Condividi tramite


Creare un pacchetto di accesso in Gestione entitlement

Un pacchetto di accesso consente di eseguire una configurazione monouso di risorse e criteri per amministrare automaticamente l'accesso per la durata del pacchetto di accesso. Questo articolo descrive come creare un pacchetto di accesso.

Panoramica

Tutti i pacchetti di accesso devono trovarsi in un contenitore denominato catalogo. Un catalogo definisce le risorse che è possibile aggiungere al pacchetto di accesso. Se non si specifica un catalogo, il pacchetto di accesso viene inserito nel catalogo generale. Attualmente non è possibile spostare un pacchetto di accesso esistente in un catalogo diverso.

È possibile usare un pacchetto di accesso per assegnare l'accesso ai ruoli di più risorse presenti nel catalogo. Gli amministratori o i proprietari del catalogo possono aggiungere risorse al catalogo durante la creazione di un pacchetto di accesso. È anche possibile aggiungere risorse dopo la creazione del pacchetto di accesso; gli utenti assegnati al pacchetto di accesso riceveranno anch'essi le risorse aggiuntive.

I responsabili dei pacchetti di accesso non possono aggiungere risorse di proprietà a un catalogo. È possibile usare solo le risorse disponibili nel catalogo. Se è necessario aggiungere risorse a un catalogo, è possibile chiedere al proprietario del catalogo.

Affinché gli utenti possano essere assegnati ai pacchetti di accesso, tali pacchetti devono includere almeno un criterio. I criteri specificano chi può richiedere il pacchetto di accesso, insieme alle impostazioni relative all'approvazione e al ciclo di vita o alla modalità di assegnazione automatica dell'accesso. Quando si crea un pacchetto di accesso, è possibile creare un criterio iniziale per gli utenti che si trovano nella directory, per gli utenti che non si trovano nella directory o solo per le assegnazioni dirette dell'amministratore.

Diagramma di un catalogo marketing di esempio, incluse le relative risorse e il relativo pacchetto di accesso.

Ecco i passaggi generali per creare un pacchetto di accesso con un criterio iniziale:

  1. In Identity Governance, avviare il processo per creare un pacchetto di accesso.

  2. Selezionare il catalogo in cui si vuole inserire il pacchetto di accesso e assicurarsi che disponga delle risorse necessarie.

  3. Aggiungere i ruoli risorsa dalle risorse nel catalogo al pacchetto di accesso.

  4. Specificare un criterio iniziale per gli utenti che possono richiedere l'accesso.

  5. Specificare le impostazioni relative all'approvazione e al ciclo di vita in tale criterio.

Dopo aver creato il pacchetto di accesso, è possibile modificare l'impostazione nascosta, aggiungere o rimuovere i ruoli delle risorse e aggiungere altri criteri.

Avviare il processo di creazione

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono Proprietario catalogo o Responsabile dei pacchetti di accesso.

  2. Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.

  3. Selezionare Nuovo pacchetto di accesso.

    Screenshot che mostra il pulsante per la creazione di un nuovo pacchetto di accesso nell'interfaccia di amministrazione di Microsoft Entra.

Configurare le informazioni di base

Nella scheda Dati principali, assegnare un nome al pacchetto di accesso e specificare il catalogo in cui creare il pacchetto.

  1. Immettere un nome visualizzato e una descrizione per il pacchetto di accesso. Gli utenti visualizzeranno queste informazioni quando inviano una richiesta per il pacchetto di accesso.

  2. Nell'elenco a discesa Catalogo, selezionare il catalogo in cui inserire il pacchetto di accesso. Ad esempio, potrebbe essere presente un proprietario del catalogo che gestisce tutte le risorse di marketing che possono essere richieste. In questo caso, è possibile selezionare il catalogo marketing.

    Vengono visualizzati solo i cataloghi per i quali si dispone dell'autorizzazione per creare pacchetti di accesso. Per creare un pacchetto di accesso in un catalogo esistente, è necessario essere almeno un amministratore di Identity Governance. In alternativa, è necessario essere un proprietario del catalogo o un responsabile dei pacchetti di accesso in tale catalogo.

    Screenshot che mostra le informazioni di base relative a un nuovo pacchetto di accesso.

    Se si è almeno un amministratore di Identity Governance o un autore di cataloghi e si vuole creare il pacchetto di accesso in un nuovo catalogo non presente nell'elenco, selezionare Crea nuovo catalogo. Immettere il nome e la descrizione del catalogo e quindi selezionare Crea.

    Il pacchetto di accesso che si sta creando e tutte le risorse in esso incluse vengono aggiunti al nuovo catalogo. Successivamente, è possibile aggiungere altri proprietari del catalogo o aggiungere attributi alle risorse inserite nel catalogo. Per altre informazioni su come modificare l'elenco di attributi per una risorsa di catalogo specifica e i prerequisiti dei ruoli, vedere Aggiungere attributi risorsa nel catalogo.

  3. Selezionare Avanti: Ruoli risorsa.

Selezionare i ruoli delle risorse

Nella scheda Ruoli risorsa sarà necessario selezionare le risorse e il relativo ruolo da includere nel pacchetto di accesso. Gli utenti che richiedono e ricevono il pacchetto di accesso riceveranno tutti i ruoli delle risorse, ad esempio l'appartenenza al gruppo, nel pacchetto di accesso.

Se non si è certi dei ruoli delle risorse da includere, è possibile ignorare l'aggiunta durante la creazione del pacchetto di accesso e quindi aggiungerli in un secondo momento.

  1. Selezionare il tipo di risorsa da aggiungere (Gruppi e team, Applicazioni o Siti di SharePoint).

  2. Nel pannello Seleziona applicazioni visualizzato, selezionare una o più risorse dall'elenco.

    Screenshot che mostra il pannello per la selezione delle applicazioni per i ruoli delle risorse in un nuovo pacchetto di accesso.

    Se si sta creando il pacchetto di accesso nel catalogo generale o in un nuovo catalogo, è possibile scegliere qualsiasi risorsa dalla directory di cui si è proprietari. È necessario essere almeno un amministratore di Identity Governance o un autore di cataloghi.

    Nota

    È possibile aggiungere gruppi di appartenenza dinamica a un catalogo e a un pacchetto di accesso. Tuttavia, è possibile selezionare solo il ruolo proprietario quando si gestisce una risorsa del gruppo dinamico in un pacchetto di accesso.

    Se si sta creando il pacchetto di accesso in un catalogo esistente, è possibile selezionare qualsiasi risorsa già presente nel catalogo senza dover essere proprietari di tale risorsa.

    Se si è almeno un amministratore di Identity Governance o un proprietario del catalogo, è possibile selezionare le risorse di cui si è proprietari o che non sono ancora presenti nel catalogo. Se si selezionano risorse presenti nella directory ma non nel catalogo selezionato, queste risorse vengono aggiunte anche al catalogo in modo da consentire anche ad altri amministratori del catalogo di compilare pacchetti di accesso. Per visualizzare tutte le risorse presenti nella directory che è possibile aggiungere al catalogo, selezionare la casella di controllo Visualizza tutto nella parte superiore del pannello. Se si desidera selezionare solo le risorse attualmente presenti nel catalogo selezionato, lasciare deselezionata la casella di controllo Visualizza tutto (stato predefinito).

  3. Nell'elenco Ruolo, selezionare il ruolo a cui si vuole assegnare gli utenti per la risorsa. Per altre informazioni sulla selezione dei ruoli appropriati per una risorsa, vedere Come determinare i ruoli delle risorse da includere in un pacchetto di accesso.

    Screenshot che mostra la selezione del ruolo risorsa per un nuovo pacchetto di accesso.

  4. Selezionare Avanti: Richieste.

Creare il criterio iniziale

Nella scheda Richieste, creare il primo criterio per specificare chi può richiedere il pacchetto di accesso. È anche possibile configurare le impostazioni di approvazione per quel criterio. Successivamente, dopo aver creato il pacchetto di accesso con questo criterio iniziale, è possibile aggiungere altri criteri per consentire ad altri gruppi di utenti di richiedere il pacchetto di accesso con le proprie impostazioni di approvazione o di assegnare automaticamente l'accesso.

Screenshot che mostra la scheda Richieste per un nuovo pacchetto di accesso.

A seconda degli utenti che si desidera poter richiedere questo pacchetto di accesso, eseguire i passaggi descritti in una delle sezioni seguenti: Consentire agli utenti nella directory di richiedere il pacchetto di accesso, Consentire agli utenti non nella directory di richiedere il pacchetto di accesso o Consentire solo assegnazioni dirette di amministratore. Se non si è certi delle impostazioni di richiesta o approvazione necessarie, l'utente prevede creare assegnazioni per gli utenti che hanno già accesso alle risorse sottostanti oppure prevede di usare i criteri di assegnazione automatica dei pacchetti di accesso per automatizzare l'accesso, quindi selezionare il criterio di assegnazione diretto come criterio iniziale.

Consentire agli utenti che si trovano nella directory di richiedere il pacchetto di accesso

Seguire questa procedura se si vuole consentire agli utenti che si trovano nella directory di richiedere questo pacchetto di accesso. Quando si definiscono i criteri di richiesta, è possibile specificare singoli utenti o più gruppi di utenti. Ad esempio, l'organizzazione potrebbe avere già un gruppo, come Tutti i dipendenti. Se tale gruppo viene aggiunto nei criteri per gli utenti che possono richiedere l'accesso, qualsiasi membro del gruppo può quindi richiedere l'accesso.

  1. Nella sezione Utenti che possono richiedere l'accesso, selezionare Per gli utenti che si trovano nella directory.

    Quando si seleziona questa opzione, vengono visualizzate nuove opzioni che consentono di perfezionare ulteriormente chi tra i presenti nella directory può richiedere questo pacchetto di accesso.

