Creare una verifica di accesso di gruppi e applicazioni in Microsoft Entra ID

  • Articolo

L'accesso a gruppi e applicazioni per dipendenti e utenti guest cambia nel corso del tempo. Per ridurre i rischi associati ad assegnazioni di accesso obsolete, gli amministratori possono usare Microsoft Entra ID per creare verifiche di accesso per i membri dei gruppi o l'accesso alle applicazioni.

I proprietari dei gruppi di sicurezza e Microsoft 365 possono anche usare Microsoft Entra ID per creare verifiche di accesso per i membri del gruppo, purché un utente nel ruolo Global Amministrazione istrator o Identity Governance Amministrazione istrator consenta l'impostazione tramite il riquadro Verifiche di accesso Impostazioni. Per altre informazioni su questi scenari, vedere Gestire le verifiche di accesso.

Guardare un breve video che illustra come abilitare le verifiche di accesso.

Questo articolo descrive come creare una o più verifiche di accesso per i membri del gruppo o l'accesso alle applicazioni.

Prerequisiti

  • Licenze microsoft Entra ID P2 o Microsoft Entra ID Governance.
  • La creazione di una revisione per gli utenti inattivi o con raccomandazioni di affiliazione da utente a gruppo richiede una licenza di governance dell'ID di Microsoft Entra.
  • Amministratore globale o amministratore di Identity Governance per creare revisioni su gruppi o applicazioni.
  • Gli utenti devono essere nel ruolo di amministratore globale o nel ruolo di amministratore del ruolo con privilegi per creare revisioni nei gruppi assegnabili a ruoli. Per altre informazioni, vedere Usare i gruppi di Entra di Microsoft per gestire le assegnazioni di ruolo.
  • Proprietario del gruppo di sicurezza e Microsoft 365.

Per altre informazioni, vedere Requisiti relativi alle licenze.

Se si esamina l'accesso a un'applicazione, prima di creare la revisione, vedere l'articolo su come preparare la verifica dell'accesso degli utenti a un'applicazione per assicurarsi che l'applicazione sia integrata con Microsoft Entra ID nel tenant.

Nota

Le verifiche di accesso acquisiscono uno snapshot dell'accesso all'inizio di ogni istanza di revisione. Tutte le modifiche apportate durante il processo di revisione verranno riflesse nel ciclo di revisione successivo. Essenzialmente, con l'inizio di ogni nuova ricorrenza, i dati pertinenti relativi agli utenti, alle risorse in fase di revisione e ai rispettivi revisori vengono recuperati.

Creare una verifica di accesso a una singola fase

Ambito

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Verifiche di accesso di Identity Governance>.

  3. Selezionare Nuova verifica di accesso per creare una nuova verifica di accesso.

    Screenshot che mostra il riquadro Verifiche di accesso in Identity Governance.

  4. Nella casella Selezionare la risorsa da rivedere selezionare la risorsa da esaminare.

    Screenshot che mostra la creazione di una verifica di accesso.

  5. Se è stato selezionato Teams e gruppi, sono disponibili due opzioni:

    • Tutti i gruppi di Microsoft 365 con utenti guest: selezionare questa opzione se si vuole creare recensioni ricorrenti su tutti gli utenti guest in tutti i gruppi di Microsoft Teams e Microsoft 365 nell'organizzazione. I gruppi dinamici e i gruppi assegnabili a ruoli non sono inclusi. È anche possibile scegliere di escludere singoli gruppi selezionando Seleziona gruppi da escludere.

    • Selezionare Teams e gruppi: selezionare questa opzione se si vuole specificare un set finito di team o gruppi da rivedere. A destra viene visualizzato un elenco di gruppi tra cui scegliere.

      Screenshot che mostra la selezione di Teams e gruppi.

  6. Se è stata selezionata l'opzione Applicazioni, selezionare una o più applicazioni.

    Screenshot che mostra l'interfaccia visualizzata se sono state selezionate applicazioni anziché gruppi.

Nota

La selezione di più gruppi o applicazioni comporta la creazione di più verifiche di accesso. Ad esempio, se si selezionano cinque gruppi da esaminare, il risultato è cinque verifiche di accesso separate.

  1. È ora possibile selezionare un ambito per la revisione. Le opzioni disponibili sono:

    • Solo utenti guest: questa opzione limita la verifica di accesso solo agli utenti guest di Microsoft Entra B2B nella directory.
    • Tutti: questa opzione definisce l'ambito della verifica di accesso a tutti gli oggetti utente associati alla risorsa.

