Creare e gestire un catalogo di risorse nella gestione entitlement
Questo articolo illustra come creare e gestire un catalogo di risorse e pacchetti di accesso nella gestione entitlement.
Creazione di un catalogo
Un catalogo è un contenitore di risorse e pacchetti di accesso. È necessario creare un catalogo quando si vogliono raggruppare risorse e pacchetti di accesso correlati. Un amministratore può creare un catalogo. Inoltre, un utente delegato al ruolo creatore del catalogo può creare un catalogo per le risorse di cui sono proprietari. Un non amministratore che crea il catalogo diventa il primo proprietario del catalogo. Un proprietario del catalogo può aggiungere altri utenti, gruppi di utenti o entità servizio dell'applicazione come proprietari del catalogo.
Per creare un catalogo:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono l'autore del catalogo. Gli utenti a cui è stato assegnato il ruolo Amministratore utenti non potranno più creare cataloghi o gestire pacchetti di accesso in un catalogo di cui non sono proprietari. Se agli utenti dell'organizzazione è stato assegnato il ruolo Amministratore utenti per configurare cataloghi, pacchetti di accesso o criteri nella gestione entitlement, è invece necessario assegnare questi utenti al ruolo di amministratore di Identity Governance.
Passare a Cataloghi di gestione>entitlement per la governance>delle identità.
Selezionare Nuovo catalogo.
Immettere un nome univoco per il catalogo e specificare una descrizione.
Gli utenti visualizzeranno queste informazioni nei dettagli di un pacchetto di accesso.
Se si vuole che i pacchetti di accesso in questo catalogo siano disponibili per consentire agli utenti di richiedere non appena vengono creati, impostare Abilitato su Sì.
Se si desidera consentire agli utenti di directory esterne da organizzazioni connesse di poter richiedere pacchetti di accesso in questo catalogo, impostare Abilitato per gli utenti esterni su Sì. I pacchetti di accesso devono avere anche criteri che consentono agli utenti delle organizzazioni connesse di richiedere. Se i pacchetti di accesso in questo catalogo sono destinati solo agli utenti già presenti nella directory, impostare Abilitato per gli utenti esterni su No.
Selezionare Crea per creare il catalogo.
Creare un catalogo a livello di codice
Esistono due modi per creare un catalogo a livello di codice.
Creare un catalogo con Microsoft Graph
È possibile creare un catalogo usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All
o un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All
dell'applicazione può chiamare l'API per creare un catalogo.
Creare un catalogo con PowerShell
È anche possibile creare un catalogo in PowerShell con il New-MgEntitlementManagementCatalog
cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.2.0 o successiva.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = New-MgEntitlementManagementCatalog -DisplayName "Marketing"
Aggiungi risorse al catalogo
Per includere risorse in un pacchetto di accesso, le risorse devono essere presenti in un catalogo. I tipi di risorse che è possibile aggiungere a un catalogo sono gruppi, applicazioni e siti di SharePoint Online.
I gruppi possono essere gruppi di Microsoft 365 creati dal cloud o gruppi di sicurezza Microsoft Entra creati dal cloud.
I gruppi che hanno origine in un'istanza Active Directory locale non possono essere assegnati come risorse perché i loro attributi di proprietario o membro non possono essere modificati in Microsoft Entra ID. Per concedere a un utente l'accesso a un'applicazione che usa le appartenenze ai gruppi di sicurezza di Active Directory, creare un nuovo gruppo di sicurezza in Microsoft Entra ID, configurare il writeback dei gruppi in ACTIVE Directory e abilitare tale gruppo per la scrittura in ACTIVE Directory, in modo che il gruppo creato dal cloud possa essere usato da un'applicazione basata su AD.
I gruppi che hanno origine in Exchange Online come gruppi di distribuzione non possono essere modificati nell'ID Microsoft Entra, quindi non possono essere aggiunti ai cataloghi.
Le applicazioni possono essere applicazioni aziendali Microsoft Entra, che includono applicazioni SaaS (Software as a Service), applicazioni locali e applicazioni personalizzate integrate con Microsoft Entra ID.
Se l'applicazione non è ancora stata integrata con Microsoft Entra ID, vedere Gestire l'accesso per le applicazioni nell'ambiente e integrare un'applicazione con Microsoft Entra ID e aggiungere l'applicazione alla directory prima di aggiungerla al catalogo.
Per altre informazioni su come selezionare le risorse appropriate per le applicazioni con più ruoli, vedere come determinare quali ruoli delle risorse includere in un pacchetto di accesso.
I siti possono essere siti di SharePoint Online o raccolte di siti di SharePoint Online.
