Esercitazione: Gestire l'accesso alle risorse nella gestione entitlement

  • Articolo

La gestione degli accessi a tutte le risorse necessarie per i dipendenti, ad esempio gruppi, applicazioni e siti, è una funzione importante per le organizzazioni. Si vuole concedere ai dipendenti il livello di accesso appropriato che devono essere produttivi e rimuovere l'accesso quando non è più necessario.

In questa esercitazione l'utente lavora come amministratore IT presso Woodgrove Bank. Si è ricevuto l'incarico di creare un pacchetto di risorse per una campagna di marketing che gli utenti interni possono usare per la gestione self-service delle richieste. Le richieste non richiedono l'approvazione e l'accesso dell'utente scade dopo 30 giorni. Per questa esercitazione, le risorse della campagna di marketing sono semplici appartenenze ad un singolo gruppo, ma potrebbe trattarsi di una raccolta di gruppi, applicazioni o siti di SharePoint Online.

Diagram that shows the scenario overview.

In questa esercitazione apprenderai a:

  • Creare un pacchetto di accesso con un gruppo come risorsa
  • Consentire a un utente nella directory di richiedere l'accesso
  • Mostrare come un utente interno può richiedere il pacchetto di accesso

Per una dimostrazione dettagliata del processo di distribuzione della gestione entitlement di Microsoft Entra, inclusa la creazione del primo pacchetto di accesso, vedere il video seguente:

Questo resto di questo articolo usa l'interfaccia di amministrazione di Microsoft Entra per configurare e dimostrare la gestione entitlement.

Prerequisiti

Per usare la gestione entitlement, è necessario avere una delle licenze seguenti:

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Licenza di Enterprise Mobility + Security (EMS) E5

Per altre informazioni, vedere Requisiti relativi alle licenze.

Passaggio 1: Configurare utenti e gruppi

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Una directory di risorse contiene una o più risorse da condividere. In questo passaggio verrà creato un gruppo denominato Marketing resources nella directory Woodgrove Bank che rappresenta la risorsa di destinazione per la gestione entitlement. Verrà anche configurato un richiedente interno.

Ruolo prerequisito: amministratore globale o Amministrazione istrator di Identity Governance

Diagram that shows the users and groups for this tutorial.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di Identity Governance.

  2. Passare a Identity Governance Entitlement management Access Packages (Pacchetti di accesso per la gestione>entitlement di Identity Governance>).

  3. Creare due utenti. Usare i nomi seguenti o nomi diversi.

    Nome Ruolo directory
    Admin1 Amministratore globale o Identity Governance Amministrazione istrator. Questo utente può essere l'utente attualmente connesso.
    Requestor1 User

  4. Creare un gruppo di sicurezza Microsoft Entra denominato Marketing resources con un tipo di appartenenza Assegnato. Questo gruppo è la risorsa di destinazione per la gestione entitlement. Per iniziare, il gruppo non deve contenere membri.

Passaggio 2: Creare un pacchetto di accesso

Un pacchetto di accesso è un bundle di risorse di cui necessita un team o un progetto e che è disciplinato dai criteri. I pacchetti di accesso sono definiti in contenitori denominati cataloghi. In questo passaggio verrà creato un pacchetto di accesso Marketing Campaign nel catalogo Generale.

Ruolo prerequisito: Global Amministrazione istrator, Identity Governance Amministrazione istrator, Catalog owner o Access Package Manager

Diagram that describes the relationship between the access package elements.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di Identity Governance.

  2. Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).

  3. Nella pagina Pacchetti di accesso aprire un pacchetto di accesso.

  4. Quando si apre il pacchetto di accesso se viene visualizzato Accesso negato, assicurarsi che nella directory sia presente una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance.

  5. Selezionare Nuovo pacchetto di accesso.

    Screenshots that shows how to create an access package.

  6. Nella scheda Informazioni di base digitare il nome Marketing Campaign e la descrizione Access to resources for the campaign per il pacchetto di accesso.

  7. Lasciare il menu a discesa Catalogo impostato su Generale.

    Screenshot showing how to set the basic of the access policy.

  8. Selezionare Avanti per aprire la scheda Ruoli risorsa. In questa scheda selezionare le risorse e il ruolo della risorsa da includere nel pacchetto di accesso. È possibile scegliere di gestire l'accesso a gruppi e team, applicazioni e siti di SharePoint Online. In questo scenario selezionare Gruppi e Teams.

    Screenshot showing how to select groups and teams.

  9. Nel riquadro Seleziona gruppi trovare e selezionare il gruppo Marketing resources creato in precedenza.

    Per impostazione predefinita, i gruppi sono visualizzati all'interno del catalogo Generale. Quando si seleziona un gruppo all'esterno del catalogo Generale, che è possibile vedere se si seleziona la casella di controllo Visualizza tutto , viene aggiunta al catalogo Generale.

