Gestire l'accesso guest con le verifiche di accesso

  • Articolo

Con le verifiche di accesso, è possibile abilitare facilmente la collaborazione attraverso i limiti dell'organizzazione usando la funzionalità Microsoft Entra B2B. Gli utenti guest dagli altri tenant possono essere invitati dagli amministratori o da altri utenti. Questa funzionalità si applica anche alle identità di social networking, ad esempio gli account Microsoft.

È possibile anche assicurarsi che gli utenti guest dispongano dell'accesso appropriato. È possibile chiedere agli utenti guest stessi o a un decisore di partecipare a una verifica di accesso e certificare nuovamente (o attestare) l'accesso degli utenti guest. I revisori possono esprimere il proprio giudizio sull'effettiva esigenza di accesso continuo da parte di ogni utente in base ai suggerimenti ottenuti da Microsoft Entra ID. Al termine di una verifica di accesso è possibile apportare modifiche e rimuovere l'accesso per i guest per i quali non è più necessario.

Nota

Questo documento è incentrato sulla verifica dell'accesso degli utenti guest. Se si vuole controllare l'accesso di tutti gli utenti, non solo dei guest, vedere l'argomento su come gestire l'accesso utente con le verifiche di accesso. Se si desidera verificare l'appartenenza degli utenti a ruoli amministrativi come amministratore globale, vedere l'articolo su come avviare una verifica di accesso in Microsoft Entra Privileged Identity Management.

Prerequisiti

  • Microsoft Entra ID P2 o Microsoft Entra ID Governance

Per altre informazioni, requisiti di licenza.

Creare ed eseguire una verifica di accesso per i guest

Prima di tutto, è necessario assegnare uno dei ruoli seguenti:

  • amministratore globale
  • Amministratore utenti
  • (Anteprima) Proprietario del gruppo di sicurezza Microsoft 365 o Microsoft Entra del gruppo da rivedere

Passare quindi alla pagina Identity Governance per assicurarsi che le verifiche di accesso siano pronte per l'organizzazione.

Microsoft Entra ID abilita diversi scenari per la revisione degli utenti guest.

È possibile esaminare:

  • Gruppo in Microsoft Entra ID con uno o più utenti guest come membri.
  • Applicazione connessa all'ID Microsoft Entra a cui sono assegnati uno o più utenti guest.

Quando si esamina l'accesso degli utenti guest ai gruppi di Microsoft 365, è possibile creare una verifica per ogni gruppo singolarmente o attivare verifiche di accesso automatiche e ricorrenti degli utenti guest in tutti i gruppi di Microsoft 365. Il video seguente fornisce altre informazioni sulle verifiche di accesso ricorrenti degli utenti guest:

È quindi possibile decidere se chiedere a ogni guest di verificare il proprio accesso o chiedere a uno o più utenti di verificare l'accesso di ogni guest.

Questi scenari verranno illustrati nelle sezioni seguenti.

Chiedere ai guest di verificare la propria appartenenza a un gruppo

È possibile usare le verifiche di accesso per controllare se gli utenti invitati e aggiunti a un gruppo continuano ad avere necessità dell'accesso. È possibile chiedere facilmente ai guest di verificare la propria appartenenza a un gruppo.

  1. Per creare una verifica di accesso per il gruppo, selezionare la verifica per includere solo i membri utente guest e che i membri si rivedono. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.

  2. Chiedere a ogni guest di verificare la propria appartenenza. Per impostazione predefinita, ogni guest che ha accettato un invito riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento alla verifica di accesso. Microsoft Entra ID contiene istruzioni per gli utenti guest su come esaminare l'accesso a gruppi o applicazioni.

  3. Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.

  4. Oltre agli utenti che hanno negato la necessità di un accesso continuo, è possibile rimuovere anche gli utenti che non hanno risposto. Gli utenti che non rispondono potenzialmente non ricevono più la posta elettronica.

  5. Se il gruppo non viene usato per la gestione dell'accesso, è possibile rimuovere anche gli utenti non selezionati per partecipare alla verifica perché non hanno accettato in precedenza il proprio invito. Non accettare può indicare che l'indirizzo di posta elettronica dell'utente invitato conteneva un errore di digitazione. Se un gruppo viene usato come lista di distribuzione, è possibile che alcuni utenti guest non siano stati selezionati per partecipare poiché erano oggetti contatto.

Chiedere a un utente autorizzato di esaminare l'appartenenza di un guest a un gruppo

È possibile chiedere a un utente autorizzato, ad esempio il proprietario di un gruppo, di esaminare la necessità di un guest di continuare l'appartenenza a un gruppo.

  1. Per creare una verifica di accesso per il gruppo, selezionare la verifica per includere solo i membri dell'utente guest. Specificare quindi uno o più revisori. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.

  2. Chiedere ai revisori di esprimere il proprio giudizio. Per impostazione predefinita, ognuno riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento al pannello di accesso, in cui esamina l'accesso a gruppi o applicazioni.

