Creare un pacchetto di accesso nella gestione entitlement

  • Articolo

Un pacchetto di accesso consente di eseguire una configurazione monouso di risorse e criteri che amministra automaticamente l'accesso per la durata del pacchetto di accesso. Questo articolo descrive come creare un pacchetto di accesso.

Panoramica

Tutti i pacchetti di accesso devono trovarsi in un contenitore denominato catalogo. Un catalogo definisce le risorse che è possibile aggiungere al pacchetto di accesso. Se non si specifica un catalogo, il pacchetto di accesso viene inserito nel catalogo generale. Attualmente non è possibile spostare un pacchetto di accesso esistente in un catalogo diverso.

È possibile usare un pacchetto di accesso per assegnare l'accesso ai ruoli di più risorse presenti nel catalogo. Gli amministratori o i proprietari del catalogo possono aggiungere risorse al catalogo durante la creazione di un pacchetto di accesso. È anche possibile aggiungere risorse dopo la creazione del pacchetto di accesso e gli utenti assegnati al pacchetto di accesso riceveranno anche le risorse aggiuntive.

Se si è uno strumento di gestione pacchetti di accesso, non è possibile aggiungere risorse di proprietà a un catalogo. È possibile usare le risorse disponibili nel catalogo. Se è necessario aggiungere risorse a un catalogo, è possibile chiedere al proprietario del catalogo.

Tutti i pacchetti di accesso devono avere almeno un criterio a cui gli utenti devono essere assegnati. I criteri specificano chi può richiedere il pacchetto di accesso, insieme alle impostazioni relative all'approvazione e al ciclo di vita o alla modalità di assegnazione automatica dell'accesso. Quando si crea un pacchetto di accesso, è possibile creare un criterio iniziale per gli utenti nella directory, per gli utenti non nella directory o solo per le assegnazioni dirette dell'amministratore.

Diagram of an example marketing catalog, including its resources and its access package.

Ecco i passaggi generali per creare un pacchetto di accesso con un criterio iniziale:

  1. In Identity Governance avviare il processo per creare un pacchetto di accesso.

  2. Selezionare il catalogo in cui si vuole inserire il pacchetto di accesso e assicurarsi che disponga delle risorse necessarie.

  3. Aggiungere ruoli delle risorse dalle risorse nel catalogo al pacchetto di accesso.

  4. Specificare un criterio iniziale per gli utenti che possono richiedere l'accesso.

  5. Specificare le impostazioni di approvazione e le impostazioni del ciclo di vita in tale criterio.

Dopo aver creato il pacchetto di accesso, è possibile modificare l'impostazione nascosta, aggiungere o rimuovere i ruoli delle risorse e aggiungere altri criteri.

Avviare il processo di creazione

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per completare i passaggi seguenti, è necessario un ruolo di Amministrazione istrator globale, identity governance Amministrazione istrator, proprietario del catalogo o gestione pacchetti di accesso.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di Identity Governance.

  2. Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).

  3. Selezionare Nuovo pacchetto di accesso.

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Configurare le informazioni di base

Nella scheda Informazioni di base assegnare al pacchetto di accesso un nome e specificare il catalogo in cui creare il pacchetto di accesso.

  1. Immettere un nome visualizzato e una descrizione per il pacchetto di accesso. Gli utenti visualizzeranno queste informazioni quando inviano una richiesta per il pacchetto di accesso.

  2. Nell'elenco a discesa Catalogo selezionare il catalogo in cui inserire il pacchetto di accesso. Ad esempio, potrebbe essere presente un proprietario del catalogo che gestisce tutte le risorse di marketing che possono essere richieste. In questo caso, è possibile selezionare il catalogo marketing.

    Vengono visualizzati solo i cataloghi in cui si dispone dell'autorizzazione per creare pacchetti di accesso. Per creare un pacchetto di accesso in un catalogo esistente, è necessario essere un Amministrazione istrator globale o identity governance Amministrazione istrator. In alternativa, è necessario essere un proprietario del catalogo o uno strumento di gestione pacchetti di accesso in tale catalogo.

    Screenshot that shows basic information for a new access package.

    Se si è un Amministrazione istrator globale, un Amministrazione istrator di Identity Governance o creatore di cataloghi e si vuole creare il pacchetto di accesso in un nuovo catalogo non elencato, selezionare Crea nuovo catalogo. Immettere il nome e la descrizione del catalogo e quindi selezionare Crea.