    Screenshot che mostra l'opzione per consentire a utenti e gruppi che si trovano nella directory di richiedere un pacchetto di accesso.

  2. Selezionare una delle seguenti opzioni:

    Opzione Descrizione
    Utenti e gruppi specifici Scegliere questa opzione se si desidera che solo gli utenti e i gruppi che si trovano nella directory specificata possano richiedere questo pacchetto di accesso.
    Tutti i membri (esclusi gli utenti guest) Scegliere questa opzione se si vuole che tutti gli utenti membri che si trovano nella directory possano richiedere questo pacchetto di accesso. Questa opzione non include eventuali utenti guest invitati nella directory.
    Tutti gli utenti (inclusi gli utenti guest) Scegliere questa opzione se si vuole che tutti gli utenti membri e gli utenti guest che si trovano nella directory possano richiedere questo pacchetto di accesso.

    Gli utenti guest sono utenti esterni che sono stati invitati nella directory tramite Microsoft Entra B2B. Per altre informazioni sulle differenze tra utenti membri e utenti guest, vedere Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID?.

  3. Se è stata selezionata l'opzione Utenti e gruppi specifici, selezionare Aggiungi utenti e gruppi.

  4. Nel riquadro Seleziona utenti e gruppi, selezionare gli utenti e i gruppi da aggiungere.

    Screenshot che mostra il riquadro per la selezione di utenti e gruppi per un pacchetto di accesso.

  5. Scegliere Seleziona per aggiungere utenti e gruppi.

  6. Passare alla sezione Specificare le impostazioni di approvazione.

Consentire agli utenti che non si trovano nella directory di richiedere il pacchetto di accesso

Gli utenti che si trovano in un'altra directory o in un altro dominio di Microsoft Entra potrebbero non essere stati ancora invitati nella directory. Le directory di Microsoft Entra devono essere configurate per consentire gli inviti nelle restrizioni di collaborazione. Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.

Verrà creato un account utente guest per un utente che non si trova ancora nella directory e ha ricevuto o non richiede l'approvazione della richiesta. L'ospite verrà invitato, ma non riceverà un messaggio di posta elettronica di invito. Riceverà invece un messaggio di posta elettronica quando viene recapitata l'assegnazione del pacchetto di accesso. In seguito, quando l'utente guest non ha più assegnazioni di pacchetti di accesso, perché l'ultima assegnazione è scaduta o è stata annullata, l'accesso a tale account verrà bloccato e successivamente eliminato. Il blocco e l'eliminazione vengono eseguiti per impostazione predefinita.

Se si desidera che gli utenti guest rimangano nella directory per un periodo illimitato, anche se non dispongono di assegnazioni di pacchetti di accesso, è possibile modificare le impostazioni per la configurazione di Gestione entitlement. Per altre informazioni sull'oggetto utente guest, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra.

Seguire questa procedura se si vuole consentire agli utenti che non si trovano nella directory di richiedere questo pacchetto di accesso:

  1. Nella sezione Utenti che possono richiedere l'accesso selezionare Per gli utenti che non si trovano nella directory.

    Quando si seleziona questa opzione, vengono visualizzate nuove opzioni.

    Screenshot che mostra l'opzione per consentire a utenti e gruppi che non si trovano nella directory di richiedere un pacchetto di accesso.

  2. Selezionare una delle seguenti opzioni:

    Opzione Descrizione
    Organizzazioni connesse specifiche Scegliere questa opzione se si vuole selezionare un elenco di organizzazioni aggiunte in precedenza dall'amministratore. Tutti gli utenti delle organizzazioni selezionate possono richiedere questo pacchetto di accesso.
    Tutte le organizzazioni connesse Scegliere questa opzione se tutti gli utenti di tutte le organizzazioni connesse configurate possono richiedere questo pacchetto di accesso.
    Tutti gli utenti (Tutte le organizzazioni connesse e tutti i nuovi utenti esterni) Scegliere questa opzione se gli utenti possono richiedere questo pacchetto di accesso e le impostazioni degli elenchi di elementi B2B consentiti e bloccati devono avere la precedenza per qualsiasi nuovo utente esterno.

    Un'organizzazione connessa è una directory o un dominio esterno di Microsoft Entra con cui si ha una relazione.

  3. Se è stata selezionata l'opzione Organizzazioni connesse specifiche, selezionare Aggiungi directory per scegliere da un elenco di organizzazioni connesse aggiunte in precedenza dall'amministratore.

  4. Immettere il nome o il nome di dominio per cercare un'organizzazione connessa in precedenza.

    Screenshot che mostra la casella di ricerca per la selezione di una directory per le richieste di un pacchetto di accesso.

    Se l'organizzazione con cui si vuole collaborare non è presente nell'elenco, è possibile chiedere all'amministratore di aggiungerla come organizzazione connessa. Per altre informazioni, vedere Aggiungere un'organizzazione connessa.

