Condividi tramite

Esercitazione: Gestire l'accesso alle risorse nella gestione dei diritti

La gestione degli accessi a tutte le risorse necessarie per i dipendenti, ad esempio gruppi, applicazioni e siti, è una funzione importante per le organizzazioni. Ai dipendenti è necessario concedere il livello di accesso corretto affinché possano essere produttivi e rimuovere l'accesso quando non è più necessario.

In questa esercitazione l'utente lavora come amministratore IT presso Woodgrove Bank. Ti è stato chiesto di creare un pacchetto di risorse per una campagna di marketing che gli utenti interni possono usare per autogestire le richieste. Le richieste non richiedono l'approvazione e l'accesso degli utenti scade dopo 30 giorni. Per questa esercitazione, le risorse della campagna di marketing sono semplici appartenenze ad un singolo gruppo, ma potrebbe trattarsi di una raccolta di gruppi, applicazioni o siti di SharePoint Online.

Diagramma che illustra la panoramica dello scenario.

In questa esercitazione apprenderai a:

  • Creare un pacchetto di accesso con un gruppo come risorsa
  • Consentire a un utente nella directory di richiedere l'accesso
  • Mostrare come un utente interno può richiedere il pacchetto di accesso

Per una guida passo passo al processo di distribuzione di Microsoft Entra entitlement management, inclusa la creazione del tuo primo pacchetto di accesso, vedere il video seguente.

Nella parte rimanente di questo articolo viene utilizzato il Centro di amministrazione di Microsoft Entra per configurare e dimostrare la gestione degli entitlement.

Prerequisiti

Per usare la funzionalità Gestione entitlement, è necessario disporre di una delle licenze seguenti:

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Licenza di Enterprise Mobility + Security (EMS) E5

Per altre informazioni, vedere Requisiti relativi alle licenze.

Passaggio 1: Configurare utenti e gruppi

Una directory di risorse contiene una o più risorse da condividere. In questo passaggio, verrà creato un gruppo denominato Marketing resources nella directory Woodgrove Bank che rappresenta la risorsa di destinazione per la gestione dei diritti di accesso. Verrà anche configurato un richiedente interno.

Diagramma che mostra gli utenti e i gruppi per questa esercitazione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a ID Governance>Gestione delle autorizzazioni>Pacchetti di accesso.

  3. Creare due utenti. Usare i nomi seguenti o nomi diversi.

    Nome Ruolo della directory
    Amministratore1 Almeno un amministratore di Identity Governance. Questo utente potrebbe essere quello con cui sei attualmente connesso.
    Richiedente1 Utente

  4. Creare un gruppo di sicurezza di Microsoft Entra denominato Risorse di marketing con il tipo di appartenenza Assegnato. Questo gruppo è la risorsa target per la gestione delle autorizzazioni. Il gruppo dovrebbe essere vuoto di membri per iniziare.

Passaggio 2: Creare un pacchetto di accesso

Un pacchetto di accesso è un bundle di risorse di cui necessita un team o un progetto e che è disciplinato dai criteri. I pacchetti di accesso sono definiti in contenitori denominati cataloghi. In questo passaggio verrà creato un pacchetto di accesso Marketing Campaign nel catalogo Generale.

Diagramma che descrive la relazione tra gli elementi del pacchetto di accesso.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.

  2. Vai a ID Governance>Gestione delle autorizzazioni>Pacchetto di accesso.

  3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

  4. Se quando si apre il pacchetto di accesso viene visualizzato Accesso negato, assicurarsi che nella directory sia presente una licenza per Microsoft Entra ID P2 o Microsoft Entra ID Governance.

  5. Selezionare Nuovo pacchetto di accesso.

    Screenshot che mostra come creare un pacchetto di accesso.

  6. Nella scheda Informazioni di base digitare il nome Marketing Campaign e la descrizione Access to resources for the campaign per il pacchetto di accesso.

  7. Lasciare il menu a discesa Catalogo impostato su Generale.

    Screenshot che mostra come impostare le nozioni di base dei criteri di accesso.

  8. Selezionare Avanti per aprire la scheda Ruoli delle risorse. In questa scheda sarà necessario selezionare le risorse e il relativo ruolo da includere nel pacchetto di accesso. È possibile scegliere di gestire l'accesso a gruppi e team, applicazioni e siti di SharePoint Online. In questo scenario selezionare Gruppi e team.

    Screenshot che mostra come selezionare gruppi e team.

  9. Nel riquadro Seleziona gruppi cercare e selezionare il gruppo Risorse di marketing creato in precedenza.

    Per impostazione predefinita, i gruppi sono visualizzati all'interno del catalogo Generale. Quando si seleziona un gruppo all'esterno del catalogo Generale, che è possibile visualizzare se si seleziona la casella di controllo Visualizza tutto, tale gruppo verrà aggiunto al catalogo Generale.