    Nota

    Se è stata selezionata l'opzione Tutti i gruppi di Microsoft 365 con utenti guest, l'unica opzione consiste nell'esaminare solo gli utenti guest.

  2. In alternativa, se si sta eseguendo una verifica dell'appartenenza al gruppo, è possibile creare verifiche di accesso solo per gli utenti inattivi nel gruppo. Nella sezione Ambito utenti selezionare la casella accanto a Utenti inattivi (a livello di tenant). Se si seleziona la casella, l'ambito della revisione è incentrato solo sugli utenti inattivi, quelli che non hanno eseguito l'accesso in modo interattivo o non interattivo al tenant. Specificare quindi Giorni inattivi con molti giorni inattivi fino a 730 giorni (due anni). Gli utenti nel gruppo sono inattivi per il numero specificato di giorni sono gli unici utenti della revisione.

    Nota

    Gli utenti creati di recente non sono interessati durante la configurazione del tempo di inattività. La verifica di accesso verificherà se un utente è stato creato nell'intervallo di tempo configurato e ignora gli utenti che non esistono per almeno quel periodo di tempo. Ad esempio, se si imposta il tempo di inattività su 90 giorni e un utente guest è stato creato o invitato meno di 90 giorni fa, l'utente guest non sarà nell'ambito della verifica di accesso. In questo modo, un utente può accedere almeno una volta prima di essere rimosso.

  3. Selezionare Avanti: Recensioni.

Avanti: Recensioni

  1. È possibile creare una revisione a fase singola o a più fasi. Per una singola verifica, continuare qui. Per creare una verifica di accesso a più fasi, seguire la procedura descritta in Creare una verifica di accesso a più fasi

  2. Nella sezione Specifica revisori, nella casella Seleziona revisori selezionare una o più persone per prendere decisioni nelle verifiche di accesso. È possibile scegliere tra:

    • Proprietario del gruppo: questa opzione è disponibile solo quando si esegue una revisione in un team o in un gruppo.
    • Uno o più utenti o gruppi selezionati.
    • Gli utenti esaminano il proprio accesso
    • Responsabili degli utenti

    Se si sceglie Manager di utenti o proprietari del gruppo, è anche possibile specificare un revisore di fallback. Ai revisori di fallback viene chiesto di eseguire una verifica quando l'utente non ha alcun manager specificato nella directory o se il gruppo non ha un proprietario.

    Nota

    In una verifica di accesso a un team o a un gruppo, solo i proprietari del gruppo (al momento dell'avvio di una verifica) vengono considerati revisori. Durante una verifica, se l'elenco dei proprietari del gruppo viene aggiornato, i nuovi proprietari del gruppo non verranno considerati revisori e i vecchi proprietari del gruppo saranno comunque considerati revisori. Tuttavia, nel caso di una revisione ricorrente, eventuali modifiche nell'elenco dei proprietari del gruppo verranno considerate nell'istanza successiva di tale revisione.

    Importante

    Per PIM per i gruppi (anteprima), è necessario selezionare i proprietari del gruppo. È obbligatorio assegnare almeno un revisore di fallback alla revisione. La revisione assegnerà solo i proprietari attivi come revisori. I proprietari idonei non sono inclusi. Se non sono presenti proprietari attivi all'inizio della revisione, i revisori di fallback verranno assegnati alla revisione.

    Screenshot che mostra La nuova verifica di accesso.

  3. Nella sezione Specificare la ricorrenza della revisione specificare le selezioni seguenti:

    • Durata (in giorni): durata dell'apertura di una revisione per l'input dei revisori.

    • Data di inizio: inizio della serie di recensioni.

    • Data di fine: al termine della serie di revisioni. È possibile specificare che non termina mai . In alternativa, è possibile selezionare Fine in una data specifica o Fine dopo il numero di occorrenze.

      Screenshot che mostra la scelta della frequenza con cui deve verificarsi la revisione.

  4. Selezionare Avanti: Impostazioni.

Avanti: Impostazioni

  1. Nella sezione Impostazioni di completamento è possibile specificare cosa accade al termine della revisione.

    Screenshot che mostra le impostazioni al completamento.

    • Applica automaticamente i risultati alla risorsa: selezionare questa casella di controllo se si vuole rimuovere automaticamente l'accesso degli utenti negati al termine della durata della revisione. Se l'opzione è disabilitata, è necessario applicare manualmente i risultati al termine della revisione. Per altre informazioni sull'applicazione dei risultati della revisione, vedere Gestire le verifiche di accesso.