  5. Se è stata selezionata l'opzione Tutte le organizzazioni connesse, è necessario confermare l'elenco delle organizzazioni connesse attualmente configurate e pianificate per essere incluse nell'ambito.

  6. Se è stata selezionata l'opzione Tutti gli utenti, sarà necessario configurare le approvazioni nella sezione Approvazioni, perché questo ambito consentirà a qualsiasi identità su Internet di richiedere l'accesso.

  7. Dopo aver selezionato tutte le organizzazioni connesse, scegliere Seleziona.

    Tutti gli utenti delle organizzazioni connesse selezionate saranno in grado di richiedere questo pacchetto di accesso. Sono inclusi gli utenti in Microsoft Entra ID da tutti i sottodomini associati all'organizzazione, a meno che l'elenco di elementi di collaborazione B2B consentiti o bloccati di Azure blocchi tali domini. Se si specifica un dominio del provider di identità social, ad esempio live.com, qualsiasi utente di tale provider potrà richiedere questo pacchetto di accesso. Per altre informazioni, consultare Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche.

  8. Passare alla sezione Specificare le impostazioni di approvazione.

Consentire solo le assegnazioni dirette amministratore

Seguire questa procedura se si desidera ignorare le richieste di accesso e consentire agli amministratori di assegnare direttamente utenti specifici a questo pacchetto di accesso. Gli utenti non dovranno richiedere il pacchetto di accesso. È comunque possibile configurare le impostazioni del ciclo di vita, ma non sono presenti impostazioni di richiesta.

  1. Nella sezione Utenti che possono richiedere l'accesso, selezionare Nessuno (solo assegnazioni dirette di amministratore).

    Screenshot che mostra l'opzione per consentire solo le assegnazioni dirette dell'amministratore per un pacchetto di accesso.

    Dopo aver creato il pacchetto di accesso, è possibile assegnarvi direttamente utenti interni ed esterni specifici. Se si specifica un utente esterno, nella directory viene creato un account utente guest. Per informazioni sull'assegnazione diretta di un utente, vedere Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso.

  2. Passare alla sezione Abilita richieste.

Specificare le impostazioni di approvazione

Nella sezione Approvazione, specificare se è necessaria l'approvazione quando gli utenti richiedono questo pacchetto di accesso. Le impostazioni di approvazione funzionano nel modo seguente:

  • Solo uno dei responsabili approvazione o dei responsabili approvazione di fallback selezionati deve approvare una richiesta di approvazione a fase singola.
  • Solo uno dei responsabili approvazione selezionati da ogni fase deve approvare una richiesta di approvazione a due fasi.
  • Un responsabile approvazione può essere un manager, uno sponsor di un utente, uno sponsor interno o uno sponsor esterno, a seconda della governance degli accessi per i criteri.
  • L'approvazione da ogni responsabile approvazione selezionato non è necessaria per l'approvazione a fase singola o a due fasi.
  • La decisione di approvazione è determinata dal responsabile approvazione che verifica per primo la richiesta.

Per una dimostrazione di come aggiungere responsabili approvazione a un criterio di richiesta, guardare il video seguente:

Per una dimostrazione di come aggiungere un'approvazione a più fasi a un criterio di richiesta, guardare il video seguente:

Seguire questa procedura per specificare le impostazioni di approvazione per le richieste per il pacchetto di accesso:

  1. Per richiedere l'approvazione delle richieste degli utenti selezionati, impostare l'interruttore Richiedi approvazione su . In alternativa, per fare in modo che le richieste vengano approvate automaticamente, impostare l'interruttore su No. Se i criteri consentono agli utenti esterni all'organizzazione di richiedere l'accesso, è necessario richiedere l'approvazione. Per tale motivo, è necessario controllare chi viene aggiunto alla directory dell'organizzazione.

  2. Per richiedere agli utenti di fornire una giustificazione per richiedere il pacchetto di accesso, impostare l'interruttore Richiedi giustificazione del richiedente su .

  3. Determinare se le richieste richiedono l'approvazione in una fase singola o a due fasi. Impostare l'interruttore Numero di fasi su 1 per l'approvazione a fase singola,su 2 per l'approvazione a due fasi o su 3 per l'approvazione a tre fasi.

    Screenshot che mostra le impostazioni di approvazione per le richieste di un pacchetto di accesso.

Seguire questa procedura per aggiungere i responsabili approvazione dopo aver selezionato il numero di fasi.

Approvazione a fase singola

  1. Aggiungere le informazioni necessarie in Primo responsabile approvazione:

    • Se il criterio è impostato su Per gli utenti nella directory, è possibile selezionare Manager come responsabile approvazione o Sponsor come responsabili approvazione. In alternativa, è possibile aggiungere un utente specifico selezionando Scegli responsabili approvazione specifici e quindi Aggiungi responsabili approvazione.

      Per impostare su Sponsor come responsabili approvazione l'opzione Approvazione, è necessario disporre di una licenza di Microsoft Entra ID Governance. Per altre informazioni, vedere Confrontare le funzionalità disponibili a livello generale di Microsoft Entra ID.

