Configurare i criteri di scadenza per Microsoft 365 gruppi

  • Articolo
  • 9 minuti per la lettura

Questo articolo illustra come gestire il ciclo di vita di Microsoft 365 gruppi impostando un criterio di scadenza. È possibile impostare i criteri di scadenza solo per Microsoft 365 gruppi in Azure Active Directory (Azure AD), parte di Microsoft Entra.

Dopo l'impostazione della scadenza di un gruppo:

  • I gruppi con attività utente vengono rinnovati automaticamente quando la scadenza si avvicina.
  • I proprietari del gruppo ricevono una notifica per rinnovare il gruppo, se il gruppo non viene rinnovato automaticamente.
  • Tutti i gruppi non rinnovati vengono eliminati.
  • Qualsiasi Microsoft gruppo 365 eliminato può essere ripristinato entro 30 giorni dai proprietari del gruppo o dall'amministratore.

Attualmente, è possibile configurare solo un criterio di scadenza per tutti i gruppi di Microsoft 365 in un'organizzazione di Azure AD.

Nota

La configurazione e l'uso dei criteri di scadenza per Microsoft 365 gruppi richiede di possedere ma non assegnare necessariamente licenze Azure AD Premium per i membri di tutti i gruppi a cui viene applicato il criterio di scadenza.

Per informazioni su come scaricare e installare i cmdlet di Azure AD PowerShell, vedere Azure Active Directory PowerShell for Graph 2.0.0.137 (Azure Active Directory PowerShell per Graph 2.0.0.137).

Rinnovo automatico basato sulle attività

Con l'intelligence di Azure AD, i gruppi vengono ora rinnovati automaticamente in base al fatto che siano stati usati di recente. Questa funzionalità elimina la necessità di un'azione manuale da parte dei proprietari del gruppo, perché si basa sull'attività degli utenti in gruppi in Microsoft 365 servizi come Outlook, SharePoint, Teams o Yammer. Ad esempio, se un proprietario o un membro del gruppo esegue un'operazione simile al caricamento di un documento in SharePoint, visitare un canale di Teams, inviare un messaggio di posta elettronica al gruppo in Outlook o visualizzare un post in Yammer, il gruppo viene rinnovato automaticamente circa 35 giorni prima della scadenza del gruppo e il proprietario non riceve notifiche di rinnovo.

Si consideri ad esempio un criterio di scadenza impostato in modo che un gruppo scada dopo 30 giorni di inattività. Tuttavia, per impedire l'invio di un messaggio di posta elettronica di scadenza al giorno in cui la scadenza del gruppo è abilitata (perché non è ancora presente alcuna attività record), Azure AD attende prima cinque giorni. Se in questi cinque giorni è presente un'attività, i criteri di scadenza funzionano come previsto. Se non esiste alcuna attività entro cinque giorni, inviamo un messaggio di posta elettronica di scadenza/rinnovo. Naturalmente, se il gruppo è inattivo per cinque giorni, un messaggio di posta elettronica è stato inviato e quindi il gruppo è stato attivo, verrà eseguito nuovamente l'autore e verrà avviato di nuovo il periodo di scadenza.

Attività che rinnovano automaticamente la scadenza del gruppo

Le azioni utente seguenti causano il rinnovo automatico del gruppo:

  • SharePoint: Visualizzare, modificare, scaricare, spostare, condividere o caricare file
  • Outlook: Join group, read/write group message from group space, Like a message (in Outlook Web Access)
  • Teams: visitare un canale di Teams
  • Yammer: visualizzare un post all'interno di una community di Yammer o un messaggio di posta elettronica interattivo in Outlook

Controllo e creazione di report

Gli amministratori possono ottenere un elenco di gruppi rinnovati automaticamente dai log di controllo attività in Azure AD.

Rinnovo automatico dei gruppi in base all'attività

Ruoli e autorizzazioni

Di seguito sono riportati i ruoli che possono configurare e usare la scadenza per Microsoft 365 gruppi in Azure AD.

Ruolo Autorizzazioni
amministratore globale, amministratore del gruppo o amministratore utente Può creare, leggere, aggiornare o eliminare le impostazioni dei criteri di scadenza dei gruppi Microsoft 365
Può rinnovare qualsiasi gruppo di Microsoft 365
Utente Può rinnovare un gruppo Microsoft 365 che sono proprietari
Può ripristinare un gruppo Microsoft 365 proprietario
Questo ruolo consente di leggere le impostazioni dei criteri di scadenza

Per altre informazioni sulle autorizzazioni per ripristinare un gruppo eliminato, vedere Ripristinare un gruppo eliminato Microsoft 365 in Azure Active Directory.

Impostare la scadenza dei gruppi

  1. Aprire l'interfaccia di amministrazione di Azure AD con un account che è un amministratore globale nell'organizzazione di Azure AD.

