Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso nella gestione delle autorizzazioni

Nella gestione dell'entitlement, è possibile vedere chi è assegnato a pacchetti di accesso, le relative politiche, lo stato e i cicli di vita delle identità (anteprima). Se un pacchetto di accesso ha un criterio appropriato, è anche possibile assegnare direttamente le identità a un pacchetto di accesso. Questo articolo descrive come visualizzare, aggiungere e rimuovere le assegnazioni per i pacchetti di accesso.

Visualizzare chi ha un'assegnazione

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

   Suggerimento

   Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.

2. Vai a ID Governance>Gestione delle autorizzazioni>Pacchetto di accesso.

3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

4. Selezionare Assegnazioni per visualizzare un elenco di assegnazioni attive.

   

5. Selezionare un'assegnazione specifica per visualizzare altri dettagli.

6. Per visualizzare un elenco di assegnazioni che non hanno eseguito correttamente il provisioning di tutti i ruoli delle risorse, selezionare lo stato del filtro e selezionare Recapito.

   È possibile visualizzare altri dettagli sugli errori di recapito individuando la richiesta corrispondente dell'utente nella pagina Richieste .

7. Per visualizzare le assegnazioni scadute, selezionare lo stato del filtro e selezionare Scaduto.

8. Per scaricare un file CSV dell'elenco filtrato, selezionare Scarica.

Visualizzare le assegnazioni programmaticamente

Visualizzare le assegnazioni con Microsoft Graph

È anche possibile recuperare le assegnazioni in un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione EntitlementManagement.Read.All o EntitlementManagement.ReadWrite.All delegata può chiamare l'API per elencare accessPackageAssignments. Un'applicazione che dispone dell'autorizzazione EntitlementManagement.Read.All o EntitlementManagement.ReadWrite.All dell'autorizzazione dell'applicazione può anche usare questa API per recuperare le assegnazioni in tutti i cataloghi e un'applicazione con un'assegnazione di ruolo in un catalogo può usare questa API per recuperare le assegnazioni in tale catalogo.

Microsoft Graph restituirà i risultati nelle pagine e continuerà a restituire un riferimento alla pagina successiva dei risultati nella @odata.nextLink proprietà con ogni risposta, fino a quando non vengono lette tutte le pagine dei risultati. Per leggere tutti i risultati, è necessario continuare a chiamare Microsoft Graph con la proprietà @odata.nextLink restituita in ogni risposta finché la proprietà @odata.nextLink non viene più restituita, come descritto in paging dei dati di Microsoft Graph nell'app.

Mentre un amministratore di Identity Governance può recuperare i pacchetti di accesso da più cataloghi, se a un utente o al principale del servizio dell'applicazione vengono assegnati solo ruoli amministrativi delegati specifici del catalogo, la richiesta deve fornire un filtro per indicare un pacchetto di accesso specifico, ad esempio: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.

Visualizzare le assegnazioni con PowerShell

È anche possibile recuperare le assegnazioni a un pacchetto di accesso in PowerShell con il cmdlet Get-MgEntitlementManagementAssignment dal modulo dei cmdlet di PowerShell Microsoft Graph per Identity Governance versione 2.1.x o versione successiva del modulo. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0 per recuperare tutte le assegnazioni in un determinato pacchetto di accesso. Questo cmdlet accetta come parametro l'ID del pacchetto di accesso, incluso nella risposta del cmdlet Get-MgEntitlementManagementAccessPackage. Assicurarsi di usare il cmdlet Get-MgEntitlementManagementAccessPackage per includere il flag -All in modo che vengano restituite tutte le pagine delle assegnazioni.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

La query precedente restituisce incarichi scaduti e in consegna, insieme agli incarichi consegnati. Se si desidera escludere assegnazioni scadute o di recapito, è possibile usare un filtro che include l'ID pacchetto di accesso e lo stato delle assegnazioni. Questo script illustra l'uso di un filtro per recuperare solo le assegnazioni nello stato Delivered per un determinato pacchetto di accesso. Lo script genererà quindi un file CSV assignments.csv, con una riga per assegnazione.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Assegnare direttamente un'identità

In alcuni casi, potrebbe essere necessario assegnare direttamente identità specifiche a un pacchetto di accesso in modo che le identità non devono eseguire il processo di richiesta del pacchetto di accesso. Per assegnare direttamente le identità, il pacchetto di accesso deve disporre di un criterio che consenta le assegnazioni dirette dell'amministratore.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

   Suggerimento

   Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.

