группу, также назначен пакет для доступа, можно использовать этот командлет для создания запросов для тех пользователей, которым сейчас ничего не назначено. Этот командлет создаст только назначения; Он не удаляет назначения для пользователей, которые больше не являются членами группы. Если вы хотите, чтобы назначения внутри пакета доступа отслеживали членство в группе и добавляли и удаляли задания в течение времени, используйте вместо этого политику автоматического назначения.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members
Если вы хотите добавить назначение для пользователя, который еще не находится в вашем каталоге, вы можете использовать New-MgBetaEntitlementManagementAccessPackageAssignmentRequest командлеты из бета-модуля Microsoft Graph PowerShell, предназначенные для управления удостоверениями версии 2.1.x или более поздней версии. Этот скрипт демонстрирует использование профиля Microsoft Graph beta и модуля командлетов Microsoft Graph PowerShell версии 2.4.0. В качестве параметров этот командлет принимает
- идентификатор пакета для доступа, который включен в ответ командлета
Get-MgEntitlementManagementAccessPackage, - идентификатор политики назначения пакета доступа, который включен в политику в поле
assignmentpoliciesв ответе командлетаGet-MgEntitlementManagementAccessPackage. - адрес электронной почты целевого пользователя.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"
Настройка назначения доступа в рамках рабочего процесса жизненного цикла
В компоненте рабочих процессов жизненного цикла Microsoft Entra можно добавить задачу запроса назначения пакета доступа для пользователя к процессу адаптации. Задача может указать пакет доступа, который должен иметь пользователи. При запуске рабочего процесса для пользователя автоматически создается запрос на назначение пакета доступа.
Войдите в Центр администрирования Microsoft Entra с ролями администратора управления удостоверениями и администратора рабочих процессов жизненного цикла, как минимум обоими.
Перейдите к управлению идентификаторами>рабочим процессам жизненного цикла>рабочим процессам.
Выберите рабочий процесс подключения или перемещения сотрудника.
Выберите "Задачи " и выберите " Добавить задачу".
Выберите "Запросить назначение пакета доступа пользователей" и нажмите кнопку "Добавить".
Выберите только что добавленную задачу.
Выберите пакет доступа и выберите пакет доступа, к которому должны быть назначены новые или перемещающиеся пользователи.
Выберите " Выбрать политику" и выберите политику назначения пакетов доступа в этом пакете доступа.
Выберите Сохранить.
Удаление назначения
Вы можете удалить назначение, ранее запрошенное пользователем или администратором.
Войдите в Центр администрирования Microsoft Entra в роли администратора управления удостоверениями или выше.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
На странице пакетов доступа откройте пакет доступа.
В меню слева нажмите Назначения.
Установите флажок рядом с пользователем, назначение которого нужно удалить из пакета для доступа.
Выберите Удалить в верхней части панели слева.
Появится уведомление, информирующее о том, что назначение было удалено.
Удалите назначение программно
Удалите назначение в Microsoft Graph
Вы также можете удалить назначение пользователя к пакету доступа с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением с делегированным EntitlementManagement.ReadWrite.All разрешением, приложением с EntitlementManagement.ReadWrite.All разрешением приложения или приложением в роли каталога может вызвать API для создания accessPackageAssignmentRequest. В этом запросе значением свойства requestType должно быть adminRemove, а свойство assignment является структурой, содержащей свойство id, определяющее удаляемый элемент accessPackageAssignment.
Удаление назначения с помощью PowerShell
Вы можете удалить назначение для пользователя в PowerShell с помощью командлета из New-MgEntitlementManagementAssignmentRequest, версии 2.1.x или более поздней. Этот скрипт иллюстрирует использование модуля командлетов Microsoft Graph PowerShell версии 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
$params = @{
requestType = "adminRemove"
assignment = @{ id = $assignment.id }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}
Настройка удаления назначений в рамках рабочего процесса жизненного цикла
В компоненте рабочих процессов жизненного цикла Microsoft Entra можно добавить задачу удалить назначение пакета доступа для пользователя в рабочий процесс отключения. Эта задача может указать пакет доступа, которому может быть назначен пользователь. Когда рабочий процесс запускается для пользователя, назначение пакета доступа удаляется автоматически.
Войдите в Центр администрирования Microsoft Entra с ролями администратора управления удостоверениями и администратора рабочих процессов жизненного цикла, как минимум обоими.
Перейдите к управлению идентификаторами>рабочим процессам жизненного цикла>рабочим процессам.
Выберите процесс увольнения сотрудника.
Выберите "Задачи " и выберите " Добавить задачу".
Выберите " Удалить назначение пакета доступа" для пользователя и нажмите кнопку "Добавить".
Выберите только что добавленную задачу.
Выберите пакеты доступа, и выберите один или несколько пакетов, из которых должны быть удалены пользователи.
Выберите Сохранить.