Completare una verifica di accesso di gruppi e applicazioni nelle verifiche di accesso
In qualità di amministratore, crei una verifica di accesso di gruppi o applicazioni e i revisori eseguono la verifica di accesso. Questo articolo descrive come visualizzare i risultati della verifica di accesso e applicarli.
Nota
Questo articolo descrive le procedure per l'eliminazione dei dati personali dal dispositivo o dal servizio e può essere usato per adempiere gli obblighi del Regolamento generale sulla protezione dei dati (GDPR). Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.
Prerequisiti
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Almeno il ruolo di amministratore utenti o amministratore della governance delle identità per gestire l'accesso alle verifiche su gruppi e applicazioni. Gli utenti che hanno almeno il ruolo Amministratore di ruoli con privilegi possono gestire le revisioni dei gruppi assegnabili ai ruoli, consulta: Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo
- I lettori di sicurezza hanno accesso in lettura.
Per altre informazioni, vedere: Requisiti di licenza.
Visualizzare lo stato di una verifica di accesso
Seguire questa procedura per tenere traccia dello stato di avanzamento delle verifiche di accesso man mano che vengono completate.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Governance dell'identità>Verifiche di accesso.
Nell'elenco selezionare una verifica di accesso.
Nella pagina Panoramica è possibile visualizzare lo stato di avanzamento dell'istanza corrente della revisione. Se al momento non è aperta un'istanza attiva, verranno visualizzate informazioni sull'istanza precedente. Nessun diritto di accesso viene modificato nella directory fino al completamento della verifica.
Tutte le schede in Corrente sono visualizzabili solo durante la durata di ciascuna sessione di revisione.
Nota
Mentre la verifica di accesso corrente mostra solo informazioni sull'istanza di revisione attiva, è possibile ottenere informazioni sulle recensioni ancora da eseguire nella serienella sezione Revisione pianificata.
La pagina Risultati fornisce ulteriori informazioni dei singoli utenti in revisione nell'istanza, compresa la possibilità di interrompere, reimpostare e scaricare i risultati.
Se si visualizza una revisione dell'accesso che esamina l'accesso degli ospiti nei gruppi di Microsoft 365, il riquadro Panoramica elenca ciascun gruppo nella revisione.
Selezionare un gruppo per visualizzare lo stato di avanzamento della revisione su tale gruppo, anche per arrestare, reimpostare, applicare ed eliminare.
Se si vuole interrompere una verifica di accesso prima che raggiunga la data di fine pianificata, selezionare il pulsante Arresta .
Quando si arresta una revisione, i revisori non saranno più in grado di fornire risposte. Non è possibile riavviare una verifica dopo che è stata interrotta.
Se non si è più interessati alla verifica di accesso, è possibile eliminarlo facendo clic sul pulsante Elimina .
Visualizzare lo stato della revisione in più fasi (anteprima)
Per visualizzare lo stato e la fase di una verifica di accesso a più fasi:
Selezionare la verifica a più fasi in cui si vuole controllare lo stato o visualizzare la fase in cui si trova.
Selezionare Risultati nel menu di spostamento a sinistra in Corrente.
Una volta che si è nella pagina dei risultati, in Stato indica in quale fase si trova la revisione a più fasi. La fase successiva della revisione non diventerà attiva fino al termine della durata specificata durante l'installazione della verifica di accesso.
Se viene presa una decisione, ma la durata della revisione per questa fase non è ancora scaduta, è possibile selezionare Arresta fase corrente nella pagina dei risultati. Verrà attivata la fase successiva della revisione.
Recuperare i risultati
Per visualizzare i risultati di una revisione, selezionare la pagina Risultati . Per visualizzare solo l'accesso di un utente, nella casella di ricerca, immettere il nome visualizzato o il nome principale utente dell'utente di cui è stato analizzato l'accesso.
Per visualizzare i risultati di un'istanza completata di una verifica di accesso ricorrente, selezionare Cronologia di revisione, quindi selezionare l'istanza specifica dall'elenco delle istanze di verifica di accesso completate, in base alla data di inizio e di fine dell'istanza. I risultati di questa istanza possono essere visualizzati nella sezione Risultati. Le verifiche di accesso ricorrenti consentono di avere un quadro costante dell'accesso alle risorse che potrebbero dover essere aggiornate più spesso rispetto alle verifiche di accesso monouso.
Per recuperare i risultati di una verifica di accesso, sia in corso che completato, selezionare il pulsante Scarica . Il file CSV risultante può essere visualizzato in Excel o in altri programmi aperti in file CSV con codifica UTF-8.
Recuperare i risultati in modo programmatico
È anche possibile recuperare i risultati di una verifica di accesso usando Microsoft Graph o PowerShell.
Sarà prima necessario individuare l'istanza della verifica di accesso. Se accessReviewScheduleDefinition è una verifica di accesso ricorrente, le istanze rappresentano ogni ricorrenza. Una revisione che non si ripete ha esattamente un'istanza. Le istanze rappresentano anche ogni gruppo univoco esaminato nella definizione della pianificazione. Se una definizione di pianificazione esamina più gruppi, ogni gruppo ha un'istanza univoca per ogni ricorrenza. Ogni istanza contiene un elenco di decisioni su cui i revisori possono agire, con una decisione per ogni identità in esame.
