Gestire le organizzazioni connesse nella gestione entitlement

Con la gestione entitlement, è possibile collaborare con persone esterne all'organizzazione. Se si collabora spesso con molti utenti di organizzazioni esterne specifiche, è possibile aggiungere le origini di identità di tali organizzazioni come organizzazioni connesse. La presenza di un'organizzazione connessa semplifica il modo in cui più persone di tali organizzazioni possono richiedere l'accesso. Questo articolo descrive come aggiungere un'organizzazione connessa in modo da consentire a utenti esterni all'organizzazione di richiedere risorse disponibili nella directory dell'organizzazione.

Che cos'è un'organizzazione connessa?

Un'organizzazione connessa è un'altra organizzazione con cui si ha una relazione. Affinché gli utenti dell'organizzazione possano accedere alle risorse, ad esempio i siti o le app di SharePoint Online, è necessaria una rappresentazione degli utenti dell'organizzazione in tale directory. Poiché nella maggior parte dei casi gli utenti nell'organizzazione connessa non sono già presenti nella directory di Microsoft Entra, è possibile usare Gestione entitlement per inserirli nella directory di Microsoft Entra in base alle esigenze.

Se si vuole fornire un percorso per chiunque richieda l'accesso e non si è certi di quali organizzazioni potrebbero trovarsi i nuovi utenti, è possibile configurare un criterio di assegnazione dei pacchetti di accesso per gli utenti che non si trovano nella directory. In tale criterio selezionare l'opzione Tutti gli utenti (Tutte le organizzazioni connesse e tutti i nuovi utenti esterni) . Se il richiedente viene approvato e non appartiene a un'organizzazione connessa nella directory, verrà creata automaticamente un'organizzazione connessa.

Se si vuole consentire solo agli utenti delle organizzazioni designate di richiedere l'accesso, creare prima di tutto tali organizzazioni connesse. In secondo luogo, configurare un criterio di assegnazione dei pacchetti di accesso per gli utenti non presenti nella directory, selezionare l'opzione Organizzazioni connesse specifiche e selezionare le organizzazioni create.

Esistono quattro modi in cui la gestione entitlement consente di specificare gli utenti che formano un'organizzazione connessa. Potrebbe trattarsi di:

• utenti in un'altra directory di Microsoft Entra (da qualsiasi cloud Microsoft),
• utenti in un'altra directory non Microsoft configurata per la federazione del provider di identità SAML/WS-Fed( IdP),
• utenti in un'altra directory non Microsoft, i cui indirizzi di posta elettronica hanno tutti lo stesso nome di dominio in comune e specifico per tale organizzazione o
• gli utenti con un account Microsoft, ad esempio dal dominio live.com, se si ha una necessità aziendale per la collaborazione con gli utenti che non hanno un'organizzazione comune.

Si supponga, ad esempio, di lavorare in Woodgrove Bank e di collaborare con due organizzazioni esterne. Si vuole concedere agli utenti di entrambe le organizzazioni esterne l'accesso alle stesse risorse, ma queste due organizzazioni hanno configurazioni diverse:

• Contoso non usa ancora Microsoft Entra ID. Gli utenti contoso hanno un indirizzo di posta elettronica che termina con contoso.com.
• Graphic Design Institute usa Microsoft Entra ID e almeno alcuni utenti hanno un nome di entità utente che termina con graphicdesigninstitute.com.

In questo caso, è possibile configurare due organizzazioni connesse, quindi un pacchetto di accesso con un criterio.

1. Assicurarsi di avere attivato l'autenticazione con passcode monouso (OTP) tramite posta elettronica, in modo che gli utenti di tali domini che non fanno ancora parte delle directory di Microsoft Entra che eseguono l'autenticazione con passcode monouso tramite posta elettronica quando si richiede l'accesso o successivamente accedono alle risorse. Potrebbe inoltre essere necessario configurare le impostazioni di collaborazione esterna di Microsoft Entra B2B per consentire l'accesso agli utenti esterni.
2. Creare un'organizzazione connessa per Contoso. Quando si specifica il dominio contoso.com, la gestione entitlement riconosce che non esiste un tenant Di Microsoft Entra esistente associato a tale dominio e che gli utenti dell'organizzazione connessa verranno riconosciuti se eseguono l'autenticazione con un passcode monouso tramite posta elettronica con un dominio di indirizzi di posta elettronica contoso.com .
3. Creare un'altra organizzazione connessa per Graphic Design Institute. Quando si specifica il dominio graphicdesigninstitute.com, la gestione entitlement riconosce che al dominio è associato un tenant.
4. In un catalogo che consente agli utenti esterni di richiedere, creare un pacchetto di accesso.
5. In tale pacchetto di accesso creare un criterio di assegnazione dei pacchetti di accesso per gli utenti non ancora presenti nella directory. In tale criterio selezionare l'opzione Organizzazioni connesse specifiche e specificare le due organizzazioni connesse. Ciò consente agli utenti di ogni organizzazione, con un'origine di identità corrispondente a una delle organizzazioni connesse, di richiedere il pacchetto di accesso.
6. Quando gli utenti esterni con un nome dell'entità utente con un dominio di contoso.com richiedere il pacchetto di accesso, eseguono l'autenticazione tramite posta elettronica. Questo dominio di posta elettronica corrisponde all'organizzazione connessa a Contoso e all'utente sarà consentito richiedere il pacchetto. Dopo la richiesta, il funzionamento dell'accesso per gli utenti esterni descrive come l'utente B2B viene quindi invitato e viene assegnato l'accesso per l'utente esterno.
7. Inoltre, gli utenti esterni che usano un account aziendale del tenant di Graphic Design Institute corrispondono all'organizzazione connessa all'Istituto di progettazione grafica e possono richiedere il pacchetto di accesso. Inoltre, poiché Graphic Design Institute usa l'ID Microsoft Entra, tutti gli utenti con un nome principale corrispondente a un altro dominio verificato aggiunto al tenant dell'Istituto di progettazione grafica, ad esempio graphicdesigninstitute.example, sarebbero anche in grado di richiedere pacchetti di accesso usando gli stessi criteri.

Il modo in cui gli utenti della directory o del dominio Microsoft Entra eseguono l'autenticazione dipendono dal tipo di autenticazione. I tipi di autenticazione per le organizzazioni connesse sono:

• MICROSOFT Entra ID, nello stesso cloud
• MICROSOFT Entra ID, in un altro cloud
• Federazione del provider di identità SAML/WS-Fed (IdP)
• Passcode monouso (dominio)
• Account Microsoft

Per una dimostrazione di come aggiungere un'organizzazione connessa, guardare il video seguente:

Visualizzare l'elenco delle organizzazioni connesse

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Passare a Gestione entitlement> per la governance>delle identità Connessione organizzazioni.

3. Nella casella di ricerca è possibile cercare un'organizzazione connessa in base al nome dell'organizzazione connessa. Tuttavia, non è possibile cercare un nome di dominio.

Aggiungere un'organizzazione connessa

Per aggiungere una directory o un dominio di Microsoft Entra esterno come organizzazione connessa, seguire le istruzioni riportate in questa sezione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Passare a Gestione entitlement> per la governance>delle identità Connessione organizzazioni.

3. Nella pagina Connessione organizzazioni selezionate Aggiungi organizzazione connessa.

   

4. Selezionare la scheda Generale e quindi immettere un nome visualizzato e una descrizione per l'organizzazione.

   

5. Lo stato verrà impostato automaticamente su Configurato quando si crea una nuova organizzazione connessa. Per altre informazioni sulla proprietà di stato di un'organizzazione connessa, vedere Proprietà di stato delle organizzazioni connesse

6. Selezionare la scheda Directory e dominio e quindi selezionare Aggiungi directory e dominio.

   Si aprirà quindi il riquadro Selezionare directory e domini .

7. Nella casella di ricerca immettere un nome di dominio per cercare la directory o il dominio di Microsoft Entra. È anche possibile aggiungere domini che non sono associati ad alcuna directory di Microsoft Entra. Assicurarsi di immettere l'intero nome di dominio.

8. Verificare che i nomi dell'organizzazione e i tipi di autenticazione siano corretti. L'accesso utente, prima di poter accedere al portale MyAccess, dipende dal tipo di autenticazione per l'organizzazione. Se il tipo di autenticazione per un'organizzazione connessa è Microsoft Entra ID, tutti gli utenti con un account nella directory dell'organizzazione, con qualsiasi dominio verificato della directory Microsoft Entra, accederanno alla directory e potranno richiedere l'accesso ai pacchetti di accesso che consentono l'organizzazione connessa. Se il tipo di autenticazione è un passcode monouso, questo consente agli utenti con indirizzi di posta elettronica solo da quel dominio di visitare il portale MyAccess. Dopo l'autenticazione con il passcode, l'utente può effettuare una richiesta.

   

   Nota

   L'accesso da alcuni domini potrebbe essere bloccato dall'elenco di accesso consentito o negato da Microsoft Entra business (B2B). Inoltre, gli utenti che dispongono di un indirizzo di posta elettronica con lo stesso dominio di un'organizzazione connessa configurata per l'autenticazione di Microsoft Entra, ma che non eseguono l'autenticazione a tale directory di Microsoft Entra, non verranno riconosciuti come parte di tale organizzazione connessa. Per altre informazioni, consultare Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche.

9. Selezionare Aggiungi per aggiungere la directory o il dominio di Microsoft Entra. È possibile aggiungere più directory e domini di Microsoft Entra.

10. Dopo aver aggiunto le directory o i domini di Microsoft Entra, selezionare Seleziona.

    Le organizzazioni vengono visualizzate nell'elenco.

    

11. Selezionare la scheda Sponsor e quindi aggiungere sponsor facoltativi per questa organizzazione connessa.

    Gli sponsor sono utenti interni o esterni già nella directory che rappresentano il punto di contatto per la relazione con questa organizzazione connessa. Gli sponsor interni sono utenti membri nella directory. Gli sponsor esterni sono utenti guest dell'organizzazione connessa che in precedenza sono stati invitati e sono già nella directory. Gli sponsor possono essere utilizzati come responsabili approvazione quando gli utenti di questa organizzazione connessa richiedono l'accesso a questo pacchetto di accesso. Per informazioni su come invitare un utente guest alla directory, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra.

    Quando si seleziona Aggiungi/Rimuovi, viene aperto un riquadro in cui è possibile scegliere sponsor interni o esterni. Nel riquadro viene visualizzato un elenco non filtrato di utenti e di gruppi nella directory.

    

12. Selezionare la scheda Rivedi e crea, rivedere le impostazioni dell'organizzazione e quindi selezionare Crea.

    

Aggiornare un'organizzazione connessa

Se l'organizzazione connessa cambia in un dominio diverso, il nome dell'organizzazione cambia o si desidera modificare gli sponsor, è possibile aggiornare l'organizzazione connessa seguendo le istruzioni riportate in questa sezione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Passare a Gestione entitlement> per la governance>delle identità Connessione organizzazioni.

3. Nella pagina organizzazioni Connessione ed selezionare l'organizzazione connessa da aggiornare.

4. Nel riquadro di panoramica dell'organizzazione connessa selezionare Modifica per modificare il nome, la descrizione o lo stato dell'organizzazione.

5. Nel riquadro Directory e dominio selezionare Aggiorna directory e dominio per passare a una directory o un dominio diverso.

6. Nel riquadro Sponsor selezionare Aggiungi sponsor interni o Aggiungi sponsor esterni per aggiungere un utente come sponsor. Per rimuovere uno sponsor, selezionare lo sponsor e, nel riquadro destro, selezionare Elimina.

Eliminare un'organizzazione connessa

Se non si ha più una relazione con una directory o un dominio Microsoft Entra esterno o non si vuole più avere un'organizzazione connessa proposta, è possibile eliminare l'organizzazione connessa.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

2. Passare a Gestione entitlement> per la governance>delle identità Connessione organizzazioni.

3. Nella pagina Connessione organizzazioni selezionare l'organizzazione connessa da eliminare per aprirla.

4. Nel riquadro di panoramica dell'organizzazione connessa selezionare Elimina per eliminarlo.

   

Gestione di un'organizzazione connessa a livello di codice

È anche possibile creare, elencare, aggiornare ed eliminare organizzazioni connesse usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione che dispone dell'autorizzazione delegata EntitlementManagement.ReadWrite.All può chiamare l'API per gestire gli oggetti connectedOrganization e impostare gli sponsor.

Gestire le organizzazioni connesse tramite Microsoft PowerShell

È anche possibile gestire le organizzazioni connesse in PowerShell con i cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 1.16.0 o successiva.

Questo script seguente illustra l'uso del v1.0 profilo di Graph per recuperare tutte le organizzazioni connesse. Ogni organizzazione connessa restituita contiene un elenco identitySources delle directory e dei domini dell'organizzazione connessa.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Proprietà state delle organizzazioni connesse

Esistono due stati diversi per le organizzazioni connesse nella gestione entitlement, configurate e proposte:

• Un'organizzazione connessa configurata è un'organizzazione connessa completamente funzionale che consente agli utenti all'interno dell'organizzazione di accedere ai pacchetti. Quando un amministratore crea una nuova organizzazione connessa nell'interfaccia di amministrazione di Microsoft Entra, si trova nello stato configurato per impostazione predefinita poiché l'amministratore ha creato e vuole usare questa organizzazione connessa. Inoltre, quando un'organizzazione connessa viene creata a livello di codice tramite l'API, lo stato predefinito deve essere configurato a meno che non sia impostato su un altro stato in modo esplicito.

  Le organizzazioni connesse configurate vengono visualizzate nella selezione per le organizzazioni connesse e saranno incluse nell'ambito di tutti i criteri destinati a "tutte le organizzazioni connesse configurate".

• Un'organizzazione connessa proposta è un'organizzazione connessa creata automaticamente, ma non ha creato o approvato l'organizzazione da un amministratore. Quando un utente effettua l'iscrizione a un pacchetto di accesso all'esterno di un'organizzazione connessa configurata, tutte le organizzazioni connesse create automaticamente si trovano nello stato proposto perché nessun amministratore nel tenant ha configurato tale partnership.

  Le organizzazioni connesse proposte non rientrano nell'ambito dell'impostazione "tutte le organizzazioni connesse configurate" su qualsiasi criterio, ma possono essere usate nei criteri solo per i criteri destinati a organizzazioni specifiche.

Solo gli utenti di organizzazioni connesse configurate possono richiedere pacchetti di accesso disponibili per gli utenti di tutte le organizzazioni configurate. Gli utenti delle organizzazioni connesse proposte hanno un'esperienza come se non esiste un'organizzazione connessa per tale dominio; può solo visualizzare e richiedere pacchetti di accesso con ambito alla propria organizzazione specifica o con ambito a qualsiasi utente. Se nel tenant sono presenti criteri che consentono "tutte le organizzazioni connesse configurate", assicurarsi di non convertire le organizzazioni connesse proposte per i provider di identità di social networking configurati.

Nota

Nell'ambito dell'implementazione di questa nuova funzionalità, tutte le organizzazioni connesse create prima del 09/09/20 sono state considerate configurate. Se si dispone di un pacchetto di accesso che ha consentito agli utenti di qualsiasi organizzazione di iscriversi, è consigliabile esaminare l'elenco di organizzazioni connesse create prima di tale data per assicurarsi che nessuna sia erroneamente categorizzata come configurata. In particolare, i provider di identità di social networking non devono essere indicati come configurati se sono presenti criteri di assegnazione che non richiedono l'approvazione per gli utenti di tutte le organizzazioni connesse configurate. Un amministratore può aggiornare la proprietà State in base alle esigenze. Per indicazioni, vedere Aggiornare un'organizzazione connessa.

Nota

In alcuni casi, un utente potrebbe richiedere un pacchetto di accesso usando il proprio account personale da un provider di identità di social networking, in cui l'indirizzo di posta elettronica dell'account ha lo stesso dominio di un'organizzazione connessa esistente corrispondente a un tenant di Microsoft Entra. Se l'utente viene approvato, verrà creata una nuova organizzazione connessa proposta che rappresenta tale dominio. In questo caso, assicurarsi che l'utente usi invece il proprio account dell'organizzazione per richiedere nuovamente l'accesso e il portale identificherà l'utente proveniente dal tenant microsoft Entra configurato dell'organizzazione connessa configurata.

Passaggi successivi

• Gestire l'accesso per gli utenti esterni
• Gestire l'accesso per gli utenti che non si trovano nella directory