Configurare i controlli della separazione dei compiti per un pacchetto di accesso nella gestione entitlement
Nella gestione entitlement è possibile configurare più criteri, con impostazioni diverse per ogni community di utenti che dovrà accedere tramite un pacchetto di accesso. Ad esempio, i dipendenti potrebbero necessitare solo dell'approvazione del responsabile per ottenere l'accesso a determinate app, ma gli utenti guest di altre organizzazioni potrebbero necessitare dell'approvazione sia di uno sponsor che di un responsabile del reparto del team delle risorse. In un criterio per gli utenti già presenti nella directory è possibile specificare un determinato gruppo di utenti per i quali è possibile richiedere l'accesso. Tuttavia, è possibile configurare un requisito per evitare che a un utente venga concesso un accesso eccessivo. Per soddisfare questo requisito, è opportuno limitare ulteriormente chi può richiedere l'accesso in base all'accesso già disponibile per il richiedente.
Con le impostazioni della separazione dei compiti in un pacchetto di accesso, è possibile configurare che un utente membro di un gruppo o che abbia già un'assegnazione a un pacchetto di accesso non possa richiedere un altro pacchetto di accesso.
Scenari per i controlli della separazione dei compiti
Ad esempio, si supponga di disporre di un pacchetto di accesso, Campagna di marketing, a cui gli utenti dell'organizzazione e di altre organizzazioni possono richiedere l'accesso per collaborare con il reparto marketing dell'organizzazione mentre la campagna è in corso. Poiché i dipendenti del reparto marketing hanno generalmente già accesso a tale materiale della campagna di marketing, non si vuole che i dipendenti del reparto marketing richiedano l'accesso a tale pacchetto di accesso. Oppure, in alternativa, è possibile che esista già un gruppo di appartenenza dinamica, Dipendenti del reparto marketing, che include tutti i dipendenti del marketing. È possibile indicare che il pacchetto di accesso non è compatibile con il gruppo di appartenenza dinamica. Quindi, se un dipendente del reparto marketing sta cercando un pacchetto di accesso da richiedere, non può richiedere l'accesso al pacchetto di accesso Campagna di marketing.
Analogamente, è possibile che esista un'applicazione con due ruoli dell'app, Vendite in Occidente e Vendite in Oriente, che rappresentano i territori di vendita e che si voglia assicurarsi che un utente possa accedere a un solo territorio di vendita alla volta. Se sono disponibili due pacchetti di accesso, un pacchetto di accesso denominato Territorio occidentale che assegna il ruolo Vendite in Occidente e un altro pacchetto di accesso denominato Territorio orientale a cui è assegnato il ruolo Vendite in Oriente, è possibile configurare:
- il pacchetto di accesso Territorio occidentale per il quale il pacchetto Territorio orientale è incompatibile; e
- il pacchetto di accesso Territorio orientale per il quale il pacchetto Territorio occidentale è incompatibile.
Se sono stati usati Microsoft Identity Manager o altri sistemi di gestione delle identità locali per automatizzare l'accesso per le app locali, è possibile integrare questi sistemi anche con la gestione entitlement. Se si controlla l'accesso alle app integrate di Microsoft Entra tramite la gestione entitlement e si vuole impedire agli utenti di avere un accesso incompatibile, è possibile configurare un pacchetto di accesso come non compatibile con un gruppo. Potrebbe trattarsi di un gruppo che il sistema di gestione delle identità locale invia a Microsoft Entra ID tramite Microsoft Entra Connect. Questo controllo garantisce che un utente non possa richiedere un pacchetto di accesso, se tale pacchetto di accesso concede un accesso non compatibile con l'accesso di tale utente nelle app locali.
Prerequisiti
Per usare la gestione entitlement e assegnare gli utenti ai pacchetti di accesso, è necessario disporre di una delle licenze seguenti:
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Licenza di Enterprise Mobility + Security (EMS) E5
Configurare un altro pacchetto di accesso o un'altra appartenenza a un gruppo come incompatibile per richiedere l'accesso a un pacchetto di accesso
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Seguire questa procedura per modificare l'elenco di gruppi incompatibili o di altri pacchetti di accesso per un pacchetto di accesso esistente:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso richiesto dagli utenti.
Nel menu a sinistra selezionare Separazione dei compiti.
L'elenco nella scheda Pacchetti di accesso incompatibili si riferisce ad altri pacchetti di accesso. Un utente che ha già un'assegnazione a un pacchetto di accesso in tale elenco non potrà richiedere tale pacchetto di accesso.
Se si vuole impedire agli utenti che hanno già un'assegnazione a un pacchetto di accesso di richiedere il pacchetto di accesso, selezionare Aggiungi pacchetto di accesso e selezionare il pacchetto di accesso a cui l'utente è già stato assegnato. Tale pacchetto di accesso verrà quindi aggiunto all'elenco dei pacchetti di accesso nella scheda Pacchetti di accesso incompatibili.
Se si vuole impedire agli utenti con un'appartenenza a un gruppo esistente di richiedere il pacchetto di accesso, selezionare Aggiungi gruppo e selezionare il gruppo in cui si trova già l'utente. Tale gruppo verrà quindi aggiunto all'elenco dei gruppi nella scheda Gruppi incompatibili.
Se si vuole che gli utenti assegnati al pacchetto di accesso non siano in grado di richiedere tale pacchetto di accesso, dal momento che ogni relazione di pacchetto di accesso incompatibile è unidirezionale, impostare tale pacchetto di accesso e aggiungerlo come incompatibile. Ad esempio, si vuole che gli utenti con il pacchetto di accesso Territorio occidentale non possano richiedere il pacchetto di accesso Territorio orientale e gli utenti con il pacchetto di accesso Territorio orientale non possano richiedere il pacchetto di accesso Territorio occidentale. Se in precedenza nel pacchetto di accesso Territorio occidentale è stato aggiunto il pacchetto di accesso Territorio orientale come incompatibile, passare quindi al pacchetto di accesso Territorio orientale e aggiungere il pacchetto di accesso Territorio occidentale come incompatibile.
Configurare pacchetti di accesso incompatibili a livello di codice tramite Graph
È possibile configurare i gruppi e altri pacchetti di accesso incompatibili con un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato per un'applicazione con l'autorizzazione EntitlementManagement.ReadWrite.All delegata o per un'applicazione con l'autorizzazione dell'applicazioneEntitlementManagement.ReadWrite.All può chiamare l'API per aggiungere, rimuovere ed elencare i gruppi incompatibili e i pacchetti di accesso di un pacchetto di accesso.
Configurare pacchetti di accesso incompatibili tramite Microsoft PowerShell
È anche possibile configurare i gruppi e altri pacchetti di accesso incompatibili con un pacchetto di accesso in PowerShell con i cmdlet di Microsoft Graph PowerShell per il modulo Identity Governance, versione 1.16.0 o successiva.
Lo script seguente mostra come usare il profilo v1.0 di Graph per creare una relazione che indichi un altro pacchetto di accesso come incompatibile.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params
Visualizzare altri pacchetti di accesso configurati come incompatibili con questo pacchetto
Seguire questa procedura per visualizzare l'elenco degli altri pacchetti di accesso che hanno indicato di essere incompatibili con un pacchetto di accesso esistente:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso.
Nel menu a sinistra selezionare Separazione dei compiti.
Selezionare Non compatibile con.
Identificare gli utenti che hanno già un accesso incompatibile con un altro pacchetto di accesso (anteprima)
Se sono state configurate impostazioni di accesso incompatibili in un pacchetto di accesso a cui sono già assegnati utenti, è possibile scaricare un elenco degli utenti che dispongono di tale accesso aggiuntivo. Gli utenti che hanno anche un'assegnazione al pacchetto di accesso incompatibile non potranno richiedere di nuovo l'accesso.
Seguire questa procedura per visualizzare l'elenco degli utenti con assegnazioni a due pacchetti di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso in cui è stato configurato un altro pacchetto di accesso come incompatibile.
Nel menu a sinistra selezionare Separazione dei compiti.
Nella tabella, se nella colonna Accesso aggiuntivo per il secondo pacchetto di accesso è presente un valore diverso da zero, significa che sono presenti uno o più utenti con assegnazioni.
Selezionare tale conteggio per visualizzare l'elenco delle assegnazioni incompatibili.
È anche possibile selezionare il pulsante Scarica per salvare l'elenco di assegnazioni come file CSV.
Identificare gli utenti che avranno un accesso incompatibile a un altro pacchetto di accesso
Se si configurano impostazioni di accesso incompatibili in un pacchetto di accesso a cui sono già assegnati utenti, qualsiasi utente che abbia anche un'assegnazione al pacchetto di accesso incompatibile o ai gruppi non sarà in grado di richiedere di nuovo l'accesso.
Seguire questa procedura per visualizzare l'elenco degli utenti con assegnazioni a due pacchetti di accesso.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e il responsabile dei pacchetti di accesso.
Passare a Identity Governance>Gestione entitlement>Pacchetto di accesso.
Aprire il pacchetto di accesso in cui verranno configurate le assegnazioni incompatibili.
Nel menu a sinistra selezionare Assegnazioni.
Nel campo Stato verificare che sia selezionato lo stato Recapitato.
Selezionare il pulsante Scarica e salvare il file CSV risultante come primo file con un elenco di assegnazioni.
Nella barra di spostamento selezionare Identity Governance.
Nel menu a sinistra selezionare Pacchetti di accesso e quindi aprire il pacchetto di accesso che si prevede di indicare come incompatibile.
Nel menu a sinistra selezionare Assegnazioni.
Nel campo Stato verificare che sia selezionato lo stato Recapitato.
Selezionare il pulsante Scarica e salvare il file CSV risultante come secondo file con un elenco di assegnazioni.
Usare un programma di fogli di calcolo, ad esempio Excel, per aprire i due file.
Gli utenti elencati in entrambi i file avranno assegnazioni incompatibili già esistenti.
Identificare gli utenti che hanno già un accesso incompatibile a livello di codice
È possibile recuperare le assegnazioni a un pacchetto di accesso usando Microsoft Graph. Tali assegnazioni hanno come ambito solo gli utenti che hanno anche un'assegnazione a un altro pacchetto di accesso. Un utente con un ruolo di amministratore per un'applicazione con l'autorizzazione delegata EntitlementManagement.Read.All o EntitlementManagement.ReadWrite.All può chiamare l'API per visualizzare un elenco degli accessi aggiuntivi.
Identificare gli utenti che hanno già un accesso incompatibile con PowerShell
È anche possibile eseguire una query sugli utenti con assegnazioni a un pacchetto di accesso con il cmdlet Get-MgEntitlementManagementAssignment dei cmdlet di Microsoft Graph PowerShell per il modulo Identity Governance, versione 2.1.0 o successiva.
Ad esempio, se sono disponibili due pacchetti di accesso, uno con ID 00aa00aa-bb11-cc22-dd33-44ee44ee44ee e l'altro con ID 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, è possibile recuperare gli utenti che hanno assegnazioni al primo pacchetto di accesso e quindi confrontarli con gli utenti che hanno assegnazioni al secondo pacchetto di accesso. È anche possibile segnalare gli utenti ai quali sono state recapitate assegnazioni usando uno script di PowerShell simile al seguente:
$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }
Configurare più pacchetti di accesso per scenari di sostituzione
Se un pacchetto di accesso è stato configurato come incompatibile, un utente che ha un'assegnazione a tale pacchetto di accesso incompatibile non può richiedere il pacchetto di accesso e un amministratore non può creare una nuova assegnazione che sarebbe incompatibile.
Ad esempio, se il pacchetto di accesso Ambiente di produzione ha contrassegnato il pacchetto Ambiente di sviluppo come incompatibile e un utente ha un'assegnazione al pacchetto di accesso Ambiente di sviluppo, il responsabile dei pacchetti di accesso per Ambiente di produzione non può creare un'assegnazione per tale utente in Ambiente di produzione. Per procedere con tale assegnazione, è necessario prima rimuovere l'assegnazione esistente dell'utente al pacchetto di accesso Ambiente di sviluppo.
Se si verifica una situazione eccezionale in cui potrebbe essere necessario ignorare le regole di separazione dei compiti, la configurazione di un pacchetto di accesso aggiuntivo per l'acquisizione degli utenti che hanno diritti di accesso sovrapposti specificherà chiaramente agli approvatori, ai revisori e agli auditor che tali assegnazioni hanno un carattere eccezionale.
Ad esempio, in uno scenario in cui alcuni utenti devono avere accesso contemporaneamente sia all'ambiente di produzione che a quello di sviluppo, è possibile creare un nuovo pacchetto di accesso Ambienti di produzione e sviluppo. Tale pacchetto di accesso potrebbe avere come ruoli delle risorse alcuni dei ruoli delle risorse del pacchetto di accesso Ambiente di produzione e alcuni dei ruoli delle risorse del pacchetto di accesso Ambiente di sviluppo.
Se la motivazione dell'accesso incompatibile deriva dal fatto che uno dei ruoli della risorsa è particolarmente problematico, è possibile omettere la risorsa dal pacchetto di accesso combinato e richiedere l'esplicita assegnazione da parte dell'amministratore di un utente al ruolo della risorsa. Se si tratta di un'applicazione di terze parti o di un'applicazione personalizzata, è possibile garantire la supervisione monitorando tali assegnazioni di ruolo usando la cartella di lavoro Attività di assegnazione dei ruoli applicazione descritta nella sezione successiva.
A seconda dei processi di governance, il criterio del pacchetto di accesso combinato potrebbe essere:
- un criterio di assegnazione diretta, in modo che un solo responsabile della gestione dei pacchetti di accesso interagisca con il pacchetto di accesso; o
- un criterio di richiesta accesso da parte degli utenti, in modo che un utente possa effettuare la richiesta che includa potenzialmente una fase di approvazione aggiuntiva
Le impostazioni del ciclo di vita di questo criterio potrebbero prevedere un numero di giorni per la scadenza minore rispetto a un criterio di altri pacchetti di accesso o richiedere verifiche di accesso più frequenti, con una supervisione regolare in modo che gli utenti non mantengano l'accesso più a lungo del necessario.
Monitorare e creare report sulle assegnazioni di accesso
È possibile usare le cartelle di lavoro di Monitoraggio di Azure per ottenere informazioni dettagliate su come gli utenti hanno ricevuto l'accesso.
Configurare Microsoft Entra ID per inviare eventi di controllo a Monitoraggio di Azure.
La cartella di lavoro denominata Attività del pacchetto di accesso visualizza ogni evento correlato a un determinato pacchetto di accesso.
Per verificare se sono state apportate modifiche alle assegnazioni di ruolo dell'applicazione per un'applicazione non riconducibili alle assegnazioni dei pacchetti di accesso, è possibile selezionare la cartella di lavoro denominata Attività di assegnazione dei ruoli dell'applicazione. Se si sceglie di omettere l'attività di entitlement, vengono visualizzate solo le modifiche ai ruoli dell'applicazione non apportate dalla gestione entitlement. Ad esempio, viene visualizzata una riga se un altro amministratore ha assegnato direttamente un utente a un ruolo dell'applicazione.
