Governance degli utenti guest di Microsoft Teams

Questo scenario di esempio consente agli utenti di collaborare con altre organizzazioni, fornendo controlli di identità e governance per gli utenti esterni quando si usa Microsoft Entra B2B Collaboration.

Architettura

Scaricare un file di Visio di questa architettura.

Flusso di lavoro

1. Directory delle risorse: si tratta della directory Microsoft Entra che contiene risorse, ovvero gruppi e team di Microsoft 365. Per questo esempio, la risorsa è un team di progetto aggiunto al pacchetto di accesso, in modo che gli utenti esterni all'organizzazione possano richiedere l'accesso.

2. Directory esterna (organizzazione Connessione ed): si tratta della directory esterna di Microsoft Entra che contiene utenti esterni dell'organizzazione connessa. Questi utenti possono essere consentiti da un criterio per richiedere l'accesso al team di progetto.

3. Catalogo 1 : un catalogo è un contenitore per le risorse correlate e i pacchetti di accesso. Catalogo 1 contiene il team di progetto e il relativo pacchetto di accesso.

   I cataloghi consentono la delega, in modo che gli utenti non amministratori possano creare pacchetti di accesso. I proprietari del catalogo possono aggiungere risorse di proprietà a un catalogo.

4. Risorse : si tratta delle risorse visualizzate nei pacchetti di accesso. Possono includere gruppi di sicurezza, applicazioni e siti di SharePoint Online. In questo esempio si tratta del team di progetto.

5. Access 1 : un pacchetto di accesso è una raccolta di risorse con tipi di accesso per ognuno. I pacchetti di accesso vengono usati per gestire l'accesso per gli utenti interni ed esterni. In questo esempio il team di progetto è la risorsa con un singolo criterio che consente agli utenti esterni di richiedere l'accesso. Gli utenti interni in questo esempio non devono usare la gestione entitlement di Microsoft Entra. Vengono aggiunti al team di progetto usando Microsoft Teams.

6. Ruolo risorsa gruppo 1: i ruoli delle risorse sono autorizzazioni associate e definite da una risorsa. Un gruppo ha due ruoli: membro e proprietario. I siti di SharePoint in genere hanno tre ruoli, ma possono avere ruoli personalizzati aggiuntivi. Le applicazioni possono avere ruoli personalizzati.

7. Criteri di accesso esterno: si tratta dei criteri che definiscono le regole per l'assegnazione a un pacchetto di accesso. In questo esempio viene usato un criterio per garantire che gli utenti delle organizzazioni connesse possano richiedere l'accesso al team di progetto. Dopo aver effettuato una richiesta, l'approvazione viene richiesta dai responsabili approvazione, come definito nei criteri. Il criterio specifica anche i limiti di tempo e le impostazioni di rinnovo.

8. Responsabile approvazione: un responsabile approvazione approva la richiesta di accesso. Può trattarsi di un utente interno o esterno.

9. Richiedente : utente esterno che richiede l'accesso tramite il portale accesso personale. Il portale mostra solo i pacchetti di accesso che il richiedente è autorizzato a richiedere.

Richiesta di accesso a una risorsa per gli utenti esterni al flusso dell'organizzazione

Di seguito è riportato un flusso di lavoro di alto livello che illustra come viene concesso l'accesso al gruppo o al team di Microsoft 365 agli utenti esterni. Include la rimozione di un account guest quando l'accesso non è più necessario o viene raggiunto un limite di tempo.

Componenti

• Microsoft Entra ID offre servizi di gestione delle identità e degli accessi basati sul cloud che consentono agli utenti di accedere alle risorse e accedervi. Include le funzionalità e le funzionalità seguenti:
  • La gestione entitlement di Microsoft Entra è una funzionalità di governance delle identità che consente alle organizzazioni di gestire i cicli di vita delle identità e degli accessi su larga scala, automatizzando i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le verifiche e la scadenza.
  • La collaborazione microsoft Entra business-to-business (B2B) viene usata dalla gestione entitlement di Microsoft Entra per condividere l'accesso, in modo che gli utenti interni possano collaborare con utenti esterni.
  • Le verifiche di accesso di Microsoft Entra consentono alle organizzazioni di gestire in modo efficiente le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo. L'accesso degli utenti può essere esaminato regolarmente per assicurarsi che solo le persone giuste abbiano accesso continuo.
  • L'accesso guest di Microsoft Teams consente agli utenti esterni di accedere a team, canali, risorse, chat e applicazioni, mantenendo il controllo sulle risorse aziendali.
  • L'accesso condizionale Microsoft Entra riunisce i segnali per prendere decisioni e applicare i criteri dell'organizzazione. L'accesso condizionale in questa soluzione è stato usato per applicare i contratti di utilizzo e l'autenticazione a più fattori e per impostare i timeout della sessione per gli account guest.

