Informazioni su Gestione entitlement
La gestione entitlement è una funzionalità di governance delle identità che consente alle organizzazioni di gestire il ciclo di vita di identità e accessi su larga scala, automatizzando i flussi di lavoro delle richieste di accesso, le assegnazioni, le verifiche e la scadenza degli accessi.
Per svolgere il proprio lavoro, le persone all'interno dell'organizzazione devono accedere a vari gruppi, applicazioni e siti di SharePoint Online. La gestione di questo accesso è complessa, poiché cambiano i requisiti. Vengono aggiunte nuove applicazioni o gli utenti necessitano di maggiori diritti di accesso. Questo scenario diventa ancora più complicato se si collabora con organizzazioni esterne. È possibile che non si conosca chi nell'altra organizzazione deve accedere alle risorse dell'organizzazione e non saprà quali applicazioni, gruppi o siti sta usando l'organizzazione.
La funzionalità di gestione entitlement può aiutare a gestire in modo più efficiente l'accesso a gruppi, applicazioni e siti di SharePoint Online per utenti interni e anche per quelli esterni all'organizzazione che hanno l'esigenza di accedere a tali risorse.
Perché usare la gestione entitlement?
Le aziende si imbattono spesso in sfide quando gestiscono l'accesso del personale a risorse come:
- Gli utenti potrebbero non sapere quali accessi devono avere e, anche se lo fanno, potrebbero avere difficoltà a individuare le persone giuste per approvare l'accesso
- Una volta che gli utenti trovano e ricevono l'accesso a una risorsa, possono mantenere l'accesso più lungo di quanto richiesto per scopi aziendali
Questi problemi diventano ancora più complessi per gli utenti che devono accedere a un'altra organizzazione, ad esempio utenti esterni di organizzazioni della supply chain o altri partner aziendali. Ad esempio:
- Nessuno potrebbe conoscere tutti gli individui specifici nelle directory di altre organizzazioni per poterli invitare
- Anche se sono stati in grado di invitare questi utenti, nessuno dell'organizzazione potrebbe ricordare di gestire in modo coerente l'accesso di tutti gli utenti
La gestione entitlement può aiutare a risolvere queste sfide. Per altre informazioni sul modo in cui i clienti usano la gestione entitlement, è possibile leggere i case study sulla Divisione del Mississippi di Medicaid, Storebrand e Avanade . Questo video offre una panoramica della gestione entitlement e dei relativi vantaggi:
Che cosa si può fare con la gestione entitlement?
Ecco alcune funzionalità della gestione entitlement:
- Controllare chi può accedere ad applicazioni, gruppi, Teams e siti di SharePoint con l'approvazione a più fasi e assicurarsi che gli utenti non mantengano l'accesso indefinito attraverso assegnazioni limitate nel tempo e verifiche di accesso ricorrenti.
- Concedere agli utenti l'accesso automatico a tali risorse, in base alle proprietà dell'utente, ad esempio reparto o centro di costo, e rimuoverlo quando tali proprietà cambiano.
- Delegare a utenti non amministratori la possibilità di creare pacchetti di accesso. Questi pacchetti di accesso contengono risorse che gli utenti possono richiedere e i responsabili dei pacchetti di accesso con delega possono definire criteri con regole per gli utenti che possono effettuare richieste e per quelli che devono approvarne l'accesso, oltre a stabilirne la scadenza.
- Selezionare le organizzazioni connesse i cui utenti possono richiedere l'accesso. Quando un utente non ancora presente nella directory richiede l'accesso e riceve l'approvazione, viene automaticamente invitato nella directory e gli viene assegnato l'accesso. Alla scadenza dell'accesso, se non avrà altre assegnazioni del pacchetto di accesso, il suo account B2B nella directory potrà essere rimosso automaticamente.
Nota
Se si è pronti a provare la gestione entitlement, è possibile iniziare con l'esercitazione sulla creazione del primo pacchetto di accesso.
È anche possibile leggere gli scenari comuni o guardare i video, tra cui
- Come distribuire la gestione entitlement nell'organizzazione
- Come monitorare e ridimensionare l'uso della gestione entitlement
- Come eseguire deleghe nella gestione entitlement
Che cosa sono i pacchetti di accesso e quali risorse consentono di gestire?
La gestione entitlement introduce il concetto di pacchetto di accesso. Un pacchetto di accesso è un'aggregazione di tutte le risorse a cui un utente deve poter accedere per lavorare su un progetto o svolgere le proprie attività. I pacchetti di accesso possono essere usati per gestire l'accesso dei dipendenti e anche per gli utenti che hanno vengono dall'esterno dell'organizzazione.