      Screenshot che mostra le opzioni per un primo responsabile approvazione se il criterio è impostato sugli utenti nella directory.

    • Se il criterio è impostato su Per gli utenti non nella directory, è possibile selezionare Sponsor esterno o Sponsor interno. In alternativa, è possibile aggiungere un utente specifico selezionando Scegli responsabili approvazione specifici e quindi Aggiungi responsabili approvazione.

      Screenshot che mostra le opzioni per un primo responsabile approvazione se il criterio è impostato sugli utenti che non si trovano nella directory.

  2. Se è stato selezionato Manager come primo responsabile approvazione, selezionare Aggiungi fallback per selezionare uno o più utenti o gruppi nella directory come responsabili approvazione di fallback. I responsabili approvazione di fallback ricevono la richiesta se la funzionalità Gestione entitlement non riesce a trovare il manager dell'utente che richiede l'accesso.

    La funzionalità Gestione entitlement trova il manager usando l'attributo Manager. L'attributo si trova nel profilo dell'utente in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere o aggiornare le informazioni e le impostazioni del profilo di un utente.

  3. Se è stato selezionato Sponsor come primo responsabile approvazione, selezionare Aggiungi fallback per selezionare uno o più utenti o gruppi nella directory come responsabili approvazione di fallback. I responsabili approvazione di fallback ricevono la richiesta se la funzionalità Gestione entitlement non riesce a trovare lo sponsor dell'utente che richiede l'accesso.

    La funzionalità Gestione entitlement trova gli sponsor usando l'attributo Sponsor. L'attributo si trova nel profilo dell'utente in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere o aggiornare le informazioni e le impostazioni del profilo di un utente.

  4. Se è stata selezionata l'opzione Scegli responsabili approvazione specifici, selezionare Aggiungi responsabili approvazione per scegliere uno o più utenti o gruppi nella directory da approvare.

  5. Nella casella La decisione deve essere presa in quanti giorni?, specificare il numero di giorni a disposizione di un responsabile approvazione per esaminare una richiesta per questo pacchetto di accesso.

    Se una richiesta non viene approvata entro questo periodo di tempo, verrà rifiutata automaticamente. L'utente deve quindi inviare un'altra richiesta per il pacchetto di accesso.

  6. Per richiedere ai responsabili approvazione di fornire una giustificazione per la decisione, impostare Richiedi giustificazione del responsabile approvazione su .

    La giustificazione è visibile ad altri responsabili approvazione e al richiedente.

Approvazione a due fasi

Se è stata selezionata l'approvazione a due fasi, è necessario aggiungere un secondo responsabile approvazione:

  1. Aggiungere le informazioni richieste in Secondo responsabile approvazione:

    • Se gli utenti si trovano nella directory, è possibile selezionare Sponsor come responsabili approvazione. In alternativa, aggiungere un utente specifico selezionando Aggiungi responsabili approvazione dopo aver selezionato Scegli responsabili approvazione specifici nel menu a discesa.

      Screenshot che mostra le opzioni per un secondo responsabile approvazione se il criterio è impostato sugli utenti che si trovano nella directory.

    • Se gli utenti non si trovano nella directory, selezionare Sponsor interno o Sponsor esterno come secondo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione di fallback.

      Screenshot che mostra le opzioni per un secondo responsabile approvazione se il criterio è impostato sugli utenti che non si trovano nella directory.

  2. Specificare il numero di giorni a disposizione del secondo responsabile approvazione per approvare la richiesta nella casella La decisione deve essere presa in quanti giorni?.

  3. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

Approvazione a tre fasi

Se è stata selezionata l'approvazione a tre fasi, è necessario aggiungere un terzo responsabile approvazione:

  1. Aggiungere le informazioni richieste in Terzo responsabile approvazione:

    Se gli utenti si trovano nella directory, aggiungere un utente specifico come terzo responsabile approvazione tramite Scegli responsabili approvazione specifici>Aggiungi responsabili approvazione.

    Screenshot che mostra le opzioni per un terzo responsabile approvazione se il criterio è impostato sugli utenti nella directory.

  2. Specificare il numero di giorni a disposizione del secondo responsabile approvazione per approvare la richiesta nella casella La decisione deve essere presa in quanti giorni?.

  3. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

Responsabili approvazione alternativi

È possibile specificare responsabili approvazione alternativi, seguendo una procedura analoga alla selezione dei primi e secondi responsabili approvazione delle richieste. La presenza di responsabili approvazione alternativi garantisce che le richieste vengano approvate o rifiutate prima della scadenza (timeout). È possibile elencare i responsabili approvazione alternativi per il primo responsabile approvazione e per il secondo responsabile approvazione in caso di approvazione a due fasi.