    Screenshot that shows how to select the groups

  10. Scegliere Seleziona per aggiungere il gruppo all'elenco.

  11. Nell'elenco a discesa Ruolo selezionare Membro. Se si seleziona il ruolo Proprietario, consente agli utenti di aggiungere o rimuovere altri membri o proprietari. Per altre informazioni sulla selezione dei ruoli appropriati per una risorsa, vedere Aggiungere i ruoli delle risorse.

    Screenshot the shows how to select the member role.

    Importante

    I gruppi assegnabili di ruolo aggiunti a un pacchetto di accesso verranno indicati usando il sottotipo assegnabile ai ruoli. Per altre informazioni, vedere l'articolo Creare un gruppo assegnabile a ruoli. Tenere presente che una volta che un gruppo assegnabile a ruoli è presente in un catalogo dei pacchetti di accesso, gli utenti amministratori che sono in grado di gestire nella gestione entitlement, inclusi gli utenti nel ruolo Global Amministrazione istrator, gli utenti nel ruolo Identity Governance Amministrazione istrator e i proprietari del catalogo, potranno controllare i pacchetti di accesso nel catalogo, consentendo loro di scegliere chi può essere aggiunto a tali gruppi. Se non viene visualizzato un gruppo assegnabile di ruolo che si vuole aggiungere o non è possibile aggiungerlo, assicurarsi di disporre del ruolo Microsoft Entra e del ruolo di gestione entitlement necessari per eseguire questa operazione. Può essere necessario chiedere a un utente con i ruoli necessari di aggiungere la risorsa al catalogo. Per altre informazioni, vedere Ruoli necessari per aggiungere risorse a un catalogo.

    Nota

    Quando si usano gruppi dinamici non vengono visualizzati altri ruoli disponibili oltre a quello di proprietario. Questo si verifica per motivi strutturali. Screenshots that shows a dynamic group available roles.

  12. Selezionare Avanti per aprire la scheda Richieste . Nella scheda Richieste viene creato un criterio di richiesta. Un criterio definisce le regole o i vincoli per accedere a un pacchetto di accesso. Verrà creato un criterio che consente a un utente specifico nella directory della risorsa di richiedere questo pacchetto di accesso.

  13. Nella sezione Utenti che possono richiedere l'accesso selezionare Per gli utenti nella directory e quindi selezionare Utenti e gruppi specifici.

    Screenshot of the access package requests tab.

  14. Selezionare Aggiungi utenti e gruppi.

  15. Nel riquadro Seleziona utenti e gruppi selezionare l'utente Requestor1 creato in precedenza.

    Screenshot of select users and groups.

  16. Scegliere Seleziona per aggiungere l'utente all'elenco.

  17. Scorrere verso il basso fino alle sezioni Approvazione e Abilita le richieste.

  18. Lasciare l'opzione Richiedi approvazione impostata su No.

  19. Per Abilita richieste selezionare Sì per abilitare la richiesta di questo pacchetto di accesso non appena viene creato.

  20. Se l'organizzazione è configurata per ricevere ID verificati, è disponibile un'opzione per configurare un pacchetto di accesso per richiedere ai richiedenti di fornire un ID verificato. Per altre informazioni, vedere Configurare le impostazioni ID verificate per un pacchetto di accesso nella gestione entitlement (anteprima)

    Screenshot of the Verified ID picker selection.

  21. Selezionare Avanti per aprire la scheda Informazioni del richiedente.

    Screenshots of the requests tab approval and enable requests settings.

  22. Nella scheda Informazioni del richiedente è possibile porre domande per raccogliere altre informazioni dal richiedente. Le domande vengono visualizzate nel modulo di richiesta e possono essere obbligatorie o facoltative. In questo scenario non è stato richiesto di includere le informazioni del richiedente per il pacchetto di accesso, quindi è possibile lasciare vuote queste caselle. Selezionare Avanti per aprire la scheda Ciclo di vita .

  23. Nella scheda Ciclo di vita specificare quando scade l'assegnazione di un utente al pacchetto di accesso. È anche possibile specificare se gli utenti possono estendere le assegnazioni. Nella sezione Scadenza :

    1. Impostare la scadenza delle assegnazioni dei pacchetti di Access su Numero di giorni.
    2. Impostare la scadenza delle assegnazioni dopo 30 giorni.
    3. Lasciare il valore predefinito della sequenza temporale specifico, .
    4. Impostare Richiedi verifiche di accesso su No.

    Screenshot of the access package lifecycle tab

  24. Ignorare il passaggio Estensioni personalizzate.

  25. Selezionare Avanti per aprire la scheda Rivedi e crea .

  26. Nella scheda Rivedi e crea selezionare Crea. Dopo alcuni istanti, verrà visualizzata una notifica che indica che il pacchetto di accesso è stato creato.

  27. Nel menu a sinistra del pacchetto di accesso alla campagna di marketing selezionare Panoramica.

  28. Copiare il collegamento del portale di Accesso personale.

    Questo collegamento verrà usato nel passaggio successivo.

    Screenshot that demonstrates how to copy the link to the access policy.

Passaggio 3: Richiedere l'accesso

In questo passaggio le procedure verranno eseguite come richiedente interno e verrà richiesto l'accesso al pacchetto di accesso. I richiedenti inviano le richieste tramite un sito chiamato portale di Accesso personale. Il portale di Accesso personale consente ai richiedenti di inviare le richieste per i pacchetti di accesso, visualizzare i pacchetti di accesso ai quali sono già autorizzati ad accedere e visualizzare la cronologia delle richieste. Quando un nuovo guest richiede un pacchetto di accesso in MyAccess, la lingua preferita viene contrassegnata in base alla lingua del browser MyAccess in fase di richiesta. Ciò consente ai nuovi guest di ricevere comunicazioni tramite posta elettronica in una lingua che comprendono.

Ruolo prerequisito: richiedente interno

  1. Disconnettersi dall'interfaccia di amministrazione di Microsoft Entra.

  2. In una nuova finestra del browser passare al collegamento del portale di Accesso personale copiato nel passaggio precedente.

  3. Eseguire l'accesso al portale di Accesso personale come Requestor1.

    Dovrebbe essere visibile il pacchetto di accesso Marketing Campaign.

  4. Nella casella Motivazione aziendale digitare la giustificazione che sto lavorando alla nuova campagna di marketing.

    Screenshot of the My Access portal listing the access packages.

  5. Seleziona Invia.

  6. Nel menu a sinistra selezionare Cronologia richieste per verificare che la richiesta sia stata recapitata. Per altri dettagli, selezionare Visualizza.

    Screenshot of the My Access portal request history.

Passaggio 4: Verificare che l'accesso sia stato assegnato

In questo passaggio si verifica che al richiedente interno sia stato assegnato il pacchetto di accesso e che sia ora membro del gruppo Risorse marketing .

Ruolo prerequisito: Global Amministrazione istrator, Identity Governance Amministrazione istrator, Catalog owner o Access Package Manager

  1. Disconnettersi dal portale di Accesso personale.

  2. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministrazione 1.

  3. Passare a Identity Governance Entitlement management Access Packages (Pacchetti di accesso per la gestione>entitlement di Identity Governance>).

  4. Trovare e selezionare Pacchetto di accesso campagna marketing.

  5. Nel menu a sinistra selezionare Richieste.

    Si dovrebbero vedere Requestor1 e il criterio iniziale con stato Recapitati.

  6. Selezionare la richiesta per visualizzare i dettagli della richiesta.

    Screenshot of the access package request details.

  7. Nel riquadro di spostamento a sinistra selezionare Identità.

  8. Selezionare Gruppi e aprire il gruppo Risorse marketing .

  9. Selezionare Membri.

    Nell'elenco dei membri verrà visualizzato anche Requestor1.

    Screenshot shows the requestor one has been added to the marketing resources group.

Passaggio 5: Pulire le risorse

In questo passaggio verranno rimosse le modifiche apportate e verrà eliminato il pacchetto di accesso Marketing Campaign.

Ruolo prerequisito: global Amministrazione istrator o Identity Governance Amministrazione istrator

  1. Nell'interfaccia di amministrazione di Microsoft Entra Identity Governance.

  2. Aprire il pacchetto di accesso Marketing Campaign.

  3. Selezionare Assegnazioni.

  4. Per Requestor1 selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi accesso. Nel messaggio visualizzato selezionare .

    Dopo qualche istante lo stato passerà da Recapitato a Scaduto.

  5. Selezionare Ruoli risorsa.

  6. In Risorse di marketing selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi ruolo risorsa. Nel messaggio visualizzato selezionare .

  7. Aprire l'elenco dei pacchetti di accesso.

  8. Per Campagna di marketing selezionare i puntini di sospensione (...) e quindi selezionare Elimina. Nel messaggio visualizzato selezionare .

  9. In Identità eliminare tutti gli utenti creati, ad esempio Requestor1 e Amministrazione 1.

  10. Eliminare il gruppo Marketing resources.

Passaggi successivi

Passare all'articolo successivo per informazioni sulle procedure degli scenari comuni in Gestione entitlement.

Scenari comuni