Condividi tramite

Configurare un connettore per importare dati fisici non validi

Configurare un connettore dati per importare dati fisici non validi, ad esempio gli eventi di accesso fisico non elaborato di un dipendente o eventuali allarmi di accesso fisico generati dal sistema di badging dell'organizzazione. Esempi di punti di accesso fisici sono una voce in un edificio o una voce nella sala server o nel data center. La soluzione Microsoft Purview Insider Risk Management usa i dati fisici di badging per proteggere l'organizzazione da attività dannose o furti di dati all'interno dell'organizzazione.

La configurazione di un connettore di errore fisico è costituita dalle attività seguenti:

  • Creare un'app in Microsoft Entra ID per accedere a un endpoint API che accetta un payload JSON che contiene dati fisici non validi.
  • Creare il payload JSON con uno schema definito dal connettore dati con errori fisici.
  • Creare un connettore dati con errori fisici nel portale di Microsoft Purview.
  • Eseguire uno script per eseguire il push dei dati fisici non validi all'endpoint API.
  • Facoltativamente, pianificare l'esecuzione automatica dello script per importare dati di badging attualmente fisici.

Prima di configurare il connettore

  • Assegnare il ruolo Amministrazione connettore dati all'utente che crea il connettore di errore fisico nel passaggio 3. Questo ruolo è necessario per aggiungere connettori nella pagina Connettori dati nel portale di Microsoft Purview. Per impostazione predefinita, questo ruolo è incluso in più gruppi di ruoli. Per un elenco di questi gruppi di ruoli, vedere Ruoli in Microsoft Defender per Office 365 e conformità a Microsoft Purview. In alternativa, un amministratore dell'organizzazione può creare un gruppo di ruoli personalizzato, assegnare il ruolo Connettore dati Amministrazione e aggiungere gli utenti appropriati come membri. Per istruzioni, vedere:

    Nota

    Il ruolo Amministrazione connettore dati non è attualmente supportato negli ambienti GCC High e DoD del governo degli Stati Uniti. Assegnare quindi il ruolo Importazione esportazione cassette postali in Exchange Online all'utente che crea il connettore HR in ambienti GCC High e DoD. Per impostazione predefinita, questo ruolo non è assegnato a nessun gruppo di ruoli in Exchange Online. È possibile aggiungere il ruolo Importazione esportazione cassette postali al gruppo di ruoli Gestione organizzazione in Exchange Online. In alternativa, è possibile creare un nuovo gruppo di ruoli, assegnare il ruolo Importazione esportazione cassette postali e aggiungere gli utenti appropriati come membri. Per altre informazioni, vedere le sezioni Creare gruppi di ruoli o Modificare gruppi di ruoli nell'articolo "Gestire i gruppi di ruoli in Exchange Online".

  • Determinare come recuperare o esportare dati dal sistema di badging fisico dell'organizzazione (su base giornaliera) e creare un file JSON come descritto nel passaggio 2. Lo script eseguito nel passaggio 4 esegue il push dei dati nel file JSON all'endpoint API.

  • Comprendere che lo script di esempio eseguito nel passaggio 4 esegue il push dei dati fisici non validi da un file JSON all'API connettore in modo che la soluzione di gestione dei rischi Insider possa usarli. Questo script di esempio non è supportato in alcun programma o servizio di supporto standard Microsoft. Viene fornito COME IS senza garanzia di alcun tipo. Microsoft esclude inoltre qualsiasi garanzia implicita, tra cui, senza limitazioni, tutte le garanzie implicite di commerciabilità o idoneità per uno scopo specifico. Si presuppone che tutti i rischi derivanti dall'uso o dalle prestazioni dello script di esempio e della documentazione. In nessun caso Microsoft, i suoi autori o chiunque altro sia coinvolto nella creazione, produzione o consegna degli script sono responsabili di eventuali danni, inclusi i danni per perdita di profitti aziendali, interruzione aziendale, perdita di informazioni aziendali o altre perdite pecuniarie derivanti dall'uso o dall'impossibilità di utilizzare gli script o la documentazione di esempio, anche se Microsoft è stata avvisata della possibilità di tali danni.