2. Vai a ID Governance>Gestione delle autorizzazioni>Pacchetto di accesso.

3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

4. Nel menu a sinistra selezionare Assegnazioni.

5. Selezionare Nuova assegnazione per aprire Aggiungi utente al pacchetto di accesso.

   

6. Nell'elenco Seleziona criteri selezionare un criterio per cui le richieste e il ciclo di vita futuri degli utenti verranno regolati e monitorati. Se si desidera che gli utenti selezionati abbiano impostazioni di criteri diverse, è possibile selezionare Crea nuovi criteri per aggiungere un nuovo criterio.

7. Dopo aver selezionato un criterio, è possibile aggiungere utenti per selezionare gli utenti a cui si vuole assegnare questo pacchetto di accesso, nel criterio scelto.

   Nota

   Se si seleziona un criterio con delle domande, è possibile assegnare un solo utente alla volta. Se l'utente esterno esiste già nella directory, usare l'opzione Identità nella mia directory e selezionare l'utente esistente. Usare l'opzione Utente esterno quando l'utente non esiste nella directory.

8. Impostare la data e l'ora in cui si vuole che l'assegnazione degli utenti selezionati inizi e termini. Se non viene specificata una data di fine, vengono usate le impostazioni del ciclo di vita della politica.

9. Facoltativamente, fornire una giustificazione per l'assegnazione diretta ai fini della conservazione dei documenti.

10. Se il criterio selezionato include delle informazioni aggiuntive sul richiedente, selezionare Visualizza domande per rispondere per conto degli utenti, quindi selezionare Salva.

    

    

11. Selezionare Aggiungi per assegnare direttamente le identità selezionate al pacchetto di accesso.

    Dopo alcuni istanti, selezionare Aggiorna per visualizzare le identità nell'elenco Assegnazioni.

Assegnare direttamente qualsiasi identità (anteprima)

La gestione delle autorizzazioni consente anche di assegnare in modo diretto identità esterne a un pacchetto di accesso per semplificare la collaborazione con i partner. A tale scopo, il pacchetto di accesso deve avere un criterio che consenta alle identità non ancora nella directory di richiedere l'accesso.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

   Suggerimento

   Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.

2. Vai a ID Governance>Gestione delle autorizzazioni>Pacchetto di accesso.

3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

4. Nel menu a sinistra selezionare Assegnazioni.

5. Selezionare Nuova assegnazione per aprire Assegna pacchetto di accesso alle identità.

6. Nell'elenco Seleziona criteri selezionare un criterio che consente l’impostazione su Per gli utenti che non si trovano nella directory

7. Selezionare Utente esterno (anteprima). È possibile specificare gli utenti da assegnare a questo pacchetto di accesso.

8. Immettere il nome dell'identità (facoltativo) e l'indirizzo di posta elettronica dell'identità (obbligatorio).

   Nota

   • L'identità da aggiungere deve essere compresa nell'ambito della politica. Ad esempio, se i criteri sono impostati su Organizzazioni connesse specifiche, l'indirizzo di posta elettronica di identità deve appartenere ai domini delle organizzazioni selezionate. Se l'identità che si sta tentando di aggiungere ha un indirizzo di posta elettronica di jen@foo.com ma il dominio dell'organizzazione selezionata è bar.com, non sarà possibile aggiungere tale identità al pacchetto di accesso.
   • Analogamente, se si impostano i criteri in modo da includere tutte le organizzazioni connesse configurate, l'indirizzo di posta elettronica di identità deve appartenere a una delle organizzazioni connesse configurate. In caso contrario, l'identità non verrà aggiunta al pacchetto di accesso.
   • Se si vuole aggiungere qualsiasi identità al pacchetto di accesso, è necessario assicurarsi di selezionare Tutti gli utenti (Tutte le organizzazioni connesse e qualsiasi utente esterno) durante la configurazione dei criteri.

