Risolvere i problemi di gestione entitlement
Questo articolo descrive alcuni elementi da controllare per risolvere i problemi di gestione entitlement.
Amministrazione
Se viene visualizzato un messaggio di accesso negato durante la configurazione della gestione entitlement e si è un amministratore globale, assicurarsi che la directory disponga di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance (o EMS E5). Se di recente è stata rinnovata una sottoscrizione di Microsoft Entra ID P2 o Microsoft Entra ID Governance scaduta, potrebbero essere necessarie 8 ore prima che il rinnovo della licenza sia visibile.
Se la licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance del tenant è scaduta, non sarà possibile elaborare nuove richieste di accesso o eseguire verifiche di accesso.
Se viene visualizzato un messaggio di accesso negato durante la creazione o la visualizzazione dei pacchetti di accesso e si è membri di un gruppo creatore del catalogo, è necessario creare un catalogo prima di creare il primo pacchetto di accesso.
Risorse
I ruoli per le applicazioni sono definiti dall'applicazione stessa e vengono gestiti in Microsoft Entra ID. Se un'applicazione non ha ruoli delle risorse, la gestione entitlement assegna gli utenti a un ruolo accesso predefinito.
L'interfaccia di amministrazione di Microsoft Entra può anche visualizzare le entità servizio per i servizi che non possono essere selezionati come applicazioni. In particolare, Exchange Online e SharePoint Online sono servizi, non applicazioni con ruoli delle risorse nella directory, quindi non possono essere inclusi in un pacchetto di accesso. Usare invece le licenze basate su gruppi per stabilire una licenza appropriata per un utente che ha bisogno di accedere a tali servizi.
Le applicazioni che supportano solo gli utenti dell'account Microsoft personale per l'autenticazione e non supportano gli account aziendali nella directory, non hanno ruoli applicazione e non possono essere aggiunti ai cataloghi dei pacchetti di accesso.
Affinché un gruppo sia una risorsa in un pacchetto di accesso, deve essere modificabile in Microsoft Entra ID. I gruppi che hanno origine in un Active Directory locale non possono essere assegnati come risorse perché i relativi attributi proprietario o membro non possono essere modificati in Microsoft Entra ID. I gruppi che hanno origine in Exchange Online come gruppi di distribuzione non possono neanche essere modificati nell'ID Microsoft Entra.
Le raccolte documenti di SharePoint Online e i singoli documenti non possono essere aggiunti come risorse. Creare invece un gruppo di sicurezza Microsoft Entra, includere tale gruppo e un ruolo del sito nel pacchetto di accesso e in SharePoint Online usare tale gruppo per controllare l'accesso alla raccolta documenti o al documento.
Se ci sono utenti già assegnati a una risorsa che si desidera gestire con un pacchetto di accesso, assicurarsi che siano assegnati al pacchetto di accesso con un criterio appropriato. Ad esempio, potrebbe essere necessario includere un gruppo in un pacchetto di accesso che ha già utenti nel gruppo. Se gli utenti nel gruppo richiedono accesso continuo, devono disporre dei un criterio appropriato per i pacchetti di accesso, in modo da non perdere l'accesso al gruppo. È possibile assegnare il pacchetto di accesso chiedendo agli utenti di richiedere il pacchetto di accesso contenente tale risorsa oppure assegnandoli direttamente al pacchetto di accesso. Per altre informazioni, vedere Modificare le impostazioni di richiesta e approvazione per un pacchetto di accesso.
Quando si rimuove un membro di un team, vengono rimossi anche dal gruppo di Microsoft 365. La rimozione dalla funzionalità di chat del team potrebbe essere posticipata. Per altre informazioni, vedere Appartenenza al gruppo.
Pacchetti di accesso
- Se si prova a eliminare un pacchetto o un criterio di accesso e viene visualizzato un messaggio di errore che indica che sono presenti assegnazioni attive, se non vengono visualizzati utenti con assegnazioni, verificare se gli utenti eliminati di recente hanno ancora assegnazioni. Durante la finestra di 30 giorni dopo l'eliminazione di un utente, l'account utente può essere ripristinato.