Nota
Cercare sito di SharePoint in base al nome del sito o un URL esatto perché la casella di ricerca fa distinzione tra maiuscole e minuscole.
Ruoli prerequisiti: vedere Ruoli obbligatori per aggiungere risorse a un catalogo.
Per aggiungere risorse a un catalogo:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Cataloghi di gestione>entitlement per la governance>delle identità.
Nella pagina Cataloghi aprire il catalogo a cui si desidera aggiungere risorse.
Nel menu a sinistra selezionare Risorse.
Selezionare Aggiungi risorse.
Selezionare il tipo di risorsa Gruppi e Teams, Applicazioni o Siti di SharePoint.
Se non viene visualizzata una risorsa che si vuole aggiungere o non è possibile aggiungere una risorsa, assicurarsi di avere il ruolo di gestione della directory Microsoft Entra e del ruolo di gestione entitlement necessari. Potrebbe essere necessario avere un utente con i ruoli necessari per aggiungere la risorsa al catalogo. Per altre informazioni, vedere Ruoli necessari per aggiungere risorse a un catalogo.
Selezionare una o più risorse del tipo da aggiungere al catalogo.
Al termine, selezionare Aggiungi.
Queste risorse possono ora essere incluse in pacchetti di accesso all'interno del catalogo.
Aggiungere attributi di risorsa nel catalogo
Gli attributi sono campi obbligatori a cui viene chiesto ai richiedenti di rispondere prima di inviare la richiesta di accesso. Le risposte per questi attributi vengono visualizzate agli responsabili approvazione e contrassegnate anche sull'oggetto utente in Microsoft Entra ID.
Nota
Tutti gli attributi configurati in una risorsa richiedono una risposta prima di inviare una richiesta per un pacchetto di accesso contenente tale risorsa. Se i richiedenti non forniscono una risposta, la richiesta non verrà elaborata.
Per richiedere attributi per le richieste di accesso:
Selezionare Risorse nel menu a sinistra e viene visualizzato un elenco di risorse nel catalogo.
Selezionare i puntini di sospensione accanto alla risorsa in cui si desidera aggiungere attributi e quindi selezionare Richiedi attributi.
Selezionare il tipo di attributo:
- La funzionalità predefinita include gli attributi del profilo utente di Microsoft Entra.
- L'estensione dello schema di directory consente di archiviare più dati negli utenti di Microsoft Entra. È possibile estendere lo schema creando un attributo di estensione. Questi attributi di estensione negli oggetti utente possono essere usati per inviare attestazioni alle applicazioni durante il provisioning o l'accesso Single Sign-On.
Se si sceglie Predefinita, selezionare un attributo dall'elenco a discesa. Se si sceglie Estensione schema directory, immettere il nome dell'attributo nella casella di testo.
Nota
L'attributo User.mobilePhone è una proprietà sensibile che può essere aggiornata solo da alcuni amministratori. Per altre informazioni, vedere Chi può aggiornare gli attributi utente sensibili?
Selezionare il formato di risposta che si vuole che i richiedenti usino per la risposta. I formati di risposta includono testo breve, scelta multipla e testo lungo.
Se si seleziona una scelta multipla, selezionare Modifica e localizzare per configurare le opzioni di risposta.
- Nel riquadro Visualizza/modifica domanda visualizzato immettere le opzioni di risposta che si desidera assegnare al richiedente quando rispondono alla domanda nelle caselle Valori di risposta.
- Selezionare la lingua per l'opzione di risposta. È possibile localizzare le opzioni di risposta se si sceglie più lingue.
- Immettere tutte le risposte necessarie e quindi selezionare Salva.
Se si vuole che il valore dell'attributo sia modificabile durante le assegnazioni dirette e le richieste self-service, selezionare Sì.
Nota
- Se si seleziona No nella casella Valore attributo modificabile e il valore dell'attributo è vuoto, gli utenti possono immettere il valore di tale attributo. Dopo il salvataggio, il valore non può essere modificato.
- Se si seleziona No nella casella Valore attributo modificabile e il valore dell'attributo non è vuoto, gli utenti non possono modificare il valore preesistente durante le assegnazioni dirette e le richieste self-service.
Per aggiungere la localizzazione, selezionare Aggiungi localizzazione.
Nel riquadro Aggiungi localizzazioni per la domanda selezionare il codice della lingua per la lingua in cui si vuole localizzare la domanda correlata all'attributo selezionato.
Nella lingua configurata immettere la domanda nella casella Testo localizzato.
Dopo aver aggiunto tutte le localizzazioni necessarie, selezionare Salva.