  2. Selezionare Gruppi e quindi Scadenza per aprire le impostazioni di scadenza.

    Impostazioni di scadenza per i gruppi

  3. Nella pagina Scadenza è possibile:

    • Impostare la durata del gruppo in giorni. È possibile selezionare uno dei valori predefiniti o un valore personalizzato (deve essere 30 giorni o più).
    • Specificare un indirizzo e-mail per l'invio delle notifiche di rinnovo e di scadenza quando un gruppo non ha un proprietario.
    • Selezionare quale Microsoft 365 gruppi scade. È possibile impostare la scadenza per:
      • Tutti i gruppi Microsoft 365
      • Elenco di gruppi selezionati Microsoft 365
      • Nessuna per limitare la scadenza per tutti i gruppi
    • Al termine salvare le impostazioni facendo clic su Salva.

Nota

  • Quando si configura per la prima volta la scadenza, tutti i gruppi meno recenti dell'intervallo di scadenza vengono impostati su 35 giorni fino alla scadenza, a meno che il gruppo non venga rinnovato automaticamente o che il proprietario lo rinnova.
  • Quando un gruppo dinamico viene eliminato e ripristinato, viene visto come nuovo gruppo e ricompilato in base alla regola. Questo processo può richiedere fino a 24 ore.
  • Gli avvisi di scadenza per i gruppi usati in Teams vengono visualizzati nel feed Proprietari di Teams.
  • Quando si abilita la scadenza per i gruppi selezionati, è possibile aggiungere fino a 500 gruppi nell'elenco. Se è necessario aggiungere più di 500 gruppi, è possibile abilitare la scadenza per tutti i gruppi. In questo scenario, la limitazione dei 500 gruppi non viene applicata.

Notifiche di posta elettronica

Se i gruppi non vengono rinnovati automaticamente, le notifiche tramite posta elettronica come questa vengono inviate ai proprietari del gruppo Microsoft 365 30 giorni, 15 giorni e 1 giorno prima della scadenza del gruppo. La lingua del messaggio di posta elettronica è determinata dall'impostazione preferita del proprietario del gruppo o della lingua di Azure AD. Se il proprietario del gruppo ha definito una lingua preferita o più proprietari hanno la stessa lingua preferita, viene utilizzata tale lingua. Per tutti gli altri casi, viene usata l'impostazione della lingua di Azure AD.

Notifiche di posta elettronica di scadenza

Dal messaggio di posta elettronica rinnova la notifica del gruppo, i proprietari del gruppo possono accedere direttamente alla pagina dei dettagli del gruppo nella Pannello di accesso. In questa area è possibile ottenere altre informazioni sul gruppo, ad esempio la descrizione, la data dell'ultimo rinnovo, la data di scadenza, e anche procedere con il rinnovo del gruppo. La pagina dei dettagli del gruppo include ora anche collegamenti alle risorse del gruppo Microsoft 365, in modo che il proprietario del gruppo possa visualizzare facilmente il contenuto e l'attività nel proprio gruppo.

Importante

Se si verifica un problema con i messaggi di posta elettronica di notifica e non vengono inviati o ritardati, assicurarsi che Microsoft non eliminerà mai un gruppo prima dell'invio dell'ultimo messaggio di posta elettronica.

Alla scadenza il gruppo viene eliminato, un giorno dopo la data di scadenza. Una notifica di posta elettronica, ad esempio questa, viene inviata ai proprietari del gruppo Microsoft 365 che li informano sulla scadenza e sull'eliminazione successiva del gruppo Microsoft 365.

Notifiche di posta elettronica di eliminazione del gruppo

Il gruppo può essere ripristinato entro 30 giorni dall'eliminazione selezionando Ripristina gruppo o usando i cmdlet di PowerShell, come descritto in Ripristinare un gruppo eliminato Microsoft 365 in Azure Active Directory. Si noti che il periodo di ripristino del gruppo di 30 giorni non è personalizzabile.

Se il gruppo che si sta ripristinando contiene documenti, siti di SharePoint o altri oggetti persistenti, potrebbero essere necessarie fino a 24 ore per ripristinare completamente il gruppo e il relativo contenuto.

Come recuperare Microsoft data di scadenza del gruppo 365

Oltre a Pannello di accesso in cui gli utenti possono visualizzare i dettagli del gruppo, inclusa la data di scadenza e l'ultima data di rinnovo, la data di scadenza di un gruppo Microsoft 365 può essere recuperata da Microsoft Graph REST API Beta. expirationDateTime come proprietà di gruppo è stata abilitata in Microsoft Graph Beta. Può essere recuperato con una richiesta GET. Per altre informazioni, vedere questo esempio.

