Modificare le impostazioni relative all'approvazione e al richiedente per un pacchetto di accesso nella gestione entitlement
Articolo
Ogni pacchetto di accesso deve avere uno o più criteri di assegnazione dei pacchetti di accesso, prima che un utente possa essere assegnato all'accesso. Quando viene creato un pacchetto di accesso nell'interfaccia di amministrazione di Microsoft Entra, quest'ultima crea automaticamente il primo criterio di assegnazione dei pacchetti di accesso per tale pacchetto. Il criterio determina chi può richiedere l'accesso e chi deve approvare l'accesso.
Come gestore pacchetti di accesso, è possibile modificare le impostazioni di approvazione e le informazioni del richiedente per un pacchetto di accesso in qualsiasi momento modificando un criterio esistente o aggiungendo un nuovo criterio aggiuntivo per richiedere l'accesso.
Questo articolo descrive come modificare le impostazioni di approvazione e informazioni del richiedente per un pacchetto di accesso esistente, tramite i criteri di un pacchetto di accesso.
Approvazione
Nella sezione Approvazione, specificare se è necessaria l'approvazione quando gli utenti richiedono questo pacchetto di accesso. Le impostazioni di approvazione funzionano nel modo seguente:
Solo uno dei responsabili approvazione o dei responsabili approvazione di fallback selezionati deve approvare una richiesta di approvazione a fase singola.
Solo uno dei responsabili approvazione selezionati da ogni fase deve approvare una richiesta di approvazione a più fasi affinché avanzi alla fase successiva.
Se una delle opzioni selezionate approvate in una fase nega una richiesta prima che un altro responsabile approvazione in tale fase la approvi o se nessuno lo approva, la richiesta termina e l'utente non riceve l'accesso.
Il responsabile approvazione può essere un utente o un membro specificato di un gruppo, il responsabile del richiedente, lo sponsor interno o lo sponsor esterno a seconda dell'utente che gestisce l'accesso.
Per una dimostrazione di come aggiungere responsabili approvazione a un criterio di richiesta, guardare il video seguente:
Per una dimostrazione di come aggiungere un'approvazione a più fasi a un criterio di richiesta, guardare il video seguente:
Nota
I responsabili approvazione non possono approvare le proprie richieste di pacchetto di accesso.
Modificare le impostazioni di approvazione di un criterio di assegnazione di un pacchetto di accesso esistente
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Seguire questa procedura per specificare le impostazioni di approvazione per le richieste per il pacchetto di accesso tramite un criterio:
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il gestore di assegnazione di pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso.
Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.
Selezionare un criterio da modificare o aggiungere un nuovo criterio al pacchetto di accesso
Selezionare Criteri e quindi Aggiungi criterio, se si vuole creare un nuovo criterio.
Selezionare il criterio da modificare e quindi selezionare Modifica.
Passare alla scheda Richiesta.
Per richiedere l'approvazione delle richieste degli utenti selezionati, impostare l'interruttore Richiedi approvazione su Sì. In alternativa, per fare in modo che le richieste vengano approvate automaticamente, impostare l'interruttore su No. Se i criteri consentono agli utenti esterni all'organizzazione di richiedere l'accesso, è necessario richiedere l'approvazione. Per tale motivo, è necessario controllare chi viene aggiunto alla directory dell'organizzazione.
Per richiedere agli utenti di fornire una giustificazione per richiedere il pacchetto di accesso, impostare l'interruttore Richiedi giustificazione del richiedente su Sì.
Determinare ora se le richieste richiedono l'approvazione a una o più fasi. Impostare il numero di fasi selezionando il numero di fasi di approvazione necessarie.