Quando si specificano responsabili approvazione alternativi, se il primo o il secondo responsabile approvazione non può approvare o rifiutare la richiesta, la richiesta in sospeso viene inoltrata ai responsabili approvazione alternativi. La richiesta viene inviata in base alla pianificazione di inoltro specificata durante la configurazione dei criteri. I responsabili approvazione ricevono un messaggio di posta elettronica in cui viene chiesto di approvare o rifiutare la richiesta in sospeso.

Dopo che la richiesta viene inoltrata ai responsabili approvazione alternativi, i primi due responsabili approvazione possono comunque approvare o rifiutare la richiesta. I responsabili approvazione alternativi usano lo stesso sito Accesso personale per approvare o rifiutare la richiesta in sospeso.

È possibile elencare persone o gruppi di persone come responsabili approvazione o responsabili approvazione alternativi. Assicurarsi di indicare insiemi di persone diverse come responsabili di approvazione (primi, secondi e alternativi). Ad esempio, se Alice e Bob sono stati indicati come responsabili approvazione della prima fase, indicare Carol e Dave come responsabili approvazione alternativi.

Usare la procedura seguente per aggiungere responsabili approvazione alternativi a un pacchetto di accesso:

  1. In Primo responsabile approvazione, Secondo responsabile approvazione o entrambi selezionare Mostra impostazioni avanzate delle richieste.

    Screenshot della selezione per visualizzare le impostazioni avanzate delle richieste.

  2. Impostare l'interruttore Se non è stata eseguita alcuna azione, inoltrare ai responsabili approvazione alternativi? su .

  3. Selezionare Aggiungi responsabili approvazione alternativi e quindi selezionare i responsabili approvazione alternativi dall'elenco.

    Screenshot che mostra le impostazioni avanzate delle richieste, incluso il link per aggiungere i responsabili approvazione alternativi.

    Se si seleziona Manager come primo responsabile approvazione, viene visualizzata un'opzione aggiuntiva nella casella Responsabile approvazione alternativo: Responsabile di secondo livello come responsabile approvazione alternativo. Se si seleziona questa opzione, è necessario aggiungere un responsabile approvazione di fallback a cui inoltrare la richiesta nel caso in cui il sistema non riesca a trovare il responsabile di secondo livello.

  4. Nella casella Inoltra a eventuali responsabili approvazione alternativi dopo quanti giorni, immettere il numero di giorni a disposizione dei responsabili approvazione per approvare o rifiutare una richiesta. Se nessun responsabile approvazione approva o rifiuta la richiesta prima della durata della richiesta, la richiesta scade (timeout). L'utente deve quindi inviare un'altra richiesta per il pacchetto di accesso.

Le richieste possono essere inoltrate solo ai responsabili approvazione alternativi un giorno dopo il raggiungimento della metà della durata della richiesta. La decisione dei responsabili approvazione principali deve raggiungere il timeout dopo almeno quattro giorni. Se il timeout della richiesta è minore o uguale a tre giorni, non c'è tempo sufficiente per inoltrare la richiesta ai responsabili approvazione alternativi.

In questo esempio la durata della richiesta è di 14 giorni. La durata della richiesta raggiunge la metà al giorno 7. Pertanto, la richiesta non può essere inoltrata prima dell'ottavo giorno.

Inoltre, le richieste non possono essere inoltrate nell'ultimo giorno della durata della richiesta. Nell'esempio, quindi, l'ultima richiesta può essere inoltrata il giorno 13.

Abilitare le richieste

  1. Se si vuole rendere il pacchetto di accesso immediatamente disponibile agli utenti nei criteri di richiesta, impostare l'interruttore Abilita nuove richieste e assegnazioni su .

    È sempre possibile abilitare le richieste in futuro dopo aver completato la creazione del pacchetto di accesso.

    Se si seleziona Nessuno (solo assegnazioni dirette di amministratore) e si imposta Abilita nuove richieste e assegnazioni su No, gli amministratori non possono assegnare direttamente questo pacchetto di accesso.

    Screenshot che mostra l'opzione per abilitare nuove richieste e assegnazioni.

  2. Passare alla sezione successiva per informazioni su come aggiungere un requisito di ID verificato al pacchetto di accesso. In caso contrario, selezionare Avanti.

Aggiungere un requisito di ID verificato

Per aggiungere un requisito di ID verificato ai criteri del pacchetto di accesso, seguire questa procedura. Gli utenti che vogliono accedere al pacchetto di accesso devono presentare gli ID verificati necessari prima di inviare correttamente la richiesta. Per informazioni su come configurare il tenant con il servizio di ID verificato di Microsoft Entra, vedere Introduzione all'ID verificato di Microsoft Entra.

È necessario disporre di un ruolo di amministratore globale per aggiungere requisiti di ID verificati a un pacchetto di accesso in un criterio di richiesta. Un amministratore di Identity Governance, un amministratore utente, un proprietario del catalogo o un responsabile dei pacchetti di accesso non può ancora aggiungere requisiti di ID verificati.

