Esercitazione: Eseguire l'onboarding di utenti esterni in Microsoft Entra ID tramite un processo di approvazione

  • Articolo

È possibile usare la gestione entitlement come modo per eseguire l'onboarding di utenti esterni. Questa funzionalità consente agli utenti esterni di richiedere l'accesso a un set di risorse e in cui è possibile configurare le approvazioni prima di ottenere l'accesso alla directory. Per gli utenti esterni di cui è stato eseguito l'onboarding tramite entitlement, è possibile gestire il ciclo di vita tramite pacchetti di accesso. Alla scadenza dell'ultimo pacchetto di accesso, verranno rimossi dalla directory.

In questa esercitazione si lavora per WoodGrove Bank come amministratore IT. È stato chiesto di creare un pacchetto di accesso per eseguire l'onboarding di partner da un'organizzazione esterna con cui lavora il gruppo aziendale. Dovranno accedere a un gruppo di Teams denominato Collaborazione esterna. L'approvazione è necessaria da uno sponsor interno per collaborare alle organizzazioni. Inoltre, è stato informato che l'accesso del partner deve scadere dopo 60 giorni. Per usare la gestione entitlement, è necessario avere una delle licenze seguenti:

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Licenza di Enterprise Mobility + Security (EMS) E5

Per altre informazioni, vedere Requisiti relativi alle licenze.

Passaggio 1: Configurare le nozioni di base

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Ruolo prerequisito: amministratore globale, amministratore di Identity Governance, amministratore utente, proprietario del catalogo o Gestione pacchetti di Access

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di Identity Governance.

  2. Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).

  3. Quando si seleziona la pagina del pacchetto di accesso se viene visualizzato Accesso negato, assicurarsi che nella directory sia presente una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance.

  4. Selezionare Nuovo pacchetto di accesso.

  5. Nella scheda Informazioni di base immettere il nome Pacchetto utente esterno e la descrizione Accesso per gli utenti esterni in attesa di approvazione.

  6. È possibile lasciare l'elenco a discesa Catalogo impostato su Generale.

Passaggio 2: Configurare le risorse

  1. Selezionare Avanti per aprire la scheda Ruoli risorsa.

    In questa scheda sarà necessario selezionare le risorse e il relativo ruolo da includere nel pacchetto di accesso.

  2. Selezionare Gruppi e Teams e cercare il gruppo Collaborazione esterna.

Passaggio 3: Configurare le richieste

  1. Selezionare Avanti per aprire la scheda Richieste .

    In questa scheda è possibile creare un criterio di richiesta. Un criterio definisce le regole o i vincoli per accedere a un pacchetto di accesso. Verrà creato un criterio che consente a un utente specifico nella directory della risorsa di richiedere questo pacchetto di accesso.

  2. Nella sezione Utenti che possono richiedere l'accesso selezionare Per gli utenti non presenti nella directory e quindi selezionare Tutti gli utenti (Tutte le organizzazioni connesse e tutti i nuovi utenti esterni).

  3. Poiché qualsiasi utente che non è ancora presente nella directory può visualizzare e inviare una richiesta per questo pacchetto di accesso, è obbligatorio per l'impostazione Richiedi approvazione .

  4. Le impostazioni seguenti consentono di configurare il funzionamento delle approvazioni per gli utenti esterni:

  5. Per Richiedi giustificazione del richiedente lasciare sì.

  6. Per Quante fasi lasciare 1.

  7. Per Scenario responsabile approvazione selezionare Sponsor interno. Questa opzione proviene da un'organizzazione configurata Connessione in cui è possibile sponsorizzare per organizzazioni specifiche con cui si lavora. In questo modo è possibile impostare un utente specificato nell'organizzazione Connessione ed dall'interno dell'organizzazione in modo che sia il responsabile approvazione.

  8. Per la decisione deve essere presa in quanti giorni? lasciare il valore 14.

  9. Per Richiedi giustificazione del responsabile approvazione lasciare.

  10. Impostare Abilita nuove richieste e assegnazioni su per abilitare il pacchetto di accesso da richiedere non appena viene creato.

Passaggio 4: Configurare le informazioni del richiedente

  1. Selezionare Avanti per aprire la scheda Informazioni del richiedente

  2. In questa schermata è possibile porre domande aggiuntive per raccogliere altre informazioni dal richiedente. Queste domande vengono visualizzate nel modulo di richiesta e possono essere impostate su obbligatorio o facoltativo. Per il momento è possibile lasciarli vuoti.

Passaggio 5: Configurare il ciclo di vita

  1. Selezionare Avanti per aprire la scheda Ciclo di vita

  2. Nella sezione Scadenza impostare Assegnazione pacchetto di accesso scadere su Numero di giorni.

  3. Impostare Assignment expire after to 60 days.Set Assignment expire after to 60 days. Questo campo determina quando gli utenti guest dovranno rinnovare l'accesso.

  4. È anche possibile configurare verifiche di accesso che consentono controlli periodici di se il guest deve comunque accedere al pacchetto di accesso. Una revisione può essere una revisione automatica oppure è possibile impostare revisioni specifiche per questa attività. Per altre informazioni, vedere Verifiche di accesso.

Passaggio 6: Esaminare e creare il pacchetto di accesso

  1. Selezionare Avanti per aprire la scheda Rivedi e crea .

  2. In questa schermata è possibile esaminare la configurazione per il pacchetto di accesso prima di creare. In caso di problemi, è possibile usare le schede per passare a un punto specifico nell'esperienza di creazione per apportare modifiche.

  3. Quando si è soddisfatti delle selezioni, selezionare Crea. Dopo alcuni istanti, verrà visualizzata una notifica che indica che il pacchetto di accesso è stato creato.

  4. Dopo la creazione, verrà visualizzata la pagina Panoramica per il pacchetto di accesso. È possibile trovare il collegamento Portale di Accesso personale e copiare il valore qui. Condividi questo collegamento con gli utenti esterni e possono passare a richiedere questo pacchetto per iniziare a collaborare.

Passaggio 7: Pulire le risorse

In questo passaggio è possibile eliminare il pacchetto di accesso al pacchetto utente esterno.

Ruolo prerequisito: amministratore globale, amministratore di Identity Governance o Gestione pacchetti di Access

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di Identity Governance.

  2. Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).

  3. Aprire il pacchetto di accesso al pacchetto utente esterno.

  4. Selezionare Ruoli risorsa.

  5. Selezionare il gruppo collaborazione esterna aggiunto a questo pacchetto di accesso e nel riquadro Dettagli selezionare Rimuovi ruolo risorsa. Nel messaggio visualizzato selezionare .

  6. Aprire l'elenco dei pacchetti di accesso.

  7. In Pacchetto utente esterno selezionare i puntini di sospensione (...) e quindi selezionare Elimina. Nel messaggio visualizzato selezionare .

Passaggi successivi

Informazioni sulla creazione di pacchetti di accesso per gestire l'accesso ad altri tipi di risorse, ad esempio applicazioni e siti. Esercitazione: Gestire l'accesso alle risorse nella gestione entitlement