    • Se i revisori non rispondono: usare questa opzione per specificare cosa accade agli utenti non esaminati da alcun revisore entro il periodo di revisione. Questa impostazione non influisce sugli utenti che sono stati esaminati da un revisore. L'elenco a discesa mostra le opzioni seguenti:

      • Nessuna modifica: lascia invariato l'accesso di un utente.
      • Rimuovi accesso: rimuove l'accesso di un utente.
      • Approvare l'accesso: approva l'accesso di un utente.
      • Suggerimenti: accetta la raccomandazione del sistema di rifiutare o approvare l'accesso continuo dell'utente.

      Avviso

      Se le impostazioni Se i revisori non rispondono sono impostati su Rimuovi accesso o Accetta raccomandazioni e Applica automaticamente i risultati alla risorsa è abilitato, è possibile revocare tutto l'accesso a questa risorsa se i revisori non rispondono.

    • Azione da applicare agli utenti guest negati: questa opzione è disponibile solo se l'ambito della verifica di accesso è includere solo gli utenti guest per specificare cosa accade agli utenti guest se vengono negati da un revisore o dall'impostazione Se i revisori non rispondono .

      • Rimuovi l'appartenenza dell'utente dalla risorsa: questa opzione rimuove l'accesso di un utente guest negato al gruppo o all'applicazione da esaminare. Possono comunque accedere al tenant e non perderanno altri accessi.
      • Bloccare l'accesso dell'utente per 30 giorni, quindi rimuovere l'utente dal tenant: questa opzione impedisce a un utente guest di accedere al tenant, indipendentemente dal fatto che abbia accesso ad altre risorse. Se questa azione è stata eseguita in caso di errore, gli amministratori possono riabilitare l'accesso dell'utente guest entro 30 giorni dalla disabilitazione dell'utente guest. Se non viene eseguita alcuna azione sull'utente guest disabilitato dopo 30 giorni, vengono eliminati dal tenant.

    Per altre informazioni sulle procedure consigliate per rimuovere gli utenti guest che non hanno più accesso alle risorse dell'organizzazione, vedere Usare Microsoft Entra ID Governance per esaminare e rimuovere utenti esterni che non hanno più accesso alle risorse.

    Nota

    L'azione da applicare agli utenti guest negati non è configurabile nelle recensioni con ambito maggiore rispetto agli utenti guest. Non è configurabile anche per le recensioni di Tutti i gruppi di Microsoft 365 con utenti guest. Quando non è configurabile, l'opzione predefinita di rimuovere l'appartenenza di un utente dalla risorsa viene usata per gli utenti negati.

  2. Usare l'opzione Alla fine della verifica, inviare una notifica per inviare notifiche ad altri utenti o gruppi con aggiornamenti di completamento. Questa funzionalità consente agli stakeholder diversi dall'autore della verifica di restare aggiornati sullo stato di avanzamento della verifica. Per usare questa funzionalità, scegliere Seleziona utenti o gruppi e aggiungere un altro utente o gruppo per cui si vuole ricevere lo stato di completamento.

  3. Nella sezione Abilitare gli helper decisionali di revisione scegliere se si vuole che il revisore riceva consigli durante il processo di revisione:

    1. Se si seleziona Nessun accesso entro 30 giorni, gli utenti che hanno eseguito l'accesso durante il periodo di 30 giorni precedente sono consigliati per l'approvazione. Gli utenti che non hanno eseguito l'accesso negli ultimi 30 giorni sono consigliati per la negazione. Questo intervallo di 30 giorni è indipendentemente dal fatto che gli accessi siano interattivi o meno. L'ultima data di accesso per l'utente specificato verrà visualizzata insieme alla raccomandazione.
    2. Se si seleziona Affiliazione da utente a gruppo, i revisori ricevono il consiglio di approvare o negare l'accesso per gli utenti in base alla distanza media dell'utente nella struttura di report dell'organizzazione. Gli utenti distanti da tutti gli altri utenti all'interno del gruppo vengono considerati "un'affiliazione bassa" e riceveranno una raccomandazione di negazione nelle verifiche di accesso ai gruppi.

    Nota

    Se si crea una verifica di accesso basata sulle applicazioni, le raccomandazioni sono basate sul periodo di 30 giorni a seconda del momento in cui l'utente ha eseguito l'ultimo accesso all'applicazione anziché il tenant.

    Screenshot che mostra le opzioni Abilita helper decisionale revisore.

  4. Nella sezione Impostazioni avanzate è possibile scegliere quanto segue:

    • Giustificazione obbligatoria: selezionare questa casella di controllo per richiedere al revisore di fornire un motivo per l'approvazione o la negazione.

