Condividi tramite

Modificare le impostazioni relative all'approvazione e al richiedente per un pacchetto di accesso nella gestione entitlement

  • Articolo

Ogni pacchetto di accesso deve avere uno o più criteri di assegnazione dei pacchetti di accesso, prima che un utente possa essere assegnato all'accesso. Quando viene creato un pacchetto di accesso nell'interfaccia di amministrazione di Microsoft Entra, l'interfaccia di amministrazione di Microsoft Entra crea automaticamente il primo criterio di assegnazione dei pacchetti di accesso per tale pacchetto di accesso. Il criterio determina chi può richiedere l'accesso e chi deve approvare l'accesso.

Come gestore pacchetti di accesso, è possibile modificare le impostazioni di approvazione e informazioni del richiedente per un pacchetto di accesso in qualsiasi momento modificando un criterio esistente o aggiungendo un nuovo criterio aggiuntivo per richiedere l'accesso.

Questo articolo descrive come modificare le impostazioni di approvazione e informazioni del richiedente per un pacchetto di accesso esistente tramite i criteri di un pacchetto di accesso.

Approvazione

Nella sezione Approvazione specificare se è necessaria un'approvazione quando gli utenti richiedono questo pacchetto di accesso. Le impostazioni di approvazione funzionano nel modo seguente:

  • Solo uno dei responsabili approvazione o dei responsabili approvazione di fallback selezionati deve approvare una richiesta di approvazione a fase singola.
  • Solo uno dei responsabili approvazione selezionati da ogni fase deve approvare una richiesta di approvazione a più fasi per la richiesta di avanzamento alla fase successiva.
  • Se una delle opzioni selezionate approvate in una fase nega una richiesta prima che un altro responsabile approvazione in tale fase lo approvi o se nessuno lo approva, la richiesta termina e l'utente non riceve l'accesso.
  • Il responsabile approvazione può essere un utente o un membro specificato di un gruppo, il responsabile del richiedente, lo sponsor interno o lo sponsor esterno a seconda dell'utente che gestisce l'accesso.

Per una dimostrazione di come aggiungere responsabili approvazione a un criterio di richiesta, guardare il video seguente:

Per una dimostrazione di come aggiungere un'approvazione a più fasi a un criterio di richiesta, guardare il video seguente:

Modificare le impostazioni di approvazione di un criterio di assegnazione dei pacchetti di accesso esistente

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Seguire questa procedura per specificare le impostazioni di approvazione per le richieste per il pacchetto di accesso tramite un criterio:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

    Suggerimento

    Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione assegnazione pacchetti di accesso.

  2. Passare a Identity Governance Entitlement management Access Packages (Pacchetti di accesso per la gestione>entitlement di Identity Governance>).

  3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

  4. Selezionare un criterio da modificare o aggiungere un nuovo criterio al pacchetto di accesso

    1. Selezionare Criteri e quindi Aggiungi criterio se si vuole creare un nuovo criterio.
    2. Selezionare il criterio da modificare e quindi selezionare Modifica.

  5. Passare alla scheda Richiesta .

  6. Per richiedere l'approvazione per le richieste degli utenti selezionati, impostare l'interruttore Richiedi approvazione su . In alternativa, per fare in modo che le richieste vengano approvate automaticamente, impostare l'interruttore su No. Se i criteri consentono agli utenti esterni dall'esterno dell'organizzazione di richiedere l'accesso, è necessario richiedere l'approvazione, quindi è necessario controllare chi viene aggiunto alla directory dell'organizzazione.

  7. Per richiedere agli utenti di fornire una giustificazione per richiedere il pacchetto di accesso, impostare l'interruttore Richiedi giustificazione del richiedente su .

  8. Determinare ora se le richieste richiedono l'approvazione a una o più fasi. Impostare il numero di fasi per il numero di fasi di approvazione necessarie.

    Pacchetto di accesso - Richieste - Impostazioni di approvazione

Seguire questa procedura per aggiungere responsabili approvazione dopo aver selezionato il numero di fasi necessarie:

Approvazione a singola fase

  1. Aggiungere il primo responsabile approvazione:

    Se i criteri sono impostati per gestire l'accesso per gli utenti nella directory, è possibile selezionare Manager come responsabile approvazione. In alternativa, aggiungere un utente specifico selezionando Aggiungi responsabili approvazione dopo aver selezionato Scegli responsabili approvazione specifici dal menu a discesa.