    Il pacchetto di accesso che si sta creando e tutte le risorse incluse in esso vengono aggiunte al nuovo catalogo. Successivamente, è possibile aggiungere altri proprietari del catalogo o aggiungere attributi alle risorse inserite nel catalogo. Per altre informazioni su come modificare l'elenco di attributi per una risorsa catalogo specifica e i ruoli dei prerequisiti, vedere Aggiungere attributi di risorsa nel catalogo.

  3. Selezionare Avanti: Ruoli risorsa.

Selezionare i ruoli delle risorse

Nella scheda Ruoli risorsa selezionare le risorse da includere nel pacchetto di accesso. Gli utenti che richiedono e ricevono il pacchetto di accesso riceveranno tutti i ruoli delle risorse, ad esempio l'appartenenza al gruppo, nel pacchetto di accesso.

Se non si è certi dei ruoli delle risorse da includere, è possibile ignorare l'aggiunta durante la creazione del pacchetto di accesso e quindi aggiungerli in un secondo momento.

  1. Selezionare il tipo di risorsa da aggiungere (gruppi e teams, applicazioni o siti di SharePoint).

  2. Nel pannello Seleziona applicazioni visualizzato selezionare una o più risorse dall'elenco.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Se si sta creando il pacchetto di accesso nel catalogo generale o in un nuovo catalogo, è possibile scegliere qualsiasi risorsa dalla directory di cui si è proprietari. È necessario essere almeno un amministratore globale, un Amministrazione istrator o un creatore di cataloghi.

    Nota

    È possibile aggiungere gruppi dinamici a un catalogo e a un pacchetto di accesso. Tuttavia, è possibile selezionare solo il ruolo proprietario quando si gestisce una risorsa gruppo dinamico in un pacchetto di accesso.

    Se si sta creando il pacchetto di accesso in un catalogo esistente, è possibile selezionare qualsiasi risorsa già presente nel catalogo senza dover essere proprietaria di tale risorsa.

    Se si è un amministratore globale, un identity governance Amministrazione istrator o un proprietario del catalogo, è possibile selezionare le risorse di cui si è proprietari o che non sono ancora presenti nel catalogo. Se si selezionano risorse nella directory ma non nel catalogo selezionato, queste risorse vengono aggiunte anche al catalogo per altri amministratori del catalogo con cui compilare pacchetti di accesso. Per visualizzare tutte le risorse nella directory che è possibile aggiungere al catalogo, selezionare la casella di controllo Visualizza tutto nella parte superiore del pannello. Se si desidera selezionare solo le risorse attualmente presenti nel catalogo selezionato, lasciare deselezionata la casella di controllo Visualizza tutto (stato predefinito).

  3. Nell'elenco Ruolo selezionare il ruolo a cui si vuole assegnare gli utenti per la risorsa. Per altre informazioni sulla selezione dei ruoli appropriati per una risorsa, vedere come determinare quali ruoli delle risorse includere in un pacchetto di accesso.

    Screenshot that shows resource role selection for a new access package.

  4. Selezionare Avanti: Richieste.

Creare criteri di richiesta

Nella scheda Richieste creare il primo criterio per specificare chi può richiedere il pacchetto di accesso. È anche possibile configurare le impostazioni di approvazione. Successivamente, è possibile creare altri criteri di richiesta per consentire a gruppi di utenti aggiuntivi di richiedere il pacchetto di accesso con le proprie impostazioni di approvazione.

Screenshot that shows the Requests tab for a new access package.

A seconda degli utenti che si desidera poter richiedere questo pacchetto di accesso, seguire questa procedura in una delle sezioni seguenti.

Consentire agli utenti nella directory di richiedere il pacchetto di accesso

Seguire questa procedura se si vuole consentire agli utenti nella directory di poter richiedere questo pacchetto di accesso. Quando si definiscono i criteri di richiesta, è possibile specificare singoli utenti o (più comunemente) gruppi di utenti. Ad esempio, l'organizzazione potrebbe avere già un gruppo, ad esempio Tutti i dipendenti. Se tale gruppo viene aggiunto nei criteri per gli utenti che possono richiedere l'accesso, qualsiasi membro del gruppo può quindi richiedere l'accesso.

