Esercitazione: Gestire l'accesso alle risorse in Gestione entitlement
La gestione degli accessi a tutte le risorse necessarie per i dipendenti, ad esempio gruppi, applicazioni e siti, è una funzione importante per le organizzazioni. Ai dipendenti è necessario concedere il livello di accesso corretto affinché possano essere produttivi e rimuovere l'accesso quando non è più necessario.
In questa esercitazione l'utente lavora come amministratore IT presso Woodgrove Bank. Si è ricevuto l'incarico di creare un pacchetto di risorse per una campagna di marketing che gli utenti interni possono usare per la gestione self-service delle richieste. Le richieste non richiedono l'approvazione e l'accesso degli utenti scade dopo 30 giorni. Per questa esercitazione, le risorse della campagna di marketing sono semplici appartenenze ad un singolo gruppo, ma potrebbe trattarsi di una raccolta di gruppi, applicazioni o siti di SharePoint Online.
In questa esercitazione apprenderai a:
- Creare un pacchetto di accesso con un gruppo come risorsa
- Consentire a un utente nella directory di richiedere l'accesso
- Mostrare come un utente interno può richiedere il pacchetto di accesso
Per una dimostrazione dettagliata del processo di distribuzione di Gestione entitlement di Microsoft Entra, inclusa la creazione del primo pacchetto di accesso, vedere il video seguente:
Nella parte rimanente di questo articolo viene usata l'Interfaccia di amministrazione di Microsoft Entra per configurare e descrivere la funzionalità Gestione entitlement.
Prerequisiti
Per usare la funzionalità Gestione entitlement, è necessario disporre di una delle licenze seguenti:
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Licenza di Enterprise Mobility + Security (EMS) E5
Per altre informazioni, vedere Requisiti relativi alle licenze.
Passaggio 1: Configurare utenti e gruppi
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Una directory di risorse contiene una o più risorse da condividere. In questo passaggio verrà creato un gruppo denominato Marketing resources nella directory Woodgrove Bank che rappresenta la risorsa di destinazione per la gestione entitlement. Verrà anche configurato un richiedente interno.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso.
Creare due utenti. Usare i nomi seguenti o nomi diversi.
Nome Ruolo directory Admin1 Almeno un amministratore di Identity Governance. Questo utente può essere l'utente che attualmente ha effettuato l'accesso. Requestor1 User Creare un gruppo di sicurezza di Microsoft Entra denominato Risorse di marketing con il tipo di appartenenza Assegnato. Questo gruppo costituirà la risorsa di destinazione per la funzionalità Gestione entitlement. Per iniziare, il gruppo non deve contenere membri.
Passaggio 2: Creare un pacchetto di accesso
Un pacchetto di accesso è un bundle di risorse di cui necessita un team o un progetto e che è disciplinato dai criteri. I pacchetti di accesso sono definiti in contenitori denominati cataloghi. In questo passaggio verrà creato un pacchetto di accesso Marketing Campaign nel catalogo Generale.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Se quando si apre il pacchetto di accesso viene visualizzato Accesso negato, assicurarsi che nella directory sia presente una licenza per Microsoft Entra ID P2 o Microsoft Entra ID Governance.
Selezionare Nuovo pacchetto di accesso.
Nella scheda Informazioni di base digitare il nome Marketing Campaign e la descrizione Access to resources for the campaign per il pacchetto di accesso.
Lasciare il menu a discesa Catalogo impostato su Generale.
Selezionare Avanti per aprire la scheda Ruoli delle risorse. In questa scheda sarà necessario selezionare le risorse e il relativo ruolo da includere nel pacchetto di accesso. È possibile scegliere di gestire l'accesso a gruppi e team, applicazioni e siti di SharePoint Online. In questo scenario selezionare Gruppi e team.
Nel riquadro Seleziona gruppi cercare e selezionare il gruppo Risorse di marketing creato in precedenza.
Per impostazione predefinita, i gruppi sono visualizzati all'interno del catalogo Generale. Quando si seleziona un gruppo all'esterno del catalogo Generale, che è possibile visualizzare se si seleziona la casella di controllo Visualizza tutto, tale gruppo verrà aggiunto al catalogo Generale.
Scegliere Seleziona per aggiungere il gruppo all'elenco.