Dopo aver identificato l'istanza, per recuperare le decisioni usando Graph, chiamare l'API Graph per elencare le decisioni da un'istanza. Se l'istanza è una revisione a più fasi, chiamare l'API Graph per elencare le decisioni di una verifica di accesso a più fasi. Il chiamante deve essere un utente in un ruolo appropriato con un'applicazione con delega di autorizzazione AccessReview.Read.All
o AccessReview.ReadWrite.All
, oppure un'applicazione con l'autorizzazione AccessReview.Read.All
o AccessReview.ReadWrite.All
dell'applicazione. Per altre informazioni, vedere l'esercitazione su come esaminare un gruppo di sicurezza.
È anche possibile recuperare le decisioni in PowerShell con il cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision
dal modulo Microsoft Graph PowerShell per la Governance delle Identità. Le dimensioni predefinite della pagina di questa API sono 100 elementi decisionali.
Applicare le modifiche.
Se l'applicazione automatica dei risultati alla risorsa è stata abilitata in base alle selezioni in Al completamento delle impostazioni, l'applicazione automatica viene eseguita al termine di un'istanza di revisione o precedente se si arresta manualmente la verifica.
Se l'applicazione automatica dei risultati alla risorsa non è stata abilitata per la revisione, passare a Cronologia di Revisione in Serie dopo la fine della revisione o se la revisione sia stata interrotta in anticipo, e selezionare l'istanza della revisione a cui si desidera applicare i risultati.
Selezionare Applica per applicare manualmente le modifiche. Se l'accesso di un utente è stato negato nella verifica, quando si seleziona Applica, Microsoft Entra ID rimuove l'appartenenza o l'assegnazione dell'applicazione.
Lo stato della verifica cambia da Completato a stati intermedi, ad esempio Applicazione e infine allo stato Risultato applicato. È possibile che, dopo alcuni minuti, eventuali utenti rifiutati vengano rimossi dall'appartenenza al gruppo o dall'assegnazione dell'applicazione.
L'applicazione manuale o automatica dei risultati non ha alcun effetto su un gruppo che ha origine in una directory locale. Per modificare un gruppo che ha origine in locale, scaricare i risultati e applicare queste modifiche alla rappresentazione del gruppo in questa directory.
Nota
Alcuni utenti a cui è stato negato l'accesso non possono avere i risultati applicati a loro. Gli scenari in cui ciò può verificarsi includono:
- Verifica dei membri di un gruppo di Windows Server AD locale sincronizzato: se il gruppo è sincronizzato da Windows Server AD locale, il gruppo non può essere gestito in Microsoft Entra ID e pertanto l'appartenenza non può essere modificata.
- Revisione di una risorsa (ruolo, gruppo, applicazione) con i gruppi annidati assegnati: per gli utenti che hanno appartenenza tramite un gruppo annidato, l'appartenenza al gruppo annidato non verrà rimossa e pertanto manterrà l'accesso alla risorsa da esaminare.
- L'utente non trovato/altri errori possono anche causare un risultato dell'applicazione non supportato.
- Verifica dei membri del gruppo abilitato alla posta elettronica: il gruppo non può essere gestito in Microsoft Entra ID, quindi l'appartenenza non può essere modificata.
- La revisione di un'applicazione che usa l'assegnazione di gruppo non rimuoverà i membri di tali gruppi, quindi manterrà l'accesso esistente dalla relazione di gruppo per l'assegnazione dell'applicazione
Azioni eseguite sugli utenti ospiti ai quali è stato negato l'accesso in una revisione di accesso
Durante la creazione della revisione, l'autore può scegliere tra due opzioni per gli utenti guest negati in una verifica di accesso.
- Gli utenti ospiti negati possono vedersi rimuovere l'accesso alla risorsa. Questa è l'impostazione predefinita.
- L'utente ospite con accesso negato può essere bloccato dall'accesso per 30 giorni, quindi eliminato dal tenant. Durante il periodo di 30 giorni, l'accesso dell'utente ospite al tenant può essere ripristinato da un amministratore. Al termine del periodo di 30 giorni, se l'utente guest non ha avuto nuovamente accesso alla risorsa concessa, verrà rimosso dal tenant in modo permanente. Inoltre, usando l'interfaccia di amministrazione di Microsoft Entra, un amministratore globale può eliminare in modo esplicito un utente eliminato di recente prima che venga raggiunto tale periodo di tempo. Dopo l'eliminazione definitiva di un utente, i dati relativi all'utente guest vengono rimossi dalle verifiche di accesso attive. Le informazioni di controllo sugli utenti eliminati restano nel log di controllo.
Azioni eseguite sugli utenti a cui è stata negata la connessione diretta B2B
Gli utenti e i team a cui è stata negata la connessione diretta B2B perdono l'accesso a tutti i canali condivisi nel Team.