Configurare la separazione dei compiti per verificare la presenza di un pacchetto di accesso nella gestione entitlement
Nella gestione entitlement è possibile configurare più criteri, con impostazioni diverse per ogni community di utenti che dovrà accedere tramite un pacchetto di accesso. Ad esempio, i dipendenti potrebbero richiedere solo l'approvazione del responsabile per ottenere l'accesso a determinate app, ma gli utenti guest provenienti da altre organizzazioni potrebbero richiedere sia uno sponsor che un responsabile del reparto del team delle risorse di approvare. In un criterio per gli utenti già presenti nella directory è possibile specificare un determinato gruppo di utenti per cui è possibile richiedere l'accesso. Tuttavia, è possibile avere un requisito per evitare che un utente ottenga un accesso eccessivo. Per soddisfare questo requisito, si vuole limitare ulteriormente chi può richiedere l'accesso, in base all'accesso già disponibile per il richiedente.
Con la separazione delle impostazioni dei compiti in un pacchetto di accesso, è possibile configurare che un utente membro di un gruppo o che abbia già un'assegnazione a un pacchetto di accesso non può richiedere un pacchetto di accesso aggiuntivo.
Scenari per la separazione dei controlli dei compiti
Ad esempio, si dispone di un pacchetto di accesso, campagna di marketing, che gli utenti dell'organizzazione e altre organizzazioni possono richiedere l'accesso, per collaborare con il reparto marketing dell'organizzazione mentre la campagna è in corso. Poiché i dipendenti del reparto marketing devono avere già accesso a tale materiale della campagna di marketing, non si vuole che i dipendenti del reparto marketing richiedano l'accesso a tale pacchetto di accesso. In alternativa, è possibile avere già un gruppo dinamico, dipendenti del reparto marketing, con tutti i dipendenti di marketing in esso contenuti. È possibile indicare che il pacchetto di accesso non è compatibile con l'appartenenza a tale gruppo dinamico. Quindi, se un dipendente del reparto marketing sta cercando un pacchetto di accesso da richiedere, non è stato possibile richiedere l'accesso al pacchetto di accesso alla campagna marketing.
Analogamente, è possibile avere un'applicazione con due ruoli dell'app, Western Sales e Eastern Sales , che rappresentano i territori di vendita e si vuole assicurarsi che un utente possa avere un solo territorio di vendita alla volta. Se si dispone di due pacchetti di accesso, un pacchetto di accesso Western Territory che assegna il ruolo Western Sales e l'altro pacchetto di accesso Eastern Territory assegnando il ruolo Eastern Sales, è possibile configurare:
- il pacchetto di accesso Del Territorio Occidentale ha il pacchetto Eastern Territory come incompatibile e
- Il pacchetto di accesso Eastern Territory ha il pacchetto Western Territory come incompatibile.
Se si usa Microsoft Identity Manager o altri sistemi di gestione delle identità locali per automatizzare l'accesso per le app locali, è possibile integrare questi sistemi anche con la gestione entitlement. Se si controlla l'accesso alle app integrate di Microsoft Entra tramite la gestione entitlement e si vuole impedire agli utenti di avere accesso incompatibile, è possibile configurare che un pacchetto di accesso non sia compatibile con un gruppo. Potrebbe trattarsi di un gruppo, che il sistema di gestione delle identità locale invia a Microsoft Entra ID tramite Microsoft Entra Connessione. Questo controllo garantisce che un utente non sia in grado di richiedere un pacchetto di accesso, se tale pacchetto di accesso concede l'accesso non compatibile con l'accesso dell'utente nelle app locali.
Prerequisiti
Per usare la gestione entitlement e assegnare gli utenti ai pacchetti di accesso, è necessario disporre di una delle licenze seguenti:
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Licenza di Enterprise Mobility + Security (EMS) E5
Configurare un altro pacchetto di accesso o l'appartenenza a un gruppo come incompatibile per richiedere l'accesso a un pacchetto di accesso
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Seguire questa procedura per modificare l'elenco di gruppi incompatibili o di altri pacchetti di accesso per un pacchetto di accesso esistente:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione pacchetti di Access.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso richiesto dagli utenti.
Nel menu a sinistra selezionare Separazione dei compiti.
L'elenco nella scheda Pacchetti di accesso incompatibili è di altri pacchetti di accesso. Se un utente ha già un'assegnazione a un pacchetto di accesso in tale elenco, non potrà richiedere questo pacchetto di accesso.
Se si vuole impedire agli utenti che hanno già un'assegnazione di pacchetto di accesso di richiedere questo pacchetto di accesso, selezionare Aggiungi pacchetto di accesso e selezionare il pacchetto di accesso a cui l'utente sarebbe già stato assegnato. Tale pacchetto di accesso verrà quindi aggiunto all'elenco dei pacchetti di accesso nella scheda Pacchetti di accesso incompatibili.