    • Notifiche tramite posta elettronica: selezionare questa casella di controllo per fare in modo che Microsoft Entra ID invii notifiche tramite posta elettronica ai revisori all'avvio di una verifica di accesso e agli amministratori al termine di una verifica.

    • Promemoria: selezionare questa casella di controllo per fare in modo che Microsoft Entra ID invii promemoria delle verifiche di accesso in corso a tutti i revisori. I revisori ricevono i promemoria a metà della revisione, indipendentemente dal fatto che la revisione sia stata completata o meno.

    • Contenuto aggiuntivo per il messaggio di posta elettronica del revisore: il contenuto del messaggio di posta elettronica inviato ai revisori viene generato automaticamente in base ai dettagli della revisione, ad esempio il nome della revisione, il nome della risorsa e la data di scadenza. Se è necessario comunicare altre informazioni, è possibile specificare dettagli come istruzioni o informazioni di contatto nella casella. Le informazioni immesse sono incluse nell'invito e i messaggi di posta elettronica di promemoria vengono inviati ai revisori assegnati. La sezione evidenziata nell'immagine seguente mostra dove vengono visualizzate queste informazioni.

      Screenshot che mostra contenuto aggiuntivo per i revisori.

  5. Seleziona Successivo: Rivedi e crea.

    Screenshot che mostra la scheda Rivedi e crea.

Avanti: Rivedi e crea

  1. Assegnare un nome alla verifica di accesso. Facoltativamente è possibile assegnare una descrizione alla verifica. Il nome e la descrizione vengono visualizzati dai revisori.

  2. Esaminare le informazioni e selezionare Crea.

Creare una verifica di accesso a più fasi

Una revisione a più fasi consente all'amministratore di definire due o tre set di revisori per completare una revisione una dopo l'altra. In una revisione a singola fase, tutti i revisori effettuano una decisione entro lo stesso periodo e l'ultimo revisore per prendere una decisione, ha applicato la decisione. In una revisione a più fasi, due o tre set indipendenti di revisori ognuno di essi prendere una decisione all'interno della propria fase. Le fasi sono sequenziali e la fase successiva non viene eseguita fino a quando non viene registrata una decisione nella fase precedente. Le revisioni in più fasi possono essere usate per ridurre il carico sui revisori in fase successiva, consentire l'escalation dei revisori o disporre di gruppi indipendenti di revisori d'accordo sulle decisioni.

Nota

I dati degli utenti inclusi nelle verifiche di accesso in più fasi fanno parte del record di controllo all'inizio della revisione. Amministrazione istrator può eliminare i dati in qualsiasi momento eliminando la serie di verifiche di accesso a più fasi. Per informazioni generali sul GDPR e sulla protezione dei dati degli utenti, vedere la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del portale Service Trust.

  1. Dopo aver selezionato la risorsa e l'ambito della revisione, passare alla scheda Recensioni .

  2. Selezionare la casella di controllo accanto a Revisione a più fasi.

  3. In Prima revisione della fase selezionare i revisori dal menu a discesa accanto a Seleziona revisori.

  4. Se si seleziona Proprietario gruppo o Manager di utenti, è possibile aggiungere un revisore di fallback. Per aggiungere un fallback, selezionare Selezionare i revisori di fallback e aggiungere gli utenti che si desidera essere revisori di fallback.

    Screenshot che mostra le impostazioni di revisione a più fasi abilitate e a più fasi.

  5. Aggiungere la durata per la prima fase. Per aggiungere la durata, immettere un numero nel campo accanto a Durata fase (in giorni). Questo è il numero di giorni che si desidera che la prima fase sia aperta ai revisori della prima fase per prendere decisioni.

  6. In Seconda revisione della fase selezionare i revisori dal menu a discesa accanto a Seleziona revisori. Questi revisori verranno invitati a esaminare dopo la fine della prima fase di revisione.

  7. Se necessario, aggiungere eventuali revisori di fallback.

  8. Aggiungere la durata per la seconda fase.

  9. Per impostazione predefinita, vengono visualizzate due fasi quando si crea una revisione a più fasi. Tuttavia, è possibile aggiungere fino a tre fasi. Se si vuole aggiungere una terza fase, selezionare + Aggiungi una fase e completare i campi obbligatori.

