Creare verifiche di accesso per gruppi e app
L'accesso a gruppi e applicazioni per dipendenti e utenti guest cambia nel corso del tempo. Per ridurre i rischi associati ad assegnazioni di accesso obsolete, gli amministratori possono usare Microsoft Entra ID per creare verifiche di accesso per i membri dei gruppi o l'accesso alle applicazioni. Se è necessario esaminare periodicamente l'accesso, è anche possibile creare verifiche di accesso ricorrenti.
Guardare questo video per ulteriori informazioni su come distribuire e creare verifiche di accesso.
Prerequisiti
- Microsoft Entra ID Premium P2
- Amministratore globale o Amministratore utenti
Creare una o più verifiche di accesso
Accedere al portale di Azure e aprire la pagina Identity Governance.
Nel menu a sinistra selezionare Verifiche di accesso.
Selezionare Nuova verifica di accesso per creare una nuova verifica di accesso.
In Passaggio 1: selezionare gli elementi da verificare selezionare la risorsa che si desidera verificare.
Se nel passaggio 1 è stata selezionata l'opzione Team e gruppi, nel passaggio 2 sono disponibili due opzioni:
Tutti i gruppi di Microsoft 365 con utenti guest. Selezionare questa opzione per creare verifiche periodiche su tutti gli utenti guest in tutti i gruppi di Microsoft Teams e Microsoft 365 nell'organizzazione. È possibile scegliere di escludere determinati gruppi facendo selezionando "Selezionare uno o più gruppi da escludere".
Selezionare team e gruppi. Selezionare questa opzione se si desidera specificare un set di team e/o gruppi finiti da verificare. Dopo aver selezionato questa opzione, a destra verrà visualizzato un elenco di gruppi da cui scegliere.
Se nel passaggio 1 è stata selezionata l'opzione Applicazioni, è possibile selezionare una o più applicazioni nel passaggio 2.
Nel passaggio 3 è possibile selezionare un ambito per la verifica. Le opzioni disponibili sono:
Solo utenti guest. Se si seleziona questa opzione, la verifica di accesso viene limitata solo agli utenti guest di Microsoft Entra B2B nella directory in uso.
Tutti. Selezionando questa opzione l'ambito definito per la verifica di accesso viene esteso a tutti gli oggetti utente associati alla risorsa.
Nota
Se nel passaggio 2 è stata selezionata l'opzione Tutti i gruppi di Microsoft 365 con utenti guest, l'unica opzione disponibile nel passaggio 3 è la verifica degli utenti guest.
Selezionare Avanti: Recensioni
Nella sezione Selezionare i revisori selezionare una o più persone che devono eseguire le verifiche di accesso. È possibile scegliere tra:
- Proprietari del gruppo (disponibile solo quando si esegue una verifica in un team o un gruppo).
- Uno o più utenti o gruppi selezionati.
- Gli utenti verificano il proprio accesso.
- (Anteprima) Responsabili di utenti. Scegliendo l'opzione Responsabili di utenti o Proprietari del gruppo, è anche possibile specificare un revisore di fallback. Ai revisori di fallback viene chiesto di eseguire una verifica quando l'utente non ha un responsabile specificato per la directory o il gruppo non ha un proprietario.
Nella sezione Specificare la ricorrenza della revisione è possibile specificare una frequenza, ad esempio Ogni settimana, Ogni mese, Ogni tre mesi, Ogni sei mesi, Ogni anno. Viene quindi specificata una Durata, che definisce il tempo a disposizione dei revisori per la verifica. La durata massima che è possibile impostare per una verifica mensile, ad esempio, è di 27 giorni, per evitare la sovrapposizione delle verifiche. Potrebbe essere necessario ridurre la durata per fare in modo che venga eseguita prima dai revisori. Successivamente è possibile selezionare una Data di inizio e una Data di fine.
Selezionare Avanti: Pulsante Impostazioni nella parte inferiore della pagina.
In Impostazioni al completamento è possibile specificare cosa accade dopo il completamento della verifica.
Se si vuole rimuovere automaticamente l'accesso per gli utenti rifiutati, impostare l'opzione Applica automaticamente i risultati alla risorsa su Abilita. Per applicare manualmente i risultati al termine della verifica, impostare l'opzione su Disabilita. Usare l'elenco Se i revisori non rispondono per specificare cosa accade per gli utenti non sottoposti a verifica dal revisore entro il periodo di verifica. Questa impostazione non ha alcun impatto sugli utenti che sono stati sottoposti a verifica manualmente dai revisori. Se la decisione finale del revisore è il rifiuto, l'accesso dell'utente verrà rimosso.
- Nessuna modifica: non viene apportata alcuna modifica all'accesso dell'utente
- Rimuovi accesso: l'accesso dell'utente viene rimosso
- Approva accesso: l'accesso dell'utente viene approvato
- Accetta i consigli: vengono applicati i consigli del sistema per rifiutare o approvare l'accesso continuo dell'utente
Usare l'opzione Azione da applicare agli utenti guest a cui è stato negato l'accesso per specificare cosa accade agli utenti guest a cui viene negato l'accesso.
- L'opzione Rimuovi l'appartenenza dell'utente dalla risorsa rimuove l'accesso dell'utente al gruppo o all'applicazione in corso di verifica, ma potrà comunque accedere al tenant.
