Completare una verifica di accesso delle risorse di Azure e dei ruoli di Microsoft Entra in PIM

  • Articolo

Gli amministratori dei ruoli con privilegi possono esaminare l'accesso con privilegi dopo che è stata avviata una verifica di accesso. Privileged Identity Management (PIM) in Microsoft Entra ID invierà automaticamente un messaggio di posta elettronica che richiede agli utenti di esaminare l'accesso. Agli utenti che non hanno ricevuto il messaggio di posta elettronica è possibile inviare le istruzioni su come eseguire una verifica di accesso.

Dopo aver creato la revisione, seguire la procedura descritta in questo articolo per completare la revisione e visualizzare i risultati.

Completare le verifiche di accesso

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come utente assegnato a uno dei ruoli prerequisiti.

  2. Passare a Identity Governance>Privileged Identity Management.

  3. Per i ruoli di Microsoft Entra selezionare Ruoli di Microsoft Entra. Per le risorse di Azure selezionare Risorse di Azure

  4. Fare clic sulla verifica dell'accesso che si vuole gestire. Di seguito è riportato uno screenshot di esempio della panoramica delle verifiche di accesso per le risorse di Azure e i ruoli di Microsoft Entra.

    Elenco delle verifiche di accesso che mostra il ruolo, il proprietario, la data di inizio, la data di fine e lo screenshot dello stato.

Nella pagina dei dettagli sono disponibili le opzioni seguenti per la gestione della revisione delle risorse di Azure e dei ruoli di Microsoft Entra:

Opzioni per la gestione di una verifica nelle risorse di Azure: arresto, reimpostazione, applicazione, eliminazione screenshot.

Arrestare una verifica di accesso

Tutte le verifiche di accesso hanno una data di fine, ma il pulsante Interrompi consente di completare l'operazione in anticipo. Il pulsante Arresta è selezionabile solo quando l'istanza di revisione è attiva. Non è possibile riavviare una verifica dopo che è stata interrotta.

Reimpostare una verifica di accesso

Quando l'istanza di revisione è attiva e almeno una decisione è stata presa dai revisori, è possibile reimpostare la verifica di accesso selezionando il pulsante Reimposta per rimuovere tutte le decisioni prese. Dopo aver reimpostato una verifica di accesso, tutti gli utenti vengono contrassegnati come non esaminati di nuovo.

Applicare una verifica di accesso

Al termine di una verifica di accesso, poiché è stata raggiunta la data di fine o è stata arrestata manualmente, il pulsante Applica rimuove l'accesso negato agli utenti al ruolo. Se l'accesso di un utente è stato negato durante la verifica, questo è il passaggio che rimuove l'assegnazione di ruolo. Se l'impostazione Applicazione automatica è configurata durante la creazione della revisione, questo pulsante verrà sempre disabilitato perché la revisione verrà applicata automaticamente anziché manualmente.

Eliminare una verifica di accesso

Se non si è interessati alla revisione, eliminarla. Per rimuovere la verifica di accesso dal servizio Privileged Identity Management, selezionare il pulsante Elimina .

Importante

Non sarà necessario confermare questa modifica distruttiva, quindi verificare di voler eliminare tale revisione.

Risultati

Nella pagina Risultati è possibile visualizzare e scaricare un elenco dei risultati della revisione.

Pagina dei risultati che elenca gli utenti, il risultato, il motivo, esaminato da, applicato da e applica il risultato per lo screenshot dei ruoli di Microsoft Entra.

Nota

I ruoli di Microsoft Entra hanno un concetto di gruppi assegnabili a ruoli, in cui un gruppo può essere assegnato al ruolo. In questo caso, il gruppo verrà visualizzato nella revisione invece di espandere i membri del gruppo e un revisore approverà o negherà l'intero gruppo.

Pagina risultati che elenca gli utenti, il risultato, il motivo, esaminato da, applicato da e applica il risultato per lo screenshot dei ruoli delle risorse di Azure.

Nota

Se un gruppo viene assegnato ai ruoli delle risorse di Azure, il revisore del ruolo risorsa di Azure visualizzerà l'elenco espanso degli utenti in un gruppo annidato. Se un revisore nega un membro di un gruppo annidato, tale risultato di negazione non verrà applicato correttamente perché l'utente non verrà rimosso dal gruppo annidato.

Revisori

Nella pagina Revisori è possibile visualizzare e aggiungere revisori alla verifica di accesso esistente. È anche possibile ricordare ai revisori di completare le loro recensioni qui.

Nota

Se il tipo di revisore selezionato è utente o gruppo, è possibile aggiungere altri utenti o gruppi come revisori primari in qualsiasi momento. È anche possibile rimuovere i revisori primari in qualsiasi momento. Se il tipo di revisore è manager, è possibile aggiungere utenti o gruppi come revisori di fallback per completare le revisioni sugli utenti che non dispongono di responsabili. Non è possibile rimuovere i revisori di fallback.

Screenshot del nome dell'elenco delle pagine dei revisori e del nome dell'entità utente per i ruoli delle risorse di Azure.

Passaggi successivi