Applica a

Smartsheet
  • Enterprise

Funzionalità

Chi può utilizzare questa funzionalità?

Devi essere un Amministratore di sistema con licenza per abilitare le politiche di governance Richiedi account aziendale e Richiedi MFA per la condivisione esterna.

Politiche di governance per i collaboratori esterni

Le politiche Richiedi account aziendale e Richiedi MFA migliorano la sicurezza per la condivisione esterna, in quanto richiedono ai tuoi collaboratori esterni di accedere con single sign-on (SSO) e un ulteriore livello di autenticazione (Richiedi MFA) per accedere a qualsiasi contenuto che condividi con loro.

PLANS

  • Enterprise

Permessi

Devi essere un Amministratore di sistema con licenza per abilitare le politiche di governance Richiedi account aziendale e Richiedi MFA per la condivisione esterna.

Cos’è un collaboratore esterno?

Un utente invitato a collaborare su un foglio o un workspace, ma che non è membro dell’organizzazione o del dominio proprietario del foglio o del workspace.

Queste politiche garantiscono che i tuoi collaboratori esterni utilizzino un metodo sicuro per accedere e che convalidi passivamente che tali collaboratori siano ancora impiegati preso l’organizzazione con cui intendi collaborare.

Quando un collaboratore esterno che non ha effettuato l’accesso con SSO/MFA tenta di accedere a un asset che richiede SSO/MFA, l’utente visualizza un messaggio che gli indica che deve accedere tramite SSO per accedere all’asset.

Mentre la politica Richiedi account aziendale è impostata a livello di piano, Richiedi MFA può essere applicata a livello di account o su workspace specifici. Gli Amministratori di sistema possono consentire agli Amministratori del workspace di decidere se applicare il livello di sicurezza aggiuntivo a specifici workspace di cui sono proprietari.

Le politiche governano i fogli, i report e le dashboard, tutti elementi che possono essere associati a un workspace.

Una volta abilitate, le politiche Richiedi account aziendali e Richiedi MFA si applicano esclusivamente agli elementi principali (fogli, report e dashboard) all‘interno dell‘applicazione Smartsheet principale, esclusi gli elementi all‘interno delle app Premium Smartsheet.


Richiedi account aziendale

Richiedi account aziendale è una politica a livello di piano che garantisce che l’accesso a Smartsheet sia limitato agli utenti con credenziali autenticate dall’azienda (SSO), riducendo così il rischio di potenziali accessi non autorizzati.

Metodi supportati

  • Account di lavoro Azure
  • Account di lavoro Google
  • SSO SAML

Richiedi MFA

Questa politica richiede ai collaboratori esterni di eseguire l’autenticazione tramite il metodo a più fattori (MFA), migliorando la loro sicurezza con un ulteriore livello di verifica. Ciò garantisce che, anche se una password è compromessa, l’accesso non autorizzato può essere ostacolato dalla funzionalità MFA.

  • Per attivare questa politica, è necessario innanzitutto abilitare la politica Richiedi account aziendale.
  • Se l’Identity Provider (IdP) di un collaboratore esterno non supporta l’MFA o non riesce a comunicare lo stato di completamento dell’MFA con Smartsheet, il nostro MFA proprietario basato su e-mail funge da backup.

     

Metodi supportati

  • SAML (Okta, Azure, AD FS)
  • Account di lavoro Microsoft
  • Password monouso per e-mail

     

MFA basata su e-mail

Si tratta di un meccanismo che prevede una password una tantum e limitata nel tempo (OTP) fornita via e-mail. È ideato per affrontare scenari in cui l’MFA standard attraverso l’IdP del collaboratore non è possibile.

Se il sistema non è in grado di determinare che il collaboratore esterno ha completato l’MFA su un asset in cui si applica la politica, viene inviata un’e-mail al suo account non appena clicca sull’asset.

Se l’utente immette il codice di verifica in modo errato per tre volte consecutive, deve attendere 30 minuti per riprovare.