  1. Nella sezione Utenti che possono richiedere l'accesso selezionare Per gli utenti nella directory.

    Quando si seleziona questa opzione, vengono visualizzate nuove opzioni in modo da poter perfezionare chi nella directory può richiedere questo pacchetto di accesso.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. Selezionare una delle seguenti opzioni:

    Opzione Descrizione
    Utenti e gruppi specifici Scegliere questa opzione se si desidera che solo gli utenti e i gruppi nella directory specificata siano in grado di richiedere questo pacchetto di accesso.
    Tutti i membri (esclusi gli utenti guest) Scegliere questa opzione se si vuole che tutti gli utenti membri nella directory siano in grado di richiedere questo pacchetto di accesso. Questa opzione non include utenti guest che potrebbero essere stati invitati nella directory.
    Tutti gli utenti (inclusi gli utenti guest) Scegliere questa opzione se si vuole che tutti gli utenti membri e gli utenti guest nella directory siano in grado di richiedere questo pacchetto di accesso.

    Gli utenti guest sono utenti esterni che sono stati invitati nella directory tramite Microsoft Entra B2B. Per altre informazioni sulle differenze tra utenti membri e utenti guest, vedere Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID?.

  3. Se è stata selezionata l'opzione Utenti e gruppi specifici, selezionare Aggiungi utenti e gruppi.

  4. Nel riquadro Seleziona utenti e gruppi selezionare gli utenti e i gruppi da aggiungere.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Scegliere Seleziona per aggiungere utenti e gruppi.

  6. Passare alla sezione Specificare le impostazioni di approvazione.

Consentire agli utenti non nella directory di richiedere il pacchetto di accesso

Gli utenti che si trovano in un'altra directory o dominio di Microsoft Entra potrebbero non essere stati ancora invitati nella directory. Le directory di Microsoft Entra devono essere configurate per consentire gli inviti nelle restrizioni di collaborazione. Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.

Verrà creato un account utente guest per un utente non ancora nella directory la cui richiesta è approvata o non richiede l'approvazione. L'ospite verrà invitato ma non riceverà un messaggio di posta elettronica di invito. Riceveranno invece un messaggio di posta elettronica quando viene recapitata l'assegnazione del pacchetto di accesso. Successivamente, quando l'utente guest non ha più assegnazioni di pacchetti di accesso perché l'ultima assegnazione è scaduta o è stata annullata, l'account verrà bloccato dall'accesso e successivamente eliminato. Il blocco e l'eliminazione vengono eseguiti per impostazione predefinita.

Se si vuole che gli utenti guest rimangano nella directory per un periodo illimitato, anche se non dispongono di assegnazioni di pacchetti di accesso, è possibile modificare le impostazioni per la configurazione di gestione entitlement. Per altre informazioni sull'oggetto utente guest, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra.

Se si vuole consentire agli utenti che non si trovano nella directory di richiedere il pacchetto di accesso, seguire questa procedura:

  1. Nella sezione Utenti che possono richiedere l'accesso selezionare Per gli utenti non presenti nella directory.

    Quando si seleziona questa opzione, vengono visualizzate nuove opzioni.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. Selezionare una delle seguenti opzioni:

    Opzione Descrizione
    Organizzazioni connesse specifiche Scegliere questa opzione se si vuole selezionare un elenco di organizzazioni aggiunte in precedenza dall'amministratore. Tutti gli utenti delle organizzazioni selezionate possono richiedere questo pacchetto di accesso.
    Tutte le organizzazioni connesse Scegliere questa opzione se tutti gli utenti di tutte le organizzazioni connesse configurate possono richiedere questo pacchetto di accesso.
    Tutti gli utenti (tutte le organizzazioni connesse e tutti i nuovi utenti esterni) Scegliere questa opzione se gli utenti possono richiedere questo pacchetto di accesso e le impostazioni consentite B2B o blocklist devono avere la precedenza per qualsiasi nuovo utente esterno.

    Un'organizzazione connessa è una directory o un dominio esterno di Microsoft Entra con cui si ha una relazione.

  3. Se è stata selezionata l'opzione Organizzazioni connesse specifiche, selezionare Aggiungi directory da selezionare da un elenco di organizzazioni connesse aggiunte in precedenza dall'amministratore.

  4. Immettere il nome o il nome di dominio per cercare un'organizzazione connessa in precedenza.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    Se l'organizzazione con cui si vuole collaborare non è presente nell'elenco, è possibile chiedere all'amministratore di aggiungerla come organizzazione connessa. Per altre informazioni, vedere Aggiungere un'organizzazione connessa.

  5. Se è stata selezionata l'opzione Tutte le organizzazioni connesse, è necessario confermare con l'amministratore globale l'elenco delle organizzazioni connesse attualmente configurate e pianificate nell'ambito.