  3. Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.

Chiedere ai guest di verificare il proprio accesso a un'applicazione

È possibile usare le verifiche di accesso per controllare che gli utenti invitati per una specifica applicazione continuino ad avere necessità dell'accesso. È possibile chiedere semplicemente ai guest stessi di verificare la propria necessità di accesso.

  1. Per creare una verifica di accesso per l'applicazione, selezionare la verifica per includere solo gli utenti guest e che gli utenti rivedano il proprio accesso. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.

  2. Chiedere a ogni guest di verificare il proprio accesso all'applicazione. Per impostazione predefinita, ogni guest che ha accettato un invito riceve un messaggio di posta elettronica dall'ID Microsoft Entra. Quel messaggio di posta elettronica conterrà un collegamento alla verifica di accesso nel pannello di accesso dell'organizzazione. Microsoft Entra ID contiene istruzioni per gli utenti guest su come esaminare l'accesso a gruppi o applicazioni.

  3. Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.

  4. Oltre agli utenti che hanno negato la necessità di un accesso continuo, è possibile rimuovere anche gli utenti guest che non hanno risposto. Gli utenti che non rispondono potenzialmente non ricevono più la posta elettronica. È possibile anche rimuovere gli utenti guest che non sono stati selezionati per partecipare, soprattutto se non sono stati invitati di recente. Questi utenti non hanno accettato l'invito e quindi non hanno accesso all'applicazione.

Chiedere a un utente autorizzato di esaminare l'accesso di un guest a un'applicazione

È possibile chiedere a un utente autorizzato, ad esempio il proprietario di un'applicazione, di esaminare la necessità di un accesso continuo all'applicazione da parte del guest.

  1. Per creare una verifica di accesso per l'applicazione, selezionare la verifica per includere solo utenti guest. Specificare quindi uno o più utenti come revisori. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.

  2. Chiedere ai revisori di esprimere il proprio giudizio. Per impostazione predefinita, ognuno riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento al pannello di accesso, in cui esamina l'accesso a gruppi o applicazioni.

  3. Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.

Chiedere ai guest di verificare la propria necessità di accesso in generale

In alcune organizzazioni i guest potrebbero non essere consapevoli delle proprie appartenenze a un gruppo.

Nota

Le versioni precedenti del portale non consentono l'accesso amministrativo da parte degli utenti con UserType di Guest. In alcuni casi, un amministratore nella directory potrebbe avere modificato il valore dell'attributo UserType del guest su membro tramite PowerShell. Se questa modifica è avvenuta in precedenza nella directory, la query precedente potrebbe non includere tutti gli utenti guest che avevano diritti di accesso amministrativo. In questo caso è necessario modificare l'attributo UserType del guest o includere manualmente il guest nell'appartenenza al gruppo.

  1. Creare un gruppo di sicurezza in Microsoft Entra ID con gli utenti guest come membri, se non esiste già un gruppo appropriato. Ad esempio, è possibile creare un gruppo con un'appartenenza gestita manualmente di guest. In alternativa, è possibile creare un gruppo dinamico con un nome, ad esempio "Guest di Contoso" per gli utenti nel tenant Contoso con l'attributo UserType impostato su valore Guest. Per una maggiore efficienza, verificare che il gruppo sia composto essenzialmente da membri guest: non selezionare un gruppo composto da utenti membri, in quanto questi ultimi non devono essere sottoposti a verifica. Inoltre, tenere presente che un utente guest membro del gruppo può visualizzare gli altri membri dello stesso gruppo.

  2. Per creare una verifica di accesso per tale gruppo, selezionare i revisori come membri stessi. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.

  3. Chiedere a ogni guest di verificare la propria appartenenza. Per impostazione predefinita, ogni guest che ha accettato un invito riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento alla verifica di accesso nel pannello di accesso dell'organizzazione. Microsoft Entra ID contiene istruzioni per gli utenti guest su come esaminare l'accesso a gruppi o applicazioni. Gli utenti guest che non hanno accettato il loro invito vengono visualizzati nei risultati della recensione come "Non notificati".

  4. Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.

  5. È possibile eliminare automaticamente gli account Microsoft Entra B2B degli utenti guest come parte di una verifica di accesso quando si configura una verifica di accesso per Select Team + Groups. Questa opzione non è disponibile per tutti i gruppi di Microsoft 365 con utenti guest.

Screenshot showing page to create access review.

A tale scopo, selezionare Applica automaticamente i risultati alla risorsa perché in questo modo l'utente verrà rimosso automaticamente dalla risorsa. Se il revisore non risponde deve essere impostato su Rimuovi accesso e Azione da applicare agli utenti guest negati deve essere impostato anche su Blocca l'accesso per 30 giorni, quindi rimuovere l'utente dal tenant.

In questo modo si blocca immediatamente l'accesso all'account utente guest e quindi si elimina automaticamente l'account Microsoft Entra B2B dopo 30 giorni.

Passaggi successivi