Informazioni sull’app per dispositivi mobili

  • Attualmente, l’app per dispositivi mobili limita automaticamente l’accesso dei collaboratori esterni agli asset quando gli Amministratori di sistema applicano una o entrambe le politiche sull’asset.
  • I collaboratori esterni che soddisfano la politica SSO hanno accesso agli asset protetti tramite l’app per dispositivi mobili.

Amministratori di sistema

Per attivare la politica Richiedi account aziendale:

  1. Vai al Centro dell’Amministratore.
  2. Seleziona l’icona del menu e passa a Impostazioni > Accesso esterno sicuro.
  3. Fai scorrere il pulsante Richiedi account aziendali per attivare la politica.

    Se l’opzione di accesso per utenti interni non è abilitata per l’SSO, la politica Richiedi account aziendale verrà disabilitata automaticamente.

Per attivare la politica Richiedi MFA:

  1. Vai al Centro dell’Amministratore.
  2. Seleziona l’icona del menu e passa a Impostazioni > Accesso esterno sicuro.
  3. Fai scorrere il pulsante Richiedi MFA per attivare la politica.
    • Per consentire agli amministratori di Workspace di applicare la politica a workspace specifici, seleziona il pulsante Consenso esplicito al workspace.
    • Per applicare la politica su tutti gli asset del piano, seleziona Applica su tutti gli asset del piano.
Brandfolder Image
Secure External Access page

Amministratori del workspace

  • Gli Amministratori del workspace non possono impostare la politica Richiedi account aziendale a livello di piano. La configurazione è richiesta da un Amministratore di sistema.
  • Se un Amministratore di sistema abilita Consenso esplicito al workspace, gli amministratori del workspace possono applicare la politica Richiedi MFA su workspace specifici.
  • Per generare un report che mostri tutti i workspace con il criterio Richiedi MFA applicato, seleziona Genera report di consenso esplicito. Il foglio di calcolo del report del workspace include il nome del workspace, che indica se il criterio Richiedi MFA si applica a ogni workspace, insieme a un link URL per accedervi e un elenco di utenti con autorizzazioni di Amministratore per il workspace.

Per attivare l’autenticazione a più fattori per l’accesso al workspace:

  1. Vai al workspace e seleziona Condividi in alto a destra. 
  2. Seleziona Configura nella parte superiore della finestra di condivisione. 
  3. Fai scorrere il pulsante Richiedi MFA per attivare la funzione. Le impostazioni si applicano a tutti gli elementi del workspace, non ai singoli elementi.
Brandfolder Image
Activate MFA for workspace access

Elenco Esentati

L’elenco Esentati (noto anche come elenco dei domini attendibili) consente agli Amministratori di sistema di specificare domini e singoli indirizzi e-mail esenti dalle politiche.

L’attivazione di un elenco di domini esentati avvia la creazione di un foglio con colonne specifiche. Tutti gli Amministratori di sistema hanno accesso a questo foglio.

Per creare un elenco Esentati:

  1. Vai al Centro dell’Amministratore.
  2. Seleziona l’icona del menu e passa a Impostazioni > Accesso esterno sicuro
  3. In Impostazioni avanzate, seleziona Crea foglio su una delle seguenti opzioni:
    • Domini esenti
    • Esenta indirizzi e-mail
  4. Per aggiungere nuovi domini o indirizzi e-mail all’elenco Esentati, inseriscili nella colonna Domini/E-mail autorizzati alla condivisione e utilizza le colonne con casella di spunta per indicare se l’entità è esente dalle politiche.

