Completare una verifica di accesso di gruppi e applicazioni nelle verifiche di accesso

  • Articolo

In qualità di amministratore, si crea una verifica di accesso di gruppi o applicazioni e revisori che eseguono la verifica di accesso. Questo articolo descrive come visualizzare i risultati della verifica di accesso e applicarli.

Nota

Questo articolo illustra come eliminare i dati personali dal dispositivo o dal servizio e può essere usato per supportare gli obblighi previsti dal GDPR. Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.

Prerequisiti

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance
  • Amministratore globale, amministratore utenti o amministratore di Identity Governance per gestire l'accesso delle verifiche su gruppi e applicazioni. Gli utenti con il ruolo Amministrazione istrator globale o il ruolo con ruolo con privilegi Amministrazione istrator possono gestire le revisioni dei gruppi assegnabili di ruolo, vedere Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo
  • I lettori di sicurezza hanno accesso in lettura.

Per altre informazioni, vedere Requisiti relativi alle licenze.

Visualizzare lo stato di una verifica di accesso

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

È possibile tenere traccia dello stato di avanzamento delle verifiche di accesso man mano che sono state completate.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di Identity Governance.

  2. Passare a Verifiche di accesso di Identity Governance>.

  3. Nell'elenco selezionare una verifica di accesso.

    Nella pagina Panoramica è possibile visualizzare lo stato di avanzamento dell'istanza corrente della revisione. Se al momento non è aperta un'istanza attiva, verranno visualizzate informazioni sull'istanza precedente. Nessun diritto di accesso viene modificato nella directory fino al completamento della verifica.

    Review of All company group

    Tutti i pannelli in Corrente sono visualizzabili solo durante la durata di ogni istanza di revisione.

    Nota

    Mentre la verifica di accesso corrente mostra solo informazioni sull'istanza di revisione attiva, è possibile ottenere informazioni sulle recensioni ancora da eseguire nella serienella sezione Revisione pianificata.

    La pagina Risultati fornisce altre informazioni su ogni utente sottoposto a revisione nell'istanza, inclusa la possibilità di arrestare, reimpostare e scaricare i risultati.

    Review guest access across Microsoft 365 groups

    Se si visualizza una verifica di accesso che verifica l'accesso guest nei gruppi di Microsoft 365, il pannello Panoramica elenca ogni gruppo nella verifica.

    review guest access across Microsoft 365 groups

    Selezionare un gruppo per visualizzare lo stato di avanzamento della revisione su tale gruppo, anche per arrestare, reimpostare, applicare ed eliminare.

    review guest access across Microsoft 365 groups in detail

  4. Se si vuole interrompere una verifica di accesso prima che abbia raggiunto la data di fine pianificata, selezionare il pulsante Arresta .

    Quando si arresta una revisione, i revisori non saranno più in grado di fornire risposte. Non è possibile riavviare una verifica dopo che è stata interrotta.

  5. Se non si è più interessati alla verifica di accesso, è possibile eliminarlo facendo clic sul pulsante Elimina .

Visualizzare lo stato della revisione in più fasi (anteprima)

Per visualizzare lo stato e la fase di una verifica di accesso a più fasi:

  1. Selezionare la verifica a più fasi in cui si vuole controllare lo stato o visualizzare la fase in cui si trova.

  2. Selezionare Risultati nel menu di spostamento a sinistra in Corrente.

  3. Una volta che si è nella pagina dei risultati, in Stato indica in quale fase si trova la revisione a più fasi. La fase successiva della revisione non diventerà attiva fino al superamento della durata specificata durante l'installazione della verifica di accesso.

  4. Se è stata presa una decisione, ma la durata della revisione per questa fase non è ancora scaduta, è possibile selezionare Il pulsante Arresta fase corrente nella pagina dei risultati. Verrà attivata la fase successiva della revisione.

Recuperare i risultati

Per visualizzare i risultati di una revisione, selezionare la pagina Risultati . Per visualizzare solo l'accesso di un utente, nella casella di ricerca, immettere il nome visualizzato o il nome dell'entità utente dell'utente il cui accesso è stato analizzato.

Retrieve results for an access review

Per visualizzare i risultati di un'istanza completata di una verifica di accesso ricorrente, selezionare Cronologia di revisione, quindi selezionare l'istanza specifica dall'elenco delle istanze di verifica di accesso completate, in base alla data di inizio e di fine dell'istanza. I risultati di questa istanza possono essere visualizzati nella sezione Risultati. Le verifiche di accesso ricorrenti consentono di avere un quadro costante dell'accesso alle risorse che potrebbero dover essere aggiornate più spesso rispetto alle verifiche di accesso monouso.

Per recuperare i risultati di una verifica di accesso, sia in corso che completato, selezionare il pulsante Scarica . Il file CSV risultante può essere visualizzato in Excel o in altri programmi aperti in file CSV con codifica UTF-8.

Recuperare i risultati a livello di codice

È anche possibile recuperare i risultati di una verifica di accesso usando Microsoft Graph o PowerShell.

