Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione entitlement è una funzionalità di governance delle identità che consente alle organizzazioni di gestire il ciclo di vita di identità e accessi su larga scala, automatizzando i flussi di lavoro delle richieste di accesso, le assegnazioni, le verifiche e la scadenza degli accessi.
Per svolgere il proprio lavoro, le persone all'interno dell'organizzazione devono accedere a vari gruppi, applicazioni e siti di SharePoint Online. La gestione di questo accesso è complessa, poiché cambiano i requisiti. Vengono aggiunte nuove applicazioni o le identità necessitano di maggiori diritti di accesso. Questo scenario diventa ancora più complicato se si collabora con organizzazioni esterne. Si potrebbe non sapere quali utenti dell'altra organizzazione devono accedere alle risorse della propria organizzazione, e gli utenti dell'altra organizzazione non sapranno quali applicazioni, gruppi o siti sono in uso nella propria.
La gestione dei diritti può aiutarti a gestire in modo più efficiente l'accesso a gruppi, applicazioni e siti SharePoint Online per identità interne, così come per identità esterne alla tua organizzazione che necessitano di accesso a tali risorse. Puoi anche usare la gestione dei diritti in anteprima per assegnare gruppi, permessi API e ruoli agli ID degli agenti.
Perché usare la gestione entitlement?
Le aziende si imbattono spesso in sfide quando gestiscono l'accesso del personale a risorse come:
- Le identità potrebbero non sapere quale accesso dovrebbero avere loro, i loro diretti subordinati o gli agenti che sponsorizzano e, anche se lo fanno, potrebbero avere difficoltà a trovare le persone giuste per approvare il loro accesso
- Una volta scoperto e assegnato l'accesso alle risorse, le identità potrebbero mantenere l'accesso più a lungo del necessario per le loro esigenze aziendali
Questi problemi si aggravano per le identità che necessitano di accesso da un'altra organizzazione, come le identità esterne provenienti da organizzazioni della supply chain o altri partner commerciali. Ad esempio:
- Nessuno può conoscere tutti gli specifici individui inclusi nelle directory di altre organizzazioni per avere la possibilità di invitarli
- Anche se riuscissero a invitare queste identità, nessuno in quell'organizzazione potrebbe ricordarsi di gestire tutti gli accessi alle identità in modo coerente
La gestione entitlement può aiutare a risolvere queste sfide. Per saperne di più su come i clienti hanno utilizzato la gestione dei diritti, puoi leggere i casi study della Divisione Medicaid del Mississippi, Storebrand e Digital Security and Resilience su Microsoft . Questo video offre una panoramica della gestione entitlement e dei relativi vantaggi:
Che cosa si può fare con la gestione entitlement?
Ecco alcune funzionalità della gestione entitlement:
- Controllare chi può accedere ad applicazioni, gruppi, Teams, siti di SharePoint, diritti di accesso SAP IAG e altre risorse, con l'approvazione a più fasi e garantire che le identità non mantengano l'accesso a tempo indefinito tramite assegnazioni limitate a tempo e verifiche di accesso ricorrenti.
- Dai alle identità accesso automatico a queste risorse, in base alle proprietà dell'identità come dipartimento o centro di costo, e rimuovi l'accesso di un'identità quando queste proprietà cambiano.
- Fornire agli ID degli agenti l'accesso alle risorse necessarie e consentire agli sponsor degli ID di garantire che l'accesso sia mantenuto solo quando necessario.
- Delegare a non amministratori la possibilità di creare pacchetti di accesso. Questi pacchetti di accesso contengono risorse che le identità possono richiedere, e i gestori dei pacchetti di accesso delegati possono definire politiche con regole su cui le identità possono richiedere, chi deve approvare il proprio accesso e quando l'accesso scade.
- Seleziona organizzazioni connesse le cui identità possono richiedere l'accesso. Quando un'identità che non è ancora nella tua directory richiede l'accesso ed è approvata, viene automaticamente invitata nella tua directory e gli viene assegnata l'accesso. Alla scadenza dell'accesso, se non avrà altre assegnazioni del pacchetto di accesso, il suo account B2B nella directory potrà essere rimosso automaticamente.
Nota
Se si è pronti per provare la gestione entitlement, è possibile iniziare con l'esercitazione per creare il primo pacchetto di accesso.
È anche possibile leggere gli scenari comuni o guardare i video, tra cui
- Come distribuire la gestione entitlement nell'organizzazione
- Come monitorare e dimensionare l'uso della gestione entitlement
- Come eseguire deleghe nella gestione entitlement
Che cosa sono i pacchetti di accesso e quali risorse consentono di gestire?
La gestione entitlement introduce il concetto di pacchetto di accesso. Un pacchetto di accesso è un insieme di tutte le risorse con l'accesso di cui un'identità ha bisogno per lavorare su un progetto o svolgere il proprio compito. I pacchetti di accesso possono essere utilizzati per governare l'accesso per identità interne e anche per identità che provengono al di fuori della tua organizzazione.
