Rivedere l'accesso a gruppi e applicazioni nelle verifiche di accesso
Microsoft Entra ID semplifica il modo in cui le aziende gestiscono l'accesso ai gruppi e alle applicazioni in Microsoft Entra ID e negli altri servizi Web Microsoft con una funzione denominata verifiche di accesso. Questo articolo illustra come un revisore designato esegue una revisione degli accessi per i membri di un gruppo o utenti con accesso a un'applicazione. Se si vuole rivedere l'accesso a un pacchetto di accesso, leggere Rivedere l'accesso di un pacchetto di accesso nella gestione entitlement.
Eseguire la revisione degli accessi con Accesso personale
È possibile esaminare l'accesso a gruppi e applicazioni tramite Accesso personale. Accesso personale è un portale intuitivo per concedere, approvare e rivedere le esigenze di accesso.
Usare la posta elettronica per andare ad Accesso personale
Importante
Possono verificarsi ritardi nella ricezione del messaggio di posta elettronica. In alcuni casi, potrebbero essere necessarie fino a 24 ore. Aggiungere MSSecurity-noreply@microsoft.com all'elenco dei destinatari sicuri per assicurarsi di ricevere tutti i messaggi di posta elettronica.
Cercare un messaggio di posta elettronica da Microsoft in cui viene richiesto di verificare l'accesso. Ecco un messaggio di posta elettronica di esempio:
Selezionare il collegamento Avvia verifica per aprire la verifica di accesso.
Andare direttamente ad Accesso personale
È anche possibile visualizzare le revisioni degli accessi in sospeso usando il browser per aprire Accesso personale.
Accedere ad Accesso personale alla pagina https://myaccess.microsoft.com/.
Selezionare Revisioni degli accessi dal menu a sinistra per visualizzare un elenco delle revisioni degli accessi in sospeso assegnate all'utente.
Rivedere gli accessi per uno o più utenti
Dopo aver aperto Accesso personale in Gruppi e app, è possibile visualizzare:
- Nome: il nome della revisione di accesso.
- Scadenza: la data di scadenza per la revisione. Dopo questa data, gli utenti a cui è stato negato l'accesso potrebbero essere rimossi dal gruppo o dall'app da rivedere.
- Risorsa: il nome della risorsa in fase di revisione.
- Stato: il numero di utenti rivisti rispetto al numero totale di utenti che fanno parte di questa revisione di accesso.
Selezionare il nome di una revisione di accesso per iniziare.
Dopo l'apertura, verrà visualizzato l'elenco degli utenti oggetto della revisione di accesso.
Nota
Se la richiesta consiste nell'esaminare il proprio accesso, la pagina avrà un aspetto diverso. Per altre informazioni, vedere Esaminare l'accesso per se stessi a gruppi o applicazioni.
Per approvare o negare l'accesso è possibile procedere in due modi:
- È possibile approvare o negare manualmente l'accesso per uno o più utenti.
- È possibile accettare le raccomandazioni di sistema.
Esaminare manualmente l'accesso per uno o più utenti
Esaminare l'elenco degli utenti e decidere se approvare o negare l'accesso continuo.
Selezionare uno o più utenti selezionando il cerchio accanto ai relativi nomi.
Selezionare Approva o Nega sulla barra.
Se non si è certi che un utente debba continuare ad avere accesso, è possibile selezionare Non so. L'utente potrà comunque mantenere l'accesso e la scelta viene registrata nei registri di controllo. Tenere presente che tutte le informazioni fornite sono disponibili ad altri revisori. Possono leggere i commenti e tenerli in considerazione quando esaminano la richiesta.
L'amministratore della revisione di accesso potrebbe richiedere di fornire un motivo per la decisione nella casella Motivo, anche quando non è necessario fornire una giustificazione. È comunque possibile fornire un motivo per la decisione. Le informazioni incluse sono disponibili per altri responsabili dell'approvazione per la revisione.
Selezionare Invia.
È possibile modificare la risposta in qualsiasi momento fino al termine della revisione dell'accesso. Se si desidera modificare la risposta, selezionare la riga e aggiornare la risposta. Ad esempio, è possibile approvare un utente a cui in precedenza è stato negato l'accesso o negarlo un utente precedentemente approvato.
Importante
- L'utente a cui viene negato l'accesso non viene rimosso immediatamente. L'utente viene rimosso al termine del periodo di revisione o quando un amministratore interrompe la revisione.
- Se sono presenti più revisori, viene registrata l'ultima risposta inviata. Si consideri un esempio in cui un amministratore nomina due revisori: Alice e Bob. Alice apre per prima la verifica di accesso e approva la richiesta di accesso di un utente. Prima della fine del periodo di verifica, Bob apre la verifica di accesso e nega l'accesso alla stessa richiesta precedentemente approvata da Alice. L'ultima decisione che nega l'accesso è la risposta che viene registrata.
