Creare verifiche di accesso per gruppi e app

  • 12 minuti

L'accesso a gruppi e applicazioni per dipendenti e utenti guest cambia nel corso del tempo. Per ridurre i rischi associati ad assegnazioni di accesso obsolete, gli amministratori possono usare Microsoft Entra ID per creare verifiche di accesso per i membri dei gruppi o l'accesso alle applicazioni. Se è necessario esaminare periodicamente l'accesso, è anche possibile creare verifiche di accesso ricorrenti.

Guardare questo video per ulteriori informazioni su come distribuire e creare verifiche di accesso.

Prerequisiti

  • Microsoft Entra ID Premium P2
  • Amministratore globale o Amministratore utenti

Creare una o più verifiche di accesso

  1. Accedere al portale di Azure e aprire la pagina Identity Governance.

  2. Nel menu a sinistra selezionare Verifiche di accesso.

  3. Selezionare Nuova verifica di accesso per creare una nuova verifica di accesso.

    Screenshot of the Access reviews pane in Identity Governance.

  4. In Passaggio 1: selezionare gli elementi da verificare selezionare la risorsa che si desidera verificare.

    Screenshot of the Create an access review - Review name and description dialog.

  5. Se nel passaggio 1 è stata selezionata l'opzione Team e gruppi, nel passaggio 2 sono disponibili due opzioni:

    • Tutti i gruppi di Microsoft 365 con utenti guest. Selezionare questa opzione per creare verifiche periodiche su tutti gli utenti guest in tutti i gruppi di Microsoft Teams e Microsoft 365 nell'organizzazione. È possibile scegliere di escludere determinati gruppi facendo selezionando "Selezionare uno o più gruppi da escludere".

    • Selezionare team e gruppi. Selezionare questa opzione se si desidera specificare un set di team e/o gruppi finiti da verificare. Dopo aver selezionato questa opzione, a destra verrà visualizzato un elenco di gruppi da cui scegliere.

      Screenshot of the Teams and groups settings. Pick your groups to exclude.Screenshot of the Teams and groups chosen in the user interface. Selected items are excluded.

  6. Se nel passaggio 1 è stata selezionata l'opzione Applicazioni, è possibile selezionare una o più applicazioni nel passaggio 2.

    Screenshot of The interface displayed if you chose applications rather than groups.

  7. Nel passaggio 3 è possibile selezionare un ambito per la verifica. Le opzioni disponibili sono:

    • Solo utenti guest. Se si seleziona questa opzione, la verifica di accesso viene limitata solo agli utenti guest di Microsoft Entra B2B nella directory in uso.

    • Tutti. Selezionando questa opzione l'ambito definito per la verifica di accesso viene esteso a tutti gli oggetti utente associati alla risorsa.

      Nota

      Se nel passaggio 2 è stata selezionata l'opzione Tutti i gruppi di Microsoft 365 con utenti guest, l'unica opzione disponibile nel passaggio 3 è la verifica degli utenti guest.

  8. Selezionare Avanti: Recensioni

  9. Nella sezione Selezionare i revisori selezionare una o più persone che devono eseguire le verifiche di accesso. È possibile scegliere tra:

    • Proprietari del gruppo (disponibile solo quando si esegue una verifica in un team o un gruppo).
    • Uno o più utenti o gruppi selezionati.
    • Gli utenti verificano il proprio accesso.
    • (Anteprima) Responsabili di utenti. Scegliendo l'opzione Responsabili di utenti o Proprietari del gruppo, è anche possibile specificare un revisore di fallback. Ai revisori di fallback viene chiesto di eseguire una verifica quando l'utente non ha un responsabile specificato per la directory o il gruppo non ha un proprietario.

