Modificare le impostazioni della richiesta per un pacchetto di accesso nella gestione entitlement
In qualità di gestore pacchetti di accesso, è possibile modificare gli utenti che possono richiedere un pacchetto di accesso in qualsiasi momento modificando un criterio per le richieste di assegnazione dei pacchetti di accesso o aggiungendo un nuovo criterio al pacchetto di accesso. Questo articolo descrive come modificare le impostazioni della richiesta per un criterio di assegnazione dei pacchetti di accesso esistente.
Scegliere tra uno o più criteri
Il modo in cui si specifica chi può richiedere un pacchetto di accesso è con un criterio. Prima di creare un nuovo criterio o modificare un criterio esistente in un pacchetto di accesso, è necessario determinare il numero di criteri necessari per il pacchetto di accesso.
Quando si crea un pacchetto di accesso, è possibile specificare le impostazioni di richiesta, approvazione e ciclo di vita archiviate nel primo criterio del pacchetto di accesso. La maggior parte dei pacchetti di accesso ha un singolo criterio per consentire agli utenti di richiedere l'accesso, ma un singolo pacchetto di accesso può avere più criteri. È possibile creare più criteri per un pacchetto di accesso se si desidera concedere assegnazioni a diversi set di utenti con impostazioni di richiesta e approvazione diverse.
Ad esempio, non è possibile usare un singolo criterio per assegnare utenti interni ed esterni allo stesso pacchetto di accesso. Tuttavia, è possibile creare due criteri nello stesso pacchetto di accesso, uno per gli utenti interni e uno per gli utenti esterni. Se sono presenti più criteri che si applicano a un utente a cui richiedere, viene richiesto al momento della richiesta di selezionare il criterio a cui si vuole assegnare. Il diagramma seguente illustra un pacchetto di accesso con due criteri.
Oltre ai criteri per consentire agli utenti di richiedere l'accesso, è anche possibile avere criteri per l’assegnazione automatica e i criteri per l'assegnazione diretta da parte di amministratori o proprietari del catalogo.
Quanti criteri sono necessari?
| Scenario | Numero di criteri |
|---|---|
| Si vuole che tutti gli utenti nella directory abbiano le stesse impostazioni di richiesta e approvazione per un pacchetto di accesso | Uno |
| Si vuole che tutti gli utenti di determinate organizzazioni connesse siano in grado di richiedere un pacchetto di accesso | Uno |
| Si vuole consentire agli utenti nella directory e anche agli utenti esterni alla directory di richiedere un pacchetto di accesso | Due |
| Si desidera specificare impostazioni di approvazione diverse per alcuni utenti | Uno per ogni gruppo di utenti |
| Si vuole che alcune assegnazioni di pacchetti di accesso degli utenti scadano mentre altri utenti possono estendere l'accesso | Uno per ogni gruppo di utenti |
| Si vuole che alcuni utenti richiedano l'accesso e altri utenti vengano assegnati da un amministratore | Due |
| Si vuole che alcuni utenti dell'organizzazione ricevano l'accesso automaticamente, altri utenti dell'organizzazione possano richiedere l'accesso e che ad altri utenti venga assegnato l'accesso da un amministratore | Tre |
Per informazioni sulla logica di priorità usata quando si applicano più criteri, vedere Più criteri.
Aprire un pacchetto di accesso esistente e aggiungere un nuovo criterio con impostazioni di richiesta diverse
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Se si dispone di un set di utenti che devono avere impostazioni di richiesta e approvazione diverse, è probabile che sia necessario creare un nuovo criterio. Seguire questa procedura per iniziare ad aggiungere un nuovo criterio a un pacchetto di accesso esistente:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso da modificare.
Selezionare Criteri e quindi Aggiungi criterio.
Nella scheda Informazioni di base digitare un nome e una descrizione per il criterio.
Fare clic su Avanti per aprire la scheda Richieste.