Alternative

Una soluzione alternativa alla gestione entitlement di Microsoft Entra consiste nel consentire agli utenti interni di invitare utenti esterni a un team. Un utente invitato potrebbe quindi creare un account guest nella directory delle risorse.

Questa alternativa non fornisce i controlli di identità e governance richiesti dal cliente. Le carenze rispetto alla gestione entitlement di Active Directory sono:

• Gli utenti esterni non possono richiedere l'accesso. Deve essere presente un invito. L'utente esterno deve sapere come richiedere un invito, un processo che può variare in base al team e cambiare nel tempo.
• Non esistono giustificazioni aziendali, notifiche tramite posta elettronica, processi di revisione o processi di approvazione, che è un problema di controllo.
• L'accesso a risorse specifiche non può essere gestito, rimosso o aggiornato facilmente. Poiché è probabile che le risorse del progetto cambino, si tratta di un problema di efficienza.
• Se un utente esterno viene invitato ma l'organizzazione dell'utente non è consentita, l'utente viene negato l'accesso, causando confusione.
• Gli account guest non vengono rimossi automaticamente e non è stata impostata alcuna scadenza. Un processo manuale per gestire la scadenza è soggetto a errori e meno efficiente rispetto a un processo automatico che richiede limiti da impostare durante la creazione dell'account. Si tratta di un problema di sicurezza e di un problema di efficienza.

La creazione di una soluzione personalizzata per gestire questi problemi è improbabile che sia competitiva dai costi o dalla concorrenza delle funzionalità con la gestione entitlement di AD.

Dettagli dello scenario

Questo scenario di esempio è stato creato durante la pandemia di COVID-19, quando un cliente aveva un requisito immediato di collaborare con altre organizzazioni. Ciò significava fornire controlli di identità e governance per gli utenti esterni.

Microsoft Teams è stato lo strumento principale del cliente per le comunicazioni aziendali. Gli utenti hanno collaborato usando chat, riunioni e chiamate di Teams. I canali di Teams hanno fornito loro l'accesso ai file e alle conversazioni.

Le riunioni di Teams hanno fornito un modo efficace per incontrare gli utenti esterni. Tuttavia, gli utenti esterni non potevano accedere ai team e ai canali, quindi la collaborazione con loro era impacciata e la produttività era ostacolata. Il cliente aveva bisogno di qualcosa di meglio.

Teams offre due opzioni per comunicare e collaborare con utenti esterni:

• Accesso esterno: tipo di federazione che consente agli utenti interni di trovare, chiamare e chattare con utenti esterni. Gli utenti con accesso esterno non possono essere aggiunti ai team a meno che non vengano invitati come guest usando l'accesso guest.
• Accesso guest: consente agli utenti interni di invitare utenti esterni a partecipare a un team. Gli utenti invitati ottengono un account guest in Microsoft Entra ID. L'accesso guest consente agli utenti esterni di essere invitati ai team e fornisce l'accesso ai documenti nei canali e alle risorse, alle chat e alle applicazioni. Il cliente mantiene il controllo sui dati aziendali in base alle esigenze.

L'accesso guest soddisfa i requisiti di collaborazione del cliente, ma ha dato origine a problemi di sicurezza e governance:

• Gli utenti guest devono avere accesso solo a team specifici in base alle esigenze e solo per tutto il tempo necessario. Al termine di un progetto, l'account guest deve essere rimosso.
• È necessario un processo di approvazione per la creazione di account guest che soddisfi i requisiti di controllo. Gli utenti interni devono esaminare le richieste e approvarle in base alle esigenze.
• Deve essere possibile compilare e automatizzare rapidamente la soluzione. Non è possibile creare account guest finché non sono presenti controlli di sicurezza e governance appropriati.