  10. Nella sezione Specificare la ricorrenza della revisione è possibile specificare una frequenza, ad esempio Ogni settimana, Ogni mese, Ogni tre mesi, Ogni sei mesi, Ogni anno. Viene quindi specificata una Durata, che definisce il tempo a disposizione dei revisori per la verifica. La durata massima che è possibile impostare per una verifica mensile, ad esempio, è di 27 giorni, per evitare la sovrapposizione delle verifiche. Potrebbe essere necessario ridurre la durata per fare in modo che venga eseguita prima dai revisori. Successivamente è possibile selezionare una Data di inizio e una Data di fine.

    Screenshot of the Choose how often the review should happen. Admins should set a reasonable timeline.

  11. Selezionare Avanti: Pulsante Impostazioni nella parte inferiore della pagina.

  12. In Impostazioni al completamento è possibile specificare cosa accade dopo il completamento della verifica.

    Screenshot of the Create an access review - upon completion settings.

    Se si vuole rimuovere automaticamente l'accesso per gli utenti rifiutati, impostare l'opzione Applica automaticamente i risultati alla risorsa su Abilita. Per applicare manualmente i risultati al termine della verifica, impostare l'opzione su Disabilita. Usare l'elenco Se i revisori non rispondono per specificare cosa accade per gli utenti non sottoposti a verifica dal revisore entro il periodo di verifica. Questa impostazione non ha alcun impatto sugli utenti che sono stati sottoposti a verifica manualmente dai revisori. Se la decisione finale del revisore è il rifiuto, l'accesso dell'utente verrà rimosso.

    • Nessuna modifica: non viene apportata alcuna modifica all'accesso dell'utente
    • Rimuovi accesso: l'accesso dell'utente viene rimosso
    • Approva accesso: l'accesso dell'utente viene approvato
    • Accetta i consigli: vengono applicati i consigli del sistema per rifiutare o approvare l'accesso continuo dell'utente

    Usare l'opzione Azione da applicare agli utenti guest a cui è stato negato l'accesso per specificare cosa accade agli utenti guest a cui viene negato l'accesso.

    • L'opzione Rimuovi l'appartenenza dell'utente dalla risorsa rimuove l'accesso dell'utente al gruppo o all'applicazione in corso di verifica, ma potrà comunque accedere al tenant.
    • L'opzione Impedisci l'accesso all'utente per 30 giorni e quindi rimuovi l'utente dal tenant blocca l'accesso dell'utente al tenant, indipendentemente dal fatto che abbia accesso ad altre risorse. Se si è verificato un errore o se un amministratore decide di riabilitare l'accesso di un utente, può farlo entro 30 giorni dopo che l'utente è stato disabilitato. Se non viene eseguita alcuna azione sugli utenti disabilitati, verranno eliminati dal tenant.
    • L'opzione Azione da applicare agli utenti guest a cui è stato negato l'accesso non è configurabile nelle verifiche che hanno come ambito altri utenti oltre agli utenti guest. Non è configurabile neanche per le verifiche di tutti i gruppi di Microsoft 365 con utenti guest. Quando non è configurabile, l'opzione predefinita di rimozione dell'appartenenza dell'utente dalla risorsa viene utilizzata per gli utenti a cui è stato negato l'accesso.

  13. In Abilita i supporti per la decisione del revisore scegliere se si desidera che il revisore riceva consigli durante il processo di verifica.

    Screenshot of the Enable decision helpers options. Offer recommendations to the reviewers.

  14. Nella sezione Impostazioni avanzate è possibile scegliere quanto segue:

    • Impostare La giustificazione è obbligatoria su Abilita per richiedere al revisore di specificare un motivo per l'approvazione.
    • Impostare Notifiche tramite posta elettronica su Abilita per fare in modo che Microsoft Entra invii notifiche tramite posta elettronica ai revisori all'avvio di una verifica di accesso e agli amministratori al completamento di una verifica.
    • Impostare Promemoria su Abilita per fare in modo che Microsoft Entra ID invii promemoria delle verifiche di accesso in corso ai revisori che non hanno completato la verifica. I promemoria verranno inviati a metà della durata impostata per la verifica.
    • Il contenuto del messaggio di posta elettronica inviato ai revisori viene generato automaticamente in base ai dettagli della verifica, ad esempio il nome della verifica, il nome della risorsa, la scadenza e così via. Per comunicare informazioni aggiuntive, ad esempio istruzioni aggiuntive o informazioni di contatto, è possibile specificare questi dettagli nella sezione Contenuto aggiuntivo per il messaggio di posta elettronica dei revisori. Le informazioni immesse sono incluse nei messaggi di posta elettronica di invito e promemoria inviati ai revisori assegnati. La sezione evidenziata nell'immagine seguente mostra la posizione in cui vengono visualizzate tali informazioni.