    Pacchetto di accesso - Richieste - Per gli utenti nella directory - Primo responsabile approvazione

    Se questo criterio è impostato per gestire l'accesso per gli utenti che non si trovano nella directory, è possibile selezionare Sponsor esterno o Sponsor interno. In alternativa, aggiungere un utente specifico facendo clic su Aggiungi responsabili approvazione o gruppi in Scegliere responsabili approvazione specifici.

    Pacchetto di accesso - Richieste - Per gli utenti fuori directory - Primo responsabile approvazione

  2. Se è stato selezionato Manager come primo responsabile approvazione, selezionare **Aggiungi fallback per selezionare uno o più utenti o gruppi nella directory come responsabile approvazione di fallback. I responsabili approvazione di fallback ricevono la richiesta se la gestione entitlement non riesce a trovare il manager per l'utente che richiede l'accesso.

    Il manager viene trovato dalla gestione entitlement usando l'attributo Manager . L'attributo si trova nel profilo dell'utente in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere o aggiornare le informazioni del profilo di un utente tramite Microsoft Entra ID.

  3. Se è stata selezionata l'opzione Scegli responsabili approvazione specifici, selezionare Aggiungi responsabili approvazione per scegliere uno o più utenti o gruppi nella directory da approvare.

  4. Nella casella in Decisione deve essere effettuata nel numero di giorni?, specificare il numero di giorni in cui un responsabile approvazione deve esaminare una richiesta per questo pacchetto di accesso.

    Se una richiesta non viene approvata entro questo periodo di tempo, verrà negata automaticamente. L'utente dovrà inviare un'altra richiesta per il pacchetto di accesso.

  5. Per richiedere ai responsabili approvazione di fornire una giustificazione per la decisione, impostare Richiedi giustificazione del responsabile approvazione su .

    La giustificazione è visibile ad altri responsabili approvazione e al richiedente.

Approvazione in più fasi

Se è stata selezionata un'approvazione a più fasi, è necessario aggiungere un responsabile approvazione per ogni fase aggiuntiva.

  1. Aggiungere il secondo responsabile approvazione:

    Se gli utenti si trovano nella directory, aggiungere un utente specifico come secondo responsabile approvazione selezionando Aggiungi responsabili approvazione in Scegliere responsabili approvazione specifici.

    Pacchetto di accesso - Richieste - Per gli utenti nella directory - Secondo responsabile approvazione

    Se gli utenti non si trovano nella directory, selezionare Sponsor interno o Sponsor esterno come secondo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione del fallback.

    Pacchetto di accesso - Richieste - Per gli utenti fuori directory - Secondo responsabile approvazione

  2. Specificare il numero di giorni in cui il secondo responsabile approvazione deve approvare la richiesta nella casella in Decisione deve essere effettuata in quanti giorni?.

  3. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

    È anche possibile aggiungere una fase aggiuntiva per un processo di approvazione in tre fasi. Ad esempio, potrebbe essere necessario che il responsabile di un dipendente sia il primo responsabile approvazione per un pacchetto di accesso. Tuttavia, una delle risorse nel pacchetto di accesso contiene informazioni riservate. In questo caso, è possibile designare il proprietario della risorsa come secondo responsabile approvazione e un revisore della sicurezza come terzo responsabile approvazione. Ciò consente a un team di sicurezza di avere una supervisione nel processo e la possibilità, ad esempio, di rifiutare una richiesta in base ai criteri di rischio non noti al proprietario della risorsa.

  4. Aggiungere il terzo responsabile approvazione:

    Se gli utenti si trovano nella directory, aggiungere un utente specifico come terzo responsabile approvazione facendo clic su Aggiungi responsabili approvazione in Scegliere responsabili approvazione specifici.

    Se gli utenti non si trovano nella directory, è anche possibile selezionare Sponsor interno o Sponsor esterno come terzo responsabile approvazione. Dopo aver selezionato il responsabile approvazione, aggiungere i responsabili approvazione del fallback.