La gestione entitlement di Microsoft Entra è lo strumento principale per soddisfare i requisiti di sicurezza e governance:

• Consente di gestire in modo efficiente l'accesso ai gruppi di Microsoft 365, inclusi team, applicazioni e siti online di SharePoint, sia per utenti interni che esterni.
• Offre la possibilità di automatizzare i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le verifiche e la scadenza.

L'accesso guest e il diritto microsoft Entra insieme soddisfano i requisiti di collaborazione del cliente. Gli utenti esterni possono partecipare ai team selezionati e l'accesso è gestito. Inoltre, la gestione entitlement di Microsoft Entra offre funzionalità per un possibile uso futuro, ad esempio la gestione dell'accesso alle risorse diverse dai team.

Potenziali casi d'uso

Questa soluzione si applica a qualsiasi situazione che richiede la gestione dell'accesso, per gli utenti interni ed esterni che ne hanno bisogno, per i gruppi, le applicazioni e i siti di SharePoint Online. La gestione entitlement di Microsoft Entra offre queste funzionalità e vantaggi:

• L'onboarding e la gestione semplificati per l'accesso dei dipendenti alle risorse, ad esempio:
  • Gruppi di sicurezza di Microsoft Entra.
  • Gruppi di Microsoft 365.
  • Team di Microsoft 365.
  • Applicazioni, incluse le applicazioni SaaS.
  • Applicazioni personalizzate che implementano misure di sicurezza appropriate.
  • Siti di SharePoint Online.
• Esistono procedure semplificate per gli utenti esterni per ottenere l'accesso alle risorse necessarie.
• È possibile designare le organizzazioni connesse a cui è consentito fornire utenti esterni che possono richiedere l'accesso.
• Un utente che richiede l'accesso e viene approvato viene automaticamente invitato nella directory del team e assegnato l'accesso alle risorse.
• È possibile impostare un limite di tempo per l'accesso alle risorse di un utente, con rimozione automatica quando viene raggiunto il limite.
• Quando l'accesso scade per un utente esterno che non dispone di altre assegnazioni di pacchetti di accesso, l'account dell'utente può essere rimosso automaticamente.
• È possibile assicurarsi che gli utenti non abbiano più accesso di quanto richiesto.
• Esiste un processo di approvazione per le richieste di accesso che includono l'approvazione da parte di utenti designati, ad esempio i manager.
• È possibile gestire l'accesso ad altre risorse che si basano su gruppi di sicurezza di Microsoft Entra o gruppi di Microsoft 365. Un esempio è la concessione di licenze agli utenti tramite licenze basate su gruppo.
• È possibile delegare a utenti non amministratori la possibilità di creare pacchetti di accesso contenenti risorse che gli utenti possono richiedere.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Un passaggio importante di implementazione consiste nella configurazione delle impostazioni del tenant per consentire agli utenti esterni.

