Share via

Creare una verifica di accesso di un pacchetto di accesso nella gestione entitlement

  • Articolo

Per ridurre il rischio di accesso non aggiornato, è necessario abilitare verifiche periodiche degli utenti con assegnazioni attive a un pacchetto di accesso nella gestione entitlement. È possibile abilitare le verifiche quando si crea un nuovo pacchetto di accesso o si modificano i criteri di assegnazione dei pacchetti di accesso esistenti. Questo articolo illustra come abilitare le verifiche di accesso dei pacchetti di accesso.

Prerequisiti

Per abilitare le verifiche dei pacchetti di accesso, è necessario soddisfare i prerequisiti per la creazione di un pacchetto di accesso:

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Amministratore globale, amministratore di Identity Governance, proprietario del catalogo o Gestione pacchetti di Access

Per altre informazioni, vedere Requisiti relativi alle licenze.

Creare una verifica di accesso di un pacchetto di accesso

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

È possibile abilitare le verifiche di accesso durante la creazione di un nuovo pacchetto di accesso o la modifica di un criterio di assegnazione dei pacchetti di accesso esistente. Se si dispone di più criteri, per diverse community di utenti che richiedono l'accesso, è possibile avere pianificazioni di verifica dell'accesso indipendente per ogni criterio. Seguire questa procedura per abilitare le verifiche di accesso delle assegnazioni di un pacchetto di accesso:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Identity Governance Access reviews Access package (Controllo di accesso alla>governance>delle identità).

  3. Per creare un nuovo criterio di accesso, selezionare Nuovo pacchetto di accesso .

  4. Per modificare un criterio di accesso esistente, nel menu a sinistra selezionare Pacchetti di accesso e aprire il pacchetto di accesso da modificare. Quindi, nel menu a sinistra selezionare Criteri e selezionare i criteri con le impostazioni del ciclo di vita che si desidera modificare.

  5. Aprire la scheda Ciclo di vita per un criterio di assegnazione del pacchetto di accesso per specificare quando scade l'assegnazione di un utente al pacchetto di accesso. È anche possibile specificare se gli utenti possono estendere le assegnazioni.

  6. Nella sezione Scadenza impostare Assegnazioni pacchetto di accesso scade su Data, Numero di giorni, Numero di ore o Mai.

    Per On date (In data) selezionare una data di scadenza in futuro.

    In Numero di giorni specificare un numero compreso tra 0 e 3660 giorni.

    In Numero di ore specificare il numero di ore.

    In base alla selezione, l'assegnazione di un utente al pacchetto di accesso scade in una determinata data, un numero specifico di giorni dopo l'approvazione o mai.

    Pacchetto di accesso - Impostazioni di scadenza del ciclo di vita

  7. Selezionare Mostra impostazioni di scadenza avanzate per visualizzare altre impostazioni.

  8. Per consentire all'utente di estendere le assegnazioni, impostare Consenti agli utenti di estendere l'accesso su .

    Se le estensioni sono consentite nei criteri, l'utente riceve un messaggio di posta elettronica di 14 giorni e anche un giorno prima della scadenza dell'assegnazione del pacchetto di accesso, richiedendo loro di estendere l'assegnazione. L'utente deve ancora trovarsi nell'ambito del criterio al momento della richiesta di un'estensione. Inoltre, se il criterio ha una data di fine esplicita per le assegnazioni e un utente invia una richiesta di estensione per estendere l'accesso, la data di estensione nella richiesta deve essere in corrispondenza o prima della scadenza delle assegnazioni, come definito nei criteri usati per concedere all'utente l'accesso al pacchetto di accesso. Ad esempio, se il criterio indica che le assegnazioni sono impostate per scadere il 30 giugno, l'estensione massima che un utente può richiedere è il 30 giugno.

    Se l'accesso di un utente viene esteso, non sarà in grado di richiedere il pacchetto di accesso dopo la data di estensione specificata (data impostata nel fuso orario dell'utente che ha creato il criterio).

  9. Per richiedere l'approvazione per concedere un'estensione, impostare Richiedi approvazione per concedere l'estensione su .

    Verranno usate le stesse impostazioni di approvazione specificate nella scheda Richieste.

  10. Spostare quindi l'interruttore Richiedi verifiche di accesso su .

    Aggiungere la verifica di accesso

  11. Specificare la data di inizio delle revisioni accanto a Inizio.

  12. Impostare quindi frequenza di revisione su Annually, Bi-annually, Trimestrale o Mensile. Questa impostazione determina la frequenza con cui si verificano le verifiche di accesso.

  13. Impostare Durata per definire il numero di giorni in cui ogni revisione della serie ricorrente verrà aperta per l'input dei revisori. Ad esempio, è possibile pianificare una revisione annuale che inizia il 1° gennaio ed è aperta per la revisione per 30 giorni in modo che i revisori abbiano fino alla fine del mese per rispondere.