Seguire questa procedura per aggiungere responsabili approvazione dopo aver selezionato il numero di fasi necessarie:
Approvazione a fase singola
Aggiungere il Primo responsabile approvazione:
Se i criteri sono impostati per gestire l'accesso per gli utenti nella directory, è possibile selezionare Manager come responsabile approvazione. In alternativa, aggiungere un utente specifico selezionando Aggiungi responsabili approvazione dopo aver selezionato Scegli responsabili approvazione specifici dal menu a discesa.
Se questo criterio è impostato per gestire l'accesso per gli utenti che non si trovano nella directory, è possibile selezionare Sponsor esterno o Sponsor interno. In alternativa, aggiungere un utente specifico facendo clic su Aggiungi responsabili approvazione o gruppi in Scegli responsabili approvazione specifici.
Se è stato selezionato Manager come primo responsabile approvazione, selezionare Aggiungi fallback per selezionare uno o più utenti o gruppi nella directory come responsabili approvazione di fallback. I responsabili approvazione di fallback ricevono la richiesta se la gestione entitlement non riesce a trovare il manager per l'utente che richiede l'accesso.
Se è stata selezionata l'opzione Scegli responsabili approvazione specifici, selezionare Aggiungi responsabili approvazione per scegliere uno o più utenti o gruppi nella directory da approvare.
Nella casella La decisione deve essere presa in quanti giorni?, specificare il numero di giorni in cui un responsabile approvazione ha per esaminare una richiesta per questo pacchetto di accesso.
Se una richiesta non viene approvata entro questo periodo di tempo, verrà rifiutata automaticamente. L'utente deve inviare un'altra richiesta per il pacchetto di accesso.
Per richiedere ai responsabili approvazione di fornire una giustificazione per la decisione, impostare Richiedi giustificazione del responsabile approvazione su Sì.
La giustificazione è visibile ad altri responsabili approvazione e al richiedente.
Approvazione in più fasi
Se è stata selezionata un'approvazione a più fasi, è necessario aggiungere un responsabile approvazione per ogni fase aggiuntiva.
Aggiungere il secondo responsabile approvazione:
Se gli utenti si trovano nella directory, aggiungere un utente specifico come secondo responsabile approvazione selezionando Aggiungi responsabili approvazione in Scegli responsabili approvazione specifici.
Se gli utenti non si trovano nella directory, selezionare Sponsor interno o Sponsor esterno come secondo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione del fallback.
Specificare il numero di giorni in cui il secondo responsabile approvazione deve approvare la richiesta nella casella La decisione deve essere presa in quanti giorni?.
Impostare l'interruttore Richiedi giustificazione approvazione su Sì o No.
È anche possibile aggiungere una fase aggiuntiva per un processo di approvazione in tre fasi. Ad esempio, potrebbe essere necessario che il responsabile di un dipendente sia il primo responsabile approvazione per un pacchetto di accesso. Tuttavia, una delle risorse nel pacchetto di accesso contiene informazioni riservate. In questo caso, è possibile designare il proprietario della risorsa come secondo responsabile approvazione e un revisore della sicurezza come terzo responsabile approvazione. Ciò consente a un team di sicurezza di avere una supervisione nel processo e la possibilità, ad esempio, di rifiutare una richiesta in base ai criteri di rischio non noti al proprietario della risorsa.
Aggiungere il terzo responsabile approvazione:
Se gli utenti si trovano nella directory, aggiungere un utente specifico come terzo responsabile approvazione facendo clic su Aggiungi responsabili approvazione in Scegli responsabili approvazione specifici.
Se gli utenti non si trovano nella directory, è anche possibile selezionare Sponsor interno o Sponsor esterno come terzo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione del fallback.
Nota
Come la seconda fase, se gli utenti si trovano nella directory e **Manager come responsabile approvazione** è selezionata nella prima o nella seconda fase di approvazione, verrà visualizzata solo un'opzione per selezionare responsabili approvazione specifici per la terza fase di approvazione.
Se si vuole designare il manager come terzo responsabile approvazione, è possibile modificare le selezioni nelle fasi di approvazione precedenti per assicurarsi che **Manager come responsabile approvazione** non sia selezionato. Verrà quindi visualizzato **Manager come responsabile approvazione** come opzione nell'elenco a discesa.
Se gli utenti non si trovano nella directory e non si è selezionato **Sponsor interno** o **Sponsor esterno** come responsabili approvazione nelle fasi precedenti, verranno visualizzate come opzioni per **Terzo responsabile approvazione**. In caso contrario, sarà possibile selezionare solo **Scegli responsabili approvazione specifici**.
Specificare il numero di giorni che il terzo responsabile approvazione ha per approvare la richiesta nella casella La decisione deve essere presa in quanti giorni?.
Impostare l'interruttore Richiedi giustificazione approvazione su Sì o No.
Responsabili approvazione alternativi
È possibile specificare responsabili approvazione alternativi, in modo analogo a specificare i responsabili approvazione primari che possano approvare le richieste in ogni fase. La presenza di responsabili approvazione alternativi garantisce che le richieste vengano approvate o negate prima della scadenza (timeout). È possibile elencare i responsabili approvazione alternativi insieme al responsabile approvazione principale in ogni fase.
Specificando responsabili approvazione alternativi in una fase, se i responsabili approvazione primari non sono in grado di approvare o negare la richiesta, la richiesta in sospeso viene inoltrata ai responsabili approvazione alternativi, in base alla pianificazione di inoltro specificata durante la configurazione dei criteri. Ricevono un messaggio di posta elettronica per approvare o negare la richiesta in sospeso.
Dopo che la richiesta viene inoltrata ai responsabili approvazione alternativi, i responsabili approvazione primari possono comunque approvare o negare la richiesta. I responsabili approvazione alternativi usano lo stesso sito Accesso personale per approvare o rifiutare la richiesta in sospeso.
È possibile elencare persone o gruppi di persone come responsabili approvazione o responsabili approvazione alternativi. Assicurarsi di indicare insiemi di persone diverse come responsabili di approvazione (primi, secondi e alternativi).
Ad esempio, se Alice e Bob sono stati elencati come responsabili approvazione della prima fase, elencare Carol e Dave come responsabili approvazione alternativi. Usare la procedura seguente per aggiungere responsabili approvazione alternativi a un pacchetto di accesso:
In fase di approvazione selezionare Mostra impostazioni richieste avanzate.
Impostare Se non è stata eseguita alcuna azione, inoltrare ai responsabili approvazione alternativi? su Sì.
Selezionare Aggiungi responsabili approvazione alternativi e selezionare i responsabili approvazione alternativi dall'elenco.
Se si seleziona Manager come responsabile approvazione per il primo responsabile approvazione, si avrà un'opzione aggiuntiva, il responsabile di secondo livello come responsabile approvazione alternativo, disponibile per scegliere nel campo responsabile approvazione alternativo. Se si seleziona questa opzione, è necessario aggiungere un responsabile approvazione di fallback per inoltrare la richiesta a nel caso in cui il sistema non riesca a trovare il manager di secondo livello.
Nella casella Inoltra a eventuali responsabili approvazione alternativi dopo quanti giorni, inserire il numero di giorni che i responsabili approvazione hanno per approvare o negare una richiesta. Se nessun responsabile approvazione ha approvato o negato la richiesta prima della scadenza, la richiesta scade (timeout) e l'utente deve inviare un'altra richiesta per il pacchetto di accesso.
Le richieste possono essere inoltrate solo ai responsabili approvazione alternativi un giorno dopo l'avvio della richiesta. Per usare l'approvazione alternativa, il timeout della richiesta deve essere pari ad almeno quattro giorni.
Abilitare le richieste
Se si vuole rendere immediatamente disponibile il pacchetto di accesso per gli utenti nei criteri di richiesta da richiedere, spostare l'interruttore Abilita su Sì.