9. Impostare la data e l'ora in cui si vuole che l'assegnazione dell'identità selezionata inizi e termini. Se non viene specificata una data di fine, vengono usate le impostazioni del ciclo di vita della politica.

10. Selezionare Aggiungi per assegnare direttamente le identità selezionate al pacchetto di accesso.

11. Dopo alcuni istanti, selezionare Aggiorna per visualizzare le identità nell'elenco Assegnazioni.

Assegnazione diretta di identità a livello di codice

Assegnare un'identità a un pacchetto di accesso con Microsoft Graph

È anche possibile assegnare direttamente le identità a un pacchetto di accesso usando Microsoft Graph. Un'identità in un ruolo appropriato con un'applicazione che ha l'autorizzazione delegata EntitlementManagement.ReadWrite.All, un'applicazione con l'autorizzazione dell'applicazione EntitlementManagement.ReadWrite.All o un'applicazione in un ruolo di catalogo può chiamare l'API per creare una richiesta di assegnazione pacchetto di accesso. In questa richiesta, il valore della proprietà requestType deve essere adminAdd e la proprietà assignment è una struttura che contiene il targetId dell'utente assegnato.

Assegnare un utente a un pacchetto di accesso con PowerShell

È possibile assegnare un utente a un pacchetto di accesso in PowerShell con il cmdlet New-MgEntitlementManagementAssignmentRequest del modulo Microsoft Graph PowerShell per Identity Governance versione 2.1.x o successiva. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

È anche possibile popolare le assegnazioni per le raccolte esistenti di utenti nella directory, incluse quelle assegnate a un'applicazione o elencate in un file di testo. Per altre informazioni, vedere Aggiungere assegnazioni di utenti esistenti che hanno già accesso all'applicazione e Aggiungere assegnazioni per altri utenti che devono avere accesso all'applicazione.

È anche possibile assegnare più utenti presenti nella directory a un pacchetto di accesso usando PowerShell con il cmdlet New-MgBetaEntitlementManagementAccessPackageAssignment del modulo dei cmdlet di Microsoft Graph PowerShell per Identity Governance versione 2.4.0 o successiva. Questo cmdlet accetta come parametri

• l'ID del pacchetto di accesso, incluso nella risposta del cmdlet Get-MgEntitlementManagementAccessPackage,
• L'ID del criterio di assegnazione dei pacchetti di accesso, che è incluso nei criteri nel campo assignmentpolicies nella risposta dal cmdlet Get-MgEntitlementManagementAccessPackage,
• ID degli oggetti degli utenti di destinazione, sia come matrice di stringhe, sia come elenco di membri degli utenti restituiti dal cmdlet Get-MgGroupMember.

Ad esempio, se si vuole assicurarsi che tutti gli utenti che sono attualmente membri di un gruppo dispongano anche di assegnazioni a un pacchetto di accesso, è possibile usare questo cmdlet per creare richieste per gli utenti che non dispongono attualmente di assegnazioni. Questo cmdlet creerà solo assegnazioni; non rimuove le assegnazioni per gli utenti che non sono più membri di un gruppo. Se desideri che le assegnazioni di un pacchetto di accesso monitorino l'appartenenza a un gruppo e aggiungano e rimuovano assegnazioni nel tempo, usa invece un criterio di assegnazione automatica.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Se desideri aggiungere un'assegnazione per un utente che non è ancora presente nella directory, è possibile usare il cmdlet New-MgBetaEntitlementManagementAccessPackageAssignmentRequest del cmdlet di PowerShell di Microsoft Graph per Identity Governance versione beta del modulo 2.1.x o versione beta successiva. Questo script illustra l'uso del profilo di Microsoft Graph beta e del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0. Questo cmdlet accetta come parametri

• l'ID del pacchetto di accesso, incluso nella risposta del cmdlet Get-MgEntitlementManagementAccessPackage,
• l’ID dei criteri di assegnazione dei pacchetti di accesso, incluso nei criteri nel campo assignmentpolicies nella risposta del cmdlet Get-MgEntitlementManagementAccessPackage,
• l'indirizzo di posta elettronica dell'utente di destinazione.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Configurare l'assegnazione di accesso come parte di un flusso di lavoro del ciclo di vita

Nella funzionalità Flussi di lavoro del ciclo di vita di Microsoft Entra è possibile aggiungere un'attività Richiedi assegnazione pacchetto di accesso utente a un flusso di lavoro di onboarding. L'attività può specificare un pacchetto di accesso che gli utenti devono avere. Quando il flusso di lavoro viene eseguito per un utente, viene creata automaticamente una richiesta di assegnazione del pacchetto di accesso.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra con almeno i ruoli di amministratore di identity governance e amministratore flussi di lavoro del ciclo di vita.

