Modificare le impostazioni relative all'approvazione e al richiedente per un pacchetto di accesso nella gestione entitlement

Ogni pacchetto di accesso deve avere uno o più criteri di assegnazione dei pacchetti di accesso, prima che un utente possa essere assegnato all'accesso. Quando viene creato un pacchetto di accesso nell'interfaccia di amministrazione di Microsoft Entra, quest'ultima crea automaticamente il primo criterio di assegnazione dei pacchetti di accesso per tale pacchetto. Il criterio determina chi può richiedere l'accesso e chi deve approvare l'accesso.

Come gestore pacchetti di accesso, è possibile modificare le impostazioni di approvazione e le informazioni del richiedente per un pacchetto di accesso in qualsiasi momento modificando un criterio esistente o aggiungendo un nuovo criterio aggiuntivo per richiedere l'accesso.

Questo articolo descrive come modificare le impostazioni di approvazione e informazioni del richiedente per un pacchetto di accesso esistente, tramite i criteri di un pacchetto di accesso.

Approvazione

Nella sezione Approvazione, specificare se è necessaria l'approvazione quando gli utenti richiedono questo pacchetto di accesso. Le impostazioni di approvazione funzionano nel modo seguente:

  • Solo uno dei responsabili approvazione o dei responsabili approvazione di fallback selezionati deve approvare una richiesta di approvazione a fase singola.
  • Solo uno dei responsabili approvazione selezionati da ogni fase deve approvare una richiesta di approvazione a più fasi affinché avanzi alla fase successiva.
  • Se una delle opzioni selezionate approvate in una fase nega una richiesta prima che un altro responsabile approvazione in tale fase la approvi o se nessuno lo approva, la richiesta termina e l'utente non riceve l'accesso.
  • Il responsabile approvazione può essere un utente o un membro specificato di un gruppo, il responsabile del richiedente, lo sponsor interno o lo sponsor esterno a seconda dell'utente che gestisce l'accesso.

Per una dimostrazione di come aggiungere responsabili approvazione a un criterio di richiesta, guardare il video seguente:

Per una dimostrazione di come aggiungere un'approvazione a più fasi a un criterio di richiesta, guardare il video seguente:

Nota

I responsabili approvazione non possono approvare le proprie richieste di pacchetto di accesso.

Modificare le impostazioni di approvazione di un criterio di assegnazione di un pacchetto di accesso esistente

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Seguire questa procedura per specificare le impostazioni di approvazione per le richieste per il pacchetto di accesso tramite un criterio:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il gestore di assegnazione di pacchetti di accesso.

  2. Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso.

  3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

  4. Selezionare un criterio da modificare o aggiungere un nuovo criterio al pacchetto di accesso

    1. Selezionare Criteri e quindi Aggiungi criterio, se si vuole creare un nuovo criterio.
    2. Selezionare il criterio da modificare e quindi selezionare Modifica.
  5. Passare alla scheda Richiesta.

  6. Per richiedere l'approvazione delle richieste degli utenti selezionati, impostare l'interruttore Richiedi approvazione su . In alternativa, per fare in modo che le richieste vengano approvate automaticamente, impostare l'interruttore su No. Se i criteri consentono agli utenti esterni all'organizzazione di richiedere l'accesso, è necessario richiedere l'approvazione. Per tale motivo, è necessario controllare chi viene aggiunto alla directory dell'organizzazione.

  7. Per richiedere agli utenti di fornire una giustificazione per richiedere il pacchetto di accesso, impostare l'interruttore Richiedi giustificazione del richiedente su .

  8. Determinare ora se le richieste richiedono l'approvazione a una o più fasi. Impostare il numero di fasi selezionando il numero di fasi di approvazione necessarie.

    Pacchetto di accesso - Richieste - Impostazioni di approvazione

Seguire questa procedura per aggiungere responsabili approvazione dopo aver selezionato il numero di fasi necessarie:

Approvazione a fase singola

  1. Aggiungere il Primo responsabile approvazione:

    Se i criteri sono impostati per gestire l'accesso per gli utenti nella directory, è possibile selezionare Manager come responsabile approvazione. In alternativa, aggiungere un utente specifico selezionando Aggiungi responsabili approvazione dopo aver selezionato Scegli responsabili approvazione specifici dal menu a discesa.