  6. Se è stata selezionata l'opzione Tutti gli utenti, sarà necessario configurare le approvazioni nella sezione Approvazioni, perché questo ambito consentirà a qualsiasi identità su Internet di richiedere l'accesso.

  7. Dopo aver selezionato tutte le organizzazioni connesse, scegliere Seleziona.

    Tutti gli utenti delle organizzazioni connesse selezionate potranno richiedere questo pacchetto di accesso. Sono inclusi gli utenti in Microsoft Entra ID da tutti i sottodomini associati all'organizzazione, a meno che l'elenco di elementi consentiti o blocklist di Azure B2B blocchi tali domini. Se si specifica un dominio del provider di identità di social networking, ad esempio live.com, qualsiasi utente del provider di identità social potrà richiedere questo pacchetto di accesso. Per altre informazioni, consultare Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche.

  8. Passare alla sezione Specificare le impostazioni di approvazione.

Consenti solo assegnazioni dirette di amministratore

Seguire questa procedura se si desidera ignorare le richieste di accesso e consentire agli amministratori di assegnare direttamente utenti specifici a questo pacchetto di accesso. Gli utenti non dovranno richiedere il pacchetto di accesso. È comunque possibile impostare le impostazioni del ciclo di vita, ma non sono presenti impostazioni di richiesta.

  1. Nella sezione Utenti che possono richiedere l'accesso selezionare Nessuno (solo assegnazioni dirette di amministratore).

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    Dopo aver creato il pacchetto di accesso, è possibile assegnarvi direttamente utenti interni ed esterni specifici. Se si specifica un utente esterno, viene creato un account utente guest nella directory. Per informazioni sull'assegnazione diretta di un utente, vedere Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso.

  2. Passare alla sezione Abilita richieste .

Specificare le impostazioni di approvazione

Nella sezione Approvazione specificare se è necessaria un'approvazione quando gli utenti richiedono questo pacchetto di accesso. Le impostazioni di approvazione funzionano nel modo seguente:

  • Solo uno dei responsabili approvazione o dei responsabili approvazione di fallback selezionati deve approvare una richiesta di approvazione a fase singola.
  • Solo uno dei responsabili approvazione selezionati da ogni fase deve approvare una richiesta di approvazione in due fasi.
  • Un responsabile approvazione può essere un responsabile, uno sponsor di un utente, uno sponsor interno o uno sponsor esterno, a seconda della governance degli accessi per i criteri.
  • L'approvazione da ogni responsabile approvazione selezionato non è necessaria per l'approvazione in una singola fase o in due fasi.
  • La decisione di approvazione si basa su qualsiasi responsabile approvazione riveda prima la richiesta.

Per una dimostrazione di come aggiungere responsabili approvazione a un criterio di richiesta, guardare il video seguente:

Per una dimostrazione di come aggiungere un'approvazione a più fasi a un criterio di richiesta, guardare il video seguente:

Seguire questa procedura per specificare le impostazioni di approvazione per le richieste per il pacchetto di accesso:

  1. Per richiedere l'approvazione per le richieste degli utenti selezionati, impostare l'interruttore Richiedi approvazione su . In alternativa, per fare in modo che le richieste vengano approvate automaticamente, impostare l'interruttore su No. Se i criteri consentono agli utenti esterni dall'esterno dell'organizzazione di richiedere l'accesso, è necessario richiedere l'approvazione, quindi è necessario controllare chi viene aggiunto alla directory dell'organizzazione.

  2. Per richiedere agli utenti di fornire una giustificazione per richiedere il pacchetto di accesso, impostare l'interruttore Richiedi giustificazione del richiedente su .

  3. Determinare se le richieste richiedono l'approvazione in una singola fase o in due fasi. Impostare l'interruttore Numero di fasi su 1 per l'approvazione a fase singola, 2 per l'approvazione in due fasio 3 per l'approvazione in tre fasi.

    Screenshot that shows approval settings for requests to an access package.

Seguire questa procedura per aggiungere responsabili approvazione dopo aver selezionato il numero di fasi.

Approvazione a singola fase

  1. Aggiungere le informazioni sul primo responsabile approvazione:

    • Se il criterio è impostato su Per gli utenti nella directory, è possibile selezionare Manager come responsabile approvazione o sponsor come responsabili approvazione. In alternativa, è possibile aggiungere un utente specifico selezionando Scegliere responsabili approvazione specifici e quindi selezionare Aggiungi responsabili approvazione.

