Exibir, adicionar e remover atribuições para um pacote de acesso no gerenciamento de direitos

No gerenciamento de direitos, você pode ver quem está atribuído aos pacotes de acesso, sua política, status e ciclo de vida do usuário (visualização). Se um pacote de acesso tiver uma política apropriada, você também poderá atribuir diretamente o usuário a um pacote de acesso. Este artigo descreve como exibir, adicionar e remover atribuições para pacotes de acesso.

Pré-requisitos

Para usar o gerenciamento de direitos e atribuir usuários a pacotes de acesso, você deve ter uma das seguintes licenças:

• Microsoft Entra ID P2
• Licença E5 do Enterprise Mobility + Security (EMS)
• Subscrição do Microsoft Entra ID Governance

Ver quem tem uma atribuição

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

   Gorjeta

   Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo, o gerenciador de pacotes de acesso e o gerenciador de atribuições de pacotes de acesso.

2. Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.

3. Na página Pacotes do Access, abra um pacote do Access.

4. Selecione Atribuições para ver uma lista de atribuições ativas.

   

5. Selecione uma atribuição específica para ver mais detalhes.

6. Para ver uma lista de atribuições que não tiveram todas as funções de recurso provisionadas corretamente, selecione o status do filtro e selecione Entrega.

   Você pode ver mais detalhes sobre erros de entrega localizando a solicitação correspondente do usuário na página Solicitações .

7. Para ver as atribuições expiradas, selecione o status do filtro e selecione Expirado.

8. Para baixar um arquivo CSV da lista filtrada, selecione Download.

Ver tarefas programaticamente

Exibir atribuições com o Microsoft Graph

Você também pode recuperar atribuições em um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.Read.All ou EntitlementManagement.ReadWrite.All pode chamar a API para listar accessPackageAssignments. Um aplicativo que tenha a permissão EntitlementManagement.Read.All ou EntitlementManagement.ReadWrite.All permissão do aplicativo também pode usar essa API para recuperar atribuições em todos os catálogos.

O Microsoft Graph retornará os resultados em páginas e continuará a retornar uma referência à próxima página de resultados na @odata.nextLink propriedade com cada resposta, até que todas as páginas dos resultados sejam lidas. Para ler todos os resultados, você deve continuar a chamar o Microsoft Graph com a propriedade retornada @odata.nextLink em cada resposta até que a @odata.nextLink propriedade não seja mais retornada, conforme descrito em paginando dados do Microsoft Graph em seu aplicativo.

Embora um Administrador de Governança de Identidade possa recuperar pacotes de acesso de vários catálogos, se a entidade de serviço de usuário ou aplicativo for atribuída apenas a funções administrativas delegadas específicas do catálogo, a solicitação deverá fornecer um filtro para indicar um pacote de acesso específico, como: $filter=accessPackage/id eq '00001111-aaaa-2222-bbbb-3333cccc4444'.

Exibir atribuições com o PowerShell

Você também pode recuperar atribuições para um pacote de acesso no PowerShell com o Get-MgEntitlementManagementAssignment cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo. Este script ilustra o uso do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0 para recuperar todas as atribuições de um pacote de acesso específico. Este cmdlet toma como parâmetro a ID do pacote de acesso, que é incluída na resposta do Get-MgEntitlementManagementAccessPackage cmdlet. Certifique-se ao usar o Get-MgEntitlementManagementAccessPackage cmdlet para incluir o -All sinalizador para fazer com que todas as páginas de atribuições sejam retornadas.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$assignments = @(Get-MgEntitlementManagementAssignment -AccessPackageId $accesspackage.Id -ExpandProperty target -All -ErrorAction Stop)
$assignments | ft Id,state,{$_.Target.id},{$_.Target.displayName}

A consulta anterior retorna atribuições expiradas e entregues juntamente com atribuições entregues. Se desejar excluir atribuições expiradas ou de entrega, você pode usar um filtro que inclua a ID do pacote de acesso e o estado das atribuições. Este script ilustra o uso de um filtro para recuperar apenas as atribuições em estado Delivered para um pacote de acesso específico. O script gerará um arquivo assignments.csvCSV, com uma linha por atribuição.

Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayName eq 'Marketing Campaign'"
if ($null -eq $accesspackage) { throw "no access package"}
$accesspackageId = $accesspackage.Id
$filter = "accessPackage/id eq '" + $accesspackageId + "' and state eq 'Delivered'"
$assignments = @(Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -All -ErrorAction Stop)
$sp = $assignments | select-object -Property Id,{$_.Target.id},{$_.Target.ObjectId},{$_.Target.DisplayName},{$_.Target.PrincipalName}
$sp | Export-Csv -Encoding UTF8 -NoTypeInformation -Path ".\assignments.csv"

Atribuir diretamente um usuário

Em alguns casos, talvez você queira atribuir diretamente usuários específicos a um pacote de acesso para que os usuários não precisem passar pelo processo de solicitação do pacote de acesso. Para atribuir usuários diretamente, o pacote de acesso deve ter uma política que permita atribuições diretas do administrador.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

   Gorjeta

   Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo, o gerenciador de pacotes de acesso e o gerenciador de atribuições de pacotes de acesso.

2. Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.

3. Na página Pacotes do Access, abra um pacote do Access.

4. No menu à esquerda, selecione Atribuições.

5. Selecione Nova atribuição para abrir Adicionar usuário para acessar o pacote.

   

6. Na lista Selecionar política, selecione uma política pela qual as solicitações futuras e o ciclo de vida dos usuários serão regidos e rastreados. Se desejar que os usuários selecionados tenham configurações de política diferentes, selecione Criar nova política para adicionar uma nova política.

7. Depois de selecionar uma política, você poderá adicionar usuários para selecionar os usuários aos quais deseja atribuir esse pacote de acesso, sob a política escolhida.

   Nota

   Se você selecionar uma política com perguntas, só poderá atribuir um usuário de cada vez.

8. Defina a data e a hora em que deseja que a atribuição dos usuários selecionados comece e termine. Se uma data de término não for fornecida, as configurações do ciclo de vida da política serão usadas.

9. Opcionalmente, forneça uma justificativa para sua atribuição direta para manutenção de registros.

10. Se a política selecionada incluir informações adicionais do solicitante, selecione Exibir perguntas para respondê-las em nome dos usuários e selecione Salvar.

    

    

11. Selecione Adicionar para atribuir diretamente os usuários selecionados ao pacote de acesso.

    Após alguns momentos, selecione Atualizar para ver os usuários na lista Atribuições.

Atribuir diretamente qualquer utilizador (Pré-visualização)

O gerenciamento de direitos também permite atribuir diretamente usuários externos a um pacote de acesso para facilitar a colaboração com parceiros. Para fazer isso, o pacote de acesso deve ter uma política que permita que os usuários que ainda não estão no seu diretório solicitem acesso.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

   Gorjeta

   Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo, o gerenciador de pacotes de acesso e o gerenciador de atribuições de pacotes de acesso.

2. Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.

3. Na página Pacotes do Access, abra um pacote do Access.

4. No menu à esquerda, selecione Atribuições.

5. Selecione Nova atribuição para abrir Adicionar usuário para acessar o pacote.

6. Na lista Selecionar política, selecione uma política que permita que esteja definida como Para usuários que não estão no seu diretório

7. Selecione Qualquer usuário. Você pode especificar quais usuários deseja atribuir a este pacote de acesso.

8. Digite o nome do usuário (opcional) e o endereço de e-mail do usuário (obrigatório).

   Nota

   • O usuário que você deseja adicionar deve estar dentro do escopo da política. Por exemplo, se sua política estiver definida como Organizações conectadas específicas, o endereço de email do usuário deverá ser do(s) domínio(s) da(s) organização(ões) selecionada(s). Se o usuário que você está tentando adicionar tiver um endereço de e-mail de jen@foo.com mas o domínio da organização selecionada estiver bar.com, você não poderá adicionar esse usuário ao pacote de acesso.
   • Da mesma forma, se você definir sua política para incluir Todas as organizações conectadas configuradas, o endereço de email do usuário deverá ser de uma de suas organizações conectadas configuradas. Caso contrário, o usuário não será adicionado ao pacote de acesso.
   • Se desejar adicionar qualquer usuário ao pacote de acesso, você precisará garantir que seleciona Todos os usuários (Todas as organizações conectadas + qualquer usuário externo) ao configurar sua política.

9. Defina a data e a hora em que deseja que a atribuição dos usuários selecionados comece e termine. Se uma data de término não for fornecida, as configurações do ciclo de vida da política serão usadas.