    Nota

      Come la seconda fase, se gli utenti si trovano nella directory e **Manager come responsabile approvazione** è selezionata nella prima o nella seconda fase di approvazione, verrà visualizzata solo un'opzione per selezionare responsabili approvazione specifici per la terza fase di approvazione.
      Se si vuole designare il responsabile come terzo responsabile approvazione, è possibile modificare le selezioni nelle fasi di approvazione precedenti per assicurarsi che **Manager come responsabile approvazione** non sia selezionato. Verrà quindi visualizzato **Manager come responsabile approvazione** come opzione nell'elenco a discesa.
      Se gli utenti non si trovano nella directory e non si è selezionato **Sponsor interno** o **Sponsor esterno** come responsabili approvazione nelle fasi precedenti, verranno visualizzate come opzioni per **Terzo responsabile approvazione**. In caso contrario, sarà possibile selezionare solo **Scegli responsabili approvazione specifici**.

  5. Specificare il numero di giorni in cui il terzo responsabile approvazione deve approvare la richiesta nella casella in Decisione deve essere effettuata in quanti giorni?.

  6. Impostare l'interruttore Richiedi giustificazione approvazione su o No.

Responsabili approvazione alternativi

È possibile specificare responsabili approvazione alternativi, in modo analogo a specificare i responsabili approvazione primari che possono approvare le richieste in ogni fase. La presenza di responsabili approvazione alternativi garantisce che le richieste vengano approvate o negate prima della scadenza (timeout). È possibile elencare i responsabili approvazione alternativi insieme al responsabile approvazione principale in ogni fase.

Specificando responsabili approvazione alternativi in una fase, se i responsabili approvazione primari non sono in grado di approvare o negare la richiesta, la richiesta in sospeso viene inoltrata ai responsabili approvazione alternativi, in base alla pianificazione di inoltro specificata durante la configurazione dei criteri. Ricevono un messaggio di posta elettronica per approvare o negare la richiesta in sospeso.

Dopo che la richiesta viene inoltrata ai responsabili approvazione alternativi, i responsabili approvazione primari possono comunque approvare o negare la richiesta. I responsabili approvazione alternativi usano lo stesso sito di Accesso personale per approvare o negare la richiesta in sospeso.

È possibile elencare persone o gruppi di persone da approvare e responsabili approvazione alternativi. Assicurarsi di elencare diversi set di persone in modo che siano i primi, il secondo e i responsabili approvazione alternativi. Ad esempio, se Alice e Bob sono stati elencati come responsabili approvazione della prima fase, elencare Carol e Dave come responsabili approvazione alternativi. Usare la procedura seguente per aggiungere responsabili approvazione alternativi a un pacchetto di accesso:

  1. In fase di approvazione selezionare Mostra impostazioni richieste avanzate.

    Pacchetto di accesso - Criteri - Mostra impostazioni richieste avanzate

  2. Impostare Se non è stata eseguita alcuna azione, inoltrare ai responsabili approvazione alternativi? passare a .

  3. Selezionare Aggiungi responsabili approvazione alternativi e selezionare i responsabili approvazione alternativi dall'elenco.

    Pacchetto di accesso - Criteri - Aggiungere responsabili approvazione alternativi

    Se si seleziona Manager come responsabile approvazione per il primo responsabile approvazione, si avrà un'opzione aggiuntiva, il responsabile di secondo livello come responsabile approvazione alternativo, disponibile per scegliere nel campo responsabile approvazione alternativo. Se si seleziona questa opzione, è necessario aggiungere un responsabile approvazione di fallback per inoltrare la richiesta a nel caso in cui il sistema non riesca a trovare il secondo livello manager.

  4. Nella casella Inoltra a responsabili approvazione alternativi dopo quanti giorni inserire il numero di giorni in cui i responsabili approvazione devono approvare o negare una richiesta. Se nessun responsabile approvazione ha approvato o negato la richiesta prima della durata della richiesta, la richiesta scade (timeout) e l'utente dovrà inviare un'altra richiesta per il pacchetto di accesso.

    Le richieste possono essere inoltrate solo ai responsabili approvazione alternativi un giorno dopo l'avvio della richiesta. Per usare l'approvazione alternativa, il timeout della richiesta deve essere di almeno 4 giorni.

Abilitare le richieste

  1. Se si vuole rendere immediatamente disponibile il pacchetto di accesso per gli utenti nei criteri di richiesta da richiedere, spostare l'interruttore Abilita su .