Foglio dell’elenco Esentati

Gli Amministratori di sistema possono solo aggiungere, modificare ed eliminare le righe del foglio. Il foglio contiene le seguenti colonne:

  • Domini/e-mail autorizzati alla condivisione: elenca i domini/indirizzi e-mail con cui è consentito condividere contenuti.
  • Esente dai requisiti dell’account aziendale: una casella di spunta che, se contrassegnata, esenta il dominio/indirizzo e-mail dal richiedere le credenziali dell’account aziendale per accedere ai contenuti condivisi.
  • Esente dai requisiti dell’MFA: una casella di spunta che, se contrassegnata, esenta il dominio/indirizzo e-mail dal richiedere l’MFA per accedere ai contenuti condivisi.
  • Modificato da: indica l’ultimo utente che ha apportato modifiche alla riga.
  • Modificato il: mostra la data e l’ora in cui è stata apportata l’ultima modifica alla riga.
  • Creato da: identifica l’utente che ha originariamente creato la voce nel foglio.
  • Creato: visualizza la data e l’ora in cui è stata creata la voce.
  • Note: un campo libero per ulteriori informazioni o commenti dietro lo stato del dominio/indirizzo e-mail.
Brandfolder Image
Exempt list sheet

Chiamate API

I collaboratori esterni che utilizzano chiamate API pubbliche per accedere ad asset Smartsheet condivisi e protetti dalle politiche Richiedi account aziendale o Richiedi MFA possono accedere a tali asset tramite l’API Smartsheet solo se il loro dominio o indirizzo e-mail è presente nell’elenco Esentati o se si tratta di un dominio convalidato del piano.

Se i tuoi collaboratori esterni riscontrano problemi di accesso agli asset condivisi, devono contattare l’Amministratore di sistema del piano a cui appartengono tali asset.


Altre informazioni utili

  • Queste politiche si applicano agli utenti che non fanno parte di alcun dominio convalidato nel piano che ha abilitato la politica o di qualsiasi dominio/indirizzo e-mail menzionato nell’elenco Esentati per queste politiche.
  • Gli OTP generati hanno una durata di dieci minuti. Dopo la scadenza, gli utenti devono generarne uno nuovo.
  • Se un Amministratore di sistema disattiva la politica Richiedi account aziendale mentre la politica Richiedi MFA è attiva, verrà visualizzato un messaggio che lo avvisa che la disattivazione del criterio Richiedi account aziendale disabilita automaticamente il criterio Richiedi MFA.
  • Gli Amministratori di sistema esistenti sono responsabili della concessione dell’accesso al foglio dell’elenco Esentati ai nuovi o futuri Amministratori di sistema.
  • L’applicazione degli aggiornamenti (nuove voci di esenzione) all’elenco Esentati può richiedere fino a tre minuti. 

È possibile disabilitare la funzionalità MFA basata su e-mail una volta che la politica Richiedi MFA è attivata?

No. Una volta che la politica Richiedi MFA è attiva, gli Amministratori di sistema non possono disabilitare la funzionalità MFA basata su e-mail. È ideata come backup per garantire una sicurezza continua anche se il metodo MFA primario non è disponibile.

In che modo i collaboratori esterni che non fanno parte di alcuna organizzazione con politiche Richiedi account aziendale/Richiedi MFA accedono al sistema? Soprattutto quelli che sono consulenti indipendenti?

  • Possono sfruttare gli accessi social, come Google SSO o le opzioni Microsoft (ad esempio, gmail.com, live.com).
  • Possono ricevere un codice basato su e-mail (MFA basata su e-mail) per la verifica.
  • Gli Amministratori di sistema possono aggiungere utenti all’elenco di esenzione, se necessario.
     

Come gestiamo le obiezioni quando i collaboratori esterni non utilizzano Microsoft o Google per la politica Richiedi account aziendale?

Per Richiedi account aziendale, al momento supportiamo solo l’accesso SSO a Google/Microsoft o SAML aziendale.

Un Amministratore del workspace sarà in grado di implementare queste politiche?

Gli Amministratori del workspace possono abilitare la politica Richiedi MFA a livello di workspace se un Amministratore di sistema ha abilitato la politica Richiedi MFA a livello di workspace. Gli Amministratori del workspace non possono configurare la politica Richiedi account aziendale.

Ci sono domini aggiunti automaticamente all’elenco Esentati?

Sì. Tutti i domini verificati all’interno del piano sono automaticamente esentati dalle politiche Richiedi account aziendale e Richiedi MFA, in quanto gli utenti di questi domini vengono trattati come utenti interni al piano.

Was this article helpful?
No