Se si vuole impedire agli utenti che dispongono di un'appartenenza a un gruppo esistente di richiedere questo pacchetto di accesso, selezionare Aggiungi gruppo e selezionare il gruppo in cui si trova già l'utente. Tale gruppo verrà quindi aggiunto all'elenco dei gruppi nella scheda Gruppi incompatibili.
Se si vuole che gli utenti assegnati a questo pacchetto di accesso non siano in grado di richiedere tale pacchetto di accesso, poiché ogni relazione di pacchetto di accesso non compatibile è unidirezionale, modificare il pacchetto di accesso e aggiungere questo pacchetto di accesso come incompatibile. Ad esempio, si vuole avere utenti con il pacchetto di accesso Territorio occidentale non essere in grado di richiedere il pacchetto di accesso Territorio orientale e gli utenti con il pacchetto di accesso Territorio orientale non possono richiedere il pacchetto di accesso Territorio occidentale . Se prima nel pacchetto di accesso Western Territory è stato aggiunto il pacchetto di accesso Eastern Territory come non compatibile, passare quindi al pacchetto di accesso Eastern Territory e aggiungere il pacchetto di accesso Western Territory come non compatibile.
Configurare pacchetti di accesso incompatibili a livello di codice tramite Graph
È possibile configurare i gruppi e altri pacchetti di accesso incompatibili con un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All o un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All dell'applicazione può chiamare l'API per aggiungere, rimuovere ed elencare i gruppi incompatibili e i pacchetti di accesso di un pacchetto di accesso.
Configurare pacchetti di accesso incompatibili tramite Microsoft PowerShell
È anche possibile configurare i gruppi e altri pacchetti di accesso incompatibili con un pacchetto di accesso in PowerShell con i cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 1.16.0 o successiva.
Questo script seguente illustra l'uso del v1.0 profilo di Graph per creare una relazione per indicare un altro pacchetto di accesso come incompatibile.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params
Visualizzare altri pacchetti di accesso configurati come incompatibili con questo pacchetto
Seguire questa procedura per visualizzare l'elenco di altri pacchetti di accesso che hanno indicato che non sono compatibili con un pacchetto di accesso esistente:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione pacchetti di Access.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso.
Nel menu a sinistra selezionare Separazione dei compiti.
Selezionare Incompatibile con.
Identificazione degli utenti che hanno già accesso incompatibile a un altro pacchetto di accesso (anteprima)
Se sono state configurate impostazioni di accesso incompatibili in un pacchetto di accesso a cui sono già assegnati utenti, è possibile scaricare un elenco di utenti che dispongono di tale accesso aggiuntivo. Gli utenti che hanno anche un'assegnazione al pacchetto di accesso incompatibile non potranno richiedere di nuovo l'accesso.
Seguire questa procedura per visualizzare l'elenco degli utenti con assegnazioni a due pacchetti di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione pacchetti di Access.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso in cui è stato configurato un altro pacchetto di accesso come incompatibile.
Nel menu a sinistra selezionare Separazione dei compiti.
Nella tabella, se nella colonna Accesso aggiuntivo per il secondo pacchetto di accesso è presente un valore diverso da zero, indica che sono presenti uno o più utenti con assegnazioni.
Selezionare tale conteggio per visualizzare l'elenco delle assegnazioni incompatibili.
Se lo si desidera, è possibile selezionare il pulsante Scarica per salvare l'elenco di assegnazioni come file CSV.
Identificazione degli utenti che avranno accesso incompatibile a un altro pacchetto di accesso
Se si configurano impostazioni di accesso incompatibili in un pacchetto di accesso a cui sono già assegnati utenti, uno di questi utenti che ha anche un'assegnazione al pacchetto di accesso incompatibile o ai gruppi non sarà in grado di richiedere di nuovo l'accesso.
Seguire questa procedura per visualizzare l'elenco degli utenti con assegnazioni a due pacchetti di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione pacchetti di Access.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Aprire il pacchetto di accesso in cui verranno configurate assegnazioni incompatibili.
Nel menu a sinistra selezionare Assegnazioni.
Nel campo Stato verificare che lo stato Recapitato sia selezionato.
Selezionare il pulsante Scarica e salvare il file CSV risultante come primo file con un elenco di assegnazioni.
Nella barra di spostamento selezionare Identity Governance.
Nel menu a sinistra selezionare Pacchetti di accesso e quindi aprire il pacchetto di accesso che si prevede di indicare come incompatibile.
Nel menu a sinistra selezionare Assegnazioni.
Nel campo Stato verificare che lo stato Recapitato sia selezionato.
Selezionare il pulsante Scarica e salvare il file CSV risultante come secondo file con un elenco di assegnazioni.
Utilizzare un programma di foglio di calcolo, ad esempio Excel, per aprire i due file.
Gli utenti elencati in entrambi i file avranno assegnazioni incompatibili già esistenti.
Identificazione degli utenti che hanno già accesso incompatibile a livello di codice
È possibile recuperare le assegnazioni a un pacchetto di accesso usando Microsoft Graph, che hanno come ambito solo gli utenti che hanno anche un'assegnazione a un altro pacchetto di accesso. Un utente in un ruolo amministrativo con un'applicazione con delega o EntitlementManagement.ReadWrite.All autorizzazione può chiamare l'API per elencare l'accesso aggiuntivoEntitlementManagement.Read.All.