Modificare l'impostazione Utenti che possono richiedere l'accesso. Usare la procedura descritta nelle sezioni seguenti per modificare l'impostazione in una delle opzioni seguenti:
Per gli utenti nella directory
Seguire questa procedura se si vuole consentire agli utenti nella directory di poter richiedere questo pacchetto di accesso. Quando si definiscono i criteri di richiesta, è possibile specificare singoli utenti o più gruppi di utenti. Ad esempio, l'organizzazione potrebbe avere già un gruppo, ad esempio Tutti i dipendenti. Se tale gruppo viene aggiunto nei criteri per gli utenti che possono richiedere l'accesso, qualsiasi membro del gruppo può quindi richiedere l'accesso.
Nella sezione Utenti che possono richiedere l'accesso, selezionare Per gli utenti che si trovano nella directory.
Quando si seleziona questa opzione, vengono visualizzate nuove opzioni per perfezionare ulteriormente chi nella directory può richiedere questo pacchetto di accesso.
Selezionare una delle seguenti opzioni:
Descrizione Utenti e gruppi specifici Scegliere questa opzione se si desidera che solo gli utenti e i gruppi che si trovano nella directory specificata possano richiedere questo pacchetto di accesso. Tutti i membri (esclusi gli utenti guest) Scegliere questa opzione se si vuole che tutti gli utenti membri che si trovano nella directory possano richiedere questo pacchetto di accesso. Questa opzione non include eventuali utenti guest invitati nella directory. Tutti gli utenti (inclusi gli utenti guest) Scegliere questa opzione se si vuole che tutti gli utenti membri e gli utenti guest nella directory siano in grado di richiedere questo pacchetto di accesso. Gli utenti guest fanno riferimento a utenti esterni invitati nella directory con Microsoft Entra B2B. Per altre informazioni sulle differenze tra utenti membri e utenti guest, vedere Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID?.
Se è stata selezionata l'opzione Utenti e gruppi specifici, selezionare Aggiungi utenti e gruppi.
Nel riquadro Seleziona utenti e gruppi selezionare gli utenti e i gruppi da aggiungere.
Selezionare Seleziona per aggiungere utenti e gruppi.
Per richiedere l'approvazione, seguire la procedura descritta in Modificare le impostazioni di approvazione per un pacchetto di accesso nella gestione entitlement per configurare le impostazioni di approvazione.
Passare alla sezione Abilitare le richieste.
Per gli utenti non presenti nella directory
Gli utenti non presenti nella directory fanno riferimento agli utenti che si trovano in un'altra directory o dominio di Microsoft Entra. Questi utenti potrebbero non essere stati ancora invitati nella directory. Le directory di Microsoft Entra devono essere configurate per consentire gli inviti nelle restrizioni di collaborazione. Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.
Nota
Verrà creato un account utente guest per un utente non ancora nella directory la cui richiesta è approvata o approvata automaticamente. L'ospite verrà invitato, ma non riceverà un messaggio di posta elettronica di invito. Riceverà invece un messaggio di posta elettronica quando viene recapitata l'assegnazione del pacchetto di accesso. Per impostazione predefinita, in seguito, quando l'utente guest non ha più assegnazioni di pacchetti di accesso, perché l'ultima assegnazione è scaduta o è stata annullata, l'accesso a tale account utente guest verrà bloccato e successivamente eliminato. Se si desidera che gli utenti guest rimangano nella directory per un periodo illimitato, anche se non dispongono di assegnazioni di pacchetti di accesso, è possibile modificare le impostazioni per la configurazione di gestione entitlement. Per altre informazioni sull'oggetto utente guest, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra B2B.
Seguire questa procedura se si vuole consentire agli utenti che non si trovano nella directory di richiedere questo pacchetto di accesso:
Nella sezione Utenti che possono richiedere l'accesso selezionare Per gli utenti che non si trovano nella directory.
Quando si seleziona questa opzione, vengono visualizzate nuove opzioni.