Rivedere l'accesso in base ai consigli
Per semplificare e velocizzare le verifiche di accesso, vengono inoltre forniti consigli che è possibile accettare con una singola selezione. Il sistema genera consigli per il revisore in due modi diversi. Uno consiste nell'attività di accesso dell'utente. Se un utente è rimasto inattivo per 30 giorni o più, il sistema consiglia al revisore di negare l'accesso.
L'altro metodo si basa sull'accesso di cui dispongono i colleghi dell'utente. Se l'utente non ha lo stesso accesso dei colleghi, il sistema consiglia al revisore di negare l'accesso dell'utente.
Se non si effettua nessun accesso in 30 giorni o la funzione di outlier dei colleghi è abilitata, seguire questa procedura per accettare i consigli:
Selezionare uno o più utenti, quindi selezionare Accetta consigli.
In alternativa, per accettare consigli per tutti gli utenti non visualizzati, assicurarsi che non siano selezionati utenti, quindi selezionare il pulsante Accetta consigli sulla barra superiore.
Selezionare Invia per accettare i consigli.
Nota
Quando si accettano consigli, le decisioni precedenti non verranno modificate.
Rivedere l'accesso per uno o più utenti in una verifica di accesso a più fasi (anteprima)
Se l'amministratore ha abilitato le revisioni degli accessi in più fasi, saranno disponibili due o tre fasi totali della revisione. Ogni fase della revisione ha un revisore specificato.
Si esaminerà l'accesso manualmente o si accetteranno i consigli in base all'attività di accesso per la fase assegnata come revisore.
Se si è il revisore di seconda fase o di terza fase, verranno visualizzate anche le decisioni prese dai revisori nelle fasi precedenti, se l'amministratore ha abilitato questa impostazione durante la creazione della revisione di accesso. La decisione presa da un revisore in seconda fase o terza fase sovrascrive la fase precedente. Quindi, la decisione che il revisore della seconda fase sovrascrive la prima fase. E la decisione del revisore in terza fase sovrascrive la seconda fase.
Approvare o negare l'accesso come descritto in Rivedere l'accesso per uno o più utenti.
Nota
La fase successiva della revisione non diventerà attiva fino al superamento della durata specificata durante la configurazione della revisione di accesso. Se l'amministratore ritiene che una fase venga eseguita ma la durata della revisione per questa fase non è ancora scaduta, può usare il pulsante Arresta fase corrente nella panoramica della revisione di accesso nell'interfaccia di amministrazione di Microsoft Entra. Questa azione chiuderà la fase attiva e avvierà la fase successiva.
Rivedere l'accesso per gli utenti con connessione diretta B2B nei canali condivisi di Teams e nei gruppi di Microsoft 365 (anteprima)
Per rivedere l'accesso degli utenti con connessione diretta B2B, usare le istruzioni seguenti:
Il revisore riceve un messaggio di posta elettronica che richiede di rivedere l'accesso per il team o il gruppo. Selezionare il collegamento nel messaggio di posta elettronica oppure passare direttamente a https://myaccess.microsoft.com/.
Seguire le istruzioni in Rivedere l'accesso per uno o più utenti per prendere decisioni per approvare o negare l'accesso degli utenti ai team.
Nota
A differenza degli utenti interni e degli utenti di Collaborazione B2B, gli utenti e i team di connessione diretta B2B non hanno consigli basati sull'ultima attività di accesso per prendere decisioni quando si esegue la revisione.
Se un team esamina i canali condivisi, tutti gli utenti e i team B2B diretti che accedono a tali canali fanno parte della revisione. Sono inclusi gli utenti di Collaborazione B2B e gli utenti interni. Quando a un utente o a un team di connessione diretta B2B viene negato l'accesso in una revisione di accesso, l'utente perde l'accesso a ogni canale condiviso nel team. Per altre informazioni sugli utenti con connessione diretta B2B, vedereConnessione diretta B2B.
Configurare le fasi future se non viene eseguita alcuna azione sulla revisione di accesso
Quando viene configurata la verifica di accesso, l'amministratore può usare le impostazioni avanzate per determinare cosa accade se un revisore non risponde a una richiesta di verifica di accesso.
L'amministratore può configurare la verifica in modo che, se i revisori non rispondono alla fine del periodo di revisione, tutti gli utenti non visualizzati possono essere soggetti a una decisione automatica sull'accesso. Ciò include la perdita di accesso al gruppo o all'applicazione oggetto di revisione.