Delega e ruoli nella gestione entitlement
In Microsoft Entra ID è possibile usare i modelli di ruolo per gestire l'accesso su larga scala tramite la governance delle identità.
- È possibile usare i pacchetti di accesso per rappresentare i ruoli dell'organizzazione nell'organizzazione, ad esempio "rappresentante vendite". Un pacchetto di accesso che rappresenta il ruolo dell'organizzazione include tutti i diritti di accesso che un rappresentante potrebbe in genere richiedere, tra più risorse.
- Le applicazioni possono definire i propri ruoli. Ad esempio, se si dispone di un'applicazione di vendita e tale applicazione include il ruolo app "venditore" nel manifesto, è possibile includere tale ruolo dal manifesto dell'app in un pacchetto di accesso. Le applicazioni possono anche usare gruppi di sicurezza in scenari in cui un utente potrebbe avere più ruoli specifici dell'applicazione contemporaneamente.
- È possibile usare i ruoli per delegare l'accesso amministrativo. Se si dispone di un catalogo per tutti i pacchetti di accesso necessari per le vendite, è possibile assegnare un utente responsabile di tale catalogo assegnando loro un ruolo specifico del catalogo.
Questo articolo illustra come usare i ruoli per gestire gli aspetti all'interno della gestione entitlement di Microsoft Entra, per controllare l'accesso alle risorse di gestione entitlement.
Per impostazione predefinita, gli utenti nel ruolo Global Amministrazione istrator o nel ruolo identity governance Amministrazione istrator possono creare e gestire tutti gli aspetti della gestione entitlement. Gli utenti in questi ruoli potrebbero tuttavia non conoscere tutte le situazioni in cui sono necessari i pacchetti di accesso. Si tratta in genere di utenti all'interno dei rispettivi reparti, team o progetti che sanno con chi collaborano, quali risorse usano e per quanto tempo. Invece di concedere autorizzazioni senza restrizioni a utenti non amministratori, è possibile concedere agli utenti le autorizzazioni minime di cui hanno bisogno per svolgere il loro lavoro ed evitare di creare diritti di accesso in conflitto o non appropriati.
Questo video offre una panoramica di come delegare la governance dell'accesso dall'amministratore IT agli utenti che non sono amministratori.
Esempio di delegato
Per comprendere come delegare la governance dell'accesso nella gestione entitlement, è utile considerare un esempio. Si supponga che l'organizzazione disponga degli amministratori e dei responsabili seguenti.
In qualità di amministratore IT, Hana ha contatti in ogni reparto- Mamta in Marketing, Mark in Finance e Joe in Legal che sono responsabili delle risorse del reparto e del contenuto business critical.
Con la gestione entitlement, è possibile delegare la governance dell'accesso a questi utenti non amministratori perché sono quelli che sanno quali utenti hanno bisogno di accesso, per quanto tempo e a quali risorse. Delegare a non amministratori garantisce che l'accesso per i reparti venga gestito dalle persone appropriate.
Ecco un modo per delegare la governance dell'accesso ai reparti di marketing, finanza e legale.
Hana crea un nuovo gruppo di sicurezza Microsoft Entra e aggiunge Mamta, Mark e Joe come membri del gruppo.
Hana aggiunge tale gruppo al ruolo creatore del catalogo.
Mamta, Mark e Joe possono ora creare cataloghi per i reparti, aggiungere risorse necessarie ai reparti ed eseguire ulteriori delega all'interno del catalogo. Non possono vedere i cataloghi degli altri.
Mamta crea un catalogo marketing , ovvero un contenitore di risorse.
Mamta aggiunge le risorse di proprietà del reparto marketing a questo catalogo.
Mamta può aggiungere altre persone di tale reparto come proprietari di catalogo per questo catalogo, che consente di condividere le responsabilità di gestione del catalogo.
Mamta può delegare ulteriormente la creazione e la gestione dei pacchetti di accesso nel catalogo marketing ai project manager del reparto Marketing. A tale scopo, è possibile assegnarli al ruolo di gestione pacchetti di accesso in un catalogo. Uno strumento di gestione pacchetti di accesso può creare e gestire pacchetti di accesso, insieme a criteri, richieste e assegnazioni in tale catalogo. Se il catalogo lo consente, gestione pacchetti di accesso può configurare i criteri per consentire agli utenti di organizzazioni connesse.