Identificazione degli utenti che hanno già accesso incompatibile con PowerShell
È anche possibile eseguire una query per gli utenti con assegnazioni a un pacchetto di accesso con il Get-MgEntitlementManagementAssignment cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.1.0 o successiva.
Ad esempio, se si dispone di due pacchetti di accesso, uno con ID e l'altro con ID 29be137f-b006-426c-b46a-0df3d4e25ccdcce10272-68d8-4482-8ba3-a5965c86cfe5, è possibile recuperare gli utenti che hanno assegnazioni al primo pacchetto di accesso e quindi confrontarli con gli utenti che hanno assegnazioni al secondo pacchetto di accesso. È anche possibile segnalare gli utenti che hanno assegnazioni recapitate a entrambi, usando uno script di PowerShell simile al seguente:
$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$ap_w_id = "29be137f-b006-426c-b46a-0df3d4e25ccd"
$ap_e_id = "cce10272-68d8-4482-8ba3-a5965c86cfe5"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }
Configurazione di più pacchetti di accesso per scenari di override
Se un pacchetto di accesso è stato configurato come incompatibile, un utente che ha un'assegnazione a tale pacchetto di accesso incompatibile non può richiedere il pacchetto di accesso, né può creare una nuova assegnazione che sarebbe incompatibile.
Ad esempio, se il pacchetto di accesso all'ambiente di produzione ha contrassegnato il pacchetto di ambiente di sviluppo come incompatibile e un utente ha un'assegnazione al pacchetto di accesso all'ambiente di sviluppo, gestione pacchetti di accesso per l'ambiente di produzione non può creare un'assegnazione per tale utente nell'ambiente di produzione. Per procedere con tale assegnazione, è necessario prima rimuovere l'assegnazione esistente dell'utente al pacchetto di accesso all'ambiente di sviluppo .
Se si verifica una situazione eccezionale in cui la separazione delle regole dei compiti potrebbe essere ignorata, la configurazione di un pacchetto di accesso aggiuntivo per acquisire gli utenti che hanno diritti di accesso sovrapposti renderà chiaro ai responsabili approvazione, ai revisori e ai revisori la natura eccezionale di tali assegnazioni.
Ad esempio, se si è verificato uno scenario in cui alcuni utenti devono avere accesso contemporaneamente sia agli ambienti di produzione che a quello di distribuzione, è possibile creare un nuovo pacchetto di accesso Ambienti di produzione e sviluppo. Tale pacchetto di accesso potrebbe avere come ruoli delle risorse alcuni dei ruoli delle risorse del pacchetto di accesso all'ambiente di produzione e alcuni dei ruoli delle risorse del pacchetto di accesso all'ambiente di sviluppo.
Se la motivazione dell'accesso incompatibile è particolarmente problematica, la risorsa potrebbe essere omessa dal pacchetto di accesso combinato e richiedere l'assegnazione esplicita dell'amministratore di un utente al ruolo della risorsa. Se si tratta di un'applicazione di terze parti o di un'applicazione personalizzata, è possibile garantire la supervisione monitorando tali assegnazioni di ruolo usando la cartella di lavoro Attività di assegnazione ruolo applicazione descritta nella sezione successiva.
A seconda dei processi di governance, il pacchetto di accesso combinato può avere come criterio:
- un criterio di assegnazione diretta, in modo che solo uno strumento di gestione pacchetti di accesso interagisca con il pacchetto di accesso o
- un utente può richiedere criteri di accesso, in modo che un utente possa richiedere, con potenzialmente una fase di approvazione aggiuntiva
Questo criterio potrebbe avere come impostazioni del ciclo di vita un numero di giorni molto più breve di un criterio per altri pacchetti di accesso o richiedere verifiche di accesso più frequenti, con una supervisione regolare in modo che gli utenti non mantengano l'accesso più a lungo del necessario.
Monitorare e creare report sulle assegnazioni di accesso
È possibile usare le cartelle di lavoro di Monitoraggio di Azure per ottenere informazioni dettagliate sul modo in cui gli utenti hanno ricevuto l'accesso.
Configurare Microsoft Entra ID per inviare eventi di controllo a Monitoraggio di Azure.
La cartella di lavoro denominata Access Package Activity visualizza ogni evento correlato a un determinato pacchetto di accesso.
Per verificare se sono state apportate modifiche alle assegnazioni di ruolo dell'applicazione per un'applicazione che non sono state create a causa delle assegnazioni dei pacchetti di accesso, è possibile selezionare la cartella di lavoro denominata Attività di assegnazione di ruolo applicazione. Se si sceglie di omettere l'attività entitlement, vengono visualizzate solo le modifiche apportate ai ruoli dell'applicazione non apportati dalla gestione entitlement. Ad esempio, viene visualizzata una riga se un amministratore globale aveva assegnato direttamente un utente a un ruolo applicazione.