  • Si noti che questo connettore è disponibile negli ambienti GCC nel cloud Microsoft 365 US Government. Le applicazioni e i servizi di terze parti possono comportare l'archiviazione, la trasmissione e l'elaborazione dei dati dei clienti dell'organizzazione in sistemi di terze parti esterni all'infrastruttura di Microsoft 365. Pertanto, gli impegni di Microsoft Purview e di protezione dei dati non riguardano questi sistemi di terze parti. Microsoft non rilascia alcuna rappresentazione che usi questo prodotto per connettersi ad applicazioni di terze parti implica che tali applicazioni di terze parti siano conformi a FEDRAMP.

Passaggio 1: Creare un'app nell'ID Microsoft Entra

Prima di tutto, creare e registrare una nuova app nell'ID Microsoft Entra. L'app corrisponde al connettore di errore fisico creato nel passaggio 3. Quando si crea l'app, Microsoft Entra ID può autenticare la richiesta push per un payload JSON contenente dati fisici di errore. Durante la creazione di questa Microsoft Entra app, salvare le informazioni seguenti. Questi valori verranno usati nei passaggi successivi.

  • Microsoft Entra ID applicazione (detto anche ID app o ID client)
  • Microsoft Entra segreto dell'applicazione (detto anche segreto client)
  • ID tenant (detto anche ID directory)

Per istruzioni dettagliate sulla creazione di un'app nell'ID Microsoft Entra, vedere Registrare un'applicazione con il Microsoft Identity Platform.

Passaggio 2: Preparare un file JSON con dati di errore fisici

In questo passaggio viene creato un file JSON che contiene informazioni sui dati di accesso fisico dei dipendenti. Come illustrato nella sezione prima di iniziare, è necessario determinare come generare questo file JSON dal sistema di badging fisico dell'organizzazione.

Nota

Non aggiungere caratteri non inglesi al file JSON. Il connettore supporta solo caratteri inglesi. Se il codice JSON contiene caratteri non inglesi, l'inserimento dei dati potrebbe non riuscire.

Il file JSON deve essere conforme alla definizione dello schema richiesta dal connettore. Nella tabella seguente vengono descritte le proprietà dello schema necessarie per il file JSON:

Proprietà Descrizione Tipo di dati
UserId Un dipendente può avere più identità digitali nei sistemi. L'input deve avere l'ID Microsoft Entra già risolto dal sistema di origine. UPN o indirizzo di posta elettronica
AssetId ID di riferimento dell'asset fisico o del punto di accesso fisico. Stringa alfanumerica
AssetName Nome descrittivo dell'asset fisico o del punto di accesso fisico. Stringa alfanumerica
EventTime Timestamp di accesso. Data e ora, in formato UTC
AccessStatus Valore di Success o Failed Stringa

L'esempio seguente mostra un file JSON conforme allo schema richiesto:

[
    {
        "UserId":"sarad@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T01:57:49",
        "AccessStatus":"Failed"
    },
    {
        "UserId":"pilarp@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T02:57:49",
        "AccessStatus":"Success"
    }
]

È anche possibile scaricare la definizione dello schema per il file JSON dal flusso di lavoro quando si crea il connettore di errore fisico nel passaggio 3.