Ecco i tipi di risorse per cui è possibile gestire l'accesso degli utenti con la gestione entitlement:
- Iscrizione a gruppi di sicurezza di Microsoft Entra
- Appartenenza a Gruppi e Team di Microsoft 365
- Assegnazione ad applicazioni aziendali di Microsoft Entra, tra cui applicazioni SaaS e con integrazioni personalizzate che supportano la federazione, l'accesso Single Sign-On e/o il provisioning
- Appartenenza a siti di SharePoint Online
È anche possibile controllare l'accesso ad altre risorse che si basano su gruppi di sicurezza di Microsoft Entra o gruppi di Microsoft 365. Ad esempio:
- È possibile concedere agli utenti licenze per Microsoft 365 usando un gruppo di sicurezza Microsoft Entra in un pacchetto di accesso e configurando le licenze basate sui gruppi per tale gruppo.
- È possibile concedere agli utenti l'accesso per gestire le risorse di Azure usando un gruppo di sicurezza Microsoft Entra in un pacchetto di accesso e creando un'assegnazione di ruolo di Azure per tale gruppo.
- È possibile concedere agli utenti l'accesso per gestire i ruoli di Microsoft Entra usando i gruppi assegnabili ai ruoli di Microsoft Entra in un pacchetto di accesso e assegnando un ruolo Microsoft Entra a tale gruppo.
Come si controlla chi ottiene l'accesso?
Un amministratore o un responsabile dei pacchetti di accesso con delega elenca le risorse (gruppi, app e siti) e i ruoli corrispondenti necessari per gli utenti.
I pacchetti di accesso possono anche includere uno o più criteri. Un criterio definisce le regole o i vincoli per l'assegnazione a un pacchetto di accesso. Ogni criterio può essere usato per garantire che solo gli utenti appropriati siano in grado di avere assegnazioni di accesso e che l'accesso sia limitato al tempo e scada se non viene rinnovato.
È possibile disporre di criteri per permettere agli utenti di richiedere l'accesso. In questi tipi di criteri, un amministratore o uno strumento di gestione pacchetti di accesso definisce
- Utenti già esistenti (in genere dipendenti o utenti guest già invitati) o organizzazioni partner di utenti esterni idonei a richiedere l'accesso
- Il processo di approvazione e gli utenti che possono approvare o negare l'accesso
- La durata dell'assegnazione dell'accesso di un utente, una volta approvata, prima che scada
È anche possibile disporre di criteri per gli utenti a cui assegnare l'accesso, da parte di un amministratore, automaticamente in base alle regole o tramite flussi di lavoro del ciclo di vita.
Il diagramma seguente mostra un esempio dei diversi elementi della gestione entitlement. Visualizza un catalogo con due pacchetti di accesso di esempio.
- Il pacchetto di accesso 1 include un singolo gruppo come risorsa. L'accesso viene definito con un criterio che consente a un set di utenti della directory di richiederlo.
- Il pacchetto di accesso 2 include un gruppo, un'applicazione e un sito di SharePoint Online come risorse. L'accesso viene definito con due criteri diversi. Il primo criterio consente a un set di utenti della directory di richiedere l'accesso. Il secondo criterio consente agli utenti di una directory esterna di richiedere l'accesso.
Quando è consigliabile usare i pacchetti di accesso?
I pacchetti di accesso non sostituiscono altri meccanismi per l'assegnazione dell'accesso. Sono più appropriati in situazioni quali:
- Migrazione delle definizioni dei criteri di accesso da una gestione dei ruoli aziendali di terze parti a Microsoft Entra ID.
- Gli utenti necessitano di accesso limitato temporalmente per una determinata attività. Ad esempio, è possibile usare licenze basate su gruppi e un gruppo dinamico per assicurarsi che tutti i dipendenti abbiano una cassetta postale di Exchange e quindi usare pacchetti di accesso per le situazioni in cui i dipendenti hanno bisogno di un accesso aggiuntivo, ad esempio per leggere risorse di un altro reparto. Ad esempio, diritti di lettura delle risorse di un reparto da un altro reparto.
- L'accesso deve essere approvato dal responsabile di una persona o da altre persone designate.
- Accesso che deve essere assegnato automaticamente alle persone di una particolare parte di un'organizzazione, mentre ricoprono quel ruolo, ma che deve essere disponibile anche per le persone che si trovano altrove nell'organizzazione, o in un'azienda partner, così che possano farne richiesta.
