Anzeigen und Entfernen von Anforderungen für ein Zugriffspaket in der Berechtigungsverwaltung
In der Berechtigungsverwaltung können Sie anzeigen, wer Zugriffspakete angefordert hat, welche Richtlinie für die Anforderung gilt und welchen Status die Anforderung hat. In diesem Artikel wird beschrieben, wie Sie Anforderungen für ein Zugriffspaket anzeigen und nicht mehr benötigte Anforderungen entfernen.
Anzeigen von Anforderungen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Tipp
Andere Rollen mit den geringsten Berechtigungen, die diese Aufgabe ausführen können, sind der Katalogbesitzer, der Access-Paket-Manager und der Access-Paketzuweisungs-Manager.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, für das Sie Anforderungen anzeigen möchten.
Wählen Sie Anforderungen aus.
Wählen Sie eine bestimmte Anforderung aus, um weitere Details anzuzeigen.
Sie können die Details des Anforderungsverlaufs auswählen, um zu sehen, wer eine Anforderung genehmigt hat, welche Genehmigungsberechtigungen es gab und wann der Zugriff übermittelt wurde.
Wenn es eine Gruppe von Benutzern gibt, deren Anforderungen den Status „Teilweise übermittelt“ oder „Fehler“ haben, müssen Sie möglicherweise diese Anfragen mit Hilfe der Wiederbearbeitungsfunktion erneut.
Anzeigen von Anforderungen mit Microsoft Graph
Sie können auch mithilfe von Microsoft Graph Zuweisungen in einem Zugriffspaket abrufen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.Read.All
oder EntitlementManagement.ReadWrite.All
verfügt, kann die API aufrufen, um assignmentRequests aufzulisten. Identity Governance-Administratoren können Zugriffspaketanforderungen aus mehreren Katalogen abrufen. Wenn einem Benutzer oder einem Anwendungsdienstprinzipal aber nur katalogspezifische delegierte Administratorrollen zugewiesen sind, muss mit der Anforderung ein Filter bereitgestellt werden, um ein bestimmtes Zugriffspaket anzugeben, z. B. $expand=accessPackage&$filter=accessPackage/id eq '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
. Für eine Anwendung, die über die Anwendungsberechtigung EntitlementManagement.Read.All
oder EntitlementManagement.ReadWrite.All
verfügt, kann diese API ebenfalls zum Abrufen von Anforderungen aus allen Katalogen verwendet werden.
Microsoft Graph gibt die Ergebnisse auf Seiten und weiterhin einen Verweis auf die nächste Seite der Ergebnisse in der @odata.nextLink
-Eigenschaft mit jeder Antwort zurück, bis alle Seiten der Ergebnisse gelesen wurden. Um alle Ergebnisse zu lesen, müssen Sie weiterhin Microsoft Graph mit der in jeder Antwort zurückgegebenen @odata.nextLink
-Eigenschaft aufrufen, bis die @odata.nextLink
-Eigenschaft nicht mehr zurückgegeben wird, wie unter Paging der Microsoft Graph-Daten in Ihrer App beschrieben.
Anforderung entfernen (Vorschau)
Sie können auch eine abgeschlossene Anforderung entfernen, die nicht mehr benötigt wird. So entfernen Sie eine Anforderung:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Identity Governance-Administrator an.
Navigieren Sie zu Identitätsgovernance>Berechtigungsverwaltung>Zugriffspaket.
Öffnen Sie auf der Seite „Zugriffspakete“ das Zugriffspaket, für das Sie Anforderungen entfernen möchten.
Wählen Sie Anforderungen aus.
Suchen Sie die Anforderung, die Sie aus dem Zugriffspaket entfernen möchten.
Wählen Sie die Schaltfläche Entfernen aus.
Hinweis
Wenn Sie eine abgeschlossene Anforderung aus einem Zugriffspaket entfernen, wird die aktive Zuweisung nicht entfernt, sondern nur die Daten der Anforderung. Der anfordernde Benutzer hat also weiterhin Zugriff. Wenn Sie auch eine Zuweisung und den daraus resultierenden Zugriff aus diesem Zugriffspaket entfernen müssen, klicken Sie im linken Menü auf Zuweisungen, suchen Sie die Zuweisung, und dann entfernen Sie die Zuweisung.
Entfernen einer Anforderung mit Microsoft Graph
Sie können eine Anforderung auch mithilfe von Microsoft Graph entfernen. Ein Benutzer in einer passenden Rolle mit einer Anwendung, die über die delegierte Berechtigung EntitlementManagement.ReadWrite.All
oder eine Anwendung mit dieser Anwendungsberechtigung verfügt, kann die API aufrufen, um die EntitlementManagement.ReadWrite.All
Anforderung accessPackageAssignmentRequest“ zu erstellen.