Condividi tramite

Configurare un criterio di assegnazione automatica per un pacchetto di accesso nella gestione entitlement

  • Articolo

È possibile usare le regole per determinare l'assegnazione di pacchetti di accesso in base alle proprietà utente in Microsoft Entra ID, parte di Microsoft Entra. In Entitlement Management un pacchetto di accesso può avere più criteri e ogni criterio stabilisce come gli utenti ottengono un'assegnazione al pacchetto di accesso e per quanto tempo. In qualità di amministratore, è possibile stabilire un criterio per le assegnazioni automatiche fornendo una regola di appartenenza, che Gestione entitlement segue per creare e rimuovere automaticamente le assegnazioni. Analogamente a un gruppo dinamico, quando viene creato un criterio di assegnazione automatica, gli attributi utente vengono valutati per le corrispondenze con la regola di appartenenza del criterio. Quando un attributo cambia per un utente, queste regole dei criteri di assegnazione automatica nei pacchetti di accesso vengono elaborate per le modifiche di appartenenza. Le assegnazioni agli utenti vengono quindi aggiunte o rimosse a seconda che soddisfino i criteri della regola.

È possibile avere al massimo un criterio di assegnazione automatica in un pacchetto di accesso e i criteri possono essere creati solo da un amministratore. I proprietari del catalogo e gli strumenti di gestione pacchetti di accesso non possono creare criteri di assegnazione automatica.

Questo articolo descrive come creare un criterio di assegnazione automatica del pacchetto di accesso per un pacchetto di accesso esistente.

Operazioni preliminari

È necessario che gli attributi siano popolati negli utenti che saranno inclusi nell'ambito per l'accesso assegnato. Gli attributi che è possibile usare nei criteri delle regole di un criterio di assegnazione dei pacchetti di accesso sono gli attributi elencati nelle proprietà supportate, insieme agli attributi di estensione e alle proprietà di estensione personalizzate. Questi attributi possono essere inseriti in Microsoft Entra ID applicando patch all'utente, a un sistema HR come SuccessFactors, Microsoft Entra Connessione cloud sync o Microsoft Entra Connessione Sync. Le regole possono includere fino a 5.000 utenti per criterio.

Requisiti di licenza

L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance degli ID di Microsoft Entra ID.

Creare un criterio di assegnazione automatica

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per creare un criterio per un pacchetto di accesso, è necessario iniziare dalla scheda criteri del pacchetto di accesso. Seguire questa procedura per creare un nuovo criterio di assegnazione automatica per un pacchetto di accesso.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).

  3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

  4. Selezionare Criteri e quindi Aggiungere criteri di assegnazione automatica per creare un nuovo criterio.

  5. Nella prima scheda specificare la regola. Seleziona Modifica

  6. Specificare una regola di appartenenza dinamica, usando il generatore di regole di appartenenza o facendo clic su Modifica nella casella di testo della sintassi della regola.

    Nota

    Il generatore di regole potrebbe non essere in grado di visualizzare alcune regole costruite nella casella di testo e la convalida di una regola richiede attualmente che l'utente sia nel ruolo Global Amministrazione istrator. Per altre informazioni, vedere Generatore regole nell'interfaccia di amministrazione di Microsoft Entra.

    Screenshot di una configurazione della regola dei criteri di assegnazione automatica del pacchetto di accesso.

  7. Selezionare Salva per chiudere l'editor delle regole di appartenenza dinamica.

  8. Per impostazione predefinita, le caselle di controllo per creare e rimuovere automaticamente le assegnazioni devono rimanere selezionate.

  9. Se si desidera che gli utenti mantengano l'accesso per un periodo di tempo limitato dopo l'uscita dall'ambito, è possibile specificare una durata in ore o giorni. Ad esempio, quando un dipendente lascia il reparto vendite, è possibile consentire loro di continuare ad accedere per sette giorni per consentire loro di usare le app di vendita e trasferire la proprietà delle risorse in tali app a un altro dipendente.

  10. Selezionare Avanti per aprire la scheda Estensioni personalizzate.

  11. Se nel catalogo sono presenti estensioni personalizzate che si desidera eseguire quando il criterio assegna o rimuove l'accesso, è possibile aggiungerle a questo criterio. Selezionare quindi accanto per aprire la scheda Rivedi .

  12. Digitare un nome e una descrizione per il criterio.

    Screenshot di una scheda verifica automatica dei criteri di assegnazione automatica del pacchetto di accesso.

  13. Selezionare Crea per salvare il criterio.

    Nota

    Al momento, la gestione entitlement creerà automaticamente un gruppo di sicurezza dinamico corrispondente a ogni criterio, per valutare gli utenti nell'ambito. Questo gruppo non deve essere modificato tranne da Entitlement Management stesso. Questo gruppo può anche essere modificato o eliminato automaticamente da Entitlement Management, quindi non usare questo gruppo per altre applicazioni o scenari.

  14. Microsoft Entra ID valuta gli utenti dell'organizzazione che rientrano nell'ambito di questa regola e crea assegnazioni per gli utenti che non hanno già assegnazioni al pacchetto di accesso. Un criterio può includere al massimo 5.000 utenti nella regola. L'esecuzione della valutazione può richiedere alcuni minuti o la visualizzazione degli aggiornamenti successivi degli attributi dell'utente nelle assegnazioni dei pacchetti di accesso.

Creare un criterio di assegnazione automatica a livello di codice

Esistono due modi per creare criteri di assegnazione dei pacchetti di accesso per l'assegnazione automatica a livello di codice, tramite Microsoft Graph e tramite i cmdlet di PowerShell per Microsoft Graph.

Creare criteri di assegnazione dei pacchetti di accesso tramite Graph

È possibile creare un criterio usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione in un ruolo del catalogo o con l'autorizzazione EntitlementManagement.ReadWrite.All può chiamare l'API create an assignmentPolicy . Nel payload della richiesta includere le displayNameproprietà , descriptionspecificAllowedTargets, automaticRequestSettings e accessPackage dei criteri.

Creare criteri di assegnazione dei pacchetti di accesso tramite PowerShell

È anche possibile creare criteri in PowerShell con i cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 1.16.0 o successiva.

Questo script seguente illustra l'uso del v1.0 profilo per creare un criterio per l'assegnazione automatica a un pacchetto di accesso. Per altri esempi, vedere Creare un oggetto assignmentPolicy .

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Passaggi successivi