Il diagramma seguente illustra i cataloghi con le risorse per i reparti marketing, finanziari e legali. Usando questi cataloghi, i project manager possono creare pacchetti di accesso per i team o i progetti.
Dopo la delega, il reparto marketing potrebbe avere ruoli simili alla tabella seguente.
| User | Ruolo dell'organizzazione | Ruolo Microsoft Entra | Ruolo di gestione entitlement |
|---|---|---|---|
| Hana | Amministratore IT | Amministratore globale o amministratore di Identity Governance | |
| Mamta | Responsabile marketing | User | Autore del catalogo e proprietario del catalogo |
| Bob | Responsabile marketing | User | Proprietario catalogo |
| Jessica | Responsabile del progetto marketing | User | Responsabile dei pacchetti di accesso |
Ruoli di gestione entitlement
La gestione entitlement ha i ruoli seguenti, con autorizzazioni per l'amministrazione della gestione entitlement stessa, che si applica in tutti i cataloghi.
| Ruolo di gestione entitlement | ID di definizione del ruolo | Descrizione |
|---|---|---|
| Creatore catalogo | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
Creare e gestire cataloghi. In genere un amministratore IT che non è un amministratore globale o un proprietario di risorse per una raccolta di risorse. La persona che crea un catalogo diventa automaticamente il primo proprietario del catalogo e può aggiungere altri proprietari del catalogo. Un autore del catalogo non può gestire o visualizzare cataloghi di cui non è proprietario e non può aggiungere risorse di cui non è proprietario a un catalogo. Se l'autore del catalogo deve gestire un altro catalogo o aggiungere risorse di cui non è proprietario, può richiedere di essere un comproprietario di tale catalogo o risorsa. |
La gestione entitlement ha i ruoli seguenti definiti per ogni catalogo specifico, per amministrare i pacchetti di accesso e altre configurazioni all'interno di un catalogo. Un amministratore o un proprietario del catalogo può aggiungere utenti, gruppi di utenti o entità servizio a questi ruoli.
| Ruolo di gestione entitlement | ID di definizione del ruolo | Descrizione |
|---|---|---|
| Proprietario catalogo | ae79f266-94d4-4dab-b730-feca7e132178 |
Modificare e gestire pacchetti di accesso e altre risorse in un catalogo. In genere un amministratore IT o proprietari di risorse o un utente che ha scelto il proprietario del catalogo. |
| Lettore catalogo | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
Visualizzare i pacchetti di accesso esistenti all'interno di un catalogo. |
| Responsabile dei pacchetti di accesso | 7f480852-ebdc-47d4-87de-0d8498384a83 |
Modificare e gestire tutti i pacchetti di accesso esistenti all'interno di un catalogo. |
| Responsabile assegnazione pacchetti di accesso | e2182095-804a-4656-ae11-64734e9b7ae5 |
Modificare e gestire tutte le assegnazioni dei pacchetti di accesso esistenti. |
Inoltre, il responsabile approvazione scelto e un richiedente di un pacchetto di accesso hanno diritti, anche se non sono ruoli.
| Right | Descrizione |
|---|---|
| Responsabile approvazione | Autorizzato da un criterio per approvare o negare le richieste di accesso ai pacchetti, anche se non possono modificare le definizioni dei pacchetti di accesso. |
| Richiedente | Autorizzato da un criterio di un pacchetto di accesso per richiedere tale pacchetto di accesso. |
Nella tabella seguente sono elencate le attività che i ruoli di gestione entitlement possono eseguire all'interno della gestione entitlement.
Per determinare il ruolo con privilegi minimi per un'attività, è anche possibile fare riferimento Amministrazione istrator ruoli per attività di amministratore in Microsoft Entra ID.
Ruoli necessari per aggiungere risorse a un catalogo
Un amministratore globale può aggiungere o rimuovere qualsiasi gruppo (gruppi di sicurezza creati dal cloud o Gruppi di Microsoft 365 creati dal cloud), applicazione o sito di SharePoint Online in un catalogo.
