Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare le regole per determinare l'assegnazione di pacchetti di accesso in base alle proprietà utente in Microsoft Entra ID, parte di Microsoft Entra. In Gestione dei diritti di accesso, un pacchetto di accesso può avere più politiche, e ogni politica stabilisce come ogni utente ottiene un'assegnazione al pacchetto di accesso e la sua durata. L'amministratore può stabilire un criterio per le assegnazioni automatiche fornendo una regola di appartenenza, che la Gestione delle autorizzazioni utilizza per la creazione e la rimozione automatica delle assegnazioni. Analogamente a un gruppo dinamico, quando viene creato un criterio di assegnazione automatica, gli attributi utente vengono valutati per le corrispondenze con la regola di appartenenza del criterio. Quando un attributo cambia per un utente, queste regole dei criteri di assegnazione automatica nei pacchetti di accesso vengono elaborate in base alle modifiche dell'appartenenza. Le assegnazioni agli utenti vengono quindi aggiunte o rimosse a seconda che soddisfino o meno i criteri della regola.
Nota
È consentito un solo criterio di assegnazione automatica per ogni pacchetto di accesso. La configurazione di più di una causerà problemi di elaborazione e problemi successivi con l'accesso di utenti assegnati.
Questo articolo descrive come creare un criterio di assegnazione automatica per un pacchetto di accesso esistente.
Operazioni preliminari
È necessario che gli attributi siano compilati per gli utenti che rientrano nell'ambito dell'assegnazione dell'accesso. Gli attributi che è possibile usare nei criteri delle regole di un criterio di assegnazione dei pacchetti di accesso sono gli attributi elencati nelle proprietà supportate, insieme agli attributi di estensione e alle proprietà di estensione personalizzate. Questi attributi possono essere inseriti in Microsoft Entra ID modificando l'utente, oppure tramite un sistema HR come SuccessFactors, Microsoft Entra Connect Cloud Sync o Microsoft Entra Connect Sync. Le regole possono includere fino a 15.000 utenti per politica.
Requisiti di licenza
L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance o della Famiglia di prodotti Microsoft Entra. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance degli ID di Microsoft Entra ID.
Creare un criterio di assegnazione automatica
Per creare un criterio per un pacchetto di accesso, è necessario iniziare dalla scheda dei criteri del pacchetto di accesso. Seguire questa procedura per creare un nuovo criterio di assegnazione automatica per un pacchetto di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra con almeno il ruolo di amministratore di Identity Governance.
Nota
I proprietari del catalogo e gli strumenti di gestione pacchetti di accesso non possono creare criteri di assegnazione automatica.
Passare a ID Governance>Gestione degli entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Selezionare Criteri e quindi Aggiungere criteri di assegnazione automatica per creare un nuovo criterio.
Nella prima scheda specificare la regola. Selezionare Modifica.
Specificare una regola per i gruppi di appartenenze dinamici usando il generatore di regole di appartenenza o facendo clic su Modifica nella casella di testo della sintassi della regola.
Nota
Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo e la convalida di una regola richiede attualmente di essere nel ruolo Amministratore gruppi. Per altre informazioni, vedere Generatore regole nell'interfaccia di amministrazione di Microsoft Entra.
Selezionare Salva per chiudere l'editor regole per i gruppi di appartenenze dinamici.
Per impostazione predefinita, le caselle di controllo per creare e rimuovere automaticamente le assegnazioni devono rimanere selezionate.
Se si desidera che gli utenti mantengano l'accesso per un periodo di tempo limitato dopo l'uscita dall'ambito, è possibile specificare una durata in ore o giorni. Ad esempio, quando un dipendente lascia il reparto vendite, è possibile consentire a tale utente di continuare ad accedere per sette giorni per consentire l'uso delle app di vendita e il trasferimento della proprietà delle risorse in tali app a un altro dipendente.
Selezionare Avanti per aprire la scheda Estensioni personalizzate .
Se nel catalogo sono presenti estensioni personalizzate che si desidera eseguire quando il criterio assegna o rimuove l'accesso, è possibile aggiungerle a questo criterio. Selezionare quindi accanto per aprire la scheda Rivedi .
Inserisci un nome e una descrizione per la politica.
Selezionare Crea per salvare il criterio.
Nota
Al momento, la funzionalità di Gestione delle autorizzazioni creerà automaticamente un gruppo di sicurezza dinamico corrispondente a ogni criterio per valutare gli utenti coinvolti. Questo gruppo non deve essere modificato se non dalla stessa Gestione delle autorizzazioni. Questo gruppo può anche essere modificato o eliminato automaticamente dalla gestione dei diritti. Pertanto, non usare questo gruppo per altre applicazioni o scenari.
Microsoft Entra ID valuta gli utenti dell'organizzazione che rientrano nell'ambito di questa regola e crea assegnazioni per quelli che non dispongono già di assegnazioni al pacchetto di accesso. Una politica può includere al massimo 15.000 utenti nella sua regola. L'esecuzione della valutazione o la visualizzazione di successivi aggiornamenti degli attributi dell'utente nelle assegnazioni dei pacchetti di accesso può richiedere alcuni minuti.
Creare un criterio di assegnazione automatica a livello di codice
Esistono due modi per creare criteri di assegnazione automatica dei pacchetti di accesso a livello di codice: tramite Microsoft Graph e tramite i cmdlet di PowerShell per Microsoft Graph.
Creare criteri di assegnazione dei pacchetti di accesso tramite Graph
È possibile creare un criterio usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione in un ruolo del catalogo o con l'autorizzazione EntitlementManagement.ReadWrite.All può chiamare l'API create an assignmentPolicy . Nella payload della richiesta, includi le proprietà displayName, description, specificAllowedTargets, automaticRequestSettings e accessPackage della politica.
Creare criteri di assegnazione dei pacchetti di accesso tramite PowerShell
È anche possibile creare criteri in PowerShell con i cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 1.16.0 o successiva.
Il seguente script illustra l'uso del profilo v1.0 per creare un criterio per l'assegnazione automatica a un pacchetto di accesso. Per altri esempi, vedere create an assignmentPolicy e Creare un pacchetto di accesso nella gestione dei diritti per un'applicazione con un singolo ruolo usando PowerShell.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$pparams = @{
DisplayName = "Sales department users"
Description = "All users from sales department"
AllowedTargetScope = "specificDirectoryUsers"
SpecificAllowedTargets = @( @{
"@odata.type" = "#microsoft.graph.attributeRuleMembers"
description = "All users from sales department"
membershipRule = '(user.department -eq "Sales")'
} )
AutomaticRequestSettings = @{
RequestAccessForAllowedTargets = $true
}
AccessPackage = @{
Id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams