Creare e configurare programmi di verifica di accesso
Le verifiche di accesso di Microsoft Entra sono una funzionalità di Microsoft Entra ID Governance. Le verifiche di accesso garantiscono che le identità giuste accedano in modo appropriato alle risorse giuste dell'organizzazione. Le verifiche di accesso possono essere implementate a livello di codice usando l'API di verifica di accesso in Microsoft Graph.
Modello di dati delle verifiche di accesso di Microsoft Entra
La funzionalità di verifica di accesso di Microsoft Entra aggiunge i tipi di risorse seguenti:
| Tipo di risorsa | Descrizione |
|---|---|
| accessReview | Il contenitore rappresenta una verifica di accesso. Può essere una verifica occasionale, una serie di verifiche ricorrenti o un'istanza di una verifica ricorrente. |
| businessFlowTemplate | Il modello per il flusso aziendale determina la risorsa di tipo per cui deve essere eseguita una verifica di accesso. L'identificatore di un modello, ad esempio per la revisione dei membri guest di un gruppo, viene specificato dal chiamante durante la creazione di una verifica di accesso. Gli oggetti modello di flusso aziendale sono di sola lettura, vengono generati automaticamente quando l'amministratore globale esegue l'onboarding del tenant per usare la funzionalità di verifica di accesso. Non è possibile creare altri modelli di flusso aziendale. |
| program | rappresenta un programma di verifica di accesso a Microsoft Entra. Un programma è un contenitore che contiene i controlli del programma. Un tenant può avere uno o più programmi. Ogni controllo collega una verifica di accesso a un programma, per semplificare l'individuazione delle verifiche di accesso correlate. Ogni tenant che ha eseguito l'onboarding delle verifiche di accesso di Microsoft Entra ha un programma, Default program. Un amministratore globale può creare altri programmi, ad esempio per rappresentare iniziative di conformità. |
| programControl | rappresenta un controllo, che collega una verifica di accesso a un determinato programma |
| programControlType | il tipo di controllo del programma viene usato quando si associa un controllo a un programma, per indicare il tipo di verifica di accesso a cui si riferisce il controllo. Gli oggetti tipo di controllo del programma sono di sola lettura, vengono generati automaticamente quando l'amministratore globale esegue l'onboarding del tenant per usare la funzionalità di verifica di accesso. Non è possibile creare altri tipi di controllo del programma. |
Registrare un'applicazione di Microsoft Entra ID che usa autorizzazioni per chiamare l'API di verifica di accesso in Graph
Il modello di autorizzazione Graph richiede che un'applicazione sia autorizzata da un utente o un amministratore per poter accedere ai dati di un'organizzazione.
Aprire il portale di Azure come amministratore globale.
Passare all'estensioneMicrosoft Entra ID e selezionare Registrazioni app nella sezione Gestisci per passare alla pagina di registrazione delle app
Selezionare il pulsante Registrazione nuova applicazione nella parte superiore della pagina.
Specificare per l'applicazione un nome diverso da qualsiasi altro nome di applicazione nella directory del tenant (ad esempio =
graphsample).Modificare il tipo di applicazione in Nativa e specificare quanto segue come URI di reindirizzamento:
urn:ietf:wg:oauth:2.0:oobSelezionare "Crea".
Quando l'applicazione è registrata, copiare il valore ID applicazione e salvarlo per usarlo in un secondo momento.
Selezionare Impostazioni, quindi selezionare Autorizzazioni necessarie.
Seleziona Aggiungi. Scegliere Selezionare un'API, selezionareMicrosoft Graph e quindi scegliere Seleziona.
Le verifiche di accesso di Microsoft Entra usano le autorizzazioni delegate seguenti:
- Lettura di tutte le verifiche di accesso a cui un utente è autorizzato ad accedere
- Gestione di tutte le verifiche di accesso a cui un utente è autorizzato ad accedere
- Lettura di tutti i programmi a cui l'utente è autorizzato ad accedere
- Gestione di tutti i programmi a cui l'utente è autorizzato ad accedere Questa applicazione di esempio richiede solo le autorizzazioni: Lettura di tutte le verifiche di accesso a cui un utente è autorizzato ad accedere e Lettura di tutti i programmi a cui l'utente è autorizzato ad accedere
Inserire un segno di spunta nella casella delle due autorizzazioni e scegliere Seleziona.
Selezionare "Fatto".
Blocchi predefiniti dell'API di verifica di accesso
L'API di verifica di accesso è strutturata in modo logico ed è costituita dai blocchi predefiniti seguenti.
Definizione della pianificazione delle verifiche di accesso
Si tratta del progetto logico che contiene le impostazioni di una verifica di accesso e delle relative istanze. Queste impostazioni includono:
- Le risorse a cui si accede.
- Entità che accedono alla risorsa.
- I revisori che attestano la necessità delle entità di mantenere l'accesso alle risorse.
- Frequenza della verifica di accesso.
- Fasi della verifica di accesso (per una verifica di accesso a più fasi).
Istanza di verifica di accesso
- Rappresenta un'unica attività di revisione, o occorrenza, in base alla quale i revisori prendono decisioni. Una definizione di verifica di accesso può avere più istanze, come accade nelle verifiche ricorrenti. Le verifiche occasionali hanno esattamente un'istanza. Per una verifica di accesso a più fasi, ogni istanza contiene fino a tre fasi.
Elemento decisionale registrato per una verifica
- Rappresenta una decisione presa da un revisore per un'istanza, incluso il timestamp e la giustificazione per la decisione. Ogni istanza di verifica ha un numero di decisioni pari al numero di entità in fase di verifica. Se non sono state prese decisioni, ovvero i revisori non hanno risposto alla verifica, non saranno presenti oggetti decisionali per l'istanza.