Nota
Gli utenti a cui è stato assegnato il ruolo di amministratore utenti non potranno più creare cataloghi o gestire pacchetti di accesso in un catalogo di cui non sono proprietari. Un amministratore utente proprietario del catalogo può aggiungere o rimuovere qualsiasi gruppo o applicazione nel catalogo di cui è proprietario, ad eccezione di un gruppo configurato come assegnabile a un ruolo della directory. Per altre informazioni sui gruppi assegnabili a ruoli, vedere Creare un gruppo assegnabile di ruoli in Microsoft Entra ID. Se agli utenti dell'organizzazione è stato assegnato il ruolo di amministratore utenti per configurare cataloghi, pacchetti di accesso o criteri nella gestione entitlement, è invece necessario assegnare questi utenti al ruolo di amministratore di Identity Governance.
Per un utente che non è un amministratore globale, aggiungere gruppi, applicazioni o siti di SharePoint Online a un catalogo, tale utente deve avere entrambe la possibilità di eseguire azioni su tale risorsa e di essere un ruolo di proprietario del catalogo nella gestione entitlement per il catalogo. Il modo più comune in cui un utente può avere la possibilità di eseguire azioni per una risorsa consiste nell'essere in un ruolo della directory Microsoft Entra che consente loro di amministrare la risorsa. Oppure per le risorse con proprietari, l'utente può avere la possibilità di eseguire azioni dopo essere stato assegnato come proprietario della risorsa.
Le azioni che la gestione entitlement controlla quando un utente aggiunge una risorsa a un catalogo sono:
- Per aggiungere un gruppo di sicurezza o un gruppo di Microsoft 365: l'utente deve essere autorizzato a eseguire le
microsoft.directory/groups/members/updateazioni emicrosoft.directory/groups/owners/update - Per aggiungere un'applicazione: l'utente deve essere autorizzato a eseguire l'azione
microsoft.directory/servicePrincipals/appRoleAssignedTo/update - Per aggiungere un sito di SharePoint Online: l'utente deve essere un Amministrazione istrator di SharePoint o essere in un ruolo del sito di SharePoint Online che consente di gestire le autorizzazioni nel sito
Nella tabella seguente sono elencate alcune delle combinazioni di ruoli che includono le azioni che consentono agli utenti di tali combinazioni di ruoli di aggiungere risorse a un catalogo. Per rimuovere le risorse da un catalogo, è necessario avere anche un ruolo o una proprietà con le stesse azioni.
| Ruolo della directory Microsoft Entra | Ruolo di gestione entitlement | Può aggiungere un gruppo di sicurezza | Può aggiungere un gruppo di Microsoft 365 | Può aggiungere un'app | Può aggiungere il sito di SharePoint Online |
|---|---|---|---|---|---|
| Amministratore globale | n/d | ✔️ | ✔️ | ✔️ | ✔️ |
| Identity Governance Amministrazione istrator | n/d | ✔️ | |||
| Amministratore di gruppi | Proprietario catalogo | ✔️ | ✔️ | ||
| Amministratore di Intune | Proprietario catalogo | ✔️ | ✔️ | ||
| Amministratore di Exchange | Proprietario catalogo | ✔️ | |||
| Amministratore di SharePoint | Proprietario catalogo | ✔️ | ✔️ | ||
| Amministratore applicazione | Proprietario catalogo | ✔️ | |||
| Amministratore di applicazioni cloud | Proprietario catalogo | ✔️ | |||
| User | Proprietario catalogo | Solo se il proprietario del gruppo | Solo se il proprietario del gruppo | Solo se il proprietario dell'app |
Gestione delegata del ciclo di vita degli utenti guest
In genere, un utente in un ruolo con privilegi di mittente dell'invito guest può invitare singoli utenti esterni a un'organizzazione e questa impostazione può essere modificata usando le impostazioni di collaborazione esterna.
Per la gestione della collaborazione esterna, in cui i singoli utenti esterni per un progetto di collaborazione potrebbero non essere noti in anticipo, assegnando agli utenti che lavorano con organizzazioni esterne nei ruoli di gestione entitlement possono consentire loro di configurare cataloghi, pacchetti di accesso e criteri per la collaborazione esterna. Queste configurazioni consentono agli utenti esterni che collaborano con per richiedere e di essere aggiunti ai pacchetti di accesso e directory dell'organizzazione.