    È sempre possibile abilitarla in futuro dopo aver completato la creazione del pacchetto di accesso.

    Se è stato selezionato Nessuno (solo assegnazioni dirette di amministratore) e si è impostato su No, gli amministratori non possono assegnare direttamente questo pacchetto di accesso.

    Pacchetto di accesso - Criterio - Impostazione dei criteri di abilitazione

  2. Selezionare Avanti.

Raccogliere informazioni aggiuntive sul richiedente per l'approvazione

Per assicurarsi che gli utenti ottengano l'accesso ai pacchetti di accesso corretti, è possibile richiedere ai richiedenti di rispondere a un campo di testo personalizzato o a domande a scelta multipla al momento della richiesta. Le domande verranno quindi mostrate ai responsabili approvazione per aiutarli a prendere una decisione.

  1. Passare alla scheda Informazioni del richiedente e selezionare la scheda Secondaria Domande .

  2. Digitare ciò che si desidera chiedere al richiedente, noto anche come stringa di visualizzazione, per la domanda nella casella Domanda .

    Pacchetto di accesso - Criterio - Impostazione Abilita informazioni richiedente

  3. Se la community degli utenti che dovranno accedere al pacchetto di accesso non ha tutte una lingua preferita comune, è possibile migliorare l'esperienza per gli utenti che richiedono l'accesso alle myaccess.microsoft.com. Per migliorare l'esperienza, è possibile fornire stringhe di visualizzazione alternative per lingue diverse. Ad esempio, se il Web browser di un utente è impostato su Spagnolo e sono configurate stringhe di visualizzazione in spagnolo, tali stringhe verranno visualizzate all'utente richiedente. Per configurare la localizzazione per le richieste, selezionare Aggiungi localizzazione.

    1. Una volta nel riquadro Aggiungi localizzazioni per la domanda , selezionare il codice della lingua per la lingua in cui si sta localizzata la domanda.
    2. Nella lingua configurata digitare la domanda nella casella Testo localizzato.
    3. Dopo aver aggiunto tutte le localizzazioni necessarie, selezionare Salva.

    Pacchetto di accesso - Criteri- Configurare il testo localizzato

  4. Selezionare il formato di risposta in cui si desidera che i richiedenti rispondano. I formati di risposta includono: testo breve, Scelta multipla e testo lungo.

    Pacchetto di accesso - Criteri- Selezionare Modifica e localizzare il formato di risposta a scelta multipla

  5. Se si seleziona Scelta multipla, selezionare il pulsante Modifica e localizzare per configurare le opzioni di risposta.

    1. Dopo aver selezionato Modifica e localizzare il riquadro Visualizza/modifica domanda verrà aperto.
    2. Digitare le opzioni di risposta da assegnare al richiedente quando si risponde alla domanda nelle caselle Valori di risposta.
    3. Digitare tutte le risposte necessarie.
    4. Se si vuole aggiungere la propria localizzazione per le opzioni a scelta multipla, selezionare il codice lingua facoltativo per la lingua in cui si vuole localizzare un'opzione specifica.
    5. Nella lingua configurata digitare l'opzione nella casella di testo Localizzata.
    6. Dopo aver aggiunto tutte le localizzazioni necessarie per ogni opzione Scelta multipla, selezionare Salva.

    Pacchetto di accesso - Criteri- Immettere più opzioni di scelta

  6. Se si desidera includere un controllo della sintassi per le risposte di testo alle domande, è anche possibile specificare un modello regex personalizzato.
    Screenshot del criterio di localizzazione delle espressioni regolari. Se si desidera includere un controllo della sintassi per le risposte di testo alle domande, è anche possibile specificare un modello regex personalizzato.

  7. Per richiedere ai richiedenti di rispondere a questa domanda quando si richiede l'accesso a un pacchetto di accesso, selezionare la casella di controllo in Obbligatorio.

  8. Compilare le schede rimanenti ,ad esempio Ciclo di vita, in base alle esigenze.

Dopo aver configurato le informazioni del richiedente nei criteri del pacchetto di accesso, è possibile visualizzare le risposte del richiedente alle domande. Per indicazioni sulla visualizzazione delle informazioni sul richiedente, vedere Visualizzare le risposte del richiedente alle domande.

Passaggi successivi