Esercitazione: Eseguire l'onboarding di utenti esterni in Microsoft Entra ID tramite un processo di approvazione
È possibile usare la gestione entitlement come modo per eseguire l'onboarding di utenti esterni. Questa funzionalità consente agli utenti esterni di richiedere l'accesso a un set di risorse e in cui è possibile configurare le approvazioni prima di ottenere l'accesso alla directory. Per gli utenti esterni di cui è stato eseguito l'onboarding tramite entitlement, è possibile gestire il ciclo di vita tramite pacchetti di accesso. Alla scadenza dell'ultimo pacchetto di accesso, questi vengono rimossi dalla directory.
In questa esercitazione si lavora per WoodGrove Bank come amministratore IT. È stato chiesto di creare un pacchetto di accesso per eseguire l'onboarding di partner da un'organizzazione esterna con cui lavora il gruppo aziendale. Devono accedere a un gruppo di Teams denominato Collaborazione esterna. L'approvazione è necessaria da uno sponsor interno per collaborare alle organizzazioni. Inoltre, è stato informato che l'accesso del partner deve scadere dopo 60 giorni. Per usare la funzionalità Gestione entitlement, è necessario disporre di una delle licenze seguenti:
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Licenza di Enterprise Mobility + Security (EMS) E5
Per altre informazioni, vedere Requisiti relativi alle licenze.
Passaggio 1: Configurare le nozioni di base
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, l'amministratore utenti e la gestione pacchetti di Access.
Passare a Identity governance>Gestione entitlement>Pacchetto di accesso.
Quando si seleziona la pagina del pacchetto di accesso se viene visualizzato Accesso negato, assicurarsi che nella directory sia presente una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance.
Selezionare Nuovo pacchetto di accesso.
Nella scheda Informazioni di base immettere il nome Pacchetto utente esterno e la descrizione Accesso per gli utenti esterni in attesa di approvazione.
È possibile lasciare l'elenco a discesa Catalogo impostato su Generale.
Passaggio 2: Configurare le risorse
Selezionare Avanti per aprire la scheda Ruoli risorsa.
In questa scheda sarà necessario selezionare le risorse e il relativo ruolo da includere nel pacchetto di accesso.
Selezionare Gruppi e Teams e cercare il gruppo Collaborazione esterna.
Passaggio 3: Configurare le richieste
Fare clic su Avanti per aprire la scheda Richieste.
In questa scheda è possibile creare un criterio di richiesta. Un criterio definisce le regole o i vincoli per accedere a un pacchetto di accesso. Verrà creato un criterio che consente a un utente specifico nella directory della risorsa di richiedere questo pacchetto di accesso.
Nella sezione Utenti che possono richiedere l'accesso selezionare Per gli utenti non presenti nella directory e quindi selezionare Tutti gli utenti (Tutte le organizzazioni connesse e tutti i nuovi utenti esterni).
Poiché qualsiasi utente che non è ancora presente nella directory può visualizzare e inviare una richiesta per questo pacchetto di accesso, Sì è obbligatorio per l'impostazione Richiedi approvazione .
Le impostazioni seguenti consentono di configurare il funzionamento delle approvazioni per gli utenti esterni:
Per Richiedi giustificazione del richiedente lasciare sì.
Per Quante fasi lasciare 1.
Per Scenario responsabile approvazione selezionare Sponsor interno. Questa opzione proviene da un'organizzazione connessa configurata in cui è possibile sponsorizzare per organizzazioni specifiche con cui si lavora. In questo modo è possibile impostare un utente specificato nell'organizzazione connessa dall'interno dell'organizzazione come responsabile approvazione.
Per la decisione deve essere presa in quanti giorni? lasciare il valore 14.
Per Richiedi giustificazione del responsabile approvazione lasciare sì.
Impostare Abilita nuove richieste e assegnazioni su Sì per abilitare il pacchetto di accesso da richiedere non appena viene creato.
Passaggio 4: Configurare le informazioni del richiedente
Selezionare Avanti per aprire la scheda Informazioni del richiedente
In questa schermata è possibile porre domande aggiuntive per raccogliere altre informazioni dal richiedente. Queste domande vengono visualizzate nel modulo di richiesta e possono essere impostate su obbligatorio o facoltativo. Per il momento è possibile lasciarli vuoti.
Passaggio 5: Configurare il ciclo di vita
Selezionare Avanti per aprire la scheda Ciclo di vita
Nella sezione Scadenza impostare Assegnazione pacchetto di accesso scadere su Numero di giorni.
Impostare Assignment expire after to 60 days.Set Assignment expire after to 60 days. Questo campo determina quando gli utenti guest devono rinnovare l'accesso.
È anche possibile configurare verifiche di accesso che consentono controlli periodici di se il guest deve comunque accedere al pacchetto di accesso. Una revisione può essere una revisione automatica oppure è possibile impostare revisioni specifiche per questa attività. Per altre informazioni, vedere Verifiche di accesso.
Passaggio 6: Esaminare e creare il pacchetto di accesso
Selezionare Avanti per aprire la scheda Rivedi e crea.
In questa schermata è possibile esaminare la configurazione per il pacchetto di accesso prima di creare. In caso di problemi, è possibile usare le schede per passare a un punto specifico nell'esperienza di creazione per apportare modifiche.
Quando si è soddisfatti delle selezioni, selezionare Crea. Dopo alcuni istanti, verrà visualizzata una notifica che indica che il pacchetto di accesso è stato creato.
Dopo la creazione, viene visualizzata la pagina Panoramica per il pacchetto di accesso. È possibile trovare il collegamento Portale di Accesso personale e copiare il valore qui. Condividi questo collegamento con gli utenti esterni e possono passare a richiedere questo pacchetto per iniziare a collaborare.
Passaggio 7: Pulire le risorse
In questo passaggio è possibile eliminare il pacchetto di accesso al pacchetto utente esterno.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono Gestione pacchetti di Access.
Passare a Identity governance>Gestione entitlement>Pacchetto di accesso.
Aprire il pacchetto di accesso al pacchetto utente esterno.
Selezionare Ruoli risorsa.
Selezionare il gruppo collaborazione esterna aggiunto a questo pacchetto di accesso e nel riquadro Dettagli selezionare Rimuovi ruolo risorsa. Nella finestra di messaggio visualizzata selezionare Sì.
Aprire l'elenco dei pacchetti di accesso.
In Pacchetto utente esterno selezionare i puntini di sospensione (...) e quindi selezionare Elimina. Nella finestra di messaggio visualizzata selezionare Sì.
Passaggi successivi
Informazioni sulla creazione di pacchetti di accesso per gestire l'accesso ad altri tipi di risorse, ad esempio applicazioni e siti. Esercitazione: Gestire l'accesso alle risorse nella gestione entitlement