2. Passare a Gestione ID>Flussi di lavoro del ciclo di vita>Flussi di lavoro.

3. Seleziona un processo di onboarding dei dipendenti o di trasferimento del flusso di lavoro.

4. Selezionare Attività e selezionare Aggiungi attività.

5. Selezionare Richiedi assegnazione del pacchetto di accesso utente e selezionare Aggiungi.

6. Selezionare l'attività appena aggiunta.

7. Selezionare Seleziona pacchetto di accesso e scegliere il pacchetto di accesso a cui devono essere assegnati utenti nuovi o in movimento.

8. Selezionare Seleziona Policy e scegliere i criteri di assegnazione del pacchetto di accesso in quel pacchetto di accesso.

9. Seleziona Salva.

Rimuovere un'assegnazione

È possibile rimuovere un'assegnazione richiesta in precedenza da un utente o un amministratore.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Vai a ID Governance>Gestione delle autorizzazioni>Pacchetto di accesso.

3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

4. Nel menu a sinistra selezionare Assegnazioni.

5. Selezionare la casella di controllo accanto all'utente di cui si vuole rimuovere l'assegnazione dal pacchetto di accesso.

6. Selezionare il pulsante Rimuovi nella parte superiore del riquadro sinistro.

   

   Viene visualizzata una notifica che informa che l'assegnazione è stata rimossa.

Rimuovere un'assegnazione a livello di codice

Rimuovere un'assegnazione con Microsoft Graph

È anche possibile rimuovere un'assegnazione di un utente a un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All , un'applicazione con l'autorizzazione dell'applicazione EntitlementManagement.ReadWrite.All o un'applicazione in un ruolo del catalogo può chiamare l'API per creare un accessPackageAssignmentRequest. In questa richiesta il valore della proprietà requestType deve essere adminRemove, e la proprietà assignment è una struttura che contiene la proprietà id che identifica il accessPackageAssignment da rimuovere.

Rimuovere un'assegnazione con PowerShell

È possibile rimuovere l'assegnazione di un utente in PowerShell utilizzando il cmdlet New-MgEntitlementManagementAssignmentRequest del modulo Microsoft Graph PowerShell cmdlets for Identity Governance, versione 2.1.x o successiva. Questo script illustra l'uso del modulo cmdlet di Microsoft Graph PowerShell versione 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Configurare la rimozione dell'assegnazione come parte di un flusso di lavoro nel ciclo di vita

Nella funzionalità Flussi di lavoro del ciclo di vita di Microsoft Entra è possibile aggiungere un'attività Rimuovi assegnazione pacchetto di accesso per l'utente a un flusso di lavoro di offboarding. Tale attività può specificare un pacchetto di accesso a cui l'utente potrebbe essere assegnato. Quando il flusso di lavoro viene eseguito per un utente, l'assegnazione del pacchetto di accesso viene rimossa automaticamente.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra con almeno i ruoli di amministratore di identity governance e amministratore flussi di lavoro del ciclo di vita.

2. Passare a Gestione ID>Flussi di lavoro del ciclo di vita>Flussi di lavoro.

3. Selezionare un flusso di lavoro di offboarding per i dipendenti.

4. Selezionare Attività e selezionare Aggiungi attività.

5. Selezionare Rimuovi assegnazione pacchetto di accesso per l'utente e selezionare Aggiungi.

6. Selezionare l'attività appena aggiunta.

7. Selezionare Seleziona pacchetti di accesso e scegliere uno o più pacchetti di accesso da cui rimuovere gli utenti in fase di offboarding.

8. Seleziona Salva.

Passaggi successivi

• Modificare la richiesta e le impostazioni per un pacchetto di accesso
• Visualizza report e log