Nell'elenco a discesa Ruolo selezionare Membro. Se si seleziona il ruolo Proprietario, gli utenti potranno aggiungere o rimuovere altri membri o proprietari. Per altre informazioni sulla selezione dei ruoli appropriati per una risorsa, vedere Aggiungere i ruoli delle risorse.
Importante
I gruppi a cui è possibile assegnare ruoli aggiunti a un pacchetto di accesso verranno indicati usando il sottotipo Assegnabile ai ruoli. Per altre informazioni, vedere l'articolo Creare un gruppo assegnabile ai ruoli. Tenere presente che, una volta che un gruppo assegnabile ai ruoli è presente in un catalogo dei pacchetti di accesso, gli utenti amministratori autorizzati alla gestione in Gestione entitlement, inclusi gli utenti con ruolo Amministratore globale, gli utenti con ruolo Amministratore di Identity Governance e i proprietari del catalogo, potranno controllare i pacchetti di accesso nel catalogo e pertanto scegliere chi può essere aggiunto a tali gruppi. Se non viene visualizzato un gruppo assegnabile ai ruoli che si vuole aggiungere oppure non si è in grado di aggiungerlo, assicurarsi di disporre del ruolo di Microsoft Entra necessario e del ruolo Gestione entitlement per eseguire questa operazione. Può essere necessario chiedere a un utente con i ruoli necessari di aggiungere la risorsa al catalogo. Per altre informazioni, vedere Ruoli necessari per aggiungere risorse a un catalogo.
Nota
Quando si usano gruppi di appartenenza dinamica, non vengono visualizzati altri ruoli disponibili oltre a quello di proprietario. Questo si verifica per motivi strutturali.
Selezionare Avanti per aprire la scheda Richieste. Nella scheda Richieste creare un criterio di richiesta. Un criterio definisce le regole o i vincoli per accedere a un pacchetto di accesso. Verrà creato un criterio che consente a un utente specifico nella directory della risorsa di richiedere questo pacchetto di accesso.
Nella sezione Utenti che possono richiedere l'accesso, selezionare Per gli utenti nella directory, quindi selezionare Utenti e gruppi specifici.
Selezionare Aggiungi utenti e gruppi.
Nel riquadro Seleziona utenti e gruppi selezionare l'utente Requestor1 creato in precedenza.
Scegliere Seleziona per aggiungere l'utente all'elenco.
Scorrere verso il basso fino alle sezioni Approvazione e Abilita le richieste.
Lasciare l'opzione Richiedi approvazione impostata su No.
In Abilita le richieste, selezionare Sì per abilitare la richiesta di questo pacchetto di accesso non appena viene creato.
Se l'organizzazione è configurata per ricevere ID verificati, è disponibile un'opzione per configurare un pacchetto di accesso per chiedere ai richiedenti di fornire un ID verificato. Per altre informazioni, vedere Configurare le impostazioni ID verificate per un pacchetto di accesso in Gestione entitlement (anteprima).
Selezionare Avanti per aprire la scheda Informazioni sul richiedente.
Nella scheda Informazioni sul richiedente è possibile formulare domande per raccogliere altre informazioni dal richiedente. Le domande vengono visualizzate nel modulo di richiesta e possono essere obbligatorie o facoltative. È inoltre possibile specificare se il responsabile di un dipendente può fare richiesta per suo conto e se è necessaria l'approvazione. Se il criterio consente ai responsabili di effettuare richieste per conto di un dipendente, il responsabile risponderà alle domande per conto del dipendente, e non per se stesso. Per ulteriori informazioni su questa opzione, consultare: Richiedere il pacchetto di accesso per conto di altri utenti (anteprima). In questo scenario non è stato richiesto di includere le informazioni sul richiedente per il pacchetto di accesso ed è quindi possibile lasciare vuote queste caselle. Selezionare Avanti per aprire la scheda Ciclo di vita.
Nella scheda Ciclo di vita specificare la scadenza dell'assegnazione di un utente al pacchetto di accesso. È anche possibile specificare se gli utenti possono estendere le assegnazioni. Nella sezione Scadenza:
- Impostare Scadenza delle assegnazioni dei pacchetti di accesso su Numero di giorni.
- Impostare Le assegnazioni scadono dopo su 30 giorni.
