Share via

Abilitare la prevenzione delle eliminazioni accidentali nel servizio di provisioning di Microsoft Entra

  • Articolo

Il servizio di provisioning Microsoft Entra include una funzionalità che consente di evitare eliminazioni accidentali. Questa funzionalità garantisce che gli utenti non vengano disabilitati o eliminati in modo imprevisto in un'applicazione.

Il servizio di provisioning Microsoft Entra include una funzionalità che consente di evitare eliminazioni accidentali. Questa funzionalità garantisce che gli utenti non siano disabilitati o eliminati in modo imprevisto nel tenant di destinazione.

Usare eliminazioni accidentali per specificare una soglia di eliminazione. Qualsiasi elemento al di sopra della soglia impostata richiede a un amministratore di consentire in modo esplicito l'elaborazione delle eliminazioni.

Configurare la prevenzione accidentale dell'eliminazione

Per abilitare la prevenzione accidentale dell'eliminazione:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali.
  3. Selezionare l'applicazione.
  4. Selezionare Provisioning e quindi nella pagina di provisioning selezionare Modifica provisioning.
  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.
  2. Passare a Identità>esterne Identità configurazioni> di sincronizzazione>tra tenant e quindi selezionare la configurazione.
  3. Selezionare Provisioning.
  1. In Impostazioni selezionare la casella di controllo Impedisci eliminazioni accidentali e specificare una soglia di eliminazione.
  2. Verificare che l'indirizzo di posta elettronica di notifica sia stato completato. Se viene raggiunta la soglia di eliminazione, viene inviato un messaggio di posta elettronica.
  3. Seleziona Salva per salvare le modifiche.

Quando viene raggiunta la soglia di eliminazione, il processo entra in quarantena e viene inviato un messaggio di posta elettronica di notifica. Il processo in quarantena può quindi essere consentito o rifiutato. Per altre informazioni sul comportamento di quarantena, vedere Provisioning delle applicazioni in stato di quarantena.

Ripristino da un'eliminazione accidentale

Quando si verifica un'eliminazione accidentale, viene visualizzata nella pagina di stato del provisioning. Dice Provisioning has been quarantined. See quarantine details for more information.

È possibile fare clic su Consenti eliminazioni o Visualizzare i log di provisioning.

Consenti eliminazioni

L'azione Consenti elimina gli oggetti che hanno attivato la soglia di eliminazione accidentale. Utilizzare la procedura per accettare le eliminazioni.

  1. Selezionare Consenti eliminazioni.
  2. Fare clic su nella conferma per consentire le eliminazioni.
  3. Visualizzare la conferma dell'accettazione delle eliminazioni. Lo stato torna integro con il ciclo successivo.

Rifiuto delle eliminazioni

Analizzare e rifiutare le eliminazioni in base alle esigenze:

  • Esaminare l'origine delle eliminazioni. Per informazioni dettagliate, è possibile usare i log di provisioning.
  • Impedire l'eliminazione assegnando di nuovo l'utente/gruppo all'applicazione (o configurazione), ripristinando l'utente/gruppo o aggiornando la configurazione del provisioning.
  • Dopo aver apportato le modifiche necessarie per impedire che l'utente/gruppo venga eliminato, riavviare il provisioning. Non riavviare il provisioning finché non sono state apportate le modifiche necessarie per impedire l'eliminazione di utenti/gruppi.

Prevenzione dell'eliminazione dei test

È possibile testare la funzionalità attivando eventi di disabilitazione/eliminazione impostando la soglia su un numero basso, ad esempio 3, e quindi modificando i filtri di ambito, annullando l'assegnazione degli utenti e eliminando gli utenti dalla directory (vedere scenari comuni nella sezione successiva).

Consentire l'esecuzione del processo di provisioning (da 20 a 40 minuti) e tornare alla pagina di provisioning. Controllare il processo di provisioning in quarantena e scegliere di consentire le eliminazioni o esaminare i log di provisioning per comprendere il motivo per cui si sono verificate le eliminazioni.

Scenari di deprovisioning comuni da testare

  • Eliminare un utente/inserirli nel Cestino.
  • Bloccare l'accesso per un utente.
  • Annullare l'assegnazione di un utente o di un gruppo dall'applicazione (o configurazione).
  • Rimuovere un utente da un gruppo che fornisce loro l'accesso all'applicazione (o alla configurazione).

Per altre informazioni sugli scenari di deprovisioning, vedere Funzionamento del provisioning delle applicazioni.

Domande frequenti

Quali scenari vengono conteggiati per la soglia di eliminazione?

Quando un utente viene impostato per la rimozione dall'applicazione di destinazione (o dal tenant di destinazione), viene conteggiato rispetto alla soglia di eliminazione. Gli scenari che potrebbero causare la rimozione di un utente dall'applicazione di destinazione (o dal tenant di destinazione) possono includere: annullare l'assegnazione dell'utente dall'applicazione (o configurazione) e l'eliminazione temporanea/hard di un utente nella directory. I gruppi valutati per il conteggio delle eliminazioni verso la soglia di eliminazione. Oltre alle eliminazioni, la stessa funzionalità funziona anche per le disabilitazioni.

Qual è l'intervallo su cui viene valutata la soglia di eliminazione?

Viene valutato ogni ciclo. Se il numero di eliminazioni non supera la soglia durante un singolo ciclo, il "interruttore" non viene attivato. Se sono necessari più cicli per raggiungere uno stato stabile, la soglia di eliminazione viene valutata per ciclo.

Come vengono registrati questi eventi di eliminazione?

È possibile trovare gli utenti che devono essere disabilitati/eliminati, ma non a causa della soglia di eliminazione. Navigazione nei log di provisioning e quindi filtrare l'azione con StagedAction o StagedDelete.Navigation to Provisioning logs and then filter Action with StagedAction or StagedDelete.

Passaggi successivi