    Pacchetto di accesso - Richieste - Per gli utenti nella directory - Primo responsabile approvazione

    Se questo criterio è impostato per gestire l'accesso per gli utenti che non si trovano nella directory, è possibile selezionare Sponsor esterno o Sponsor interno. In alternativa, aggiungere un utente specifico facendo clic su Aggiungi responsabili approvazione o gruppi in Scegli responsabili approvazione specifici.

    Pacchetto di accesso - Richieste - Per gli utenti fuori directory - Primo responsabile approvazione

  2. Se è stato selezionato Manager come primo responsabile approvazione, selezionare Aggiungi fallback per selezionare uno o più utenti o gruppi nella directory come responsabili approvazione di fallback. I responsabili approvazione di fallback ricevono la richiesta se la gestione entitlement non riesce a trovare il manager per l'utente che richiede l'accesso.

    Il manager viene trovato dalla gestione entitlement usando l'attributo Manager. L'attributo si trova nel profilo dell'utente in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere o aggiornare informazioni di un profilo utente con Microsoft Entra ID.

  3. Se è stata selezionata l'opzione Scegli responsabili approvazione specifici, selezionare Aggiungi responsabili approvazione per scegliere uno o più utenti o gruppi nella directory da approvare.

  4. Nella casella La decisione deve essere presa in quanti giorni?, specificare il numero di giorni in cui un responsabile approvazione ha per esaminare una richiesta per questo pacchetto di accesso.

    Se una richiesta non viene approvata entro questo periodo di tempo, verrà rifiutata automaticamente. L'utente deve inviare un'altra richiesta per il pacchetto di accesso.

  5. Per richiedere ai responsabili approvazione di fornire una giustificazione per la decisione, impostare Richiedi giustificazione del responsabile approvazione su .

    La giustificazione è visibile ad altri responsabili approvazione e al richiedente.

Approvazione in più fasi

Se è stata selezionata un'approvazione a più fasi, è necessario aggiungere un responsabile approvazione per ogni fase aggiuntiva.

  1. Aggiungere il secondo responsabile approvazione:

    Se gli utenti si trovano nella directory, aggiungere un utente specifico come secondo responsabile approvazione selezionando Aggiungi responsabili approvazione in Scegli responsabili approvazione specifici.

    Pacchetto di accesso - Richieste - Per gli utenti nella directory - Secondo responsabile approvazione

    Se gli utenti non si trovano nella directory, selezionare Sponsor interno o Sponsor esterno come secondo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione del fallback.

    Pacchetto di accesso - Richieste - Per gli utenti fuori directory - Secondo responsabile approvazione

  2. Specificare il numero di giorni in cui il secondo responsabile approvazione deve approvare la richiesta nella casella La decisione deve essere presa in quanti giorni?.

  3. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

    È anche possibile aggiungere una fase aggiuntiva per un processo di approvazione in tre fasi. Ad esempio, potrebbe essere necessario che il responsabile di un dipendente sia il primo responsabile approvazione per un pacchetto di accesso. Tuttavia, una delle risorse nel pacchetto di accesso contiene informazioni riservate. In questo caso, è possibile designare il proprietario della risorsa come secondo responsabile approvazione e un revisore della sicurezza come terzo responsabile approvazione. Ciò consente a un team di sicurezza di avere una supervisione nel processo e la possibilità, ad esempio, di rifiutare una richiesta in base ai criteri di rischio non noti al proprietario della risorsa.

  4. Aggiungere il terzo responsabile approvazione:

    Se gli utenti si trovano nella directory, aggiungere un utente specifico come terzo responsabile approvazione facendo clic su Aggiungi responsabili approvazione in Scegli responsabili approvazione specifici.

    Se gli utenti non si trovano nella directory, è anche possibile selezionare Sponsor interno o Sponsor esterno come terzo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione del fallback.