- Non modificare il valore predefinito di Gli utenti possono richiedere una sequenza temporale specifica (Sì).
- Impostare Richiedi le verifiche di accesso su No.
Ignorare il passaggio relativo alle estensioni personalizzate.
Selezionare Avanti per aprire la scheda Rivedi e crea.
Nella scheda Rivedi e crea selezionare Crea. Dopo alcuni istanti, verrà visualizzata una notifica che indica che il pacchetto di accesso è stato creato.
Nel menu a sinistra del pacchetto di accesso Campagna di marketing selezionare Panoramica.
Copiare il collegamento del portale di Accesso personale.
Questo collegamento verrà usato nel passaggio successivo.
Passaggio 3: Richiedere l'accesso
In questo passaggio le procedure verranno eseguite come richiedente interno e verrà richiesto l'accesso al pacchetto di accesso. I richiedenti inviano le richieste tramite un sito chiamato portale di Accesso personale. Il portale di Accesso personale consente ai richiedenti di inviare le richieste per i pacchetti di accesso, visualizzare i pacchetti di accesso ai quali sono già autorizzati ad accedere e visualizzare la cronologia delle richieste. Quando un nuovo utente guest richiede un pacchetto di accesso in MyAccess, la lingua preferita viene assegnata in base alla lingua del browser del portale Accesso personale attivo in fase di richiesta. Ciò consente ai nuovi utenti guest di ricevere comunicazioni tramite e-mail in una lingua conosciuta.
Ruolo prerequisito: richiedente interno
Disconnettersi dall'interfaccia di amministrazione di Microsoft Entra.
In una nuova finestra del browser passare al collegamento del portale di Accesso personale copiato nel passaggio precedente.
Eseguire l'accesso al portale di Accesso personale come Requestor1.
Dovrebbe essere visibile il pacchetto di accesso Marketing Campaign.
Nella casella Motivazione aziendale digitare la motivazione Gestione di una nuova campagna di marketing.
Selezionare Invia.
Nel menu a sinistra selezionare Cronologia delle richieste per verificare che la richiesta sia stata consegnata. Per altri dettagli, selezionare Visualizza.
Passaggio 4: Confermare l'assegnazione dell'accesso
In questo passaggio si confermerà che il pacchetto di accesso è stato assegnato al richiedente interno che ora è membro del gruppo Risorse di marketing.
Disconnettersi dal portale di Accesso personale.
Accedere all'Interfaccia di amministrazione di Microsoft Entra come Admin1, che corrisponde almeno al ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono Proprietario catalogo e Responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso.
Individuare e selezionare il pacchetto di accesso Campagna di marketing.
Nel menu a sinistra selezionare Richieste.
Si dovrebbero vedere Requestor1 e il criterio iniziale con stato Recapitati.
Selezionare la richiesta per visualizzare i relativi dettagli.
Nel riquadro di spostamento a sinistra selezionare Identità.
Selezionare Gruppi e aprire il gruppo Risorse di marketing.
Selezionare Membri.
Nell'elenco dei membri verrà visualizzato anche Requestor1.
Passaggio 5: Pulire le risorse
In questo passaggio verranno rimosse le modifiche apportate e verrà eliminato il pacchetto di accesso Marketing Campaign.
Nell'Interfaccia di amministrazione di Microsoft Entra a cui è stato effettuato l'accesso almeno con il ruolo Amministratore di Identity Governance selezionare Identity Governance.
Aprire il pacchetto di accesso Marketing Campaign.
Selezionare Assegnazioni.
In Requestor1 selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi accesso. Nella finestra di messaggio visualizzata selezionare Sì.
Dopo qualche istante lo stato passerà da Recapitato a Scaduto.
Selezionare Ruoli delle risorse.
In Risorse di marketing selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi ruolo risorsa. Nella finestra di messaggio visualizzata selezionare Sì.
Aprire l'elenco dei pacchetti di accesso.
In Campagna di marketing, selezionare i puntini di sospensione (...) e quindi scegliere Elimina. Nella finestra di messaggio visualizzata selezionare Sì.
In Identità eliminare tutti gli utenti creati, ad esempio Requestor1 e Admin1.
Eliminare il gruppo Marketing resources.
Passaggi successivi
Passare all'articolo successivo per informazioni sulle procedure degli scenari comuni in Gestione entitlement.