      Per usare sponsor come responsabili approvazione per l'approvazione, è necessario disporre di una licenza di governance dell'ID Entra di Microsoft. Per altre informazioni, vedere Confrontare le funzionalità disponibili a livello generale di Microsoft Entra ID.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • Se il criterio è impostato su Per gli utenti che non si trovano nella directory, è possibile selezionare Sponsor esterno o Sponsor interno. In alternativa, è possibile aggiungere un utente specifico selezionando Scegliere responsabili approvazione specifici e quindi selezionare Aggiungi responsabili approvazione.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. Se è stato selezionato Manager come primo responsabile approvazione, selezionare Aggiungi fallback per selezionare uno o più utenti o gruppi nella directory come responsabile approvazione di fallback. I responsabili approvazione di fallback ricevono la richiesta se la gestione entitlement non riesce a trovare il responsabile per l'utente che richiede l'accesso.

    La gestione entitlement trova il manager usando l'attributo Manager . L'attributo si trova nel profilo dell'utente in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere o aggiornare le informazioni e le impostazioni del profilo di un utente.

  3. Se è stato selezionato Sponsor come primo responsabile approvazione, selezionare Aggiungi fallback per selezionare uno o più utenti o gruppi nella directory come responsabile approvazione di fallback. I responsabili approvazione di fallback ricevono la richiesta se la gestione entitlement non riesce a trovare lo sponsor per l'utente che richiede l'accesso.

    La gestione entitlement trova sponsor usando l'attributo Sponsors . L'attributo si trova nel profilo dell'utente in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere o aggiornare le informazioni e le impostazioni del profilo di un utente.

  4. Se è stata selezionata l'opzione Scegli responsabili approvazione specifici, selezionare Aggiungi responsabili approvazione per selezionare uno o più utenti o gruppi nella directory in modo che siano responsabili approvazione.

  5. Nella casella Decisione deve essere effettuata nel numero di giorni? specificare il numero di giorni in cui un responsabile approvazione deve esaminare una richiesta per questo pacchetto di accesso.

    Se una richiesta non viene approvata entro questo periodo di tempo, viene negata automaticamente. L'utente deve quindi inviare un'altra richiesta per il pacchetto di accesso.

  6. Per richiedere ai responsabili approvazione di fornire una giustificazione per la decisione, impostare Richiedi giustificazione del responsabile approvazione su .

    La giustificazione è visibile ad altri responsabili approvazione e al richiedente.

Approvazione in due fasi

Se è stata selezionata un'approvazione in due fasi, è necessario aggiungere un secondo responsabile approvazione:

  1. Aggiungere le informazioni sul secondo responsabile approvazione:

    • Se gli utenti si trovano nella directory, è possibile selezionare Sponsor come responsabili approvazione. In alternativa, aggiungere un utente specifico selezionando Scegli responsabili approvazione specifici dal menu a discesa e quindi selezionando Aggiungi responsabili approvazione.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Se gli utenti non si trovano nella directory, selezionare Sponsor interno o Sponsor esterno come secondo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione del fallback.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. Nella casella Decisione deve essere effettuata in quanti giorni? specificare il numero di giorni in cui il secondo responsabile approvazione deve approvare la richiesta.

  3. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

Approvazione in tre fasi

Se è stata selezionata un'approvazione in tre fasi, è necessario aggiungere un terzo responsabile approvazione:

  1. Aggiungere le informazioni del terzo responsabile approvazione:

    Se gli utenti si trovano nella directory, aggiungere un utente specifico come terzo responsabile approvazione selezionando Scegli responsabili approvazione specifici>Aggiungi responsabili approvazione.

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. Nella casella Decisione deve essere effettuata in quanti giorni? specificare il numero di giorni in cui il secondo responsabile approvazione deve approvare la richiesta.

  3. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

Responsabili approvazione alternativi

È possibile specificare responsabili approvazione alternativi, in modo analogo a specificare il primo e il secondo responsabile approvazione che possono approvare le richieste. La presenza di responsabili approvazione alternativi garantisce che le richieste vengano approvate o negate prima della scadenza (timeout). È possibile elencare i responsabili approvazione alternativi per il primo responsabile approvazione e il secondo responsabile approvazione per l'approvazione in due fasi.

Quando si specificano responsabili approvazione alternativi, se il primo o il secondo responsabile approvazione non può approvare o negare la richiesta, la richiesta in sospeso viene inoltrata ai responsabili approvazione alternativi. La richiesta viene inviata in base alla pianificazione di inoltro specificata durante la configurazione dei criteri. I responsabili approvazione ricevono un messaggio di posta elettronica per approvare o negare la richiesta in sospeso.