{
   "title" : "Physical Badging Signals",
   "description" : "Access signals from physical badging systems",
   "DataType" : {
      "description" : "Identify what is the data type for input signal",
      "type" : "string",
   },
   "type" : "object",
   "properties": {
      "UserId" : {
         "description" : "Unique identifier AAD Id resolved by the source system",
         "type" : "string",
      },
      "AssetId": {
         "description" : "Unique ID of the physical asset/access point",
         "type" : "string",
      },
      "AssetName": {
         "description" : "friendly name of the physical asset/access point",
         "type" : "string",
      },
      "EventTime" : {
         "description" : "timestamp of access",
         "type" : "string",
      },
      "AccessStatus" : {
         "description" : "what was the status of access attempt - Success/Failed",
         "type" : "string",
      },
   }
   "required" : ["UserId", "AssetId", "EventTime" "AccessStatus"]
}

Passaggio 3: Creare il connettore di creazione di errori fisici

In questo passaggio viene creato un connettore di errore fisico nel portale di Microsoft Purview. Quando si esegue lo script nel passaggio 4, elabora il file JSON creato in questo passaggio ed esegue il push nell'endpoint API configurato nel passaggio 1. Assicurarsi di copiare il JobId generato quando si crea il connettore. Si userà jobid quando si esegue lo script.

  1. Accedere al portale di Microsoft Purview.

  2. Selezionare Impostazioni>Connettori dati.

  3. Selezionare Connettori personali e quindi Aggiungi connettore.

  4. Nell'elenco scegliere Badging fisico.

  5. Nella pagina Credenziali di autenticazione immettere le informazioni seguenti e quindi selezionare Avanti:

    1. Immettere o incollare l'ID applicazione Microsoft Entra per l'app Azure creata nel passaggio 1.

    2. Scaricare lo schema di esempio per il riferimento per creare il file JSON.

    3. Immettere un nome univoco per il connettore di badging fisico.

  6. Nella pagina Rivedi esaminare le impostazioni e selezionare Fine per creare il connettore.

  7. Visualizzare la pagina di stato che conferma la creazione del connettore. Questa pagina contiene anche l'ID processo. È possibile copiare l'ID processo da questa pagina o dalla pagina a comparsa per il connettore. Questo ID processo è necessario durante l'esecuzione dello script.

    La pagina di stato contiene anche un collegamento allo script. Fare riferimento a questo script per informazioni su come pubblicare il file JSON nell'endpoint API.

  8. Scegliere Fine.

    Il nuovo connettore viene visualizzato nell'elenco nella scheda Connettori .

  9. Selezionare il connettore di segnalazione fisica appena creato per visualizzare la pagina del riquadro a comparsa, che contiene proprietà e altre informazioni sul connettore.

Passaggio 4: Eseguire lo script per PUBBLICARE il file JSON contenente dati di errore fisici

Per configurare un connettore di errore fisico, eseguire uno script che esegue il push dei dati di errore fisici nel file JSON (creato nel passaggio 2) nell'endpoint API (creato nel passaggio 1). Viene fornito uno script di esempio per il riferimento. È possibile scegliere di usarlo o creare uno script personalizzato per pubblicare il file JSON nell'endpoint API.

Dopo aver eseguito lo script, viene eseguito il push del file JSON contenente i dati di errore fisici nell'organizzazione di Microsoft 365 in cui la soluzione di gestione dei rischi Insider può accedervi. È consigliabile pubblicare dati di badging fisici ogni giorno. È possibile automatizzare il processo per generare il file JSON ogni giorno dal sistema di gestione dei dati fisici e quindi pianificare lo script per eseguire il push dei dati.

Nota

L'API può elaborare un file JSON con un massimo di 50.000 record.

  1. Passare a questo sito GitHub per accedere allo script di esempio.

  2. Selezionare il pulsante Non elaborato per visualizzare lo script nella visualizzazione testo.

  3. Copiare tutte le righe nello script di esempio e salvarle in un file di testo.

  4. Modificare lo script di esempio per l'organizzazione, se necessario.

  5. Salvare il file di testo come file di script Windows PowerShell usando un suffisso di nome file di .ps1, ad esempio PhysicalBadging.ps1.