Utenti esterni
Quando un utente esterno vuole richiedere l'accesso a un pacchetto di accesso, assicurarsi di usare il collegamento Portale di Accesso personale per il pacchetto di accesso. Per altre informazioni, vedere Condividere un collegamento per richiedere un pacchetto di accesso. Se un utente esterno visita solo myaccess.microsoft.com e non usa il collegamento completo portale di Accesso personale, visualizzerà i pacchetti di accesso disponibili nella propria organizzazione e non nell'organizzazione.
Se un utente esterno non è in grado di richiedere l'accesso a un pacchetto di accesso o non è in grado di accedere alle risorse, assicurarsi di controllare le impostazioni per gli utenti esterni.
Se un nuovo utente esterno che non ha eseguito l'accesso alla directory riceve un pacchetto di accesso incluso un sito di SharePoint Online, il pacchetto di accesso verrà visualizzato come non completamente recapitato fino a quando non viene effettuato il provisioning dell'account in SharePoint Online. Per altre informazioni sulle impostazioni di condivisione, vedere Esaminare le impostazioni di condivisione esterna di SharePoint Online.
Richieste
Quando un utente vuole richiedere l'accesso a un pacchetto di accesso, assicurarsi di usare il collegamento Portale di Accesso personale per il pacchetto di accesso. Per altre informazioni, vedere Condividere un collegamento per richiedere un pacchetto di accesso.
Se si apre il portale Accesso personale con il browser impostato sulla modalità privata o in incognito, potrebbe verificarsi un conflitto con il comportamento di accesso. È consigliabile non usare la modalità privata o in incognito per il browser quando si visita il portale di Accesso personale.
Quando un utente che non è ancora nella directory accede al portale di Accesso personale per richiedere un pacchetto di accesso, assicurarsi di eseguire l'autenticazione con il proprio account aziendale. L'account aziendale può appartenere alla directory delle risorse o a una directory inclusa in uno dei criteri del pacchetto di accesso. Se l'account dell'utente non è un account aziendale o la directory in cui l'autenticazione non è inclusa nei criteri, l'utente non visualizzerà il pacchetto di accesso. Per altre informazioni, vedere Richiedere l'accesso a un pacchetto di accesso.
Se un utente non riesce ad accedere alla directory delle risorse, non sarà in grado di richiedere l'accesso nel portale di Accesso personale. Prima che l'utente possa richiedere l'accesso, è necessario rimuovere il blocco dell'accesso dal profilo dell'utente. Per rimuovere il blocco di accesso, nell'interfaccia di amministrazione di Microsoft Entra selezionare Identità, selezionare Utenti, selezionare l'utente e quindi selezionare Profilo. Modificare la sezione Impostazioni e modificare Blocca accesso a No. Per altre informazioni, vedere Aggiungere o aggiornare le informazioni del profilo di un utente tramite Microsoft Entra ID. È anche possibile verificare se l'utente è stato bloccato a causa di un criterio di Identity Protection.
Nel portale Accesso personale, se un utente è un richiedente e un responsabile approvazione, non visualizzerà la richiesta di un pacchetto di accesso nella pagina Approvazioni. Questo comportamento è intenzionale: un utente non può approvare la propria richiesta. Assicurarsi che il pacchetto di accesso richiesto disponga di responsabili approvazione aggiuntivi configurati nei criteri. Per altre informazioni, vedere Modificare le impostazioni di richiesta e approvazione per un pacchetto di accesso.
Visualizzare gli errori di recapito di una richiesta
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di Access e Gestione assegnazioni pacchetti di Access.
Passare a Identity Governance Entitlement management Access Packages (Pacchetti di accesso per la gestione>entitlement di Identity Governance>).
Selezionare Richieste.
Selezionare la richiesta da visualizzare.
Se la richiesta presenta errori di recapito, lo stato della richiesta sarà Non recapitato o Parzialmente recapitato.
Se sono presenti errori di recapito, nel riquadro dei dettagli della richiesta verrà visualizzato un conteggio degli errori di recapito.