    Screenshot che mostra come selezionare i gruppi

  10. Scegliere Seleziona per aggiungere il gruppo all'elenco.

  11. Nell'elenco a discesa Ruolo selezionare Membro. Se si seleziona il ruolo Proprietario, gli utenti potranno aggiungere o rimuovere altri membri o proprietari. Per altre informazioni sulla selezione dei ruoli appropriati per una risorsa, vedere Aggiungere i ruoli delle risorse.

    Screenshot che mostra come selezionare il ruolo dei membri.

    Importante

    I gruppi a cui è possibile assegnare ruoli aggiunti a un pacchetto di accesso verranno indicati usando il sottotipo Assegnabile ai ruoli. Per altre informazioni, vedere l'articolo Creare un gruppo assegnabile ai ruoli. Tenere presente che, una volta che un gruppo assegnabile ai ruoli è presente in un catalogo di pacchetti di accesso, gli utenti amministratori abilitati alla gestione delle autorizzazioni, inclusi gli utenti con ruolo di Amministratore globale, gli utenti con ruolo di Amministratore di Identity Governance e i proprietari del catalogo, saranno in grado di controllare i pacchetti di accesso nel catalogo, permettendo loro di scegliere chi può essere aggiunto a tali gruppi. Se non viene visualizzato un gruppo di ruolo assegnabile che si desidera aggiungere o non è possibile aggiungerlo, assicurarsi di disporre del ruolo di Microsoft Entra e del ruolo di gestione dei diritti necessari per eseguire questa operazione. Può essere necessario chiedere a un utente con i ruoli necessari di aggiungere la risorsa al catalogo. Per altre informazioni, vedere Ruoli necessari per aggiungere risorse a un catalogo.

    Nota

    Quando si usano gruppi di appartenenza dinamici , non verranno visualizzati altri ruoli disponibili oltre al proprietario. Questo è intenzionale. Screenshots che mostrano i ruoli disponibili di un gruppo dinamico.

  12. Selezionare Avanti per aprire la scheda Richieste. Nella scheda Richieste creare un criterio di richiesta. Un criterio definisce le regole o i vincoli per accedere a un pacchetto di accesso. Verrà creato un criterio che consente a un utente specifico nella directory della risorsa di richiedere questo pacchetto di accesso.

  13. Nella sezione Utenti che possono richiedere l'accesso, selezionare Per gli utenti nella directory, quindi selezionare Utenti e gruppi specifici.

    Screenshot della scheda delle Richieste di Pacchetto di Accesso.

  14. Selezionare Aggiungi utenti e gruppi.

  15. Nel riquadro Seleziona utenti e gruppi selezionare l'utente Requestor1 creato in precedenza.

    Screenshot di utenti e gruppi selezionati.

  16. Scegliere Seleziona per aggiungere l'utente all'elenco.

  17. Scorrere verso il basso fino alle sezioni Approvazione e Abilita le richieste.

  18. Lasciare l'opzione Richiedi approvazione impostata su No.

  19. In Abilita le richieste, selezionare per abilitare la richiesta di questo pacchetto di accesso non appena viene creato.

  20. Se l'organizzazione è configurata per ricevere ID verificati, è disponibile un'opzione per configurare un pacchetto di accesso per chiedere ai richiedenti di fornire un ID verificato. Per altre informazioni, vedere Configurare le impostazioni ID verificate per un pacchetto di accesso in Gestione delle autorizzazioni (Anteprima).

    La Screenshot della selezione del Verified ID.

  21. Selezionare Avanti per aprire la scheda Informazioni sul richiedente.

    Screenshot della scheda delle richieste per l'approvazione e l'abilitazione delle impostazioni.

  22. Nella scheda Informazioni sul richiedente è possibile formulare domande per raccogliere altre informazioni dal richiedente. Le domande vengono visualizzate nel modulo di richiesta e possono essere obbligatorie o facoltative. È inoltre possibile specificare se il responsabile di un dipendente può fare richiesta per suo conto e se è necessaria l'approvazione. Se il criterio consente ai responsabili di effettuare richieste per conto di un dipendente, il responsabile risponderà alle domande per conto del dipendente, e non per se stesso. Per ulteriori informazioni su questa opzione, consultare: Richiedere il pacchetto di accesso per conto di altri utenti (anteprima). In questo scenario non è stato richiesto di includere le informazioni sul richiedente per il pacchetto di accesso ed è quindi possibile lasciare vuote queste caselle. Selezionare Avanti per aprire la scheda Ciclo di vita.

  23. Nella scheda Ciclo di vita specificare la scadenza dell'assegnazione di un utente al pacchetto di accesso. È anche possibile specificare se gli utenti possono estendere le assegnazioni. Nella sezione Scadenza:

    1. Impostare Scadenza delle assegnazioni dei pacchetti di accesso su Numero di giorni.
    2. Impostare Le assegnazioni scadono dopo su 30 giorni.
    3. Non modificare il valore predefinito di Gli utenti possono richiedere una sequenza temporale specifica ().
    4. Impostare Richiedi le verifiche di accesso su No.