  1. Selezionare + Aggiungi autorità emittente e quindi selezionare un'autorità emittente nella rete di ID verificati di Microsoft Entra. Se si desidera emettere credenziali personalizzate agli utenti, vedere le istruzioni riportate in Emettere le credenziali degli ID verificati di Microsoft Entra da un'applicazione.

    Screenshot che mostra il riquadro per la selezione di un'autorità emittente per un pacchetto di accesso.

  2. Selezionare i tipi di credenziali che gli utenti devono presentare durante il processo di richiesta.

    Screenshot che mostra l'area per la selezione dei tipi di credenziali per un pacchetto di accesso.

    Se si selezionano più tipi di credenziali da un'autorità emittente, gli utenti dovranno presentare le credenziali di tutti i tipi selezionati. Analogamente, se si includono più autorità emittenti, gli utenti dovranno presentare le credenziali di ogni autorità emittente inclusa nei criteri. Per offrire agli utenti la possibilità di presentare credenziali diverse da varie autorità emittenti, configurare criteri separati per ogni autorità emittente o tipo di credenziali accettato.

  3. Selezionare Aggiungi per aggiungere il requisito dell'ID verificato ai criteri del pacchetto di accesso.

Aggiungere informazioni del richiedente a un pacchetto di accesso

  1. Passare alla scheda Informazioni del richiedente e quindi selezionare la scheda Domande.

  2. Nella casella Domanda, immettere la domanda da porre al richiedente. Questa domanda è nota anche come stringa di visualizzazione.

  3. Per aggiungere opzioni di localizzazione personalizzate, selezionare Aggiungi localizzazione.

    Screenshot che mostra la casella per l'immissione di una domanda per un richiedente.

    Nel riquadro Aggiungi localizzazioni per la domanda:

    1. In Codice lingua, selezionare il codice della lingua in base alla quale localizzare la domanda.
    2. Nella casella Testo localizzato, immettere la domanda nella lingua configurata.
    3. Al termine dell'aggiunta di tutte le localizzazioni necessarie, selezionare Salva.

    Screenshot che mostra le selezioni di localizzazione per una domanda.

  4. In Formato risposta, selezionare il formato in cui si desidera che i richiedenti rispondano. I formati di risposta includono: Testo breve, Scelta multipla e Testo lungo.

  5. Se si seleziona Scelta multipla, selezionare il pulsante Modifica e localizza per configurare le opzioni di risposta.

    Screenshot che mostra l'opzione Scelta multipla selezionata come formato di risposta, insieme al pulsante per la modifica e la localizzazione delle opzioni di risposta.

    Nel riquadro Visualizza/modifica domanda:

    1. Nelle caselle Valori risposta, immettere le opzioni di risposta da assegnare quando il richiedente risponde alla domanda.
    2. Nelle caselle Lingua, selezionare la lingua per le opzioni di risposta. È possibile localizzare le opzioni di risposta se si scelgono lingue aggiuntive.
    3. Seleziona Salva.

    Screenshot che mostra le opzioni per la modifica e la localizzazione delle risposte a scelta multipla.

  6. Per invitare i richiedenti a rispondere a questa domanda quando viene richiesto l'accesso a un pacchetto di accesso, selezionare la casella di controllo Obbligatorio.

  7. Selezionare la scheda Attributi per visualizzare gli attributi associati alle risorse aggiunte al pacchetto di accesso.

    Nota

    Per aggiungere o aggiornare gli attributi per le risorse di un pacchetto di accesso, passare a Cataloghi e cercare il catalogo associato al pacchetto di accesso. Per altre informazioni su come modificare l'elenco di attributi per una risorsa di catalogo specifica e i prerequisiti dei ruoli, vedere Aggiungere attributi risorsa nel catalogo.

  8. Selezionare Avanti.

Specificare un ciclo di vita

Nella scheda Ciclo di vita specificare la scadenza dell'assegnazione di un utente al pacchetto di accesso. È anche possibile specificare se gli utenti possono estendere le assegnazioni.

  1. Nella sezione Scadenza, impostare Scadenza delle assegnazioni di pacchetti di accesso su In data, Numero di giorni, Numero di ore o Mai.

    • Per In data, selezionare una data di scadenza nel futuro.
    • Per Numero di giorni, specificare un numero compreso tra 0 e 3660 giorni.
    • Per Numero di ore, specificare il numero di ore.

    In base alla selezione, l'assegnazione di un utente al pacchetto di accesso scade in corrispondenza di una determinata data, alcuni giorni dopo l'approvazione o mai.

  2. Se si vuole che l'utente richieda una data di inizio e di fine specifica per l'accesso, impostare su l'interruttore Gli utenti possono richiedere una sequenza temporale specifica.

  3. Selezionare Mostra impostazioni di scadenza avanzate per visualizzare altre impostazioni.

    Screenshot che mostra le impostazioni di scadenza del ciclo di vita per un pacchetto di accesso.