Selezionare il conteggio per visualizzare tutti gli errori di recapito della richiesta.
Rielaborare una richiesta
Se viene visualizzato un errore dopo l'attivazione di una richiesta di rielaborazione del pacchetto di accesso, è necessario attendere che il sistema rielabori la richiesta. Il sistema tenta più volte di rielaborare per diverse ore, quindi non è possibile forzare la rielaborazione durante questo periodo.
È possibile rielaborare solo una richiesta con stato Di consegna non riuscita o Parzialmente recapitata e una data di completamento inferiore a una settimana. In caso contrario, il pulsante di rielaborazione verrà disattivato.
Se l'errore viene risolto durante la finestra delle versioni di valutazione, lo stato della richiesta verrà modificato in Recapito. La richiesta verrà rielabora senza azioni aggiuntive dell'utente.
Se l'errore non è stato risolto durante la finestra delle prove, lo stato della richiesta potrebbe non essere stato recapitato o parzialmente recapitato. È quindi possibile usare il pulsante di rielaborazione . Si avranno sette giorni per rielaborare la richiesta.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di Access e Gestione assegnazioni pacchetti di Access.
Passare a Identity Governance Entitlement management Access packages (Pacchetti di accesso per la gestione>entitlement di Identity Governance>) per aprire un pacchetto di accesso.
Selezionare Richieste.
Selezionare la richiesta da rielaborare.
Nel riquadro dei dettagli della richiesta selezionare Rielabora richiesta.
Annullare una richiesta in sospeso
È possibile annullare solo una richiesta in sospeso che non è ancora stata recapitata o la cui consegna non è riuscita. In caso contrario, il pulsante annulla verrà disattivato.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo, Gestione pacchetti di Access e Gestione assegnazioni pacchetti di Access.
Passare a Identity Governance Entitlement management Access packages (Pacchetti di accesso per la gestione>entitlement di Identity Governance>) per aprire un pacchetto di accesso.
Selezionare Richieste.
Selezionare la richiesta da annullare.
Nel riquadro dei dettagli della richiesta selezionare Annulla richiesta.
Criteri di assegnazione automatica
- Ogni criterio di assegnazione automatica può includere al massimo 5000 utenti nell'ambito della regola. È possibile che agli utenti aggiuntivi nell'ambito della regola non venga assegnato l'accesso.
Più criteri
La gestione entitlement segue le procedure consigliate per i privilegi minimi. Quando un utente richiede l'accesso a un pacchetto di accesso con più criteri che si applicano, la gestione entitlement include la logica per garantire criteri più rigorosi o più specifici sono classificati in ordine di priorità rispetto ai criteri generici. Se un criterio è generico, la gestione entitlement potrebbe non visualizzare i criteri al richiedente o selezionare automaticamente un criterio più rigoroso.
Si consideri ad esempio un pacchetto di accesso con due criteri per gli utenti nella directory, in cui entrambi i criteri si applicano al richiedente. Il primo criterio è destinato a utenti specifici che includono il richiedente. Il secondo criterio è per tutti gli utenti nella directory. In questo scenario, il primo criterio viene selezionato automaticamente per il richiedente perché è più rigoroso. Il richiedente non ha la possibilità di selezionare il secondo criterio.
Quando si applicano più criteri, i criteri selezionati automaticamente o i criteri visualizzati al richiedente si basano sulla logica di priorità seguente:
Priorità dei criteri Ambito P1 Utenti e gruppi specifici nella directory O Organizzazioni connesse specifiche P2 Tutti i membri nella directory (esclusi gli utenti guest) P3 Tutti gli utenti nella directory (inclusi gli utenti guest) O organizzazioni connesse specifiche P4 Tutte le organizzazioni connesse configurate O Tutti gli utenti (tutte le organizzazioni connesse e tutti i nuovi utenti esterni) Se un criterio si trova in una categoria con priorità più alta, le categorie di priorità più bassa vengono ignorate. Per un esempio di come vengono visualizzati più criteri con la stessa priorità al richiedente, vedere Selezionare un criterio.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per