  6. Aprire un prompt dei comandi nel computer locale e passare alla directory in cui è stato salvato lo script.

  7. Eseguire il comando seguente per eseguire il push dei dati fisici di badging nel file JSON nel cloud Microsoft; Per esempio:

    .\PhysicalBadging.ps1 -tenantId "<Tenant Id>" -appId "<Azure AD App Id>" -appSecret "<Azure AD App Secret>" -jobId "Job Id" -jsonFilePath "<records file path>"

    Nella tabella seguente vengono descritti i parametri da usare con questo script e i relativi valori obbligatori. Usare le informazioni ottenute nei passaggi precedenti per questi valori.

    Parametro Descrizione
    tenantId Si tratta dell'ID dell'organizzazione microsoft 365 ottenuto nel passaggio 1. È anche possibile ottenere il tenantId per l'organizzazione nel pannello Panoramica nell'interfaccia di amministrazione Microsoft Entra. Questo valore identifica l'organizzazione.
    appId Si tratta dell'ID applicazione Microsoft Entra per l'app creata nell'ID Microsoft Entra nel passaggio 1. Microsoft Entra ID usa questo valore per l'autenticazione quando lo script tenta di accedere all'organizzazione di Microsoft 365.
    appSecret Si tratta del segreto dell'applicazione Microsoft Entra per l'app creata nell'ID Microsoft Entra nel passaggio 1. Microsoft Entra ID usa anche questo valore per l'autenticazione.
    jobId Si tratta dell'ID processo per il connettore di segnalazione fisica creato nel passaggio 3. Lo script usa questo valore per associare i dati fisici di cui esegue il push nel cloud Microsoft al connettore di badging fisico.
    JsonFilePath Si tratta del percorso del file nel computer locale (quello usato per eseguire lo script) per il file JSON creato nel passaggio 2. Questo file deve seguire lo schema di esempio descritto nel passaggio 3.

    Di seguito è riportato un esempio della sintassi per lo script del connettore con errori fisici usando i valori effettivi per ogni parametro:

    .\PhysicalBadging.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -jsonFilePath 'C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json'

    Se il caricamento ha esito positivo, lo script visualizza il messaggio Caricamento completato .

    Se sono presenti più file JSON, eseguire lo script per ogni file.

Passaggio 5: Monitorare il connettore di badging fisico

Dopo aver creato il connettore fisico di badging ed aver eseguito il push dei dati fisici non validi, è possibile visualizzare il connettore e caricare lo stato nel portale di Microsoft Purview. Se si pianifica l'esecuzione automatica dello script a intervalli regolari, è anche possibile visualizzare lo stato corrente dopo l'ultima esecuzione dello script.

  1. Accedere al portale di Microsoft Purview.

  2. Selezionare Impostazioni>Connettori dati.

  3. Selezionare Connettori personali, quindi selezionare il connettore di segnalazione fisica creato per visualizzare la pagina del riquadro a comparsa. Questa pagina contiene le proprietà e le informazioni sul connettore.

  4. In Ultima importazione selezionare il collegamento Scarica log per aprire (o salvare) il log di stato per il connettore. Questo log contiene informazioni su ogni volta che lo script viene eseguito e carica i dati dal file JSON nel cloud Microsoft.

    Il file di log del connettore con errori fisici visualizza il numero di oggetti del file JSON caricati.

    Il campo RecordSaved mostra il numero di record nel file JSON caricato dallo script. Ad esempio, se il file JSON contiene quattro record, il valore dei campi RecordSaved è 4 quando lo script carica correttamente tutti i record nel file JSON. Il campo RecordsSkipped mostra il numero di record nel file JSON ignorati dallo script. Prima di caricare i record nel file JSON, lo script convalida gli ID Email. Qualsiasi record con un ID Email non valido viene ignorato e l'ID Email corrispondente viene visualizzato nel campo EmailIdsNotSaved.