  4. Per consentire all'utente di estendere le assegnazioni, impostare Consenti agli utenti di estendere l'accesso su .

    Se le estensioni sono consentite nei criteri, l'utente riceve un messaggio di posta elettronica 14 giorni prima e quindi un giorno prima rispetto alla scadenza impostata per l'assegnazione del pacchetto di accesso. Tramite tale messaggio di posta elettronica, l'utente è invitato a estendere l'assegnazione. L'utente deve comunque trovarsi nell'ambito del criterio quando richiede un'estensione.

    Inoltre, se il criterio ha una data di fine esplicita per le assegnazioni e un utente invia una richiesta di estensione dell'accesso, la data di estensione nella richiesta deve corrispondere o essere anteriore alla scadenza delle assegnazioni. I criteri usati per concedere all'utente l'accesso al pacchetto di accesso definiscono se la data di estensione corrisponde o è anteriore alla scadenza dell'assegnazione. Ad esempio, se il criterio indica che le assegnazioni sono impostate per scadere il 30 giugno, la data dell'estensione massima che un utente può richiedere è il 30 giugno.

    Se l'accesso di un utente viene esteso, tale utente non sarà in grado di richiedere il pacchetto di accesso dopo la data di estensione specificata (la data impostata nel fuso orario dell'utente che ha creato il criterio).

  5. Per richiedere l'approvazione per concedere un'estensione, impostare Richiedi l'approvazione per la concessione dell'estensione su .

    Questa approvazione userà le stesse impostazioni di approvazione specificate nella scheda Richieste.

  6. Selezionare Avanti o Aggiorna.

Rivedere e creare il pacchetto di accesso

Nella scheda Rivedi e crea è possibile rivedere le impostazioni e verificare la presenza di eventuali errori di convalida.

  1. Rivedere le impostazioni del pacchetto di accesso.

    Screenshot che mostra un riepilogo della configurazione del pacchetto di accesso.

  2. Selezionare Crea per creare il pacchetto di accesso e il suo criterio iniziale.

    Il nuovo pacchetto di accesso viene visualizzato nell'elenco dei pacchetti di accesso.

  3. Se il pacchetto di accesso deve essere visibile a tutti gli utenti inclusi nell'ambito dei criteri, lasciare l'impostazione Nascosto del pacchetto di accesso impostata su No. Facoltativamente, se si intende consentire solo agli utenti con il link diretto per la richiesta del pacchetto di accesso, modificare il pacchetto di accesso impostando l'opzione Nascosto su . Copiare quindi il link per richiedere il pacchetto di accesso e condividerlo con gli utenti che necessitano dell'accesso.

  4. È quindi possibile aggiungere altri criteri al pacchetto di accesso, configurare la separazione dei controlli dei compiti o assegnare direttamente un utente.

Creare un pacchetto di accesso a livello di codice

Esistono due modi per creare pacchetti di accesso a livello di codice: tramite Microsoft Graph e tramite i cmdlet di PowerShell per Microsoft Graph.

Creare un pacchetto di accesso usando Microsoft Graph

È possibile creare un pacchetto di accesso usando Microsoft Graph. Un utente con un ruolo appropriato in un'applicazione che dispone dell'autorizzazione delegata EntitlementManagement.ReadWrite.All può chiamare l'API per:

  1. Elencare le risorse nel catalogo e creare un oggetto accessPackageResourceRequest per tutte le risorse non ancora presenti nel catalogo.
  2. Recuperare i ruoli e gli ambiti di ogni risorsa nel catalogo. Questo elenco di ruoli verrà quindi usato per selezionare un ruolo quando successivamente si crea un oggetto resourceRoleScope.
  3. Creare un oggetto accessPackage.
  4. Creare un oggetto resourceRoleScope per ogni ruolo di risorsa necessario nel pacchetto di accesso.
  5. Creare un oggetto assignmentPolicy per ogni criterio necessario nel pacchetto di accesso.

Creare un pacchetto di accesso usando Microsoft PowerShell

È anche possibile creare un pacchetto di accesso in PowerShell con i cmdlet disponibili nei cmdlet di Microsoft Graph PowerShell per il modulo Identity Governance.

Recuperare prima di tutto l'ID del catalogo e della risorsa in tale catalogo e i relativi ambiti e ruoli, da includere nel pacchetto di accesso. Usare uno script simile all'esempio seguente:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Creare quindi il pacchetto di accesso:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Dopo aver creato il pacchetto di accesso, assegnarvi i ruoli delle risorse. Ad esempio, se si vuole includere il primo ruolo risorsa della risorsa restituita in precedenza come ruolo risorsa del nuovo pacchetto di accesso, è possibile usare uno script simile al seguente:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Infine, creare i criteri. In questo criterio, non sono presenti verifiche di accesso e solo gli amministratori o i responsabili delle assegnazioni dei pacchetti di accesso possono assegnare l'accesso. Per altri esempi, vedere Creare criteri di assegnazione tramite PowerShell e Creare un oggetto assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Per altre informazioni, vedere Creare un pacchetto di accesso nella gestione entitlement per un'applicazione con un singolo ruolo usando PowerShell.

Passaggi successivi