Selezionare se gli utenti che possono richiedere l'accesso devono essere associati a un'organizzazione connessa esistente o possono essere chiunque su Internet. Un'organizzazione connessa è una relazione preesistente con cui potrebbe essere associata una directory Esterna di Microsoft Entra o un altro provider di identità. Selezionare una delle seguenti opzioni:
Descrizione Organizzazioni connesse specifiche Scegliere questa opzione se si vuole selezionare un elenco di organizzazioni aggiunte in precedenza dall'amministratore. Tutti gli utenti delle organizzazioni selezionate possono richiedere questo pacchetto di accesso. Tutte le organizzazioni connesse configurate Scegliere questa opzione se tutti gli utenti di tutte le organizzazioni connesse configurate possono richiedere questo pacchetto di accesso. Solo gli utenti di organizzazioni connesse configurate possono richiedere pacchetti di accesso, quindi se un utente non appartiene a un tenant, a un dominio o a un provider di identità microsoft associato a un'organizzazione connessa esistente, non sarà in grado di richiedere. Tutti gli utenti (Tutte le organizzazioni connesse e tutti i nuovi utenti esterni) Scegliere questa opzione se un utente su Internet deve essere in grado di richiedere questo pacchetto di accesso. Se non appartengono a un'organizzazione connessa nella directory, verrà creata automaticamente un'organizzazione connessa quando richiedono il pacchetto. L'organizzazione connessa creata automaticamente è in uno stato proposto . Per altre informazioni sullo stato proposto, vedere Proprietà dello stato delle organizzazioni connesse. Se è stata selezionata l'opzione Organizzazioni connesse specifiche, selezionare Aggiungi directory per scegliere da un elenco di organizzazioni connesse aggiunte in precedenza dall'amministratore.
Digitare il nome o il nome di dominio per cercare un'organizzazione connessa in precedenza.
Se l'organizzazione con cui si vuole collaborare non è presente nell'elenco, è possibile chiedere all'amministratore di aggiungerla come organizzazione connessa. Per altre informazioni, vedere Aggiungere un'organizzazione connessa.
Dopo aver selezionato tutte le organizzazioni connesse, selezionare Seleziona.
Nota
Tutti gli utenti delle organizzazioni connesse selezionate possono richiedere questo pacchetto di accesso. Per un'organizzazione connessa che dispone di una directory Microsoft Entra, gli utenti di tutti i domini verificati associati alla directory Microsoft Entra possono richiedere, a meno che tali domini non siano bloccati dall'elenco di accesso consentito o negato di Azure B2B. Per altre informazioni, consultare Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche.
Successivamente, usare i passaggi descritti in Modificare le impostazioni di approvazione per un pacchetto di accesso nella gestione entitlement per configurare le impostazioni di approvazione per specificare gli utenti che devono approvare le richieste degli utenti che non si trovano nell'organizzazione.
Passare alla sezione Abilitare le richieste.
Nessuno (solo assegnazioni dirette amministratore)
Seguire questa procedura se si desidera ignorare le richieste di accesso e consentire agli amministratori di assegnare direttamente utenti specifici a questo pacchetto di accesso. Gli utenti non dovranno richiedere il pacchetto di accesso. È comunque possibile configurare le impostazioni del ciclo di vita, ma non sono presenti impostazioni di richiesta.
Nella sezione Utenti che possono richiedere l'accesso, selezionare Nessuno (solo assegnazioni dirette di amministratore).
Dopo aver creato il pacchetto di accesso, è possibile assegnare direttamente utenti interni ed esterni specifici al pacchetto di accesso. Se si specifica un utente esterno, nella directory viene creato un account utente guest. Per informazioni sull'assegnazione diretta di un utente, vedere Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso.
Passare alla sezione Abilita richieste.
Nota
Quando si assegnano utenti a un pacchetto di accesso, gli amministratori dovranno verificare che gli utenti siano idonei per tale pacchetto di accesso in base ai requisiti dei criteri esistenti. In caso contrario, gli utenti non verranno assegnati correttamente al pacchetto di accesso. Se il pacchetto di accesso contiene criteri che richiedono l'approvazione delle richieste utente, gli utenti non possono essere assegnati direttamente al pacchetto senza approvazioni necessarie dai responsabili approvazione designati.
Aprire e modificare le impostazioni di richiesta di un criterio esistente
Per modificare le impostazioni di richiesta e approvazione per un pacchetto di accesso, è necessario aprire i criteri corrispondenti con tali impostazioni. Seguire questa procedura per aprire e modificare le impostazioni della richiesta per i criteri di assegnazione dei pacchetti di accesso:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso le cui impostazioni di richiesta di criteri si desidera modificare.
Selezionare Criteri e quindi selezionare il criterio da modificare.
Il riquadro Dettagli criteri si apre nella parte inferiore della pagina.
Selezionare Modifica per modificare il criterio.
Selezionare la scheda Richieste per aprire le impostazioni della richiesta.
Usare i passaggi nelle sezioni precedenti per modificare le impostazioni della richiesta in base alle esigenze.
Passare alla sezione Abilitare le richieste.
Abilitare le richieste
Se si vuole rendere immediatamente disponibile il pacchetto di accesso per gli utenti nei criteri di richiesta da richiedere, spostare l'interruttore Abilita su Sì.
È sempre possibile abilitarla in futuro dopo aver completato la creazione del pacchetto di accesso.
Se è stato selezionato Nessuno (solo assegnazioni dirette di amministratore) e si è impostato su No, gli amministratori non possono assegnare direttamente questo pacchetto di accesso.
Selezionare Avanti.
Per richiedere ai richiedenti di fornire informazioni aggiuntive quando si richiede l'accesso a un pacchetto di accesso, seguire la procedura descritta in Modificare le impostazioni relative all'approvazione e alle informazioni del richiedente per un pacchetto di accesso nella gestione entitlement per configurare le informazioni del richiedente.
Configurare le impostazioni del ciclo di vita.
Se si sta modificando un criterio, selezionare Aggiorna. Se si aggiunge un nuovo criterio, selezionare Crea.
Creare un criterio di assegnazione dei pacchetti di accesso a livello di codice
Esistono due modi per creare criteri di assegnazione dei pacchetti di accesso a livello di codice, tramite Microsoft Graph e tramite i cmdlet di PowerShell per Microsoft Graph.
Creare criteri di assegnazione dei pacchetti di accesso tramite Graph
È possibile creare un criterio usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione in un ruolo del catalogo o con l'autorizzazione EntitlementManagement.ReadWrite.All può chiamare l'API crea an assignmentPolicy.
Creare criteri di assegnazione dei pacchetti di accesso tramite PowerShell
È anche possibile creare un pacchetto di accesso in PowerShell con i cmdlet del modulo Microsoft Graph PowerShell perIdentity Governance versione 2.1.x o successiva del modulo.
Questo script seguente illustra la creazione di un criterio per l'assegnazione diretta a un pacchetto di accesso. In questo criterio solo l'amministratore può assegnare l'accesso e non sono presenti approvazioni o verifiche di accesso. Vedere Creare un criterio di assegnazione automatica per un esempio di come creare un criterio di assegnazione automatica e creare un assignmentPolicy per altri esempi.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Impedire richieste da utenti con accesso incompatibile
Oltre ai controlli dei criteri su chi può richiedere, è possibile limitare ulteriormente l'accesso, per evitare che un utente abbia già accesso, tramite un gruppo o un altro pacchetto di accesso, dall'ottenere un accesso eccessivo.
Se si vuole configurare che un utente non possa richiedere un pacchetto di accesso, se ha già un'assegnazione a un altro pacchetto di accesso o è membro di un gruppo, seguire questa procedura in Configurare la separazione dei compiti per verificare la presenza di un pacchetto di accesso.