- I reparti desiderano gestire i propri criteri di accesso per le loro risorse senza il coinvolgimento dell'IT.
- Due o più organizzazioni collaborano a un progetto e, di conseguenza, più utenti di un'organizzazione devono essere inseriti tramite Microsoft Entra B2B per accedere alle risorse di un'altra organizzazione.
Come si delega l'accesso?
I pacchetti di accesso sono definiti in contenitori denominati cataloghi. È possibile avere un singolo catalogo per tutti i pacchetti di accesso oppure designare persone per la creazione di specifici cataloghi di loro proprietà. Un amministratore può aggiungere risorse a qualsiasi catalogo, ma un non amministratore può aggiungere solo a un catalogo le risorse di cui sono proprietari. Un proprietario di catalogo può aggiungere altri utenti come comproprietari oppure come responsabili del pacchetto di accesso. Questi scenari sono descritti più avanti nell'articolo delega e ruoli nella gestione entitlement.
Riepilogo della terminologia
Per comprendere meglio la gestione entitlement e la relativa documentazione, è possibile fare riferimento all'elenco di termini seguente.
| Termine | Descrizione |
|---|---|
| Pacchetto di accesso | Un'aggregazione di risorse necessarie per un team o un progetto regolamentate con criteri. Un pacchetto di accesso è sempre contenuto in un catalogo. È possibile creare un nuovo pacchetto di accesso per uno scenario in cui gli utenti hanno l'esigenza di richiedere l'accesso. |
| Richiesta di accesso | Una richiesta di accedere alle risorse di un pacchetto di accesso. Una richiesta attraversa in genere un flusso di lavoro di approvazione. Se approvata, il richiedente riceve un'assegnazione del pacchetto di accesso. |
| Assegnazione | Un'assegnazione di un pacchetto di accesso assicura all'utente tutti i ruoli per le risorse contenute al suo interno. Le assegnazioni dei pacchetti di accesso in genere hanno un limite di tempo prima della scadenza. |
| catalogo | Un contenitore di risorse e pacchetti di accesso correlati. I cataloghi vengono usati per la delega, in modo che i non amministratori possano creare pacchetti di accesso personalizzati. I proprietari del catalogo possono aggiungervi le risorse di loro proprietà. |
| Autore di cataloghi | Un insieme di utenti autorizzati a creare nuovi cataloghi. Quando un utente non amministratore autorizzato a essere creatore di catalogo crea un nuovo catalogo, diventa automaticamente il proprietario del catalogo. |
| Organizzazione connessa | Una directory o un dominio Esterno di Microsoft Entra con cui si ha una relazione. Gli utenti di un'organizzazione connessa possono essere specificati in un criterio come autorizzati a richiedere l'accesso. |
| Criterio | Un set di regole che definisce il ciclo di vita dell'accesso, ad esempio il modo in cui gli utenti ottengono l'accesso, chi può approvarlo e la durata tramite un'assegnazione. Un criterio è collegato a un pacchetto di accesso. Un pacchetto di accesso, ad esempio, può avere due criteri, uno per autorizzare le richieste di accesso dei dipendenti e l'altro per autorizzare quelle degli utenti esterni. |
| resource | Un asset, ad esempio un gruppo di Office, un gruppo di sicurezza, un'applicazione o un sito di SharePoint Online, con un ruolo per cui è possibile concedere autorizzazioni a un utente. |
| Directory di risorse | Una directory che contiene una o più risorse da condividere. |
| Ruolo delle risorse | Una raccolta di autorizzazioni associate e definite da una risorsa. Un gruppo ha due ruoli, membro e proprietario. I siti di SharePoint in genere hanno tre ruoli, ma possono avere altri ruoli personalizzati. Le applicazioni possono avere ruoli personalizzati. |
Requisiti di licenza
L'uso di questa funzionalità richiede l'abbonamento a Governance di Microsoft Entra ID per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2. Per altri dettagli, vedere gli articoli su ogni funzionalità. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulle licenze di Microsoft Entra ID Governance.
Passaggi successivi
- Se si è interessati a usare l'interfaccia di amministrazione di Microsoft Entra per gestire l'accesso alle risorse, vedere Esercitazione: Gestire l'accesso alle risorse - Microsoft Entra.
- se si è interessati a usare Microsoft Graph per gestire l'accesso alle risorse, vedere Esercitazione: gestire l'accesso alle risorse - Microsoft Graph
- Scenari comuni
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per