  14. Accanto a Revisori selezionare Verifica automatica se si vuole che gli utenti eseguano una verifica di accesso personalizzata o selezionino Revisori specifici se si vuole designare un revisore. È anche possibile selezionare Manager se si vuole designare il responsabile del revisore come revisore. Se si seleziona questa opzione, è necessario aggiungere un fallback per inoltrare la revisione a nel caso in cui il manager non sia stato trovato nel sistema.

  15. Se è stato selezionato Revisori specifici, specificare gli utenti che eseguono la verifica di accesso:

    Selezionare Aggiungi revisori

    1. Selezionare Aggiungi revisori.
    2. Nel riquadro Seleziona revisori cercare e selezionare gli utenti che si desidera essere revisori.
    3. Dopo aver selezionato i revisori, selezionare il pulsante Seleziona .

    Specificare i revisori

  16. Se è stato selezionato Manager, specificare il revisore del fallback:

    1. Selezionare Aggiungi revisori di fallback.
    2. Nel riquadro Seleziona revisori di fallback cercare e selezionare gli utenti che si desidera eseguire il fallback dei revisori per il responsabile del revisore.
    3. Dopo aver selezionato i revisori di fallback, selezionare il pulsante Seleziona .

    Aggiungere i revisori di fallback

  17. È possibile configurare altre impostazioni avanzate. Per configurare altre impostazioni di verifica dell'accesso avanzato, selezionare Mostra impostazioni di verifica dell'accesso avanzato:

    1. Se si vuole specificare cosa accade all'accesso degli utenti quando un revisore non risponde, selezionare Se i revisori non rispondono e quindi selezionare una delle opzioni seguenti:

      • Nessuna modifica se non si vuole prendere una decisione sull'accesso degli utenti.
      • Rimuovere l'accesso se si vuole rimuovere l'accesso degli utenti.
      • Prendere consigli se si vuole prendere una decisione in base alle raccomandazioni di MyAccess.

      Aggiungere impostazioni avanzate di verifica dell'accesso

    2. Per visualizzare le raccomandazioni di sistema, selezionare Mostra helper decisionali per i revisori. Le raccomandazioni del sistema sono basate sull'attività degli utenti. I revisori visualizzano una delle raccomandazioni seguenti:

      • approvare la verifica se l'utente ha eseguito l'accesso almeno una volta negli ultimi 30 giorni.
      • negare la verifica se l'utente non ha eseguito l'accesso negli ultimi 30 giorni.

    3. Se si vuole che il revisore convida i motivi per la decisione di approvazione, selezionare Richiedi giustificazione revisore. La motivazione è visibile ad altri revisori e al richiedente.

  18. Selezionare Rivedi e crea o selezionare avanti se si sta creando un nuovo pacchetto di accesso. Selezionare Aggiorna se si sta modificando un pacchetto di accesso, nella parte inferiore della pagina.

Visualizzare lo stato della verifica di accesso

Dopo la data di inizio, nella sezione Verifiche di accesso verrà elencata una verifica di accesso. Seguire questa procedura per visualizzare lo stato di una verifica di accesso:

  1. In Identity Governance selezionare Pacchetti di accesso e quindi selezionare il pacchetto di accesso con lo stato di verifica dell'accesso che si vuole controllare.

  2. Dopo aver eseguito la panoramica del pacchetto di accesso, selezionare Verifiche di accesso nel menu a sinistra.

    Selezionare le verifiche di accesso

  3. Viene visualizzato un elenco che contiene tutti i criteri a cui sono associate verifiche di accesso. Selezionare la revisione per visualizzarne il report.

    Elenco delle verifiche di accesso

  4. Quando si visualizza il report, viene visualizzato il numero di utenti esaminati e le azioni eseguite dal revisore.

    Visualizzare lo stato della revisione

Notifiche tramite posta elettronica delle verifiche di accesso

È possibile designare i revisori o gli utenti possono verificare se stessi l'accesso. Per impostazione predefinita, Microsoft Entra ID invierà un messaggio di posta elettronica ai revisori o ai revisori auto-revisori poco dopo l'avvio della revisione.

Il messaggio di posta elettronica include istruzioni su come esaminare l'accesso ai pacchetti di accesso. Se la verifica è destinata agli utenti a esaminare l'accesso, visualizzare le istruzioni su come eseguire una verifica automatica dei pacchetti di accesso.

Se gli utenti guest sono stati assegnati come revisori e non hanno accettato l'invito guest di Microsoft Entra, non riceveranno messaggi di posta elettronica dalle verifiche di accesso. Devono prima accettare l'invito e creare un account con l'ID Microsoft Entra prima di poter ricevere i messaggi di posta elettronica.

Passaggi successivi