Ecco i tipi di risorse a cui puoi gestire l'accesso delle identità, con la gestione dei diritti:
- Iscrizione a gruppi di sicurezza di Microsoft Entra
- Appartenenza a Gruppi e Team di Microsoft 365
- Assegnazione ad applicazioni aziendali di Microsoft Entra, tra cui applicazioni SaaS e con integrazioni personalizzate che supportano la federazione, l'accesso Single Sign-On e/o il provisioning
- Appartenenza a siti di SharePoint Online
- Permessi API, per agenti con ID di agente o principi di servizio, in anteprima come parte di Microsoft Entra Agent ID
- Ruoli aziendali sap IAG e altri diritti di accesso, in anteprima
È anche possibile controllare l'accesso ad altre risorse che si basano su gruppi di sicurezza di Microsoft Entra o gruppi di Microsoft 365. Ad esempio:
- Puoi assegnare licenze alle identità per Microsoft 365 usando un gruppo di sicurezza Microsoft Entra in un pacchetto di accesso e configurando le licenze basate su gruppi per quel gruppo.
- Puoi dare alle identità l'accesso per gestire le risorse Azure usando un gruppo di sicurezza Microsoft Entra in un pacchetto di accesso e creando un'assegnazione di ruolo Azure per quel gruppo.
- Puoi dare alle identità l'accesso per gestire i ruoli Microsoft Entra utilizzando gruppi assegnabili ai ruoli Microsoft Entra in un pacchetto di accesso e assegnando un ruolo Microsoft Entra a quel gruppo.
Come si controlla chi ottiene l'accesso?
Con un pacchetto di accesso, un gestore di pacchetti di accesso amministratore o delegato elenca le risorse (gruppi, app e siti, ruoli Microsoft Entra e permessi API) e i ruoli di cui le identità hanno bisogno per tali risorse.
I pacchetti di accesso possono anche includere uno o più criteri. Un criterio definisce le regole o i vincoli per l'assegnazione a un pacchetto di accesso. Ogni policy può essere utilizzata per garantire che solo le identità appropriate possano avere assegnazioni di accesso, e l'accesso è limitato nel tempo a scadere se non rinnovato.
Puoi avere politiche per le identità che richiedono l'accesso. In questi tipi di criteri, un amministratore o uno strumento di gestione pacchetti di accesso definisce
- O le identità già esistenti (tipicamente dipendenti o ospiti già invitati), oppure le organizzazioni partner di identità esterne che possono richiedere l'accesso
- Il processo di approvazione e le identità che possono approvare o negare l'accesso
- La durata dell'assegnazione di accesso di un'identità, una volta approvata, prima della scadenza dell'assegnazione
Puoi anche avere politiche per l'accesso alle identità, sia da un amministratore, automaticamente basate sulle regole, sia tramite flussi di lavoro del ciclo di vita.
Il diagramma seguente mostra un esempio dei diversi elementi della gestione entitlement. Visualizza un catalogo con due pacchetti di accesso di esempio.
- Il pacchetto di accesso 1 include un singolo gruppo come risorsa. L'accesso è definito con una policy che consente a un insieme di identità nella directory di richiedere l'accesso.
- Il pacchetto di accesso 2 include un gruppo, un'applicazione e un sito di SharePoint Online come risorse. L'accesso viene definito con due criteri diversi. La prima policy consente a un insieme di identità nella directory di richiedere l'accesso. La seconda policy consente alle identità in una directory esterna di richiedere accesso.
Quando è consigliabile usare i pacchetti di accesso?
I pacchetti di accesso non sostituiscono altri meccanismi per l'assegnazione dell'accesso. Sono più appropriati in situazioni quali:
- Migrazione delle definizioni dei criteri di accesso da una gestione dei ruoli aziendali di terze parti a Microsoft Entra ID.
- Le identità necessitano di accesso limitato nel tempo per un compito specifico. Ad esempio, è possibile usare licenze basate su gruppi e un gruppo dinamico per assicurarsi che tutti i dipendenti abbiano una cassetta postale di Exchange e quindi usare pacchetti di accesso per le situazioni in cui i dipendenti hanno bisogno di un accesso aggiuntivo, ad esempio per leggere risorse di un altro reparto. Ad esempio, diritti di lettura delle risorse di un reparto da un altro reparto.
- L'accesso deve essere approvato dal responsabile di una persona o da altre persone designate.
- Accesso che deve essere assegnato automaticamente alle persone di una particolare parte di un'organizzazione, mentre ricoprono quel ruolo, ma che deve essere disponibile anche per le persone che si trovano altrove nell'organizzazione, o in un'azienda partner, così che possano farne richiesta.
- I reparti desiderano gestire i propri criteri di accesso per le loro risorse senza il coinvolgimento dell'IT.
- Due o più organizzazioni collaborano a un progetto e, di conseguenza, è necessario inserire più identità di una stessa organizzazione tramite Microsoft Entra B2B per accedere alle risorse di un'altra organizzazione.
Come si delega l'accesso?
I pacchetti di accesso sono definiti in contenitori denominati cataloghi. È possibile avere un singolo catalogo per tutti i pacchetti di accesso oppure designare persone per la creazione di specifici cataloghi di loro proprietà. Un amministratore può aggiungere risorse a qualsiasi catalogo, mentre un non amministratore può aggiungere a un catalogo solo le risorse di sua proprietà. Un proprietario di catalogo può aggiungere altre identità come co-proprietari del catalogo o come gestori di pacchetti di accesso. Questi scenari sono descritti più avanti, nell'articolo Delega e ruoli nella gestione entitlement.
Riepilogo della terminologia
Per comprendere meglio la gestione entitlement e la relativa documentazione, è possibile fare riferimento all'elenco di termini seguente.
| Termine | Descrizione |
|---|---|
| Pacchetto di accesso | Un'aggregazione di risorse necessarie per un team o un progetto regolamentate con criteri. Un pacchetto di accesso è sempre contenuto in un catalogo. Creeresti un nuovo pacchetto di accesso per uno scenario in cui le identità devono richiedere l'accesso per sé stesse. |
| Richiesta di accesso | Una richiesta di accedere alle risorse di un pacchetto di accesso. Una richiesta attraversa in genere un flusso di lavoro di approvazione. Se approvata, l'identità richiedente riceve un'assegnazione di pacchetto di accesso. |
| Assegnazione | L'assegnazione di un pacchetto di accesso a un'identità garantisce che l'identità abbia tutti i ruoli di risorsa di quel pacchetto di accesso. Le assegnazioni dei pacchetti di accesso in genere hanno un limite di tempo prima della scadenza. |
| catalogo | Un contenitore di risorse e pacchetti di accesso correlati. I cataloghi vengono usati per la delega, in modo che i non amministratori possano creare i propri pacchetti di accesso. I proprietari del catalogo possono aggiungervi le risorse di loro proprietà. I cataloghi possono avere un livello di privilegio Standard o un catalogo con risorse regolari in esso contenute oppure con privilegi in cui contiene risorse che concedono autorizzazioni elevate. |
| Autore di cataloghi | Una raccolta di identità autorizzate a creare nuovi cataloghi. Quando un'identità non amministratrice autorizzata a creare un catalogo crea un nuovo catalogo, diventa automaticamente il proprietario di quel catalogo. |
| Organizzazione connessa | Una directory o un dominio Esterno di Microsoft Entra con cui si ha una relazione. Le identità di un'organizzazione connessa possono essere specificate in una policy come autorizzate a richiedere l'accesso. |
| Criterio | Un insieme di regole che definiscono il ciclo di vita dell'accesso, come come le identità ottengono l'accesso, chi può approvare e per quanto tempo hanno accesso tramite un'assegnazione. Un criterio è collegato a un pacchetto di accesso. Ad esempio, un pacchetto di accesso potrebbe avere due politiche: una per i dipendenti per richiedere l'accesso e un'altra per le identità esterne per richiedere l'accesso. |
| risorsa | Un asset, come un gruppo Office, un gruppo di sicurezza, un'applicazione o un sito SharePoint Online, con un ruolo a cui un'identità può essere concessa autorizzazione. |
| Directory di risorse | Una directory che contiene una o più risorse da condividere. |
| Ruolo delle risorse | Una raccolta di autorizzazioni associate e definite da una risorsa. Un gruppo ha due ruoli, membro e proprietario. I siti di SharePoint hanno in genere tre ruoli, ma possono averne altri personalizzati. Le applicazioni possono avere ruoli personalizzati. |
Requisiti di licenza
Questa funzionalità richiede l'abbonamento a Microsoft Entra ID Governance o alla Famiglia di prodotti Microsoft Entra per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2. Per altre informazioni, vedere gli articoli di ciascuna funzionalità. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulle licenze di Microsoft Entra ID Governance.
Requisiti di licenza per l'assegnazione degli agenti all'accesso ai pacchetti (anteprima)
Importante
Microsoft Entra Agent ID fa parte di Microsoft Agent 365, ora disponibile in Frontier, il programma di accesso anticipato Microsoft per le ultime innovazioni di intelligenza artificiale. Per altre informazioni, vedere MICROSOFT Entra Agent ID.For more information, see Microsoft Entra Agent ID.
Passaggi successivi
- Se si è interessati a usare l'interfaccia di amministrazione di Microsoft Entra per gestire l'accesso alle risorse, vedere Esercitazione: gestire l'accesso alle risorse - Microsoft Entra.
- se si è interessati a usare Microsoft Graph per gestire l'accesso alle risorse, vedere Esercitazione: gestire l'accesso alle risorse - Microsoft Graph
- Scenari comuni