Regolamentare l'accesso per gli utenti esterni nella gestione entitlement
La gestione entitlement usa Microsoft Entra business-to-business (B2B) per condividere l'accesso in modo da poter collaborare con persone esterne all'organizzazione. Con Microsoft Entra B2B, gli utenti esterni eseguono l'autenticazione nella propria home directory, ma hanno una rappresentazione nella directory dell'organizzazione. La rappresentazione nella directory consente di assegnare agli utenti l'accesso alle risorse dell'organizzazione.
Questo articolo descrive le impostazioni che è possibile specificare per gestire l'accesso per gli utenti esterni.
In che modo può essere utile la gestione entitlement
Quando si usa l'esperienza di invito Microsoft Entra B2B, è necessario conoscere già gli indirizzi e-mail degli utenti guest esterni che si desidera inserire nella directory delle risorse e usare. L'invito diretto di ogni utente funziona bene quando si lavora su un progetto più piccolo o a breve termine e si conoscono già tutti i partecipanti, ma questo processo è più difficile da gestire se gli utenti con cui lavorare sono molti o se i partecipanti cambiano nel tempo. Ad esempio, si potrebbe lavorare con un'altra organizzazione e avere un punto di contatto con tale organizzazione, ma nel corso del tempo più utenti dell'organizzazione avranno bisogno anche dell'accesso.
Con la gestione entitlement è possibile definire un criterio che consenta agli utenti delle organizzazioni specificate di essere in grado di richiedere automaticamente un pacchetto di accesso. Tali criteri includono se è necessaria l'approvazione, se sono necessarie revisioni di accesso e una data di scadenza per l'accesso. Nella maggior parte dei casi, si vuole richiedere l'approvazione, per avere una supervisione appropriata su quali utenti vengono inseriti nella directory. Se è necessaria l'approvazione, è consigliabile invitare uno o più utenti dell'organizzazione esterna alla directory, designarli come sponsor e configurare i responsabili approvazione degli sponsor, poiché è probabile che sappiano quali utenti esterni dell'organizzazione necessitano dell’accesso. Dopo aver configurato il pacchetto di accesso, ottenere il collegamento di richiesta del pacchetto di accesso in modo da poter inviare tale collegamento alla persona di contatto (sponsor) all'organizzazione esterna. Tale contatto può condividerlo con altri utenti nell'organizzazione esterna e può usare questo collegamento per richiedere il pacchetto di accesso. Gli utenti dell'organizzazione che sono già invitati nella directory possono usare tale collegamento.
È anche possibile usare la gestione entitlement per consentire l’accesso agli utenti di organizzazioni che non dispongono della propria directory Microsoft Entra. È possibile configurare un provider di identità federato per il proprio dominio o usare l'autenticazione basata sull’e-mail. È anche possibile inserire utenti di provider di identità di social network, inclusi quelli con account Microsoft.
In genere, quando una richiesta viene approvata, la gestione entitlement effettua il provisioning dell'utente con l'accesso necessario. Se l'utente non è già presente nella directory, la gestione entitlement inviterà prima di tutto l'utente. Quando l'utente viene invitato, Microsoft Entra ID crea automaticamente un account guest B2B, ma non invia all'utente un messaggio di posta elettronica. Un amministratore potrebbe avere un limite di organizzazioni consentite per la collaborazione impostando un elenco elementi bloccati o consentiti 2B per consentire o bloccare gli inviti ad altri domini dell'organizzazione. Se il dominio dell'utente non è consentito da tali elenchi, non viene invitato e non può essere assegnato l'accesso finché gli elenchi non vengono aggiornati.
Specificare una data di scadenza nei criteri, ad esempio 180 giorni, poiché l'accesso dell'utente esterno non deve essere a tempo indeterminato. Dopo 180 giorni, se l'accesso non viene esteso, la gestione entitlement rimuoverà tutti gli accessi associati al pacchetto di accesso. Per impostazione predefinita, se l'utente che è stato invitato tramite la gestione entitlement non ha altre assegnazioni di pacchetti di accesso, quando perde l'ultima assegnazione, all'account guest viene bloccato l'accesso per 30 giorni e successivamente rimosso. Ciò impedisce la proliferazione di account non necessari. Come descritto nelle sezioni seguenti, queste impostazioni sono configurabili.
Funzionamento dell'accesso per gli utenti esterni
Il diagramma e i passaggi seguenti forniscono una panoramica del modo in cui viene concesso l'accesso a un pacchetto di accesso agli utenti esterni.
Aggiungere un'organizzazione connessa per la directory o il dominio di Microsoft Entra con cui si vuole collaborare. È anche possibile configurare un'organizzazione connessa per un provider di identità di social network.
Controllare che l'impostazione Abilitato per gli utenti esterni del catalogo per contenere il pacchetto di accesso sia impostata su Sì.
Si crea un pacchetto di accesso nella directory che include un criterio Per gli utenti che non si trovano nella directory e specifica le organizzazioni connesse che possono effettuare richieste, il responsabile approvazione e le impostazioni del ciclo di vita. Se si seleziona nei criteri l'opzione di organizzazioni connesse specifiche o l'opzione di tutte le organizzazioni connesse, solo gli utenti di tali organizzazioni configurate in precedenza possono effettuare richieste. Se si seleziona nei criteri l'opzione tutti gli utenti, qualsiasi utente può effettuare richieste, inclusi quelli che non fanno già parte della directory e non fanno parte di alcuna organizzazione connessa.
Controllare l’impostazione nascosta nel pacchetto di accesso per assicurarsi che il pacchetto di accesso sia nascosto. Se non è nascosto, qualsiasi utente autorizzato dalle impostazioni dei criteri in tale pacchetto di accesso può cercare quest’ultimo nel portale di Accesso personale per il tenant.
Si invia un collegamento al portale di Accesso personale al contatto dell'organizzazione esterna che può condividerlo con i propri utenti per richiedere il pacchetto di accesso.
Un utente esterno (Richiedente A in questo esempio) usa il collegamento al portale Accesso personale per richiedere l'accesso al pacchetto di accesso. Il portale Accesso personale richiede che l'utente acceda come parte dell'organizzazione connessa. Il modo in cui l'utente accede dipende dal tipo di autenticazione della directory o del dominio definito nell'organizzazione connessa e nelle impostazioni degli utenti esterni.
Un responsabile approvazione approva la richiesta (presupponendo che il criterio richieda l'approvazione).
La richiesta passa allo stato di consegna.
Usando il processo di invito B2B, viene creato un account utente guest nella directory (Richiedente A (Guest) in questo esempio). Se viene definito un elenco di elementi consentiti o bloccati, viene applicata l'impostazione dell'elenco.
All'utente guest viene assegnato l'accesso a tutte le risorse nel pacchetto di accesso. Può essere necessario del tempo per apportare le modifiche a Microsoft Entra ID e ad altri Servizi online Microsoft o applicazioni SaaS collegate. Per altre informazioni, vedere Quando vengono applicate le modifiche.
L'utente esterno riceve un’e-mail che indica che l'accesso è stato recapitato.
Per accedere alle risorse, l'utente esterno può selezionare il collegamento nell’e-mail o tentare di accedere direttamente alle risorse della directory per completare il processo di invito.
Se le impostazioni dei criteri includono una data di scadenza, quando l'assegnazione dei pacchetti di accesso per l'utente esterno scade, i diritti di accesso dell'utente esterno vengono rimossi da tale pacchetto di accesso.
A seconda del ciclo di vita delle impostazioni degli utenti esterni, quando l'utente esterno non ha più assegnazioni di pacchetti di accesso, l'utente esterno viene bloccato dall'accesso e l'account utente esterno viene rimosso dalla directory.
Impostazioni per utenti esterni
Per garantire che gli utenti esterni all'organizzazione possano richiedere pacchetti di accesso e ottenere l'accesso alle risorse in tali pacchetti, è necessario verificare che siano configurate correttamente alcune impostazioni.