- Per consentire agli utenti di directory esterne di organizzazioni connesse di richiedere pacchetti di accesso in un catalogo, l'impostazione del catalogo Abilitata per gli utenti esterni deve essere impostata su Sì. La modifica di questa impostazione può essere eseguita da un amministratore o un proprietario del catalogo del catalogo.
- Il pacchetto di accesso deve avere anche un criterio impostato per gli utenti che non si trovano nella directory. Questo criterio può essere creato da un amministratore, un proprietario del catalogo o uno strumento di gestione pacchetti di accesso del catalogo.
- Un pacchetto di accesso con tale criterio consentirà agli utenti nell'ambito di poter richiedere l'accesso, inclusi gli utenti non già presenti nella directory. Se la richiesta viene approvata o non richiede l'approvazione, l'utente verrà aggiunto automaticamente alla directory.
- Se l'impostazione dei criteri era per Tutti gli utenti e l'utente non faceva parte di un'organizzazione connessa esistente, viene creata automaticamente una nuova organizzazione connessa proposta. È possibile visualizzare l'elenco delle organizzazioni connesse e rimuovere le organizzazioni che non sono più necessarie.
È anche possibile configurare ciò che accade quando un utente esterno portato da gestione entitlement perde l'ultima assegnazione a qualsiasi pacchetto di accesso. È possibile impedire l'accesso a questa directory o rimuovere l'account guest nelle impostazioni per gestire il ciclo di vita degli utenti esterni.
Limitazione degli amministratori delegati dalla configurazione dei criteri per gli utenti non presenti nella directory
È possibile impedire agli utenti che non sono nei ruoli amministrativi di invitare singoli utenti guest, nelle impostazioni di collaborazione esterna, modificando l'impostazione Impostazioni invito guest a ruoli di amministratore specifici e impostando Abilita iscrizione self-service guest su No.
Per impedire agli utenti delegati di configurare la gestione entitlement per consentire agli utenti esterni di richiedere la collaborazione esterna, assicurarsi di comunicare questo vincolo a tutti gli amministratori globali, gli amministratori della governance delle identità, i creatori di cataloghi e i proprietari di cataloghi, in quanto possono modificare i cataloghi, in modo che non consentano accidentalmente la nuova collaborazione in cataloghi nuovi o aggiornati. Devono assicurarsi che i cataloghi siano impostati con Abilitato per gli utenti esterni su No e che non dispongano di pacchetti di accesso con criteri per consentire a un utente non nella directory di richiedere.
È possibile visualizzare l'elenco dei cataloghi attualmente abilitati per gli utenti esterni nell'interfaccia di amministrazione di Microsoft Entra.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di Identity Governance.
Passare a Cataloghi di gestione>entitlement per la governance>delle identità.
Modificare l'impostazione del filtro per Abilitato per gli utenti esterni su Sì.
Se uno di questi cataloghi ha un numero diverso da zero di pacchetti di accesso, questi pacchetti di accesso potrebbero avere criteri per gli utenti che non si trovano nella directory.
Gestire le assegnazioni di ruolo ai ruoli di gestione entitlement a livello di codice
È anche possibile visualizzare e aggiornare gli autori del catalogo e le assegnazioni di ruolo specifiche del catalogo entitlement usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata EntitlementManagement.ReadWrite.All può chiamare l'API Graph per elencare le definizioni di ruolo della gestione entitlement ed elencare le assegnazioni di ruolo a tali definizioni di ruolo.
Ad esempio, per visualizzare i ruoli specifici della gestione entitlement assegnati a un determinato utente o gruppo, usare la query Graph per elencare le assegnazioni di ruolo e specificare l'ID dell'utente o del gruppo come valore del principalId filtro di query, come in
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq '10850a21-5283-41a6-9df3-3d90051dd111'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
Per un ruolo specifico di un catalogo, appScopeId nella risposta viene indicato il catalogo in cui all'utente viene assegnato un ruolo. Questa risposta recupera solo assegnazioni esplicite di tale entità al ruolo nella gestione entitlement, non restituisce risultati per un utente che dispone dei diritti di accesso tramite un ruolo della directory o tramite l'appartenenza a un gruppo assegnato a un ruolo.