10. Selecione Adicionar para atribuir diretamente os usuários selecionados ao pacote de acesso.

11. Após alguns momentos, selecione Atualizar para ver os usuários na lista Atribuições.

Atribuição direta de usuários programaticamente

Atribuir um usuário a um pacote de acesso com o Microsoft Graph

Você também pode atribuir diretamente um usuário a um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All , ou um aplicativo com a permissão do EntitlementManagement.ReadWrite.All aplicativo, pode chamar a API para criar um accessPackageAssignmentRequest. Nessa solicitação, o requestType valor da propriedade deve ser adminAdd, e a assignment propriedade é uma estrutura que contém o targetId do usuário que está sendo atribuído.

Atribuir um usuário a um pacote de acesso com o PowerShell

Você pode atribuir um usuário a um pacote de acesso no PowerShell com o New-MgEntitlementManagementAssignmentRequest cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo. Este script ilustra o uso do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentpolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$userid = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$params = @{
   requestType = "adminAdd"
   assignment = @{
      targetId = $userid
      assignmentPolicyId = $policy.Id
      accessPackageId = $accesspackage.Id
   }
}
New-MgEntitlementManagementAssignmentRequest -BodyParameter $params

Você também pode preencher atribuições para coleções existentes de usuários em seu diretório, incluindo aqueles atribuídos a um aplicativo ou listados em um arquivo de texto. Para obter mais informações, consulte Adicionar atribuições de usuários existentes que já têm acesso ao aplicativo e Adicionar atribuições para quaisquer usuários adicionais que devam ter acesso ao aplicativo.

Você também pode atribuir vários usuários que estão em seu diretório a um pacote de acesso usando o PowerShell com o New-MgBetaEntitlementManagementAccessPackageAssignment cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.4.0 ou posterior. Este cmdlet usa como parâmetros

• a ID do pacote de acesso, que está incluída na resposta do Get-MgEntitlementManagementAccessPackage cmdlet,
• o ID da política de atribuição de pacote de acesso, que está incluído na política no assignmentpolicies campo na resposta do Get-MgEntitlementManagementAccessPackage cmdlet,
• as IDs de objeto dos usuários de destino, como uma matriz de cadeias de caracteres ou como uma lista de membros de usuário retornados do Get-MgGroupMember cmdlet.

Por exemplo, se quiser garantir que todos os usuários que atualmente são membros de um grupo também tenham atribuições para um pacote de acesso, você pode usar esse cmdlet para criar solicitações para os usuários que não têm atribuições no momento. Este cmdlet criará apenas atribuições; Ele não remove atribuições para usuários que não são mais membros de um grupo. Se desejar que as atribuições de um pacote de acesso acompanhem a associação de um grupo e adicionem e removam atribuições ao longo do tempo, use uma política de atribuição automática.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Directory.Read.All"
$members = @(Get-MgGroupMember -GroupId "a34abd69-6bf8-4abd-ab6b-78218b77dc15" -All)

$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignment -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -RequiredGroupMember $members

Se desejar adicionar uma atribuição para um usuário que ainda não está em seu diretório, você pode usar o cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo beta de Governança de Identidade versão 2.1.x ou versão posterior do New-MgBetaEntitlementManagementAccessPackageAssignmentRequest módulo beta. Este script ilustra o uso do perfil do Microsoft Graph beta e do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0. Este cmdlet usa como parâmetros

• a ID do pacote de acesso, que está incluída na resposta do Get-MgEntitlementManagementAccessPackage cmdlet,
• o ID da política de atribuição de pacote de acesso, que está incluído na política no assignmentpolicies campo na resposta do Get-MgEntitlementManagementAccessPackage cmdlet,
• O endereço de e-mail do usuário alvo.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accesspackage = Get-MgEntitlementManagementAccessPackage -Filter "displayname eq 'Marketing Campaign'" -ExpandProperty "assignmentPolicies"
if ($null -eq $accesspackage) { throw "no access package"}
$policy = $accesspackage.AssignmentPolicies[0]
$req = New-MgBetaEntitlementManagementAccessPackageAssignmentRequest -AccessPackageId $accesspackage.Id -AssignmentPolicyId $policy.Id -TargetEmail "sample@example.com"

Configurar a atribuição de acesso como parte de um fluxo de trabalho do ciclo de vida

No recurso Fluxos de Trabalho do Ciclo de Vida do Microsoft Entra, você pode adicionar uma tarefa de atribuição de pacote de acesso de usuário Solicitar a um fluxo de trabalho de integração. A tarefa pode especificar um pacote de acesso que os usuários devem ter. Quando o fluxo de trabalho é executado para um usuário, uma solicitação de atribuição de pacote de acesso é criada automaticamente.