Sarà prima necessario individuare l'istanza della verifica di accesso. Se accessReviewScheduleDefinition è una verifica di accesso ricorrente, le istanze rappresentano ogni ricorrenza. Una revisione che non viene ricorsiva avrà esattamente un'istanza. Le istanze rappresentano anche ogni gruppo univoco esaminato nella definizione della pianificazione. Se una definizione di pianificazione esamina più gruppi, ogni gruppo avrà un'istanza univoca per ogni ricorrenza. Ogni istanza contiene un elenco di decisioni su cui i revisori possono intervenire, con una decisione per identità da esaminare.

Dopo aver identificato l'istanza, per recuperare le decisioni usando Graph, chiamare l'API Graph per elencare le decisioni da un'istanza di . Se si tratta di una revisione a più fasi, chiamare l'API Graph per elencare le decisioni da una verifica di accesso a più fasi. Il chiamante deve essere un utente in un ruolo appropriato con un'applicazione con delega AccessReview.Read.All o AccessReview.ReadWrite.All autorizzazione oppure un'applicazione con l'autorizzazione o AccessReview.ReadWrite.All l'autorizzazione AccessReview.Read.All dell'applicazione. Per altre informazioni, vedere l'esercitazione su come esaminare un gruppo di sicurezza.

È anche possibile recuperare le decisioni in PowerShell con il Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance . Si noti che le dimensioni predefinite della pagina di questa API sono 100 elementi decisionali.

Applicare le modifiche.

Se l'applicazione automatica dei risultati alla risorsa è stata abilitata in base alle selezioni in Al completamento delle impostazioni, l'applicazione automatica verrà eseguita al termine di un'istanza di revisione o precedente se si arresta manualmente la revisione.

Se l'applicazione automatica dei risultati alla risorsa non è stata abilitata per la revisione, passare a Cronologia di revisione in Serie dopo la fine della verifica o la revisione è stata interrotta in anticipo e selezionare l'istanza della revisione da applicare.

Apply access review changes

Selezionare Applica per applicare manualmente le modifiche. Se l'accesso di un utente è stato negato nella verifica, quando si seleziona Applica, Microsoft Entra ID rimuove l'appartenenza o l'assegnazione dell'applicazione.

Apply access review changes button

Lo stato della verifica cambia da Completato a stati intermedi, ad esempio Applicazione e infine allo stato Risultato applicato. È possibile che, dopo alcuni minuti, eventuali utenti rifiutati vengano rimossi dall'appartenenza al gruppo o dall'assegnazione dell'applicazione.

L'applicazione manuale o automatica dei risultati non ha alcun effetto su un gruppo che ha origine in una directory locale. Per modificare un gruppo che ha origine in locale, scaricare i risultati e applicare queste modifiche alla rappresentazione del gruppo in questa directory.

Nota

Alcuni utenti negati non sono in grado di applicare loro i risultati. Gli scenari in cui ciò può verificarsi includono:

  • Verifica dei membri di un gruppo di Windows Server AD locale sincronizzato: se il gruppo è sincronizzato da Windows Server AD locale, il gruppo non può essere gestito in Microsoft Entra ID e pertanto l'appartenenza non può essere modificata.
  • Revisione di una risorsa (ruolo, gruppo, applicazione) con i gruppi annidati assegnati: per gli utenti che hanno appartenenza tramite un gruppo annidato, l'appartenenza al gruppo annidato non verrà rimossa e pertanto manterrà l'accesso alla risorsa da esaminare.
  • L'utente non trovato/altri errori può anche causare un risultato di applicazione non supportato.
  • Verifica dei membri del gruppo abilitato alla posta elettronica: il gruppo non può essere gestito in Microsoft Entra ID, quindi l'appartenenza non può essere modificata.
  • La revisione di un'applicazione che usa l'assegnazione di gruppo non rimuoverà i membri di tali gruppi, quindi manterrà l'accesso esistente dalla relazione di gruppo per l'assegnazione dell'applicazione

Azioni eseguite sugli utenti guest negati in una verifica di accesso

Durante la creazione della revisione, l'autore può scegliere tra due opzioni per gli utenti guest negati in una verifica di accesso.

  • Gli utenti guest negati possono avere accesso alla risorsa rimossa. Si tratta dell'impostazione predefinita.
  • L'utente guest negato può essere bloccato per l'accesso per 30 giorni, quindi eliminato dal tenant. Durante il periodo di 30 giorni l'utente guest può essere ripristinato l'accesso al tenant da parte di un amministratore. Al termine del periodo di 30 giorni, se l'utente guest non ha avuto nuovamente accesso alla risorsa concessa, verrà rimosso dal tenant in modo permanente. Inoltre, usando l'interfaccia di amministrazione di Microsoft Entra, un Amministrazione istrator globale può eliminare in modo esplicito un utente eliminato di recente prima che venga raggiunto tale periodo di tempo. Dopo l'eliminazione definitiva di un utente, i dati relativi all'utente guest verranno rimossi dalle verifiche di accesso attive. Le informazioni di controllo sugli utenti eliminati restano nel log di controllo.

Azioni eseguite sugli utenti con connessione diretta B2B negata

Negata connessione diretta B2B utenti e team perdono l'accesso a tutti i canali condivisi nel team.

Passaggi successivi