Dopo che la richiesta viene inoltrata ai responsabili approvazione alternativi, i primi o i secondi responsabili approvazione possono comunque approvare o negare la richiesta. I responsabili approvazione alternativi usano lo stesso sito di Accesso personale per approvare o negare la richiesta in sospeso.

È possibile elencare persone o gruppi di persone da approvare e responsabili approvazione alternativi. Assicurarsi di elencare diversi set di persone in modo che siano i primi, il secondo e i responsabili approvazione alternativi. Ad esempio, se Alice e Bob sono stati elencati come primi responsabili approvazione, elencare Carol e Dave come responsabili approvazione alternativi.

Usare la procedura seguente per aggiungere responsabili approvazione alternativi a un pacchetto di accesso:

  1. In Primo responsabile approvazione, secondo responsabile approvazione o entrambi selezionare Mostra impostazioni richieste avanzate.

    Screenshot of the selection for showing advanced request settings.

  2. Impostare l'opzione Se non è stata eseguita alcuna azione, inoltrare a responsabili approvazione alternativi? su .

  3. Selezionare Aggiungi responsabili approvazione alternativi e quindi selezionare i responsabili approvazione alternativi dall'elenco.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    Se si seleziona Manager come primo responsabile approvazione, viene visualizzata un'opzione aggiuntiva nella casella Responsabile approvazione alternativo: Secondo responsabile di livello come responsabile approvazione alternativo. Se si seleziona questa opzione, è necessario aggiungere un responsabile approvazione di fallback a per inoltrare la richiesta, nel caso in cui il sistema non riesca a trovare il gestore di secondo livello.

  4. Nella casella Inoltra a responsabili approvazione alternativi dopo quanti giorni immettere il numero di giorni in cui i responsabili approvazione devono approvare o negare una richiesta. Se nessun responsabile approvazione approva o nega la richiesta prima della durata della richiesta, la richiesta scade (timeout). L'utente deve quindi inviare un'altra richiesta per il pacchetto di accesso.

Le richieste possono essere inoltrate solo ai responsabili approvazione alternativi un giorno dopo che la durata della richiesta raggiunge la metà della durata. La decisione dei responsabili approvazione principali deve scadere dopo almeno quattro giorni. Se il timeout della richiesta è minore o uguale a tre giorni, non c'è tempo sufficiente per inoltrare la richiesta a responsabili approvazione alternativi.

In questo esempio la durata della richiesta è di 14 giorni. La durata della richiesta raggiunge la metà della vita al giorno 7. Pertanto, la richiesta non può essere inoltrata prima del giorno 8.

Inoltre, le richieste non possono essere inoltrate nell'ultimo giorno della durata della richiesta. Nell'esempio, quindi, l'ultima richiesta può essere inoltrata è il giorno 13.

Abilitare le richieste

  1. Se si vuole rendere immediatamente disponibile il pacchetto di accesso per gli utenti nei criteri di richiesta da richiedere, spostare l'opzione Abilita nuove richieste e assegnazioni su .

    È sempre possibile abilitarla in futuro, dopo aver completato la creazione del pacchetto di accesso.

    Se si seleziona Nessuno (solo assegnazioni dirette di amministratore) e si imposta Abilita nuove richieste e assegnazioni su No, gli amministratori non possono assegnare direttamente questo pacchetto di accesso.

    Screenshot that shows the option for enabling new requests and assignments.

  2. Passare alla sezione successiva per informazioni su come aggiungere un requisito di ID verificato al pacchetto di accesso. In caso contrario, selezionare Avanti.

Aggiungere un requisito di ID verificato

Per aggiungere un requisito di ID verificato ai criteri del pacchetto di accesso, seguire questa procedura. Gli utenti che vogliono accedere al pacchetto di accesso devono presentare gli ID verificati necessari prima di inviare correttamente la richiesta. Per informazioni su come configurare il tenant con il servizio ID verificato di Microsoft Entra, vedere Introduzione alle ID verificato di Microsoft Entra.

È necessario un ruolo di amministratore globale per aggiungere i requisiti di ID verificati a un pacchetto di accesso. Un amministratore di Identity Governance, un amministratore utente, un proprietario del catalogo o uno strumento di gestione pacchetti di accesso non può ancora aggiungere requisiti di ID verificati.

