Configurare il criterio di scadenza per i gruppi di Microsoft 365
Quest'articolo spiega come gestire il ciclo di vita dei gruppi di Microsoft 365 impostando uno specifico criterio di scadenza. È possibile impostare un criterio di scadenza solo per i gruppi di Microsoft 365 in Microsoft Entra ID.
Dopo l'impostazione della scadenza di un gruppo:
- I gruppi con attività utente vengono rinnovati automaticamente in prossimità della scadenza.
- I proprietari del gruppo ricevono una notifica per rinnovare il gruppo, se questo non viene rinnovato automaticamente.
- I gruppi non rinnovati vengono eliminati.
- Qualsiasi gruppo di Microsoft 365 eliminato può essere ripristinato entro 30 giorni dall'amministratore o dai proprietari dello stesso.
Attualmente, è possibile configurare un solo criterio di scadenza per tutti i gruppi di Microsoft 365 in un'organizzazione Microsoft Entra.
Nota
La configurazione e l'uso dei criteri di scadenza per i gruppi di Microsoft 365 richiedono all'utente il possesso ma non necessariamente l'assegnazione di licenze Microsoft Entra ID P1 o P2 per i membri di tutti i gruppi a cui viene applicato il criterio di scadenza.
Per informazioni su come scaricare e installare i cmdlet di PowerShell di Microsoft Graph, consulatre Installare SDK PowerdShell di Microsoft Graph.
Nota
I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Rinnovo automatico basato sulle attività
Con l'intelligence di Microsoft Entra, i gruppi vengono ora rinnovati automaticamente in base al fatto che siano stati usati di recente. Questa funzionalità elimina la necessità di un'azione manuale da parte dei proprietari del gruppo. Si basa sull'attività utente in gruppi nei servizi di Microsoft 365 come Outlook, SharePoint, Teams o Yammer.
Ad esempio, un proprietario o membri del gruppo potrebbero eseguire operazioni simili a:
- Inviare un messaggio di posta elettronica al gruppo in Outlook.
- Caricare un documento in SharePoint.
- Visitare un canale di Teams.
- Visualizzare un post in Yammer.
Negli scenari precedenti, il gruppo viene rinnovato automaticamente circa 35 giorni prima della sua scadenza e il proprietario non riceve alcuna notifica di rinnovo.
Si consideri ora un criterio di scadenza impostato, in modo che un gruppo scada dopo 30 giorni di inattività. Per evitare di inviare un messaggio di posta elettronica di scadenza il giorno in cui la scadenza del gruppo è abilitata (perché non è ancora presente alcuna attività di record), Microsoft Entra attende prima cinque giorni. Quindi:
- Se sono presenti attività in questi cinque giorni, il criterio di scadenza funziona come previsto.
- Se non è presente alcuna attività entro cinque giorni, Microsoft Entra ID invia un messaggio di posta elettronica di scadenza o rinnovo.
- Se il gruppo è rimasto inattivo per cinque giorni, viene inviato un messaggio di posta elettronica e quindi il gruppo si riattiva, Microsoft Entra lo rinnova automaticamente e avvia di nuovo il periodo di scadenza.
Attività che rinnovano automaticamente la scadenza del gruppo
Le azioni utente seguenti causano il rinnovo automatico del gruppo:
- SharePoint: visualizzare, modificare, scaricare, spostare, condividere o caricare file.
- Outlook: unirsi a un gruppo, leggere o scrivere un messaggio di gruppo da uno spazio di gruppo o un messaggio "like" (in Outlook Web Access).
- Teams: visitare un canale di Teams.
- Yammer: visualizzare un post all'interno di una community di Yammer o un messaggio di posta elettronica interattivo in Outlook.
Controllo e creazione di report
Gli amministratori possono ottenere un elenco di gruppi rinnovati automaticamente dai log di controllo delle attività in Microsoft Entra ID.
Ruoli e autorizzazioni
I ruoli seguenti possono configurare e usare la scadenza per i gruppi di Microsoft 365 in Microsoft Entra ID.
| Ruolo | Autorizzazioni |
|---|---|
| Amministratore globale o Amministratore utenti | Può creare, leggere, aggiornare o eliminare le impostazioni dei criteri di scadenza per i gruppi di Microsoft 365 Può rinnovare qualsiasi gruppo di Microsoft 365 |
| User | Può rinnovare qualsiasi gruppo di Microsoft 365 di cui ha la proprietà Può ripristinare qualsiasi gruppo di Microsoft 365 di cui ha la proprietà Questo ruolo consente di leggere le impostazioni dei criteri di scadenza |
Per altre informazioni sulle autorizzazioni per ripristinare un gruppo eliminato, vedere Ripristinare un gruppo di Microsoft 365 eliminato in Microsoft Entra ID.
