Utilizzare My Staff per le deleghe amministrative in Azure Active Directory

Microsoft My Staff consente di delegare alcune autorizzazioni ad un utente di Azure AD, ad esempio un responsabile di una sede aziendale o un responsabile del team, per assicurarsi che i membri del personale siano in grado di accedere ai propri account Azure AD. Invece di affidarsi a un supporto tecnico centrale, le organizzazioni possono delegare attività comuni, ad esempio la reimpostazione delle password o la modifica dei numeri di telefono ad un responsabile del team locale. Con My Staff, un utente che non può accedere al proprio account può riottenere l’accesso in pochissimo tempo, senza richiedere supporto tecnico al personale IT.

My Staff è basato sulle Administrative Units, di cui abbiamo parlato nell’articolo Delegare l’amministrazione di Azure AD con le Administrative Units – ICT Power, dei contenitori di Azure AD usati per restringere gli ambiti amministrativi. In My Staff le unità amministrative possono essere usate per contenere un gruppo di utenti in un negozio, reparto, sede remota,ecc..

Licenze

È necessario che l’utente a cui sono delegate le funzionalità di amministrazione abbia una delle seguenti licenze:

Come abilitare My Staff

Per abilitare la funzionalità collegati al portale di Azure Active Directory e da Azure Active Directory > User settings > User feature > Manage user feature settings abilitate la funzionalità per tutti gli utenti o per un gruppo di utenti.

Figura 1: Configurazione delle funzionalità di gestione degli utenti

Io ho scelto di abilitare la funzionalità solo per il gruppo di Azure AD chiamato Amministratori sede ROMA.

Figura 2: Abilitazione all’uso di My Staff solo per un gruppo di utenti di Azure AD

Figura 3: Salvataggio dell’abilitazione di My Staff

Creazione administrative units

Come già scritto My Staff è basato su unità amministrative, ovvero un contenitore di risorse che può essere usato per limitare l’ambito del controllo amministrativo di un’assegnazione di ruolo. Per creare una nuova unità amministrativa è sufficiente collegarsi ad Azure Active Directory e scegliere Administrative Units. Fate clic su + Add per creare una nuova.

Figura 4: Creazione di una nuova unità amministrative in Azure Active Directory

Figura 5: Nome e descrizione della nuova unità organizzativa

Delegate quindi ad un utente i ruoli amministrativi che preferite. Io ho delegato il ruolo di Helpdesk administrator all’utente Bianca Pisani, che fa parte del gruppo Amministratori sede ROMA, a cui è stato concesso prima l’utilizzo di My Staff.

Figura 6: Delega amministrative di un ruolo di Azure AD

Figura 7: Schermata di riepilogo e creazione della nuova unità organizzativa

Figura 8: Nuova unità organizzativa creata

Inserite a questo punto gli utenti che faranno parte dell’unità organizzativa e che saranno poi gestiti tramite My Staff.

Figura 9: Utenti che fanno parte dell’unità organizzativa

Test di funzionamento

Una volta che la funzionalità di My Staff è stata abilitata in Azure AD, un utente a cui è stata permessa di utilizzarla può collegarsi alla pagina https://aka.ms/mystaff e autenticarsi.

Terminato il login verranno mostrate nella schermata di My Staff le unità organizzative che l’utente a cui è stato assegnato un ruolo amministrativo può gestire.

Figura 10: Unità organizzative che l’utente a cui è stato assegnato un ruolo amministrativo può gestire

Figura 11: Utenti che sono stati inseriti nell’unità organizzativa

Figura 12: Operazione di reset password dell’utente

Figura 13: Creazione di una password temporanea

Figura 14: Reset password completato con successo

Per resettare la password è necessario avere uno dei seguenti privilegi:

mentre per impostare il numero di telefono è necessario avere i seguenti privilegi:

NOTA: Il reset delle password può essere effettuato sia per gli utenti Cloud Only che per gli utenti sincronizzati. Ricordatevi però di abilitare il password writeback. Maggiori informazioni sono disponibili alla pagina Self-Service Password Reset e Password Writeback negli ambienti ibridi con Azure AD – ICT Power

Utilizzo di Conditional Access per proteggere l’accesso a My Staff

Per aumentare il livello di sicurezza di accesso a My Staff è consigliabile utilizzare l’accesso condizionale di Azure AD e magari imporre la Multi-Factor Authentication. Dopo che vi sarete collegati per la prima volta al portale di My Staff e nel giro di pochi minuti avverrà il provisioning del service principal da utilizzare poi per la regola di accesso condizionale.

Per accedere alle risorse protette da un tenant di Azure AD, l’entità che richiede l’accesso deve essere rappresentata da un’entità di sicurezza (security principal). Questo requisito è applicabile agli utenti (user principal) e alle applicazioni (service principal). Il security principal definisce i criteri di accesso e le autorizzazioni per l’utente/applicazione nel tenant di Azure AD. Ciò abilita le funzionalità di base, ad esempio l’autenticazione dell’utente/applicazione durante l’accesso e l’autorizzazione durante l’accesso alle risorse.

Figura 15: Scelta delll’app My Staff nella policy di accesso condizionale

Conclusioni

Poter delegare alcune operazioni amministrative è decisamente vantaggioso. L’utilizzo di My Staff permette di farlo in maniera molto semplice e il suo utilizzo è alla portata di tutti. Il reset delle password è sicuramente un’operazione che viene fatta spesso e delegarla a chi non ha molte capacità tecniche è sicuramente un vantaggio in termini di tempo per il reparto IT, che ha sempre tanto (e a volte troppo) da fare.