    Screenshot della scheda del ciclo di vita del pacchetto di accesso

  24. Ignorare il passaggio relativo alle estensioni personalizzate.

  25. Selezionare Avanti per aprire la scheda Rivedi e crea.

  26. Nella scheda Rivedi e crea selezionare Crea. Dopo alcuni istanti, verrà visualizzata una notifica che indica che il pacchetto di accesso è stato creato.

  27. Nel menu a sinistra del pacchetto di accesso alla campagna di marketing, selezionare Panoramica.

  28. Copiare il link del portale My Access.

    Questo collegamento verrà usato nel passaggio successivo.

    Screenshot che dimostra come copiare il collegamento alla policy di accesso.

Passaggio 3: Richiedere l'accesso

In questo passaggio le procedure verranno eseguite come richiedente interno e verrà richiesto l'accesso al pacchetto di accesso. I richiedenti inviano le richieste tramite un sito chiamato portale di Accesso personale. Il portale di Accesso personale consente ai richiedenti di inviare le richieste per i pacchetti di accesso, visualizzare i pacchetti di accesso ai quali sono già autorizzati ad accedere e visualizzare la cronologia delle richieste. Quando un nuovo ospite richiede un pacchetto di accesso in MyAccess, la lingua preferita viene assegnata in base alla lingua del browser di MyAccess al momento della richiesta. Ciò consente ai nuovi utenti guest di ricevere comunicazioni tramite e-mail in una lingua conosciuta.

Ruolo prerequisito: richiedente interno

  1. Disconnettersi dall'interfaccia di amministrazione di Microsoft Entra.

  2. In una nuova finestra del browser passare al collegamento del portale di Accesso personale copiato nel passaggio precedente.

  3. Esegui l'accesso al portale My Access come Requestor1.

    Dovresti vedere il pacchetto di accesso Marketing Campaign.

  4. Nella casella Motivazione aziendale digitare la motivazione Gestione di una nuova campagna di marketing.

    Screenshot del portale Accesso personale con l'elenco dei pacchetti di accesso.

  5. Selezionare Invia.

  6. Nel menu a sinistra selezionare Cronologia delle richieste per verificare che la richiesta sia stata consegnata. Per altri dettagli, selezionare Visualizza.

    Screenshot della cronologia delle richieste del portale Accesso personale.

Passaggio 4: Confermare l'assegnazione dell'accesso

In questo passaggio si confermerà che il pacchetto di accesso è stato assegnato al richiedente interno che ora è membro del gruppo Risorse di marketing.

  1. Disconnettersi dal portale My Access.

  2. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Admin1, che corrisponde almeno al ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono Proprietario catalogo e Responsabile dei pacchetti di accesso.

  3. Passare a ID Governance>Gestione delle autorizzazioni>Pacchetti di accesso.

  4. Trova e seleziona il pacchetto di accesso Campagna di marketing.

  5. Nel menu a sinistra selezionare Richieste.

    Dovresti vedere Requestor1 e la polizza iniziale con stato Consegnato.

  6. Selezionare la richiesta per visualizzare i relativi dettagli.

    Schermata dei dettagli della richiesta per il pacchetto di accesso.

  7. Nella barra di navigazione a sinistra selezionare Entra ID.

  8. Selezionare Gruppi e aprire il gruppo Risorse di marketing.

  9. Selezionare Membri.

    Nell'elenco dei membri verrà visualizzato anche Requestor1.

    La schermata mostra che il richiedente è stato aggiunto al gruppo delle risorse di marketing.

Passaggio 5: Pulire le risorse

In questo passaggio verranno rimosse le modifiche apportate e verrà eliminato il pacchetto di accesso Marketing Campaign.

  1. Nell'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di Identity Governance, selezionare Governance ID.

  2. Aprire il pacchetto di accesso Marketing Campaign.

  3. Selezionare Assegnazioni.

  4. In Requestor1 selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi accesso. Nella finestra di messaggio visualizzata selezionare .

    Dopo qualche istante lo stato passerà da Recapitato a Scaduto.

  5. Selezionare Ruoli delle risorse.

  6. In Risorse di marketing, selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi il ruolo della risorsa. Nella finestra di messaggio visualizzata selezionare .

  7. Aprire l'elenco dei pacchetti di accesso.

  8. In Campagna di marketing, selezionare i puntini di sospensione (...) e quindi scegliere Elimina. Nella finestra di messaggio visualizzata selezionare .

  9. In Identità eliminare tutti gli utenti creati, ad esempio Requestor1 e Admin1.

  10. Eliminare il gruppo Marketing resources.

Passaggi successivi

Passa all'articolo successivo per scoprire i passaggi degli scenari comuni nella gestione dei diritti.

Scenari comuni