Impostare la scadenza dei gruppi
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.
Selezionare Microsoft Entra ID.
Selezionare Gruppi>Tutti i gruppi e quindi Scadenza per aprire le impostazioni di scadenza.
Nella pagina Scadenza è possibile:
- Impostare la durata del gruppo in giorni. È possibile selezionare uno dei valori predefiniti o un valore personalizzato. Dovrebbe essere di 30 giorni o più.
- Specificare un indirizzo e-mail per l'invio delle notifiche di rinnovo e di scadenza quando un gruppo non ha un proprietario.
- Selezionare i gruppi di Microsoft 365 che scadono. È possibile impostare la scadenza per:
- Tutti i gruppi di Microsoft 365
- I gruppi di Microsoft 365 selezionati.
- Nessuno per limitare la scadenza per tutti i gruppi.
- Al termine salvare le impostazioni facendo clic su Salva.
Nota
- Quando si configura la scadenza per la prima volta, la scadenza di tutti i gruppi creati prima dell'intervallo di scadenza scelto viene impostata su 35 giorni, a meno che il gruppo non venga rinnovato automaticamente o non lo rinnovi il suo proprietario.
- Quando un gruppo dinamico viene eliminato e ripristinato, viene considerato come un nuovo gruppo e popolato nuovamente in base alla regola. Questo processo può richiedere fino a 24 ore.
- Le notifiche di scadenza per i gruppi usati in Teams vengono visualizzate nel feed dei proprietari di Teams.
- Quando si abilita la scadenza per i gruppi selezionati, è possibile aggiungere fino a 500 gruppi all'elenco. Se è necessario aggiungere più di 500 gruppi, è possibile abilitare la scadenza per tutti i gruppi. In questo scenario, la limitazione di 500 gruppi non si applica.
- I gruppi non vengono rinnovati immediatamente quando si verificano attività di rinnovo automatico. In caso di attività, il gruppo viene contrassegnato per indicare che è pronto per il rinnovo quando è prossimo alla scadenza. Se il gruppo è prossimo alla scadenza, il rinnovo si verifica entro 24 ore.
Notifiche tramite posta elettronica
Se i gruppi non vengono rinnovati automaticamente, le notifiche tramite posta elettronica come l'esempio seguente vengono inviate ai proprietari del gruppo di Microsoft 365 30 giorni, 15 giorni e 1 giorno prima della scadenza del gruppo.
La lingua del messaggio di posta elettronica è determinata dalla lingua preferita del proprietario dei gruppi o dall'impostazione della lingua di Microsoft Entra. Se il proprietario del gruppo ha definito una lingua preferita o più proprietari hanno la stessa lingua preferita, viene utilizzata tale lingua. Per tutti gli altri casi, viene usata l'impostazione della lingua di Microsoft Entra.
Dalla notifica di posta elettronica Rinnova il gruppo, i proprietari del gruppo possono accedere direttamente alla pagina dei dettagli del gruppo nel Riquadro di accesso. In questa area è possibile ottenere altre informazioni sul gruppo, ad esempio la descrizione, la data dell'ultimo rinnovo, la data di scadenza, ed è inoltre possibile procedere con il rinnovo del gruppo. La pagina dei dettagli del gruppo include anche collegamenti alle risorse del gruppo di Microsoft 365, che consentono al proprietario del gruppo di visualizzare facilmente il contenuto e l'attività del gruppo.
Importante
Se si verificano problemi con i messaggi di posta elettronica di notifica e non vengono inviati o ritardati, si noti che Microsoft non elimina mai un gruppo prima dell'invio dell'ultimo messaggio di posta elettronica.
Alla scadenza il gruppo viene eliminato, un giorno dopo la data di scadenza. Viene inviata una notifica tramite posta elettronica simile alla seguente ai proprietari del gruppo di Microsoft 365 per informarli della scadenza e della conseguente eliminazione del gruppo di Microsoft 365.
È possibile ripristinare il gruppo entro 30 giorni dall'eliminazione selezionando Ripristina gruppo o usando i cmdlet di PowerShell. Per maggiori informazioni, vedere Ripristinare un gruppo di Microsoft 365 eliminato in Microsoft Entra ID. Il periodo di ripristino di 30 giorni del gruppo non è personalizzabile.
Se il gruppo che si sta ripristinando contiene documenti, siti di SharePoint o altri oggetti persistenti, potrebbero essere necessarie fino a 24 ore per ripristinare completamente il gruppo e il relativo contenuto.
Recuperare la data di scadenza del gruppo di Microsoft 365
Oltre a usare Pannello di accesso per visualizzare i dettagli del gruppo, ad esempio la data di scadenza e l'ultima data di rinnovo, è possibile recuperare la data di scadenza di un gruppo di Microsoft 365 dalla versione beta dell'API REST di Microsoft Graph. La proprietà expirationDateTime del gruppo è abilitata in Microsoft Graph Beta. È possibile recuperarla con una richiesta GET. Per altre informazioni, vedere questo esempio.
Nota
Per gestire le appartenenze ai gruppi nel Pannello di accesso, è necessario impostare Limitare l'accesso ai gruppi nel Pannello di accesso su No nell'impostazione Generale dei gruppi di Microsoft Entra.
Scadenza dei gruppi di Microsoft 365 con una cassetta postale in blocco a fini giudiziari
Quando un gruppo scade e viene eliminato, 30 giorni dopo vengono eliminati definitivamente i dati del gruppo presenti in app come Planner, Siti o Teams. La cassetta postale del gruppo che è in blocco a fini giudiziari viene mantenuta e non viene eliminata definitivamente. L'amministratore può usare i cmdlet di Exchange per ripristinare la cassetta postale e recuperare i dati.
Scadenza dei gruppi di Microsoft 365 con criteri di conservazione
È possibile configurare i criteri di conservazione nel portale Sicurezza e conformità. In questo portale è possibile configurare un criterio di conservazione per i gruppi di Microsoft 365. Quando un gruppo scade e viene eliminato, le conversazioni presenti nella cassetta postale del gruppo e i file presenti nel sito del gruppo vengono mantenuti nell'apposito contenitore per uno specifico numero di giorni definito nei criteri di conservazione. Gli utenti non vedranno il gruppo o il relativo contenuto dopo la scadenza. Possono recuperare i dati del sito e della cassetta postale tramite e-discovery.
Esempi di PowerShell
Di seguito sono riportati alcuni esempi di come è possibile usare i cmdlet di PowerShell per configurare le impostazioni di scadenza per i gruppi di Microsoft 365 nell'organizzazione di Microsoft Entra:
Installare il modulo PowerShell di Microsoft Graph e accedere al prompt di PowerShell.
Install-Module Microsoft.Graph -Scope CurrentUser Connect-MgGraph -Scopes "Directory.ReadWrite.All"Configurare le impostazioni di scadenza. Usare il cmdlet New-MgGroupLifecyclePolicy per impostare la durata per tutti i gruppi di Microsoft 365 nell'organizzazione di Microsoft Entra su 365 giorni. Le notifiche di rinnovo per i gruppi di Microsoft 365 senza proprietari vengono inviate a
emailaddress@contoso.com.New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com ` -GroupLifetimeInDays 365 -ManagedGroupTypes AllRecuperare i criteri esistenti usando Get-MgGroupLifecyclePolicy. Questo cmdlet recupera le impostazioni di scadenza dei gruppi di Microsoft 365 correnti configurate.
Get-MgGroupLifecyclePolicyQuesto esempio contiene gli elementi seguenti:
- ID dei criteri.
- Le notifiche di rinnovo per i gruppi di Microsoft 365 senza proprietari vengono inviate a
emailaddress@contoso.com. - La durata di tutti i gruppi di Microsoft 365 nell'organizzazione di Microsoft Entra è impostata su 365 giorni.
Id AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes -- --------------------------- ------------------- ----------------- 1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5 emailaddress@contoso.com 365 AllAggiornare i criteri esistenti usando Update-MgGroupLifecyclePolicy. Questo cmdlet viene usato per aggiornare un criterio esistente. Nell'esempio seguente, la durata del gruppo nei criteri esistenti viene modificata da 365 giorni a 180 giorni.
Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"Aggiungere gruppi specifici ai criteri usando Add-MgGroupToLifecyclePolicy. Questo cmdlet aggiunge un gruppo di criteri di ciclo di vita. Ad esempio:
Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"Rimuovere i criteri esistenti usando Remove-MgGroupLifecyclePolicy. Questo cmdlet elimina le impostazioni di scadenza dei gruppi di Microsoft 365, ma richiede l'ID dei criteri. Questo cmdlet disabilita la scadenza per i gruppi di Microsoft 365.
Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5"
I cmdlet seguenti possono essere usati per configurare i criteri in modo più dettagliato. Per altre informazioni, consultare la documentazione di PowerShell di Microsoft Graph.
- Get-MgGroupLifecyclePolicy
- New-MgGroupLifecyclePolicy
- Remove-MgGroupLifecyclePolicy
- Update-MgGroupLifecyclePolicy
- Add-MgGroupToLifecyclePolicy
- Remove-MgGroupFromLifecyclePolicy
- Invoke-MgRenewGroup
Passaggi successivi
Per altre informazioni sui gruppi di Microsoft Entra, vedere: