Risoluzione dei problemi di gestione entitlement

Questo articolo descrive alcuni elementi da controllare per risolvere i problemi di gestione entitlement.

Amministrazione

• Se viene visualizzato un messaggio di accesso negato durante la configurazione della gestione entitlement e si è un amministratore globale, assicurarsi che la directory disponga di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance (o EMS E5). Se di recente è stata rinnovata una sottoscrizione scaduta di Microsoft Entra ID P2 o di Microsoft Entra ID Governance, potrebbero essere necessarie 8 ore prima che il rinnovo della licenza sia visibile.

• Se la licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance del tenant è scaduta, non sarà possibile elaborare nuove richieste di accesso o eseguire verifiche di accesso.

• Se viene visualizzato un messaggio di accesso negato durante la creazione o la visualizzazione di pacchetti di accesso e si fa parte di un gruppo di autori di cataloghi, è necessario creare un catalogo e poi creare il primo pacchetto di accesso.

Risorse

• I ruoli per le applicazioni sono definiti dall'applicazione stessa e vengono gestiti in Microsoft Entra ID. Se un'applicazione non ha ruoli delle risorse, la gestione entitlement assegna gli utenti a un ruolo di accesso predefinito.

  L'Interfaccia di amministrazione di Microsoft Entra può anche visualizzare le entità servizio per i servizi che non possono essere selezionati come applicazioni. In particolare, Exchange Online e SharePoint Online sono servizi, non applicazioni con ruoli risorsa nella directory, quindi non possono essere inclusi in un pacchetto di accesso. Usare invece le licenze basate su gruppi per stabilire una licenza appropriata per un utente che ha bisogno di accedere a tali servizi.

• Le applicazioni che supportano solo gli utenti con account Microsoft personale per l'autenticazione e non supportano gli account aziendali nella directory non hanno ruoli di applicazione e non possono essere aggiunti ai cataloghi dei pacchetti di accesso.

• Un gruppo, affinché sia una risorsa in un pacchetto di accesso, deve essere modificabile in Microsoft Entra ID. I gruppi che hanno origine in un'istanza Active Directory locale non possono essere assegnati come risorse perché i loro attributi di proprietario o membro non possono essere modificati in Microsoft Entra ID. I gruppi che hanno origine in Exchange Online come gruppi di distribuzione non possono neanche essere modificati in Microsoft Entra ID.

• Le raccolte documenti e i singoli documenti di SharePoint Online non possono essere aggiunti come risorse. Creare invece un gruppo di sicurezza di Microsoft Entra, includere tale gruppo e un ruolo del sito nel pacchetto di accesso e in SharePoint Online usare il gruppo per controllare l'accesso alla raccolta documenti o al documento.

• Se ci sono utenti già assegnati a una risorsa che si desidera gestire con un pacchetto di accesso, assicurarsi che siano assegnati al pacchetto di accesso con un criterio appropriato. Ad esempio, potrebbe essere necessario includere un gruppo in un pacchetto di accesso che ha già utenti nel gruppo. Se gli utenti nel gruppo richiedono accesso continuo, devono disporre dei un criterio appropriato per i pacchetti di accesso, in modo da non perdere l'accesso al gruppo. È possibile assegnare il pacchetto di accesso chiedendo agli utenti di richiedere il pacchetto di accesso contenente tale risorsa oppure assegnandoli direttamente al pacchetto di accesso. Per altre informazioni, vedere Modificare le impostazioni di richiesta e approvazione per un pacchetto di accesso.

• Quando si rimuove un membro di un team, tale membro del team viene rimosso anche dal gruppo di Microsoft 365. La rimozione dalla funzionalità di chat del team potrebbe essere posticipata. Per altre informazioni, vedere Appartenenza a un gruppo.

Pacchetti di accesso

• Se si prova a eliminare un pacchetto o un criterio di accesso e viene visualizzato un messaggio di errore che indica che sono presenti assegnazioni attive, se non vengono visualizzati utenti con assegnazioni, verificare se gli utenti eliminati di recente hanno ancora assegnazioni. Durante la finestra di 30 giorni dopo l'eliminazione di un utente, l'account utente può essere ripristinato.