1. Abilitare il catalogo per gli utenti esterni: assicurarsi che il catalogo sia abilitato per gli utenti esterni impostato su Sì. Per impostazione predefinita, quando si crea un nuovo catalogo nella gestione entitlement di Microsoft Entra, è abilitato per consentire agli utenti esterni di richiedere l'accesso ai pacchetti nel catalogo.
2. Impostazioni di collaborazione esterna di Microsoft Entra B2B: le impostazioni di collaborazione esterna di Azure B2B possono influire sul fatto che sia possibile usare la gestione entitlement di Microsoft Entra per invitare utenti esterni alle risorse. Verificare queste impostazioni:
   • Controllare se gli utenti guest possono invitare altri utenti guest nella directory. È consigliabile impostare Guest per invitare a No per consentire solo gli inviti regolamentati.
   • Assicurarsi di consentire o bloccare gli inviti in modo appropriato. Per altre informazioni, consultare Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche.
3. Esaminare i criteri di accesso condizionale: verificare l'accesso condizionale per assicurarsi che gli utenti guest siano esclusi dai criteri di accesso condizionale che non possono soddisfare. In caso contrario, non possono accedere alla directory e non avranno accesso alla risorsa.
4. Esaminare le impostazioni di condivisione esterna di SharePoint Online: se si includono siti di SharePoint Online in un pacchetto di accesso per utenti esterni, assicurarsi di configurare l'impostazione di condivisione esterna a livello di organizzazione. Impostare come Chiunque se l'accesso non è necessario o Utenti guest esistenti per gli utenti invitati. Per altre informazioni, vedere Modificare l'impostazione di condivisione esterna a livello di organizzazione.
5. Esaminare le impostazioni di condivisione dei gruppi di Microsoft 365: se si includono gruppi o team di Microsoft 365 in un pacchetto di accesso per utenti esterni, assicurarsi che Consenti agli utenti di aggiungere nuovi guest all'organizzazione sia impostato su Sì per consentire l'accesso guest.
6. Esaminare l'impostazione di condivisione di Teams: se si includono i team in un pacchetto di accesso per gli utenti esterni, assicurarsi che Consenti l'accesso guest in Microsoft Teams sia impostato su Sì per consentire l'accesso guest. Verificare anche che le impostazioni di Accesso guest di Teams siano configurate.
7. Gestire il ciclo di vita degli utenti esterni: è possibile selezionare cosa accade quando un utente esterno non dispone più di assegnazioni di pacchetti di accesso. Ciò si verifica quando tutte le assegnazioni vengono rilinque dall'utente o scadute. Per impostazione predefinita, l'utente non può accedere alla directory. Dopo 30 giorni, l'account utente guest viene rimosso dalla directory.

Considerazioni aggiuntive:

• Assegnazione di accesso: i pacchetti di accesso non sostituiscono altri meccanismi per l'assegnazione di accesso. Sono più appropriati in situazioni come:
  • I dipendenti necessitano di un accesso a tempo limitato per una determinata attività.
  • L'accesso richiede l'approvazione di un responsabile o di un altro utente designato.
  • I reparti vogliono gestire le proprie risorse senza il coinvolgimento it.
  • Due o più organizzazioni collaborano a un progetto, quindi è necessario invitare più utenti di un'organizzazione ad accedere alle risorse di un'altra organizzazione.
• Aggiornamento delle risorse : con la gestione entitlement di Microsoft Entra, è possibile modificare le risorse in un pacchetto di accesso in qualsiasi momento. Gli utenti del pacchetto hanno l'accesso automatico alle risorse in modo che corrispondano al pacchetto modificato.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.

• L'uso della gestione entitlement di Microsoft Entra richiede una licenza Microsoft Entra ID P2.
• L'accesso guest può essere usato con tutti gli abbonamenti a Microsoft 365 Business Standard, Microsoft 365 Business Premium e Microsoft 365 Education. Non è necessaria alcuna licenza aggiuntiva di Microsoft 365.
• Il modello di fatturazione per Microsoft Entra per ID esterno si applica agli utenti guest in Microsoft 365. Solo gli utenti esterni possono essere invitati come guest.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Martin Boam | Architetto associato

Passaggi successivi

• Panoramica dei team e dei canali in Microsoft Teams
• Cosa sono i team e i canali in Microsoft Teams
• Usare l'accesso guest e l'accesso esterno per collaborare con persone esterne all'organizzazione
• Creare un nuovo pacchetto di accesso nella gestione entitlement di Microsoft Entra
• Esercitazione: Gestire l'accesso alle risorse nella gestione entitlement di Microsoft Entra
• Che cos'è la gestione entitlement di Microsoft Entra?
• Cos'è la governance di Microsoft Entra ID?
• Che cosa sono le verifiche di accesso di Microsoft Entra?
• Scenari comuni nella gestione entitlement di Microsoft Entra
• Gestire l'accesso per gli utenti esterni nella gestione entitlement di Microsoft Entra
• Gestire l'accesso per gli utenti esterni all'organizzazione
• Collaborare con gli utenti guest in un team
• Usare l'accesso guest e l'accesso esterno per collaborare con persone esterne all'organizzazione
• Collaborazione con persone esterne all'organizzazione
• Informazioni sull'accesso condizionale

Risorse correlate

• Creare una foresta di risorse di Active Directory Domain Services in Azure
• Distribuire Active Directory Domain Services in una rete virtuale di Azure
• Identità ibrida
• Integrare domini AD locali con Microsoft Entra ID
• Gestione delle identità e degli accessi di Microsoft Entra per AWS