- L'opzione Impedisci l'accesso all'utente per 30 giorni e quindi rimuovi l'utente dal tenant blocca l'accesso dell'utente al tenant, indipendentemente dal fatto che abbia accesso ad altre risorse. Se si è verificato un errore o se un amministratore decide di riabilitare l'accesso di un utente, può farlo entro 30 giorni dopo che l'utente è stato disabilitato. Se non viene eseguita alcuna azione sugli utenti disabilitati, verranno eliminati dal tenant.
- L'opzione Azione da applicare agli utenti guest a cui è stato negato l'accesso non è configurabile nelle verifiche che hanno come ambito altri utenti oltre agli utenti guest. Non è configurabile neanche per le verifiche di tutti i gruppi di Microsoft 365 con utenti guest. Quando non è configurabile, l'opzione predefinita di rimozione dell'appartenenza dell'utente dalla risorsa viene utilizzata per gli utenti a cui è stato negato l'accesso.
In Abilita i supporti per la decisione del revisore scegliere se si desidera che il revisore riceva consigli durante il processo di verifica.
Nella sezione Impostazioni avanzate è possibile scegliere quanto segue:
- Impostare La giustificazione è obbligatoria su Abilita per richiedere al revisore di specificare un motivo per l'approvazione.
- Impostare Notifiche tramite posta elettronica su Abilita per fare in modo che Microsoft Entra invii notifiche tramite posta elettronica ai revisori all'avvio di una verifica di accesso e agli amministratori al completamento di una verifica.
- Impostare Promemoria su Abilita per fare in modo che Microsoft Entra ID invii promemoria delle verifiche di accesso in corso ai revisori che non hanno completato la verifica. I promemoria verranno inviati a metà della durata impostata per la verifica.
- Il contenuto del messaggio di posta elettronica inviato ai revisori viene generato automaticamente in base ai dettagli della verifica, ad esempio il nome della verifica, il nome della risorsa, la scadenza e così via. Per comunicare informazioni aggiuntive, ad esempio istruzioni aggiuntive o informazioni di contatto, è possibile specificare questi dettagli nella sezione Contenuto aggiuntivo per il messaggio di posta elettronica dei revisori. Le informazioni immesse sono incluse nei messaggi di posta elettronica di invito e promemoria inviati ai revisori assegnati. La sezione evidenziata nell'immagine seguente mostra la posizione in cui vengono visualizzate tali informazioni.
Al termine, selezionare Avanti: Verifica e crea per passare alla pagina successiva.
Assegnare un nome alla verifica di accesso. Facoltativamente è possibile assegnare una descrizione alla verifica. Il nome e la descrizione vengono visualizzati dai revisori.
Esaminare le informazioni e selezionare Crea.
Avviare la verifica di accesso
Dopo aver specificato le impostazioni per una verifica di accesso, selezionare Avvia. La verifica di accesso verrà visualizzata nell'elenco con un indicatore dello stato.
Per impostazione predefinita, Microsoft Entra ID invia un messaggio di posta elettronica ai revisori poco dopo l'avvio della revisione. Se si sceglie di non inviare l'ID Entra di Microsoft, assicurarsi di informare i revisori che una verifica di accesso è in attesa del completamento. È possibile mostrare le istruzioni su come verificare l'accesso a gruppi o applicazioni. Se la verifica è destinata agli utenti guest che devono verificare il proprio accesso, mostrare le istruzioni su come verificare il proprio accesso a gruppi o applicazioni.
Se si sono assegnati utenti guest come revisori ma questi non hanno accettato l'invito, non riceveranno messaggi di posta elettronica relativi alle verifiche di accesso perché per procedere alla verifica è necessario prima accettare l'invito.
Tabella dello stato della verifica di accesso
Stato | Definizione |
---|---|
NotStarted | La verifica è stata creata, l'individuazione degli utenti è in attesa di essere avviata. |
Inizializzazione in corso | È in corso l'individuazione degli utenti per identificare tutti gli utenti che fanno parte della verifica. |
Starting | È in corso l'avvio della verifica. Se si sono abilitate le notifiche tramite posta elettronica, i messaggi vengono inviati ai revisori. |
InProgress | La verifica è stata avviata. Se si sono abilitate le notifiche tramite posta elettronica, i messaggi sono stati inviati ai revisori. I revisori possono inviare le decisioni fino alla data di scadenza. |
Completamento in corso | È in corso il completamento della verifica e i messaggi di posta elettronica vengono inviati al proprietario della verifica. |
Verifica automatica | La verifica è in una fase di verifica del sistema. Il sistema sta registrando le decisioni per gli utenti che non sono stati verificati in base a raccomandazioni o decisioni preconfigurate. |
Verifica automatica eseguita | Le decisioni sono state registrate dal sistema per tutti gli utenti che non sono stati verificati. La verifica è pronta per procedere alla fase di Applicazione se è stata abilitata l'applicazione automatica. |
Applicazione | Non verrà apportata alcuna modifica all'accesso per gli utenti che sono stati approvati. |
Applicato | Gli utenti a cui è stato negato l'accesso, se presenti, sono stati rimossi dalla risorsa o dalla directory. |
Convalida non superata | Non è stato possibile procedere con la verifica. Questo errore può essere legato all'eliminazione del tenant, a una modifica nelle licenze o ad altre modifiche interne al tenant. |
Creare verifiche tramite API
È anche possibile creare verifiche di accesso usando le API. Le operazioni eseguite per gestire le verifiche di accesso di gruppi e utenti di applicazioni nel portale di Azure possono essere svolte anche tramite le API Microsoft Graph.