Abilitare il catalogo per gli utenti esterni
Per impostazione predefinita, quando si crea un nuovo catalogo, viene attivata la possibilità di consentire agli utenti esterni di richiedere i pacchetti di accesso nel catalogo. Assicurarsi che Abilitato per gli utenti esterni sia impostato su Sì.
Se si è un amministratore o un proprietario del catalogo, è possibile visualizzare l'elenco dei cataloghi attualmente abilitati per gli utenti esterni nell'elenco di cataloghi dell'interfaccia di amministrazione di Microsoft Entra, modificando l'impostazione del filtro per Abilitato per gli utenti esterni in Sì. Se uno di questi cataloghi visualizzati in tale visualizzazione filtrata ha un numero diverso da zero di pacchetti di accesso, questi pacchetti di accesso potrebbero avere criteri per gli utenti che non si trovano nella directory che consentono agli utenti esterni di richiedere.
Configurare le impostazioni di collaborazione esterna di Microsoft Entra B2B
Consentire agli utenti guest di invitare altri utenti guest nella directory significa che gli inviti guest possono avvenire al di fuori della gestione entitlement. È consigliabile impostare Guest può invitare su No per consentire solo inviti regolati adeguatamente.
Se in precedenza si utilizzava l'elenco di permessi B2B, è necessario rimuovere tale elenco o assicurarsi che siano aggiunti all'elenco tutti i domini di tutte le organizzazioni con cui si desidera collaborare utilizzando la gestione dei diritti. In alternativa, se si usa l'elenco di blocchi B2B, è necessario assicurarsi che non sia presente alcun dominio di eventuali organizzazioni con cui si vuole collaborare nell'elenco.
Se si creano criteri di gestione entitlement per Tutti gli utenti (Tutte le organizzazioni connesse e tutti i nuovi utenti esterni) e un utente non appartiene a un'organizzazione connessa nella directory, quando richiede il pacchetto viene automaticamente creata un'organizzazione connessa. Tuttavia, qualsiasi impostazione dell’elenco elementi bloccati o consentiti B2B ha la precedenza. Pertanto, è necessario rimuovere l'elenco di elementi consentiti, se lo si utilizzava, in modo che Tutti gli utenti possano richiedere l'accesso, ed escludere tutti i domini autorizzati dall'elenco di elementi bloccati, se si utilizza un elenco di questo tipo.
Se si desidera creare criteri di gestione entitlement che includono Tutti gli utenti (Tutte le organizzazioni connesse e tutti i nuovi utenti esterni), è prima necessario abilitare l'autenticazione con passcode monouso tramite e-mail per la directory. Per altre informazioni, vedere Autenticazione con passcode monouso tramite e-mail.
Per altre informazioni sulle impostazioni di collaborazione esterna di Microsoft Entra B2B, vedere Configurare le impostazioni di collaborazione esterna.
Esaminare le impostazioni di accesso tra tenant
- Assicurarsi che le impostazioni di accesso tra tenant per collaborazione B2B in ingresso consentano di richiedere e assegnare l'accesso. È necessario verificare che le impostazioni consentano ai tenant che fanno parte delle organizzazioni connesse correnti o future e che gli utenti di tali tenant non vengano invitati. Verificare inoltre che tali utenti siano autorizzati dalle impostazioni di accesso tra tenant per poter eseguire l'autenticazione alle applicazioni per le quali si desidera abilitare gli scenari di collaborazione. Per altre informazioni, vedere Configurare le impostazioni di accesso tra tenant.
- Se si crea un'organizzazione connessa per un tenant di Microsoft Entra da un cloud Microsoft diverso, è anche necessario configurare le impostazioni di accesso tra tenant in modo appropriato. Per altre informazioni, vedere Configurare le impostazioni del cloud Microsoft.
Verificare i criteri di accesso condizionale
Assicurarsi di escludere l'app di gestione entitlement da tutti i criteri di accesso condizionale che possono influire sugli utenti guest. In caso contrario, un criterio di accesso condizionale potrebbe impedirgli di accedere ad Accesso personale o alla directory. Ad esempio, gli utenti guest probabilmente non hanno un dispositivo registrato, non si trovano in una posizione nota e non vogliono eseguire di nuovo la registrazione per l'autenticazione a più fattori (MFA), quindi l'aggiunta di questi requisiti in un criterio di accesso condizionale impedisce agli utenti guest di usare la gestione entitlement. Per altre informazioni, vedere Quali sono le condizioni per l'accesso condizionale di Microsoft Entra?.
Se l'accesso condizionale blocca tutte le applicazioni cloud, oltre all'esclusione dell'app di gestione entitlement, assicurarsi che anche la piattaforma di lettura Approvazioni richieste sia esclusa nei criteri di accesso condizionale . Per iniziare, verificare di avere i ruoli necessari: Amministratore accesso condizionale, Amministratore applicazione, Amministratore assegnazione attributi e Amministratore definizione attributi. Creare quindi un attributo di sicurezza personalizzato con un nome e valori appropriati. Individuare l'entità servizio per Request Approvals Read Platform in Enterprise Applications e assegnare l'attributo personalizzato con il valore scelto all'applicazione. Nei criteri della CA applicare un filtro per escludere le applicazioni selezionate in base al nome dell'attributo personalizzato e al valore assegnato a Request Approvals Read Platform. Per altre informazioni sul filtro delle applicazioni nei criteri ca, vedere : Accesso condizionale: Filtro per le applicazioni
Nota
L'app di gestione entitlement include la parte di gestione entitlement di Accesso personale, dell'interfaccia di amministrazione di Microsoft Entra e di MS Graph. Gli ultimi due richiedono autorizzazioni aggiuntive per l'accesso, quindi non saranno accessibili dagli utenti guest, a meno che non venga fornita l'autorizzazione esplicita.
Verificare le impostazioni di condivisione esterna di SharePoint Online
Se si desidera includere siti di SharePoint Online nei pacchetti di accesso per utenti esterni, assicurarsi che l'impostazione di condivisione esterna a livello di organizzazione sia impostata su Chiunque (gli utenti non richiedono l'accesso) o Guest nuovi ed esistenti (gli utenti guest devono accedere o fornire un codice di verifica). Per altre informazioni, vedere Attivare o disattivare la condivisione esterna.
Se si desidera limitare qualsiasi condivisione esterna all'esterno della gestione entitlement, è possibile impostare l'impostazione di condivisione esterna su Guest esistenti. Quindi, solo i nuovi utenti invitati tramite la gestione entitlement possono ottenere l'accesso a questi siti. Per altre informazioni, vedere Attivare o disattivare la condivisione esterna.
Assicurarsi che le impostazioni a livello di sito consentano l'accesso guest (le stesse selezioni di opzioni elencate in precedenza). Per altre informazioni, vedere Attivare o disattivare la condivisione esterna per un sito.
Verificare le impostazioni di condivisione dei gruppi di Microsoft 365
Se si desidera includere gruppi di Microsoft 365 nei pacchetti di accesso per utenti esterni, assicurarsi che l'opzione Consenti agli utenti di aggiungere nuovi utenti guest all'organizzazione sia impostata su Attivo per consentire l'accesso guest. Per altre informazioni, vedere Gestire l'accesso guest ai gruppi di Microsoft 365.
Se si desidera che gli utenti esterni possano accedere al sito di SharePoint Online e alle risorse associate a un gruppo Microsoft 365, assicurarsi di attivare la condivisione esterna di SharePoint Online. Per altre informazioni, vedere Attivare o disattivare la condivisione esterna.
Per informazioni su come impostare i criteri guest per i gruppi di Microsoft 365 a livello di directory in PowerShell, vedere Esempio: Configurare i criteri guest per i gruppi a livello di directory.
Verificare le impostazioni di condivisione di Teams
- Se si desidera includere Teams nei pacchetti di accesso per gli utenti esterni, assicurarsi che l'opzione Consenti accesso guest in Microsoft Teams sia impostata su Attiva per consentire l'accesso guest. Per altre informazioni, vedere Configurare l'accesso guest nell'interfaccia di amministrazione di Microsoft Teams.