Utenti esterni

• Quando un utente esterno desidera richiedere l'accesso a un pacchetto di accesso, assicurarsi che stia usando il collegamento al portale Accesso personale per il pacchetto di accesso. Per altre informazioni, vedere Condividere il collegamento per richiedere un pacchetto di accesso. Se un utente esterno visita solo myaccess.microsoft.com e non usa il collegamento al portale Accesso personale completo, vedrà solo i pacchetti di accesso disponibili nella sua organizzazione.

• Se un utente esterno non riesce a richiedere l'accesso a un pacchetto di accesso o ad accedere alle risorse, assicurarsi di controllare le proprie impostazioni per gli utenti esterni.

• Se un nuovo utente esterno che non ha precedentemente eseguito l'accesso alla directory riceve un pacchetto di accesso che include un sito di SharePoint Online, il relativo pacchetto di accesso verrà visualizzato come non completamente recapitato fino a quando non viene eseguito il provisioning dell'account in SharePoint Online. Per altre informazioni sulle impostazioni di condivisione, vedere Rivedere le impostazioni di condivisione esterna di SharePoint Online.

Richieste

• Quando un utente desidera richiedere l'accesso a un pacchetto di accesso, assicurarsi che stia usando il collegamento al portale Accesso personale per il pacchetto di accesso. Per altre informazioni, vedere Condividere il collegamento per richiedere un pacchetto di accesso.

• Se si apre il portale Accesso personale con il browser impostato sulla modalità privata o in incognito, potrebbe verificarsi un conflitto con il comportamento di accesso. È consigliabile non usare la modalità privata o in incognito per il browser quando si visita il portale Accesso personale.

• Quando un utente che non è ancora presente nella directory accede al portale Accesso personale per richiedere un pacchetto di accesso, assicurarsi che esegua l'autenticazione usando il suo account aziendale. L'account aziendale può appartenere alla directory delle risorse o a una directory inclusa in uno dei criteri del pacchetto di accesso. Se l'account dell'utente non è un account aziendale o la directory in cui esegue l'autenticazione non è inclusa nel criterio, l'utente non visualizzerà il pacchetto di accesso. Per altre informazioni, vedere Richiedere l'accesso a un pacchetto di accesso.

• Se a un utente viene impedito di accedere alla directory delle risorse, tale utente non potrà richiedere l'accesso nel portale Accesso personale. Prima che l'utente possa richiedere l'accesso, è necessario rimuovere il blocco dell'accesso dal profilo dell'utente. Per rimuovere il blocco di accesso, nell'Interfaccia di amministrazione di Microsoft Entra selezionare Identità, selezionare Utenti, selezionare l'utente e quindi selezionare Profilo. Modificare la sezione Impostazioni e scegliere No per Blocca l'accesso. Per altre informazioni, vedere Aggiungere o aggiornare informazioni di un profilo utente con Microsoft Entra ID. È anche possibile verificare se l'utente è stato bloccato a causa di rilevamenti dei rischi di Microsoft Entra ID Protection.

• Se un utente è allo stesso tempo richiedente e responsabile approvazione nel portale Accesso personale, non vedrà la sua richiesta di pacchetto di accesso nella pagina Approvazioni. Questo comportamento è intenzionale: un utente non può approvare la sua stessa richiesta. Verificare che nei criteri del pacchetto di accesso richiesto siano configurati altri responsabili approvazione. Per altre informazioni, vedere Modificare le impostazioni di richiesta e approvazione per un pacchetto di accesso.

Visualizzare gli errori di recapito di una richiesta

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

   Suggerimento

   Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del Catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.

2. Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso.

3. Selezionare Richieste.

4. Selezionare la richiesta da visualizzare.

   Se la richiesta presenta errori di recapito, lo stato della richiesta sarà Non consegnato o Parzialmente consegnato.

   Se sono presenti errori di recapito, nel riquadro dei dettagli della richiesta verrà visualizzato un conteggio degli errori di recapito.

