Condividi tramite

Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra

  • Articolo

Usare la funzionalità di gestione entitlement per gestire l'identità e il ciclo di vita di identità e accessi. È possibile automatizzare i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le revisioni e le scadenze. Gli utenti non amministratori delegati usano la gestione entitlement per creare pacchetti di accesso a cui gli utenti esterni, provenienti da altre organizzazioni, possono richiedere l'accesso. I flussi di lavoro di approvazione a una o più fasi sono configurabili per valutare le richieste ed effettuare il provisioning degli utenti per l'accesso a tempo limitato con verifiche ricorrenti. Usare la gestione degli entitlement per il provisioning e il deprovisioning di account esterni basati su criteri.

Altre informazioni:

Operazioni preliminari

Questo articolo è il numero 6 di una serie di 10 articoli. È consigliabile esaminare gli articoli in ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Abilitare la gestione entitlement

I seguenti concetti chiave sono importanti per comprendere la gestione entitlement.

Pacchetti di accesso

Un pacchetto di accesso è la base della gestione entitlement: raggruppamenti di risorse regolate dai criteri per consentire agli utenti di collaborare a un progetto o eseguire altre attività. Ad esempio, un pacchetto di accesso può includere:

  • Accesso ai siti di SharePoint
  • Applicazioni aziendali, incluse le app SaaS (Software as a Service) personalizzate, ad esempio Salesforce
  • Microsoft Teams
  • Gruppi di Microsoft 365

Cataloghi

I pacchetti di accesso risiedono nei cataloghi. Quando si desidera raggruppare le risorse correlate, accedere ai pacchetti e delegarne la gestione, si crea un catalogo. Prima di tutto, si aggiungono risorse a un catalogo e quindi è possibile aggiungere risorse per accedere ai pacchetti. Ad esempio, è possibile creare un catalogo finanziario e delegarne la gestione a un membro del team finanziario. Tale persona può aggiungere risorse, creare pacchetti di accesso e gestire l'approvazione degli accessi.

Altre informazioni:

Il diagramma seguente mostra un tipico ciclo di vita di governance di un utente esterno che ottiene l'accesso a un pacchetto di accesso con scadenza.

Diagramma del ciclo di governance degli utenti esterni.

Accesso esterno self-service

È possibile rendere disponibili i pacchetti di accesso tramite il portale di Accesso personale di Microsoft Entra per consentire agli utenti esterni di richiedere l'accesso. I criteri determinano chi può richiedere un pacchetto di accesso. Vedere Richiedere l'accesso a un pacchetto di accesso nella gestione entitlement

Specificare chi è autorizzato a richiedere il pacchetto di accesso:

Approvazioni

I pacchetti di accesso possono includere l'approvazione obbligatoria per l'accesso. Le approvazioni possono essere singole o multistage e sono determinate dai criteri. Se gli utenti interni ed esterni devono accedere allo stesso pacchetto, è possibile configurare i criteri di accesso per le categorie di organizzazioni connesse e per gli utenti interni.

Importante

Implementare i processi di approvazione per gli utenti esterni.

Scadenza

I pacchetti di accesso possono includere una data di scadenza o un numero di giorni impostati per l'accesso. Quando il pacchetto di accesso scade e l'accesso termina, l'oggetto utente guest B2B che rappresenta l'utente può essere eliminato o bloccato dall'accesso. È consigliabile applicare la scadenza ai pacchetti di accesso per gli utenti esterni. Non tutti i pacchetti di accesso hanno scadenze.

Importante

Per i pacchetti senza scadenza, eseguire verifiche di accesso regolari.

Verifiche di accesso

I pacchetti di accesso possono richiedere verifiche di accesso periodiche che richiedono al proprietario del pacchetto o a un utente designato di attestare la continua necessità di accesso degli utenti. Vedere Gestire l'accesso guest con le verifiche di accesso.

Prima di configurare la revisione, determinare i criteri seguenti:

  • Chi
    • Criteri per l'accesso continuo
    • Revisori
  • Con quale frequenza
    • Le opzioni predefinite sono mensili, trimestrali, bi-annuali o annuali
    • È consigliabile eseguire verifiche trimestrali o più frequenti dei pacchetti che supportano l'accesso esterno

Importante

Le verifiche dei pacchetti di accesso esaminano l'accesso concesso tramite la gestione entitlement. Configurare altri processi per esaminare l'accesso agli utenti esterni, all'esterno della gestione entitlement.

Altre informazioni: Pianificare una distribuzione delle verifiche di accesso di Microsoft Entra.

Usare l'automazione della gestione entitlement

Raccomandazioni per la governance dell'accesso esterno

Procedure consigliate

È consigliabile seguire le procedure seguenti per gestire l'accesso esterno con la gestione entitlement.

Identity Governance - Impostazioni

Usare Identity Governance - Impostazioni per rimuovere gli utenti dalla directory alla scadenza dei pacchetti di accesso. Le impostazioni seguenti si applicano agli utenti di cui è stato eseguito l'onboarding con la gestione entitlement.

Screenshot delle impostazioni e delle voci per gestire il ciclo di vita degli utenti esterni.

Delegare il catalogo e la gestione dei pacchetti

È possibile delegare la gestione del catalogo e dei pacchetti ai proprietari aziendali, che hanno altre informazioni su chi deve accedere. Vedere Delega e ruoli nelle gestioni entitlement

Screenshot delle opzioni e delle voci in Ruoli e amministratori.

Applicare la scadenza del pacchetto di accesso

È possibile applicare la scadenza dell'accesso per gli utenti esterni. Vedere Modificare le impostazioni del ciclo di vita per un pacchetto di accesso nella gestione entitlement.

Screenshot delle opzioni e delle voci per Scadenza.

  • Per la data di fine di un pacchetto di accesso basato su progetto, usare In data per impostare la data.
    • In caso contrario, è consigliabile che la scadenza non sia più di 365 giorni, a meno che non si tratti di un progetto di più anni
  • Consentire agli utenti di estendere l'accesso
    • Richiedere l'approvazione per la concessione dell'estensione

Applicare le revisioni dei pacchetti di accesso guest

È possibile applicare revisioni dei pacchetti di accesso guest per evitare l'accesso inappropriato degli utenti guest. Vedere Gestire l'accesso guest con le verifiche di accesso.

Screenshot delle opzioni e delle voci in Nuovo pacchetto di accesso.

  • Applicare revisioni trimestrali
  • Per i progetti correlati alla conformità, impostare i revisori come revisori anziché l’auto-revisione nel caso di utenti esterni.
    • È possibile usare gli strumenti di gestione pacchetti di accesso come revisori
  • Per i progetti meno sensibili, l'auto-revisione degli utenti riduce il carico necessario per rimuovere l'accesso dagli utenti che non appartengono più a un'organizzazione.

Maggiori informazioni: Regolamentare l'accesso per gli utenti esterni nella gestione entitlement

Passaggi successivi

Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.

  1. Determinare il comportamento di sicurezza per l'accesso esterno con Microsoft Entra ID

  2. Individuare lo stato corrente della collaborazione esterna nell'organizzazione

  3. Creare un piano di sicurezza per l'accesso esterno alle risorse

  4. Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365

  5. Transizione alla collaborazione regolamentata con la Collaborazione B2B di Microsoft Entra

  6. Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra (Posizione attuale)

  7. Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale

  8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza

  9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID

  10. Convertire gli account guest locali in account guest Microsoft Entra B2B