Dopo aver completato tutte le informazioni sugli attributi nella pagina Richiedi attributi , selezionare Salva.
Aggiungere un sito di SharePoint multi-geo
Se è abilitato Multi-Geo per SharePoint, selezionare l'ambiente da cui si vuole selezionare i siti.
Selezionare quindi i siti da aggiungere al catalogo.
Aggiungere una risorsa a un catalogo a livello di codice
È anche possibile aggiungere una risorsa a un catalogo usando Microsoft Graph. Un utente in un ruolo appropriato, o un catalogo e un proprietario di risorse, con un'applicazione che dispone dell'autorizzazione delegata EntitlementManagement.ReadWrite.All
può chiamare l'API per creare una risorsaRequest. Un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All
e le autorizzazioni dell'applicazione per modificare le risorse, ad esempio Group.ReadWrite.All
, può anche aggiungere risorse al catalogo.
Aggiungere una risorsa a un catalogo con PowerShell
È anche possibile aggiungere una risorsa a un catalogo in PowerShell con il New-MgEntitlementManagementResourceRequest
cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.1.x o successiva. L'esempio seguente illustra come aggiungere un gruppo a un catalogo come risorsa usando il modulo cmdlet di PowerShell di Microsoft Graph versione 2.4.0.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All,Group.ReadWrite.All"
$g = Get-MgGroup -Filter "displayName eq 'Marketing'"
if ($null -eq $g) {throw "no group" }
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'"
if ($null -eq $catalog) { throw "no catalog" }
$params = @{
requestType = "adminAdd"
resource = @{
originId = $g.Id
originSystem = "AadGroup"
}
catalog = @{ id = $catalog.id }
}
New-MgEntitlementManagementResourceRequest -BodyParameter $params
sleep 5
$ar = Get-MgEntitlementManagementCatalog -AccessPackageCatalogId $catalog.Id -ExpandProperty resources
$ar.resources
Rimuovere le risorse da un catalogo
È possibile rimuovere le risorse da un catalogo. Una risorsa può essere rimossa da un catalogo solo se non viene usata in uno dei pacchetti di accesso del catalogo.
Ruoli prerequisiti: vedere Ruoli obbligatori per aggiungere risorse a un catalogo.
Per rimuovere le risorse da un catalogo:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Cataloghi di gestione>entitlement per la governance>delle identità.
Nella pagina Cataloghi aprire il catalogo da cui si desidera rimuovere le risorse.
Nel menu a sinistra selezionare Risorse.
Selezionare le risorse da rimuovere.
Selezionare Rimuovi. Facoltativamente, selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi risorsa.
Aggiungere altri proprietari di catalogo
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
L'utente che ha creato un catalogo diventa il primo proprietario del catalogo. Per delegare la gestione di un catalogo, aggiungere utenti al ruolo proprietario del catalogo. L'aggiunta di altri proprietari del catalogo consente di condividere le responsabilità di gestione del catalogo.
Per assegnare un utente al ruolo proprietario del catalogo:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo.
Passare a Cataloghi di gestione>entitlement per la governance>delle identità.
Nella pagina Cataloghi aprire il catalogo a cui si desidera aggiungere amministratori.
Nel menu a sinistra selezionare Ruoli e amministratori.
Selezionare Aggiungi proprietari per selezionare i membri per questi ruoli.
Selezionare Seleziona per aggiungere questi membri.
Modificare un catalogo
È possibile modificare il nome e la descrizione di un catalogo. Gli utenti visualizzeranno queste informazioni nei dettagli di un pacchetto di accesso.
Per modificare un catalogo:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono l'autore del catalogo.
Passare a Cataloghi di gestione>entitlement per la governance>delle identità.
Nella pagina Cataloghi aprire il catalogo da modificare.
Nella pagina Panoramica del catalogo selezionare Modifica.
Modificare il nome, la descrizione o le impostazioni abilitate del catalogo.
Seleziona Salva.
Eliminare un catalogo
È possibile eliminare un catalogo, ma solo se non include alcun pacchetto di accesso.
Per eliminare un catalogo:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono l'autore del catalogo.
Passare a Cataloghi di gestione>entitlement per la governance>delle identità.
Nella pagina Cataloghi aprire il catalogo da eliminare.
Nella pagina Panoramica del catalogo selezionare Elimina.
Nella finestra di messaggio visualizzata selezionare Sì.
Eliminare un catalogo a livello di codice
È anche possibile eliminare un catalogo usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All
può chiamare l'API per eliminare un accessPackageCatalog.
Passaggi successivi
Delegare la governance dell'accesso ai responsabili dei pacchetti di accesso