5. Selezionare il conteggio per visualizzare tutti gli errori di recapito della richiesta.

Rielaborare una richiesta

Se viene visualizzato un errore dopo l'attivazione di una richiesta di rielaborazione del pacchetto di accesso, è necessario attendere che il sistema rielabori la richiesta. Il sistema tenta più volte di rielaborare la richiesta per diverse ore, quindi non è possibile forzare la rielaborazione durante questo periodo.

È possibile rielaborare solo una richiesta con stato di Consegna non riuscita o Parzialmente consegnato e con una data di completamento inferiore a una settimana. In caso contrario il pulsante di rielaborazione verrà disattivato.

• Se l'errore viene risolto nel corso del periodo della versione di valutazione, lo stato della richiesta verrà modificato in In consegna. La richiesta viene rielaborata senza azioni aggiuntive da parte dell'utente.

• Se l'errore non è stato risolto durante il periodo della versione di valutazione, lo stato della richiesta potrebbe essere Consegna non riuscita o Parzialmente consegnato. È quindi possibile usare il pulsante di rielaborazione. Si avranno sette giorni per rielaborare la richiesta.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

   Suggerimento

   Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del Catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.

2. Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso per aprire un pacchetto di accesso.

3. Selezionare Richieste.

4. Selezionare la richiesta da rielaborare.

5. Nel riquadro dei dettagli della richiesta selezionare Rielabora richiesta.

   

Annullare una richiesta in sospeso

È possibile annullare solo una richiesta in sospeso che non è ancora stata consegnata o il cui recapito non è riuscito. In caso contrario, il pulsante di cancellazione verrà disattivato.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

   Suggerimento

   Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del Catalogo, Gestione pacchetti di accesso e Gestione assegnazione pacchetti di accesso.

2. Passare a Identity Governance>Gestione entitlement>Pacchetti di accesso per aprire un pacchetto di accesso.

3. Selezionare Richieste.

4. Selezionare la richiesta da annullare.

5. Nel riquadro dei dettagli della richiesta selezionare Annulla richiesta.

Criteri di assegnazione automatica

• Ogni criterio di assegnazione automatica può includere al massimo 15.000 utenti nell'ambito della regola. È possibile che agli altri utenti nell'ambito della regola non venga assegnato l'accesso.

Più criteri

• La gestione entitlement segue le procedure migliori del privilegio minimo. Quando un utente richiede l'accesso a un pacchetto di accesso a cui si applicano più criteri, la gestione entitlement segue la logica per cui criteri più rigorosi o più specifici sono classificati in ordine di priorità rispetto ai criteri generici. Se un criterio è generico, la gestione entitlement potrebbe non mostrare i criteri al richiedente o selezionare automaticamente un criterio più rigoroso.

• Si consideri ad esempio un pacchetto di accesso con due criteri per gli utenti della directory in cui entrambi i criteri si applicano al richiedente. Il primo criterio è destinato a utenti specifici che includono il richiedente. Il secondo criterio è per tutti gli utenti nella directory. In questo scenario il primo criterio viene selezionato automaticamente per il richiedente perché è più rigoroso. Il richiedente non ha la possibilità di selezionare il secondo criterio.

• Quando si applicano più criteri, i criteri selezionati automaticamente o i criteri visualizzati al richiedente si basano sulla logica di priorità seguente:

  Priorità dei criteri	Ambito
  P1	Utenti e gruppi specifici nella directory OR Organizzazioni connesse specifiche
  P2	Tutti i membri nella directory (esclusi gli utenti guest)
  P3	Tutti gli utenti nella directory (inclusi gli utenti guest) OR organizzazioni connesse specifiche
  P4	Tutte le organizzazioni connesse configurate OR Tutti gli utenti (tutte le organizzazioni connesse e tutti i nuovi utenti esterni)

  Se un criterio si trova in una categoria con priorità più alta, le categorie di priorità più bassa vengono ignorate. Per un esempio di come vengono visualizzati al richiedente più criteri con la stessa priorità, vedere Selezionare un criterio.

Passaggi successivi

• Gestire l'accesso per gli utenti esterni
• Visualizzare i report sul modo in cui gli utenti hanno ottenuto l'accesso nella gestione entitlement