  1. Selezionare + Aggiungi autorità emittente e quindi selezionare un'autorità emittente dalla rete ID verificato di Microsoft Entra. Per rilasciare credenziali personalizzate agli utenti, è possibile trovare istruzioni in Rilasciare le credenziali ID verificato di Microsoft Entra da un'applicazione.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. Selezionare i tipi di credenziale che gli utenti devono presentare durante il processo di richiesta.

    Screenshot that shows the area for selecting credential types for an access package.

    Se si selezionano più tipi di credenziali da un'emittente, gli utenti dovranno presentare le credenziali di tutti i tipi selezionati. Analogamente, se si includono più emittenti, gli utenti dovranno presentare le credenziali di ogni autorità emittente inclusa nei criteri. Per offrire agli utenti la possibilità di presentare credenziali diverse da varie autorità emittenti, configurare criteri separati per ogni autorità emittente o tipo di credenziale che si accetta.

  3. Selezionare Aggiungi per aggiungere il requisito dell'ID verificato ai criteri del pacchetto di accesso.

Aggiungere informazioni del richiedente a un pacchetto di accesso

  1. Passare alla scheda Informazioni richiedente e quindi selezionare la scheda Domande.

  2. Nella casella Domanda immettere una domanda che si vuole porre al richiedente. Questa domanda è nota anche come stringa di visualizzazione.

  3. Per aggiungere opzioni di localizzazione personalizzate, selezionare Aggiungi localizzazione.

    Screenshot that shows the box for entering a question for a requestor.

    Nel riquadro Aggiungi localizzazioni per la domanda:

    1. Per Codice lingua selezionare il codice della lingua per la lingua in cui si sta localizzata la domanda.
    2. Nella casella Testo localizzato immettere la domanda nella lingua configurata.
    3. Al termine dell'aggiunta di tutte le localizzazioni necessarie, selezionare Salva.

    Screenshot that shows localization selections for a question.

  4. In Formato risposta selezionare il formato in cui si desidera che i richiedenti rispondano. I formati di risposta includono testo breve, Scelta multipla e Testo lungo.

  5. Se è stata selezionata una scelta multipla, selezionare il pulsante Modifica e localizzare per configurare le opzioni di risposta.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    Nel riquadro Visualizza/modifica domanda:

    1. Nelle caselle Valori risposta immettere le opzioni di risposta da assegnare quando il richiedente risponde alla domanda.
    2. Nelle caselle Lingua selezionare la lingua per le opzioni di risposta. È possibile localizzare le opzioni di risposta se si scelgono lingue aggiuntive.
    3. Seleziona Salva.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. Per richiedere ai richiedenti di rispondere a questa domanda quando richiedono l'accesso a un pacchetto di accesso, selezionare la casella di controllo Obbligatorio .

  7. Selezionare la scheda Attributi per visualizzare gli attributi associati alle risorse aggiunte al pacchetto di accesso.

    Nota

    Per aggiungere o aggiornare gli attributi per le risorse di un pacchetto di accesso, passare a Cataloghi e trovare il catalogo associato al pacchetto di accesso. Per altre informazioni su come modificare l'elenco di attributi per una risorsa catalogo specifica e i ruoli dei prerequisiti, vedere Aggiungere attributi di risorsa nel catalogo.

  8. Seleziona Avanti.

Specificare un ciclo di vita

Nella scheda Ciclo di vita specificare quando scade l'assegnazione di un utente al pacchetto di accesso. È anche possibile specificare se gli utenti possono estendere le assegnazioni.

  1. Nella sezione Scadenza impostare Assegnazioni pacchetto di accesso scadono su Data, Numero di giorni, Numero di ore o Mai.

    • Per On date (In data) selezionare una data di scadenza in futuro.
    • Per Numero di giorni specificare un numero compreso tra 0 e 3660 giorni.
    • In Numero di ore specificare il numero di ore.

    In base alla selezione, l'assegnazione di un utente al pacchetto di accesso scade in una determinata data, alcuni giorni dopo l'approvazione o mai.

  2. Se si vuole che l'utente richieda una data di inizio e di fine specifica per l'accesso, selezionare per l'interruttore Utenti per richiedere sequenza temporale specifica.

  3. Selezionare Mostra impostazioni di scadenza avanzate per visualizzare altre impostazioni.

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Per consentire all'utente di estendere le assegnazioni, impostare Consenti agli utenti di estendere l'accesso su .

