Configurare Box per il provisioning automatico degli utenti con Microsoft Entra ID

L'obiettivo di questo articolo è illustrare i passaggi da eseguire in Box e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a Box.

Box è disponibile nelle distribuzioni cloud nazionali seguenti.

Prerequisiti

Per configurare Microsoft Entra'integrazione con Box, sono necessari gli elementi seguenti:

• Un tenant Microsoft Entra
• Un piano commerciale di Box o un'alternativa migliore

Per testare i passaggi descritti in questo articolo, seguire queste indicazioni:

• non usare l'ambiente di produzione, a meno che sia assolutamente necessario.
• Se non disponi di un ambiente di valutazione Microsoft Entra, è possibile ottenere una prova gratuita di un mese.

Passaggio 1: Assegnare utenti a Box

Microsoft Entra ID usa un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati assegnati a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentare gli utenti che devono accedere all'app Box. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app Box seguendo le istruzioni riportate nell'articolo seguente:

Assegnare un utente o un gruppo a un'app aziendale

Passaggio 2: Assegnare utenti e gruppi

La scheda Box > Utenti e gruppi nel portale di Azure consente di specificare quali utenti e gruppi devono essere autorizzati ad accedere a Box. L'assegnazione di un utente o gruppo causa quanto segue:

• Microsoft Entra ID consente all'utente assegnato (tramite assegnazione diretta o appartenenza a gruppi) di eseguire l'autenticazione in Box. Se un utente non è assegnato, Microsoft Entra ID non consente loro di accedere a Box e restituisce un errore nella pagina di accesso Microsoft Entra.

• Un riquadro dell'app per Box viene aggiunto all'icona di avvio dell'applicazione dell'utente.

• Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per essere automaticamente provvisti.

  • Se gli oggetti utente sono configurati per essere sottoposti a provisioning, allora tutti gli utenti assegnati direttamente vengono inseriti nella coda di provisioning, e lo stesso avviene per tutti gli utenti membri di gruppi assegnati.
  • Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.

È possibile usare la scheda Attributes > Single Sign-On per configurare gli attributi utente (o le attestazioni) presentati a Box durante l'autenticazione basata su SAML, e la scheda Attributes > Provisioning per configurare il flusso degli attributi utente e gruppo da Microsoft Entra ID a Box durante le operazioni di provisioning.

Suggerimenti importanti per l'assegnazione di utenti a Box

• È consigliabile che un singolo utente Microsoft Entra assegnato a Box sia utilizzato per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.

• Quando si assegna un utente a Box, è necessario selezionare un ruolo utente valido. Il ruolo "Access predefinito" non funziona per il provisioning.

Passaggio 3: Abilitare il provisioning degli utenti automatizzato

Questa sezione illustra come connettere il Microsoft Entra ID all'API di provisioning dell'account utente di Box e configurare il servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in Box in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.

Se il provisioning automatico è abilitato, gli utenti e/o i gruppi assegnati vengono aggiunti alla coda di provisioning per essere automaticamente provvisti.

• Se l'esecuzione del provisioning è selezionata solo per gli oggetti utente, gli utenti assegnati direttamente e tutti gli utenti che appartengono ai gruppi assegnati vengono aggiunti alla coda di provisioning.

• Se è stata selezionata l'esecuzione del provisioning per gli oggetti gruppo, viene eseguito il provisioning in Box di tutti gli oggetti gruppo assegnati e di tutti gli utenti che appartengono a tali gruppi. Le appartenenze utente e gruppo vengono mantenute dopo la scrittura in Box.

Configurare il provisioning automatico degli account degli Utenti

Questa sezione descrive come abilitare il provisioning degli account utente di Active Directory su Box.

1. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.

2. Passare a Entra ID>App aziendali.

3. Se si è già configurato Box per l'accesso Single Sign-On, cercare l'istanza di Box usando il campo di ricerca. In caso contrario, selezionare Aggiungi e cercare Box nella raccolta di applicazioni. Selezionare Box nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.

4. Seleziona la tua istanza di Box, quindi seleziona la scheda Provisioning.

5. Selezionare + Nuova configurazione.

   

6. Nella sezione Credenziali amministratore selezionare Autorizza per aprire una finestra di dialogo di accesso a Box in una nuova finestra del browser.

7. Nella pagina Login per concedere access a Box specificare le credenziali necessarie e quindi selezionare Authorize.

   

8. Seleziona Concedi accesso a Box per autorizzare questa operazione e tornare al portale di Azure.

   

9. Selezionare Test Connection per assicurarsi che Microsoft Entra ID possa connettersi all'app Box. Se la connessione non riesce, verificare che l'account Box disponga delle autorizzazioni di amministratore del team e riprovare a eseguire il passaggio "Autorizza".

10. Selezionare Crea per creare la configurazione.

11. Selezionare Proprietà nella pagina Panoramica .

12. Selezionare l'icona Modifica per modificare le proprietà. Abilitare i messaggi di posta elettronica di notifica e fornire un messaggio di posta elettronica per ricevere notifiche di quarantena. Abilitare la prevenzione delle eliminazioni accidentali. Seleziona Applica per salvare le modifiche.

    

13. Selezionare Mapping attributi nel pannello sinistro e selezionare utenti.

14. Nella sezione Mapping attributi, esamina gli attributi utente sincronizzati da Microsoft Entra ID a Box. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Box per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

15. Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'articolo Definizione dell'ambito del filtro.

16. Usare il provisioning su richiesta per convalidare la sincronizzazione con un numero ridotto di utenti prima di distribuire in modo più ampio nell'organizzazione.

17. Quando si è pronti per procedere al provisioning, selezionare Avvia il provisioning nella pagina Panoramica.

Per ulteriori informazioni su come leggere i log di provisioning di Microsoft Entra, vedere Reporting sul provisioning automatico degli account utente.

Nel tenant di Box gli utenti sincronizzati sono elencati in Utenti gestiti nella Console di amministrazione.

Risorse aggiuntive

• Gestione dell'assegnazione degli account utente per le applicazioni aziendali
• Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?
• Configurare il Single Sign-On