Gestisci il ciclo di vita degli utenti esterni
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
È possibile scegliere cosa succede quando un utente esterno, che è stato invitato nella directory tramite una richiesta di pacchetto di accesso, non ha più alcuna assegnazione dei pacchetti di accesso. Ciò può verificarsi se l'utente rinuncia a tutte le assegnazioni dei pacchetti di accesso o l'ultima assegnazione del pacchetto di accesso scade. Per impostazione predefinita, quando un utente esterno non ha più assegnazioni di pacchetti di accesso, gli viene impedito l'accesso alla directory. Dopo 30 giorni, l'account utente guest viene rimosso dalla directory. È anche possibile configurare che un utente esterno non sia bloccato dall'accesso o dall'eliminazione o che un utente esterno non sia bloccato dall'accesso ma venga eliminato.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity governance>Gestione entitlement>Impostazioni.
Seleziona Modifica
Nella sezione Gestire il ciclo di vita degli utenti esterni selezionare le diverse impostazioni per gli utenti esterni.
Quando un utente esterno perde l'ultima assegnazione a tutti i pacchetti di accesso, se si vuole impedire l'accesso alla directory, impostare Impedisci all'utente esterno di accedere a questa directory su Sì.
Nota
La gestione entitlement blocca l'accesso solo agli account utente guest esterni che sono stati invitati tramite la gestione entitlement o che sono stati aggiunti alla stessa per la gestione del ciclo di vita con la conversione dell'account utente guest in governato. Inoltre, si noti che a un utente sarà impedito l'accesso anche se è stato aggiunto a risorse in questa directory che non erano assegnazioni dei pacchetti di accesso. Se un utente non riesce ad accedere a questa directory, non potrà richiedere nuovamente il pacchetto di accesso o l'accesso aggiuntivo in questa directory. Non configurare il blocco dell'accesso se successivamente dovrà richiedere l'accesso a questo o ad altri pacchetti di accesso.
Quando un utente esterno perde l'ultima assegnazione a qualsiasi pacchetto di accesso e si vuole rimuoverne l'account utente guest in questa directory, impostare Rimuovi l'utente esterno su Sì.
Nota
La gestione entitlement rimuove solo gli account utente guest esterni che sono stati invitati tramite la gestione entitlement o che sono stati aggiunti alla stessa per la gestione del ciclo di vita con la conversione dell'account utente guest in governato. Si noti inoltre che un utente verrà rimosso da questa directory anche se è stato aggiunto alle risorse in questa directory che non erano assegnazioni di pacchetti di accesso. Se l'utente guest era presente nella directory prima di ricevere le assegnazioni di pacchetti di accesso, resterà nella directory. Tuttavia, se l'utente guest è stato invitato tramite l'assegnazione di un pacchetto di accesso e dopo l'invito è stato anche assegnato a un sito di OneDrive for Business o SharePoint Online, verrà comunque rimosso. La modifica dell'impostazione Rimuovi utente esterno su No influisce solo sugli utenti che successivamente perdono l'ultima assegnazione del pacchetto di accesso; gli utenti per i quali è stata pianificata l'eliminazione e il cui accesso è bloccato saranno comunque eliminati secondo la pianificazione originale.
Se si desidera rimuovere l'account utente guest in questa directory, è possibile impostare il numero di giorni prima della rimozione. Mentre un utente esterno viene avvisato quando il suo pacchetto di accesso scade, questo non accade quando il suo account viene rimosso. Se si vuole rimuovere l'account utente guest non appena l'utente perde l'ultima assegnazione a qualsiasi pacchetto di accesso, impostare Numero di giorni prima della rimozione dell'utente esterno dalla directory su 0. Le modifiche a questo valore hanno effetto solo sugli utenti che utilizzano successivamente l'ultima assegnazione del pacchetto di accesso; gli utenti per i quali è stata programmata l'eliminazione continueranno a essere eliminati secondo la loro programmazione originale.
Seleziona Salva.