Nota

Per gestire le appartenenze ai gruppi in Pannello di accesso, è necessario impostare "Limita l'accesso ai gruppi in Pannello di accesso" su "No" in Impostazioni generali dei gruppi di Azure Active Directory.

Quando un gruppo scade e viene eliminato, 30 giorni i dati del gruppo presenti in app come Planner, Siti o Teams vengono eliminati definitivamente, mentre la cassetta postale del gruppo che è in blocco a fini giudiziari viene mantenuta. L'amministratore può usare i cmdlet di Exchange per ripristinare la cassetta postale e recuperare i dati.

Funzionamento della scadenza del gruppo Microsoft 365 con i criteri di conservazione

I criteri di conservazione sono configurati tramite il Centro conformità della sicurezza & . Se è stato configurato un criterio di conservazione per Microsoft 365 gruppi, quando un gruppo scade e viene eliminato, le conversazioni di gruppo nella cassetta postale del gruppo e i file nel sito del gruppo vengono mantenute nel contenitore di conservazione per il numero specifico di giorni definiti nei criteri di conservazione. Dopo la scadenza gli utenti non potranno vedere il gruppo o i relativi contenuti, ma potranno recuperare i dati del sito e della cassetta postale tramite e-discovery.

Esempi di PowerShell

Ecco alcuni esempi di come usare i cmdlet di PowerShell per configurare le impostazioni di scadenza per Microsoft 365 gruppi nell'organizzazione di Azure AD:

  1. Installare il modulo PowerShell v2.0 e accedere al prompt di PowerShell:

    Install-Module -Name AzureAD
Connect-AzureAD

  2. Configurare le impostazioni di scadenza Usare il cmdlet New-AzureADMSGroupLifecyclePolicy per impostare la durata per tutti i gruppi di Microsoft 365 nell'organizzazione di Azure AD su 365 giorni. Le notifiche di rinnovo per Microsoft 365 gruppi senza proprietari verranno inviate a 'emailaddress@contoso.com'

    New-AzureADMSGroupLifecyclePolicy -GroupLifetimeInDays 365 -ManagedGroupTypes All -AlternateNotificationEmails emailaddress@contoso.com

  3. Recuperare i criteri esistenti Get-AzureADMSGroupLifecyclePolicy: questo cmdlet recupera le impostazioni correnti di scadenza del gruppo Microsoft 365 configurate. Questo esempio contiene gli elementi seguenti:

    • ID dei criteri
    • La durata per tutti i gruppi di Microsoft 365 nell'organizzazione di Azure AD è impostata su 365 giorni
    • Le notifiche di rinnovo per Microsoft 365 gruppi senza proprietari verranno inviate a "emailaddress@contoso.com".
    Get-AzureADMSGroupLifecyclePolicy

ID                                    GroupLifetimeInDays ManagedGroupTypes AlternateNotificationEmails
--                                    ------------------- ----------------- ---------------------------
26fcc232-d1c3-4375-b68d-15c296f1f077  365                 All               emailaddress@contoso.com

  4. Aggiornare i criteri esistenti Set-AzureADMSGroupLifecyclePolicy. Questo cmdlet consente di aggiornare un criterio esistente. Nell'esempio seguente la durata del gruppo nei criteri esistenti viene modificata da 365 giorni a 180 giorni.

    Set-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"

  5. Aggiungere gruppi specifici al criterio Add-AzureADMSLifecyclePolicyGroup. Questo cmdlet aggiunge un gruppo ai criteri del ciclo di vita. Ad esempio:

    Add-AzureADMSLifecyclePolicyGroup -Id "26fcc232-d1c3-4375-b68d-15c296f1f077" -groupId "cffd97bd-6b91-4c4e-b553-6918a320211c"

  6. Rimuovere i criteri esistenti Remove-AzureADMSGroupLifecyclePolicy: questo cmdlet elimina le impostazioni di scadenza del gruppo Microsoft 365, ma richiede l'ID criterio. Questo cmdlet disabilita la scadenza per Microsoft 365 gruppi.

    Remove-AzureADMSGroupLifecyclePolicy -Id "26fcc232-d1c3-4375-b68d-15c296f1f077"

I cmdlet seguenti possono essere usati per configurare i criteri in modo più dettagliato. Per altre informazioni, vedere la documentazione di PowerShell.

  • Get-AzureADMSGroupLifecyclePolicy
  • New-AzureADMSGroupLifecyclePolicy
  • Set-AzureADMSGroupLifecyclePolicy
  • Remove-AzureADMSGroupLifecyclePolicy
  • Add-AzureADMSLifecyclePolicyGroup
  • Remove-AzureADMSLifecyclePolicyGroup
  • Reset-AzureADMSLifeCycleGroup
  • Get-AzureADMSLifecyclePolicyGroup

Passaggi successivi

Questi articoli forniscono informazioni aggiuntive sui gruppi di Azure AD.