È sempre possibile abilitarla in futuro dopo aver completato la creazione del pacchetto di accesso.
Se è stato selezionato Nessuno (solo assegnazioni dirette di amministratore) e si è impostato su No, gli amministratori non possono assegnare direttamente questo pacchetto di accesso.
Quando sono abilitate nuove richieste, è possibile specificare se si vuole consentire ai responsabili di richiedere per conto dei dipendenti (anteprima).
Selezionare Avanti.
Raccogliere informazioni aggiuntive sul richiedente per l'approvazione
Per assicurarsi che gli utenti ottengano l'accesso ai pacchetti di accesso corretti, è possibile richiedere ai richiedenti di rispondere a un campo di testo personalizzato o a domande a scelta multipla al momento della richiesta. Le domande verranno quindi mostrate ai responsabili approvazione per aiutarli a prendere una decisione.
Passare alla scheda Informazioni del richiedente e selezionare la scheda secondaria Domande.
Digitare ciò che si desidera chiedere al richiedente, noto anche come stringa di visualizzazione, nella casella Domanda.
Se nella community degli utenti che devono accedere al pacchetto di accesso non hanno tutti la stessa lingua preferita, è possibile migliorare l'esperienza per gli utenti che richiedono l'accesso con myaccess.microsoft.com. Per migliorare l'esperienza, è possibile fornire stringhe di visualizzazione alternative per lingue diverse. Ad esempio, se il Web browser di un utente è impostato su Spagnolo e sono configurate stringhe di visualizzazione in spagnolo, tali stringhe vengono visualizzate all'utente richiedente. Per configurare la localizzazione per le richieste, selezionare Aggiungi localizzazione.
Una volta nel riquadro Aggiungi localizzazioni per la domanda, selezionare il codice della lingua in cui si sta localizzata la domanda.
Nella lingua configurata, digitare la domanda nella casella Testo localizzato.
Dopo aver aggiunto tutte le localizzazioni necessarie, selezionare Salva.
Selezionare il formato di risposta in cui si desidera che i richiedenti rispondano. I formati di risposta includono: testo breve, Scelta multipla e testo lungo.
Se si seleziona Scelta multipla, selezionare il pulsante Modifica e localizza per configurare le opzioni di risposta.
Dopo aver selezionato Modifica e localizza, il riquadro Visualizza/modifica domanda viene aperto.
Digitare le opzioni di risposta da assegnare al richiedente quando si risponde alla domanda nelle caselle Valori di risposta.
Digitare tutte le risposte necessarie.
Se si vuole aggiungere la propria localizzazione per le opzioni a scelta multipla, selezionare il codice lingua facoltativo della lingua in cui si vuole localizzare un'opzione specifica.
Nella lingua configurata, digitare l'opzione nella casella di testo Localizzato.
Dopo aver aggiunto tutte le localizzazioni necessarie per ogni opzione di Scelta multipla, selezionare Salva.
Se si desidera includere un controllo della sintassi per le risposte in formato testuale, è anche possibile specificare un modello regex personalizzato. Se si desidera includere un controllo della sintassi per le risposte in formato testuale, è anche possibile specificare un modello regex personalizzato.
Per richiedere ai richiedenti di rispondere a questa domanda quando si richiede l'accesso a un pacchetto di accesso, selezionare la casella di controllo Obbligatorio.
Compilare le schede rimanenti, ad esempio Ciclo di vita, in base alle esigenze.
Dopo aver configurato le informazioni del richiedente nei criteri del pacchetto di accesso, è possibile visualizzare le risposte del richiedente. Per indicazioni su come visualizzare le informazioni del richiedente, vedere Visualizza le risposte del richiedente alle domande.
Quando nuovi utenti o utenti esterni partecipano al sito, è indispensabile assegnare rapidamente l'accesso alle soluzioni di Azure. Viene descritto come concedere agli utenti i diritti di accesso al sito e alle risorse.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.