Se lo script non è stato eseguito nel passaggio 4, in Ultima importazione viene visualizzato un collegamento per scaricare lo script. È possibile scaricare lo script e quindi seguire la procedura descritta nel passaggio 4 per eseguirlo.

(Facoltativo) Passaggio 6: Pianificare l'esecuzione automatica dello script

Per assicurarsi che strumenti come la soluzione di gestione dei rischi Insider dispongano sempre dei dati fisici più recenti dell'organizzazione, pianificare l'esecuzione automatica dello script su base ricorrente, ad esempio una volta al giorno.To make sure tools like the insider risk management solution always have the latest physical badging data from your organization, schedule the script to run automatically on a recurring basis, such as once a day. Questa pianificazione richiede l'aggiornamento dei dati fisici non validi al file JSON in base a una pianificazione simile (se non la stessa) in modo che contenga le informazioni più recenti sui dipendenti che lasciano l'organizzazione. L'obiettivo è caricare i dati fisici più aggiornati in modo che il connettore di gestione dei rischi fisici possa renderli disponibili per la soluzione di gestione dei rischi Insider.

Usare l'app Utilità di pianificazione in Windows per eseguire automaticamente lo script ogni giorno.

  1. Nel computer locale selezionare il pulsante Start di Windows e quindi digitare Utilità di pianificazione.

  2. Selezionare l'app Utilità di pianificazione per aprirla.

  3. Nella sezione Azioni selezionare Crea attività.

  4. Nella scheda Generale digitare un nome descrittivo per l'attività pianificata, ad esempio Script del connettore con errori fisici. È anche possibile aggiungere una descrizione facoltativa.

  5. In Opzioni di sicurezza eseguire le operazioni seguenti:

    1. Decidere se eseguire lo script solo quando si è connessi al computer o eseguirlo quando si è connessi o meno.

    2. Assicurarsi che la casella di controllo Esegui con i privilegi più elevati sia selezionata.

  6. Selezionare la scheda Trigger , selezionare Nuovo e quindi eseguire le operazioni seguenti:

    1. In Impostazioni selezionare l'opzione Giornaliera e quindi scegliere una data e un'ora per eseguire lo script per la prima volta. Lo script viene eseguito ogni giorno nello stesso momento specificato.

    2. In Impostazioni avanzate verificare che la casella di controllo Abilitato sia selezionata.

    3. Selezionare OK.

  7. Selezionare la scheda Azioni , selezionare Nuovo e quindi eseguire le operazioni seguenti:

    Impostazioni dell'azione per creare una nuova attività pianificata per lo script del connettore con errori fisici.

    1. Nell'elenco a discesa Azione verificare che l'opzione Avvia programma sia selezionata.

    2. Nella casella Programma/script selezionare Sfoglia, passare al percorso seguente e selezionarlo in modo che il percorso venga visualizzato nella casella : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

    3. Nella casella Aggiungi argomenti (facoltativo) incollare lo stesso comando script eseguito nel passaggio 4. Ad esempio, .\PhysicalBadging.ps1-tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -jsonFilePath "C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json"

    4. Nella casella Avvia in (facoltativo) incollare il percorso della cartella dello script eseguito nel passaggio 4. Ad esempio, C:\Users\contosoadmin\Desktop\Scripts.

    5. Selezionare OK per salvare le impostazioni per la nuova azione.

  8. Nella finestra Crea attività selezionare OK per salvare l'attività pianificata. Potrebbe essere richiesto di immettere le credenziali dell'account utente.

    La nuova attività viene visualizzata nella raccolta utilità di pianificazione.

    La nuova attività viene visualizzata nella raccolta utilità di pianificazione.

L'ultima volta che lo script è stato eseguito e viene visualizzata la successiva esecuzione pianificata. È possibile selezionare due volte l'attività per modificarla.

È anche possibile verificare l'ultima volta che lo script è stato eseguito nella pagina a comparsa del connettore di badging fisico corrispondente nel Centro conformità.

  • Last updated on