1. Entre no centro de administração do Microsoft Entra com, pelo menos, as funções de Administrador de Governança de Identidade e Administrador de Fluxos de Trabalho do Ciclo de Vida.

2. Navegue até Governança de>identidade, Fluxos de trabalho, Fluxos de>trabalho.

3. Selecione uma integração de funcionários ou mova o fluxo de trabalho.

4. Selecione Tarefas e selecione Adicionar tarefa.

5. Selecione Solicitar atribuição de pacote de acesso do usuário e selecione Adicionar.

6. Selecione a tarefa recém-adicionada.

7. Selecione Selecionar pacote de acesso e escolha o pacote de acesso ao qual os usuários novos ou em movimento devem ser atribuídos.

8. Selecione Selecionar Política e escolha a política de atribuição de pacote de acesso nesse pacote de acesso.

9. Selecione Guardar.

Remover uma atribuição

Você pode remover uma atribuição que um usuário ou administrador havia solicitado anteriormente.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.

3. Na página Pacotes do Access, abra um pacote do Access.

4. No menu à esquerda, selecione Atribuições.

5. Marque a caixa de seleção ao lado do usuário cuja atribuição você deseja remover do pacote de acesso.

6. Selecione o botão Remover na parte superior do painel esquerdo.

   

   Uma notificação é exibida informando que a atribuição foi removida.

Remover uma atribuição programaticamente

Remover uma atribuição com o Microsoft Graph

Você também pode remover uma atribuição de um usuário a um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All , ou um aplicativo com a permissão do EntitlementManagement.ReadWrite.All aplicativo, pode chamar a API para criar um accessPackageAssignmentRequest. Nesta solicitação, o requestType valor do imóvel deve ser adminRemove, e o assignment imóvel é uma estrutura que contém o id imóvel que identifica o que está sendo accessPackageAssignment removido.

Remover uma atribuição com o PowerShell

Você pode remover a atribuição de um usuário no PowerShell com o New-MgEntitlementManagementAssignmentRequest cmdlet dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo. Este script ilustra o uso do módulo de cmdlets do Microsoft Graph PowerShell versão 2.4.0.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$accessPackageId = "9f573551-f8e2-48f4-bf48-06efbb37c7b8"
$userId = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$filter = "accessPackage/Id eq '" + $accessPackageId + "' and state eq 'Delivered' and target/objectId eq '" + $userId + "'"
$assignment = Get-MgEntitlementManagementAssignment -Filter $filter -ExpandProperty target -all -ErrorAction stop
if ($assignment -ne $null) {
   $params = @{
      requestType = "adminRemove"
      assignment = @{ id = $assignment.id }
   }
   New-MgEntitlementManagementAssignmentRequest -BodyParameter $params
}

Configurar a remoção de atribuição como parte de um fluxo de trabalho de ciclo de vida

No recurso Fluxos de Trabalho do Ciclo de Vida do Microsoft Entra, você pode adicionar uma atribuição de pacote de acesso Remover tarefa do usuário a um fluxo de trabalho de desintegração. Essa tarefa pode especificar um pacote de acesso ao qual o usuário pode ser atribuído. Quando o fluxo de trabalho é executado para um usuário, sua atribuição de pacote de acesso é removida automaticamente.

1. Entre no centro de administração do Microsoft Entra com, pelo menos, as funções de Administrador de Governança de Identidade e Administrador de Fluxos de Trabalho do Ciclo de Vida.

2. Navegue até Governança de>identidade, Fluxos de trabalho, Fluxos de>trabalho.

3. Selecione um fluxo de trabalho de desembarque de funcionários.

4. Selecione Tarefas e selecione Adicionar tarefa.

5. Selecione Remover atribuição de pacote de acesso para o usuário e selecione Adicionar.

6. Selecione a tarefa recém-adicionada.

7. Selecione Selecionar pacotes de acesso e escolha um ou mais pacotes de acesso dos quais os usuários que estão sendo desintegrados devem ser removidos.

8. Selecione Guardar.

Próximos passos

• Alterar solicitação e configurações de um pacote de acesso
• Exibir relatórios e logs