Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra

  • Articolo

Usare la funzionalità di gestione entitlement per gestire l'identità e il ciclo di vita dell'accesso. È possibile automatizzare i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le verifiche e la scadenza. Gli utenti non amministratori delegati usano la gestione entitlement per creare pacchetti di accesso a cui gli utenti esterni, provenienti da altre organizzazioni, possono richiedere l'accesso. Uno e più flussi di lavoro di approvazione a piùstazioni sono configurabili per valutare le richieste e effettuare il provisioning degli utenti per l'accesso limitato a tempo con verifiche ricorrenti. Usare la gestione entitlement per il provisioning e il deprovisioning basati su criteri di account esterni.

Altre informazioni:

Operazioni preliminari

Questo articolo è il numero 6 di una serie di 10 articoli. È consigliabile esaminare gli articoli in ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Abilitare la gestione entitlement

I concetti chiave seguenti sono importanti per comprendere la gestione dei diritti.

Pacchetti di accesso

Un pacchetto di accesso è la base della gestione entitlement: raggruppamenti di risorse regolate dai criteri per consentire agli utenti di collaborare a un progetto o eseguire altre attività. Ad esempio, un pacchetto di accesso può includere:

  • Accesso ai siti di SharePoint
  • Applicazioni aziendali, incluse le app SaaS (Software as a Service) personalizzate, ad esempio Salesforce
  • Microsoft Teams
  • Gruppi di Microsoft 365

Cataloghi

I pacchetti di accesso risiedono nei cataloghi. Quando si desidera raggruppare le risorse correlate e accedere ai pacchetti e delegarne la gestione, si crea un catalogo. Prima di tutto, si aggiungono risorse a un catalogo e quindi è possibile aggiungere risorse per accedere ai pacchetti. Ad esempio, è possibile creare un catalogo finanziario e delegarne la gestione a un membro del team finanziario. Tale persona può aggiungere risorse, creare pacchetti di accesso e gestire l'approvazione dell'accesso.

Altre informazioni:

Il diagramma seguente mostra un tipico ciclo di vita di governance di un utente esterno che ottiene l'accesso a un pacchetto di accesso, con scadenza.

A diagram of the external user governance cycle.

Accesso esterno self-service

È possibile rendere disponibili i pacchetti di accesso, tramite il portale di Microsoft Entra My Access, per consentire agli utenti esterni di richiedere l'accesso. I criteri determinano chi può richiedere un pacchetto di accesso. Vedere Richiedere l'accesso a un pacchetto di accesso nella gestione entitlement.

Specificare chi è autorizzato a richiedere il pacchetto di accesso:

Approvazioni

I pacchetti di accesso possono includere l'approvazione obbligatoria per l'accesso. Approvazioni possono essere singoli o multistage e sono determinati dai criteri. Se gli utenti interni ed esterni devono accedere allo stesso pacchetto, è possibile configurare i criteri di accesso per le categorie di organizzazioni connesse e per gli utenti interni.

Importante

Implementare i processi di approvazione per gli utenti esterni.

Scadenza

I pacchetti di accesso possono includere una data di scadenza o un numero di giorni impostati per l'accesso. Quando il pacchetto di accesso scade e l'accesso termina, l'oggetto utente guest B2B che rappresenta l'utente può essere eliminato o bloccato dall'accesso. È consigliabile applicare la scadenza ai pacchetti di accesso per gli utenti esterni. Non tutti i pacchetti di accesso hanno scadenze.

Importante

Per i pacchetti senza scadenza, eseguire verifiche di accesso regolari.

Verifiche di accesso

I pacchetti di accesso possono richiedere verifiche di accesso periodiche, che richiedono al proprietario del pacchetto o a un utente designato di attestare la continua necessità di accesso degli utenti. Vedere Gestire l'accesso guest con le verifiche di accesso.

Prima di configurare la revisione, determinare i criteri seguenti:

  • Chi
    • Criteri per l'accesso continuo
    • Revisori
  • Frequenza con cui
    • Le opzioni predefinite sono mensili, trimestrali, BI-annualmente o annualmente
    • È consigliabile eseguire verifiche trimestrali o più frequenti per i pacchetti che supportano l'accesso esterno

Importante

Le verifiche dei pacchetti di accesso esaminano l'accesso concesso tramite la gestione entitlement. Configurare altri processi per esaminare l'accesso agli utenti esterni, all'esterno della gestione entitlement.

Altre informazioni: Pianificare una distribuzione delle verifiche di accesso di Microsoft Entra.

Uso dell'automazione della gestione entitlement

Raccomandazioni sulla governance dell'accesso esterno

Procedure consigliate

È consigliabile seguire le procedure seguenti per gestire l'accesso esterno con la gestione entitlement.

Identity Governance - Impostazioni

Usare Identity Governance: Impostazioni per rimuovere gli utenti dalla directory alla scadenza dei pacchetti di accesso. Le impostazioni seguenti si applicano agli utenti di cui è stato eseguito l'onboarding con la gestione entitlement.

Screenshot of settings and entries for Manage the lifecycle of external users.

Delegare il catalogo e la gestione dei pacchetti

È possibile delegare la gestione del catalogo e dei pacchetti ai proprietari aziendali, che hanno altre informazioni su chi deve accedere. Vedere Delega e ruoli nelle gestione entitlement

Screenshot of options and entries under Roles and administrators.

Applicare la scadenza del pacchetto di accesso

È possibile applicare la scadenza dell'accesso per gli utenti esterni. Vedere Modificare le impostazioni del ciclo di vita per un pacchetto di accesso nella gestione entitlement.

Screenshot of options and entries for Expiration.

  • Per la data di fine di un pacchetto di accesso basato su progetto, usare In data per impostare la data.
    • In caso contrario, è consigliabile che la scadenza non sia più di 365 giorni, a meno che non si tratti di un progetto di più anni
  • Consentire agli utenti di estendere l'accesso
    • Richiedere l'approvazione per concedere l'estensione

Applicare le verifiche dei pacchetti di accesso guest

È possibile applicare verifiche dei pacchetti di accesso guest per evitare l'accesso inappropriato per gli utenti guest. Vedere Gestire l'accesso guest con le verifiche di accesso.

Screenshot of options and entries under New access package.

  • Applicare revisioni trimestrali
  • Per i progetti correlati alla conformità, impostare i revisori come revisori anziché auto-revisione per gli utenti esterni.
    • È possibile usare gli strumenti di gestione pacchetti di accesso come revisori
  • Per i progetti meno sensibili, l'auto-revisione degli utenti riduce il carico necessario per rimuovere l'accesso dagli utenti non più con l'organizzazione.

Altre informazioni: Gestire l'accesso per gli utenti esterni nella gestione entitlement

Passaggi successivi

Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.

  1. Determinare il comportamento di sicurezza per l'accesso esterno con Microsoft Entra ID

  2. Individuare lo stato corrente della collaborazione esterna nell'organizzazione

  3. Creare un piano di sicurezza per l'accesso esterno alle risorse

  4. Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365

  5. Transizione alla collaborazione regolamentata con Microsoft Entra B2B Collaboration

  6. Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra (qui)

  7. Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale

  8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza

  9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID

  10. Convertire gli account guest locali in account guest Microsoft Entra B2B