  15. Al termine, selezionare Avanti: Verifica e crea per passare alla pagina successiva.

  16. Assegnare un nome alla verifica di accesso. Facoltativamente è possibile assegnare una descrizione alla verifica. Il nome e la descrizione vengono visualizzati dai revisori.

  17. Esaminare le informazioni e selezionare Crea.

    Screenshot of the create review screen. Overview of the access review that has just finished creation.

Avviare la verifica di accesso

Dopo aver specificato le impostazioni per una verifica di accesso, selezionare Avvia. La verifica di accesso verrà visualizzata nell'elenco con un indicatore dello stato.

Screenshot of the List of access reviews and their status. Review the status of each item.

Per impostazione predefinita, Microsoft Entra ID invia un messaggio di posta elettronica ai revisori poco dopo l'avvio della revisione. Se si sceglie di non inviare l'ID Entra di Microsoft, assicurarsi di informare i revisori che una verifica di accesso è in attesa del completamento. È possibile mostrare le istruzioni su come verificare l'accesso a gruppi o applicazioni. Se la verifica è destinata agli utenti guest che devono verificare il proprio accesso, mostrare le istruzioni su come verificare il proprio accesso a gruppi o applicazioni.

Se si sono assegnati utenti guest come revisori ma questi non hanno accettato l'invito, non riceveranno messaggi di posta elettronica relativi alle verifiche di accesso perché per procedere alla verifica è necessario prima accettare l'invito.

Tabella dello stato della verifica di accesso

Stato Definizione
NotStarted La verifica è stata creata, l'individuazione degli utenti è in attesa di essere avviata.
Inizializzazione in corso È in corso l'individuazione degli utenti per identificare tutti gli utenti che fanno parte della verifica.
Starting È in corso l'avvio della verifica. Se si sono abilitate le notifiche tramite posta elettronica, i messaggi vengono inviati ai revisori.
InProgress La verifica è stata avviata. Se si sono abilitate le notifiche tramite posta elettronica, i messaggi sono stati inviati ai revisori. I revisori possono inviare le decisioni fino alla data di scadenza.
Completamento in corso È in corso il completamento della verifica e i messaggi di posta elettronica vengono inviati al proprietario della verifica.
Verifica automatica La verifica è in una fase di verifica del sistema. Il sistema sta registrando le decisioni per gli utenti che non sono stati verificati in base a raccomandazioni o decisioni preconfigurate.
Verifica automatica eseguita Le decisioni sono state registrate dal sistema per tutti gli utenti che non sono stati verificati. La verifica è pronta per procedere alla fase di Applicazione se è stata abilitata l'applicazione automatica.
Applicazione Non verrà apportata alcuna modifica all'accesso per gli utenti che sono stati approvati.
Applicato Gli utenti a cui è stato negato l'accesso, se presenti, sono stati rimossi dalla risorsa o dalla directory.
Convalida non superata Non è stato possibile procedere con la verifica. Questo errore può essere legato all'eliminazione del tenant, a una modifica nelle licenze o ad altre modifiche interne al tenant.

Creare verifiche tramite API

È anche possibile creare verifiche di accesso usando le API. Le operazioni eseguite per gestire le verifiche di accesso di gruppi e utenti di applicazioni nel portale di Azure possono essere svolte anche tramite le API Microsoft Graph.