    Nota

      Come la seconda fase, se gli utenti si trovano nella directory e **Manager come responsabile approvazione** è selezionata nella prima o nella seconda fase di approvazione, verrà visualizzata solo un'opzione per selezionare responsabili approvazione specifici per la terza fase di approvazione.
      Se si vuole designare il manager come terzo responsabile approvazione, è possibile modificare le selezioni nelle fasi di approvazione precedenti per assicurarsi che **Manager come responsabile approvazione** non sia selezionato. Verrà quindi visualizzato **Manager come responsabile approvazione** come opzione nell'elenco a discesa.
      Se gli utenti non si trovano nella directory e non si è selezionato **Sponsor interno** o **Sponsor esterno** come responsabili approvazione nelle fasi precedenti, verranno visualizzate come opzioni per **Terzo responsabile approvazione**. In caso contrario, sarà possibile selezionare solo **Scegli responsabili approvazione specifici**.
  5. Specificare il numero di giorni che il terzo responsabile approvazione ha per approvare la richiesta nella casella La decisione deve essere presa in quanti giorni?.

  6. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

Responsabili approvazione alternativi

È possibile specificare responsabili approvazione alternativi, in modo analogo a specificare i responsabili approvazione primari che possano approvare le richieste in ogni fase. La presenza di responsabili approvazione alternativi garantisce che le richieste vengano approvate o negate prima della scadenza (timeout). È possibile elencare i responsabili approvazione alternativi insieme al responsabile approvazione principale in ogni fase.

Specificando responsabili approvazione alternativi in una fase, se i responsabili approvazione primari non sono in grado di approvare o negare la richiesta, la richiesta in sospeso viene inoltrata ai responsabili approvazione alternativi, in base alla pianificazione di inoltro specificata durante la configurazione dei criteri. Ricevono un messaggio di posta elettronica per approvare o negare la richiesta in sospeso.

Dopo che la richiesta viene inoltrata ai responsabili approvazione alternativi, i responsabili approvazione primari possono comunque approvare o negare la richiesta. I responsabili approvazione alternativi usano lo stesso sito Accesso personale per approvare o rifiutare la richiesta in sospeso.

È possibile elencare persone o gruppi di persone come responsabili approvazione o responsabili approvazione alternativi. Assicurarsi di indicare insiemi di persone diverse come responsabili di approvazione (primi, secondi e alternativi). Ad esempio, se Alice e Bob sono stati elencati come responsabili approvazione della prima fase, elencare Carol e Dave come responsabili approvazione alternativi. Usare la procedura seguente per aggiungere responsabili approvazione alternativi a un pacchetto di accesso:

  1. In fase di approvazione selezionare Mostra impostazioni richieste avanzate.

    Pacchetto di accesso - Criteri - Mostra impostazioni richieste avanzate

  2. Impostare Se non è stata eseguita alcuna azione, inoltrare ai responsabili approvazione alternativi? su .

  3. Selezionare Aggiungi responsabili approvazione alternativi e selezionare i responsabili approvazione alternativi dall'elenco.

    Pacchetto di accesso - Criteri - Aggiungere responsabili approvazione alternativi

    Se si seleziona Manager come responsabile approvazione per il primo responsabile approvazione, si avrà un'opzione aggiuntiva, il responsabile di secondo livello come responsabile approvazione alternativo, disponibile per scegliere nel campo responsabile approvazione alternativo. Se si seleziona questa opzione, è necessario aggiungere un responsabile approvazione di fallback per inoltrare la richiesta a nel caso in cui il sistema non riesca a trovare il manager di secondo livello.

  4. Nella casella Inoltra a eventuali responsabili approvazione alternativi dopo quanti giorni, inserire il numero di giorni che i responsabili approvazione hanno per approvare o negare una richiesta. Se nessun responsabile approvazione ha approvato o negato la richiesta prima della scadenza, la richiesta scade (timeout) e l'utente deve inviare un'altra richiesta per il pacchetto di accesso.

    Le richieste possono essere inoltrate solo ai responsabili approvazione alternativi un giorno dopo l'avvio della richiesta. Per usare l'approvazione alternativa, il timeout della richiesta deve essere pari ad almeno quattro giorni.

Abilitare le richieste

  1. Se si vuole rendere immediatamente disponibile il pacchetto di accesso per gli utenti nei criteri di richiesta da richiedere, spostare l'interruttore Abilita su .

    È sempre possibile abilitarla in futuro dopo aver completato la creazione del pacchetto di accesso.

    Se è stato selezionato Nessuno (solo assegnazioni dirette di amministratore) e si è impostato su No, gli amministratori non possono assegnare direttamente questo pacchetto di accesso.

    Pacchetto di accesso - Criterio - Impostazione dei criteri di abilitazione

  2. Quando sono abilitate nuove richieste, è possibile specificare se si vuole consentire ai responsabili di richiedere per conto dei dipendenti (anteprima). Screenshot dell'approvazione del manager delle opzioni di richiesta.

  3. Selezionare Avanti.

Raccogliere informazioni aggiuntive sul richiedente per l'approvazione

Per assicurarsi che gli utenti ottengano l'accesso ai pacchetti di accesso corretti, è possibile richiedere ai richiedenti di rispondere a un campo di testo personalizzato o a domande a scelta multipla al momento della richiesta. Le domande verranno quindi mostrate ai responsabili approvazione per aiutarli a prendere una decisione.

  1. Passare alla scheda Informazioni del richiedente e selezionare la scheda secondaria Domande.

  2. Digitare ciò che si desidera chiedere al richiedente, noto anche come stringa di visualizzazione, nella casella Domanda.

    Pacchetto di accesso - Criterio - Impostazione Abilita informazioni richiedente

  3. Se nella community degli utenti che devono accedere al pacchetto di accesso non hanno tutti la stessa lingua preferita, è possibile migliorare l'esperienza per gli utenti che richiedono l'accesso con myaccess.microsoft.com. Per migliorare l'esperienza, è possibile fornire stringhe di visualizzazione alternative per lingue diverse. Ad esempio, se il Web browser di un utente è impostato su Spagnolo e sono configurate stringhe di visualizzazione in spagnolo, tali stringhe vengono visualizzate all'utente richiedente. Per configurare la localizzazione per le richieste, selezionare Aggiungi localizzazione.

    1. Una volta nel riquadro Aggiungi localizzazioni per la domanda, selezionare il codice della lingua in cui si sta localizzata la domanda.
    2. Nella lingua configurata, digitare la domanda nella casella Testo localizzato.
    3. Dopo aver aggiunto tutte le localizzazioni necessarie, selezionare Salva.

    Pacchetto di accesso - Criteri- Configurare il testo localizzato

  4. Selezionare il formato di risposta in cui si desidera che i richiedenti rispondano. I formati di risposta includono: testo breve, Scelta multipla e testo lungo.

    Pacchetto di accesso - Criteri- Selezionare Modifica e localizza il formato di risposta a scelta multipla

  5. Se si seleziona Scelta multipla, selezionare il pulsante Modifica e localizza per configurare le opzioni di risposta.

    1. Dopo aver selezionato Modifica e localizza, il riquadro Visualizza/modifica domanda viene aperto.
    2. Digitare le opzioni di risposta da assegnare al richiedente quando si risponde alla domanda nelle caselle Valori di risposta.
    3. Digitare tutte le risposte necessarie.
    4. Se si vuole aggiungere la propria localizzazione per le opzioni a scelta multipla, selezionare il codice lingua facoltativo della lingua in cui si vuole localizzare un'opzione specifica.
    5. Nella lingua configurata, digitare l'opzione nella casella di testo Localizzato.
    6. Dopo aver aggiunto tutte le localizzazioni necessarie per ogni opzione di Scelta multipla, selezionare Salva.

    Pacchetto di accesso - Criteri- Immettere più opzioni di scelta

  6. Se si desidera includere un controllo della sintassi per le risposte in formato testuale, è anche possibile specificare un modello regex personalizzato.
    Screenshot del criterio di localizzazione regex. Se si desidera includere un controllo della sintassi per le risposte in formato testuale, è anche possibile specificare un modello regex personalizzato.

  7. Per richiedere ai richiedenti di rispondere a questa domanda quando si richiede l'accesso a un pacchetto di accesso, selezionare la casella di controllo Obbligatorio.

  8. Compilare le schede rimanenti, ad esempio Ciclo di vita, in base alle esigenze.

Dopo aver configurato le informazioni del richiedente nei criteri del pacchetto di accesso, è possibile visualizzare le risposte del richiedente. Per indicazioni su come visualizzare le informazioni del richiedente, vedere Visualizza le risposte del richiedente alle domande.

Passaggi successivi