    Se le estensioni sono consentite nei criteri, l'utente riceve un messaggio di posta elettronica 14 giorni prima e quindi un giorno prima, l'assegnazione del pacchetto di accesso è impostata per la scadenza. Il messaggio di posta elettronica richiede all'utente di estendere l'assegnazione. L'utente deve comunque trovarsi nell'ambito del criterio al momento della richiesta di un'estensione.

    Inoltre, se il criterio ha una data di fine esplicita per le assegnazioni e un utente invia una richiesta di estensione per estendere l'accesso, la data di estensione nella richiesta deve essere in corrispondenza o prima della scadenza delle assegnazioni. I criteri usati per concedere all'utente l'accesso al pacchetto di accesso definiscono se la data di estensione è in corrispondenza o prima della scadenza dell'assegnazione. Ad esempio, se il criterio indica che le assegnazioni sono impostate per scadere il 30 giugno, l'estensione massima che un utente può richiedere è il 30 giugno.

    Se l'accesso di un utente viene esteso, non sarà in grado di richiedere il pacchetto di accesso dopo la data di estensione specificata (la data impostata nel fuso orario dell'utente che ha creato il criterio).

  5. Per richiedere l'approvazione per concedere un'estensione, impostare Richiedi approvazione per concedere l'estensione su .

    Questa approvazione userà le stesse impostazioni di approvazione specificate nella scheda Richieste .

  6. Selezionare Avanti o Aggiorna.

Esaminare e creare il pacchetto di accesso

Nella scheda Rivedi e crea è possibile esaminare le impostazioni e verificare la presenza di eventuali errori di convalida.

  1. Esaminare le impostazioni del pacchetto di accesso.

    Screenshot that shows a summary of access package configuration.

  2. Selezionare Crea per creare il pacchetto di accesso.

    Il nuovo pacchetto di accesso viene visualizzato nell'elenco dei pacchetti di accesso.

  3. Se il pacchetto di accesso deve essere visibile a tutti gli utenti nell'ambito dei criteri, lasciare l'impostazione Nascosta del pacchetto di accesso su No. Facoltativamente, se si intende consentire solo agli utenti con il collegamento diretto di richiedere il pacchetto di accesso, modificare il pacchetto di accesso per modificare l'impostazione Nascosta su . Copiare quindi il collegamento per richiedere il pacchetto di accesso e condividerlo con gli utenti che necessitano dell'accesso.

Creare un pacchetto di accesso a livello di codice

Esistono due modi per creare un pacchetto di accesso a livello di codice: tramite Microsoft Graph e tramite i cmdlet di PowerShell per Microsoft Graph.

Creare un pacchetto di accesso usando Microsoft Graph

È possibile creare un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione che dispone dell'autorizzazione delegata EntitlementManagement.ReadWrite.All può chiamare l'API per:

  1. Elencare le risorse nel catalogo e creare un accessPackageResourceRequest per tutte le risorse che non sono ancora presenti nel catalogo.
  2. Recuperare i ruoli e gli ambiti di ogni risorsa nel catalogo. Questo elenco di ruoli verrà quindi usato per selezionare un ruolo, quando successivamente si crea una risorsaRoleScope.
  3. Creare un accessPackage.
  4. Creare una risorsaRoleScope per ogni ruolo di risorsa necessario nel pacchetto di accesso.
  5. Creare un oggetto assignmentPolicy per ogni criterio necessario nel pacchetto di accesso.

Creare un pacchetto di accesso usando Microsoft PowerShell

È anche possibile creare un pacchetto di accesso in PowerShell usando i cmdlet del modulo Microsoft Graph PowerShell per Identity Governance .

Recuperare prima di tutto l'ID del catalogo e della risorsa in tale catalogo e i relativi ambiti e ruoli, da includere nel pacchetto di accesso. Usare uno script simile all'esempio seguente:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Creare quindi il pacchetto di accesso:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Dopo aver creato il pacchetto di accesso, assegnarvi i ruoli delle risorse. Ad esempio, se si vuole includere il primo ruolo risorsa della risorsa restituita in precedenza come ruolo risorsa del nuovo pacchetto di accesso, è possibile usare uno script simile al seguente:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Infine, creare i criteri. In questo criterio, solo gli amministratori o i gestori delle assegnazioni dei pacchetti di accesso possono assegnare l'accesso e non sono presenti verifiche di accesso. Per altri esempi, vedere Creare criteri di assegnazione tramite PowerShell e Creare un oggetto assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Passaggi successivi