Abilitare la prevenzione delle eliminazioni accidentali nel servizio di provisioning di Microsoft Entra
Il servizio di provisioning Microsoft Entra include una funzionalità che consente di evitare eliminazioni accidentali. Questa funzionalità garantisce che gli utenti non vengano disabilitati o eliminati in modo imprevisto in un'applicazione.
Il servizio di provisioning Microsoft Entra include una funzionalità che consente di evitare eliminazioni accidentali. Questa funzionalità garantisce che gli utenti non vengano disabilitati o eliminati in modo imprevisto nel tenant target.
Le eliminazioni accidentali si usano per specificare una soglia di eliminazione. Qualsiasi elemento al di sopra della soglia impostata richiede a un amministratore di consentire in modo esplicito l'elaborazione delle eliminazioni.
Configurare la protezione dall'eliminazione accidentale
Per abilitare la protezione dall'eliminazione accidentale:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
- Passare a Identità>Applicazioni>Applicazioni aziendali.
- Selezionare l'applicazione.
- Selezionare Provisioning e quindi nella pagina di provisioning selezionare Modifica provisioning.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
- Passare a Identità>Identità esterne>Sincronizzazione tra tenant>Configurazioni e quindi selezionare la configurazione.
- Selezionare Provisioning.
- In Impostazioniselezionare la casella di controllo Impedisci eliminazioni accidentali e specificare una soglia di eliminazione.
- Assicurarsi che l'indirizzo di posta elettronica di notifica sia completato. Se viene raggiunta la soglia di eliminazione, viene inviato un messaggio di posta elettronica.
- Seleziona Salva per salvare le modifiche.
Quando viene raggiunta la soglia di eliminazione, il processo entra in quarantena e viene inviato un messaggio di posta elettronica di notifica. Il processo in quarantena può quindi essere consentito o rifiutato. Per altre informazioni sul comportamento di quarantena, vedere Provisioning delle applicazioni in stato di quarantena.
Recupero dopo eliminazioni accidentali
Quando si verifica un'eliminazione accidentale, questa viene visualizzata nella pagina di stato del provisioning. Il messaggio è Provisioning has been quarantined. See quarantine details for more information
.
È possibile fare clic su Consenti eliminazioni o Visualizza i log di provisioning.
Autorizzazione delle eliminazioni
L'azione Autorizza le eliminazioni elimina gli oggetti che hanno attivato la soglia di eliminazione accidentale. Utilizzare la procedura per accettare le eliminazioni.
- Selezionare Autorizza le eliminazioni.
- Fare clic su Sì nella conferma per autorizzare le eliminazioni.
- Visualizzare la conferma dell'accettazione delle eliminazioni. Lo stato torna integro con il ciclo successivo.
Rifiuto delle eliminazioni
Analizzare e rifiutare le eliminazioni in base alle esigenze:
- Esaminare l'origine delle eliminazioni. Per informazioni dettagliate, è possibile usare i log di provisioning.
- Impedire l'eliminazione assegnando di nuovo l'utente/gruppo all'applicazione (o configurazione), ripristinando l'utente/gruppo o aggiornando la configurazione del provisioning.
- Dopo aver apportato le modifiche necessarie per impedire che l'utente/gruppo venga eliminato, riavviare il provisioning. Non riavviare il provisioning finché non sono state apportate le modifiche necessarie per impedire l'eliminazione di utenti/gruppi.
Prevenzione dell'eliminazione dei test
È possibile testare la funzionalità attivando eventi di disabilitazione/eliminazione impostando la soglia su un numero basso, ad esempio 3, e quindi modificando i filtri di ambito, annullando l'assegnazione degli utenti e eliminando gli utenti dalla directory (vedere scenari comuni nella sezione successiva).
Consentire l'esecuzione del processo di provisioning (20-40 minuti) e tornare alla pagina di provisioning. Controllare il processo di provisioning in quarantena e scegliere di consentire le eliminazioni o esaminare i log di provisioning per comprendere il motivo per cui si sono verificate le eliminazioni.
Scenari di deprovisioning comuni da testare
- Eliminare un utente/inserirlo nel Cestino.
- Bloccare l'accesso per un utente.
- Annullare l'assegnazione di un utente o di un gruppo dall'applicazione (o configurazione).
- Rimuovere un utente da un gruppo che gli fornisce l'accesso all'applicazione (o alla configurazione).
Per altre informazioni sugli scenari di deprovisioning, vedere Funzionamento del provisioning di applicazioni.
Domande frequenti
Quali scenari vengono conteggiati per la soglia di eliminazione?
Quando un utente viene impostato per la rimozione dall'applicazione di destinazione (o dal tenant di destinazione), viene conteggiato per la soglia di eliminazione. Gli scenari che potrebbero causare la rimozione di un utente dall'applicazione di destinazione (o dal tenant di destinazione) possono includere: l'annullamento dell'assegnazione dell'utente dall'applicazione (o configurazione) e l'eliminazione temporanea/permanente di un utente nella directory. I gruppi valutati per l'eliminazione sono conteggiati per la soglia di eliminazione. Oltre alle eliminazioni, la stessa funzionalità funziona anche per le disabilitazioni.
Qual è l'intervallo su cui viene valutata la soglia di eliminazione?
Viene valutato ogni ciclo. Se il numero di eliminazioni non supera la soglia durante un singolo ciclo, l'interruttore non viene attivato. Se sono necessari più cicli per raggiungere uno stato stabile, la soglia di eliminazione viene valutata per ciclo.
Come vengono registrati questi eventi di eliminazione?
È possibile trovare gli utenti che devono essere disabilitati/eliminati, ma non lo sono stati a causa della soglia di eliminazione. Andare su Log di provisioning e quindi filtrare Action con StagedAction o StagedDelete.