  10. È possibile decidere di consentire ai revisori di seconda e terza fase di visualizzare le decisioni prese nelle fasi precedenti. Se si vuole consentire loro di visualizzare le decisioni prese in precedenza, selezionare la casella accanto a Mostra le fasi precedenti per i revisori di fasi successive in Reveal rivedi risultati. Lasciare deselezionata la casella per disabilitare questa impostazione se si vuole che i revisori vengano esaminati in modo indipendente.

    Screenshot che mostra la durata e mostra l'impostazione delle fasi precedenti abilitata per la revisione a più fasi.

  11. La durata di ogni ricorrenza viene impostata sulla somma dei giorni di durata specificati in ogni fase.

  12. Specificare la ricorrenza verifica, la data di inizio e la data di fine per la revisione. Il tipo di ricorrenza deve essere almeno a condizione che la durata totale della ricorrenza (ad esempio, la durata massima per una ricorrenza settimanale della revisione è di 7 giorni).

  13. Per specificare quali reviewe continueranno dalla fase alla fase, selezionare una o più delle opzioni seguenti accanto a Specificare gli utenti per passare alla fase successiva: Screenshot che mostra l'impostazione e le opzioni delle revisioni per la revisione in più fasi.

    1. Revisioni approvate: solo gli utenti autorizzati passano alle fasi successive.
    2. Recensioni negate : solo gli utenti che sono stati negati passano alla fase successiva.
    3. Recensioni non esaminate : solo gli utenti che non sono stati esaminati passeranno alle fasi successive.
    4. Reviewees contrassegnati come "Don't Know" (Non conoscere): solo gli utenti contrassegnati come "Non si conoscono" passano alla fase successiva.
    5. Tutto: tutti passano alla fase successiva se si desidera che tutte le fasi dei revisori facciano una decisione.

  14. Continuare con la scheda delle impostazioni e completare le altre impostazioni e creare la revisione. Seguire le istruzioni in Avanti: Impostazioni.

Includere utenti e team con connessione diretta B2B che accedono ai canali condivisi di Teams nelle verifiche di accesso

È possibile creare verifiche di accesso per gli utenti con connessione diretta B2B tramite canali condivisi in Microsoft Teams. Quando si collabora esternamente, è possibile usare le verifiche di accesso di Microsoft Entra per assicurarsi che l'accesso esterno ai canali condivisi rimanga aggiornato. Gli utenti esterni nei canali condivisi sono denominati utenti con connessione diretta B2B. Per altre informazioni sui canali condivisi di Teams e sugli utenti con connessione diretta B2B, vedere l'articolo Connessione diretta B2B.

Quando si crea una verifica di accesso in un team con canali condivisi, i revisori possono esaminare la necessità continua di accedere a tali utenti esterni e Teams nei canali condivisi. È possibile esaminare l'accesso degli utenti di B2B Connect e di altri utenti di Collaborazione B2B supportati e utenti interni non B2B nella stessa revisione.

Nota

Attualmente, gli utenti e i team di connessione diretta B2B sono inclusi solo nelle recensioni a singola fase. Se le revisioni a più fasi sono abilitate, gli utenti e i team di connessione diretta B2B non verranno inclusi nella verifica di accesso.

I team e gli utenti con connessione diretta B2B sono inclusi nelle verifiche di accesso del gruppo di Microsoft 365 abilitato per Teams di cui fanno parte i canali condivisi. Per creare la revisione, è necessario essere:

  • Amministratore globale
  • Amministratore utenti
  • Amministratore di Identity Governance

Usare le istruzioni seguenti per creare una verifica di accesso in un team con canali condivisi:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Verifiche di accesso di Identity Governance>.

  3. Selezionare + Nuova verifica di accesso.

  4. Selezionare Teams e gruppi e quindi selezionare Seleziona team e gruppi per impostare l'ambito Revisione. Gli utenti e i team di connessione diretta B2B non sono inclusi nelle recensioni di Tutti i gruppi di Microsoft 365 con utenti guest.

  5. Selezionare un team con canali condivisi condivisi con 1 o più utenti con connessione diretta B2B o Teams.

  6. Impostare l'ambito.

    Screenshot che mostra l'impostazione dell'ambito di revisione su per la revisione dei canali condivisi.

    • Scegliere Tutti gli utenti da includere:
      • Tutti gli utenti interni
      • Utenti di Collaborazione B2B membri del team
      • Utenti con connessione diretta B2B
      • Teams che accedono ai canali condivisi
    • In alternativa, scegliere Utenti guest solo per includere solo utenti con connessione diretta B2B e utenti di Collaborazione B2B e Teams.

  7. Continuare con la scheda Recensioni . Selezionare un revisore per completare la revisione, quindi specificare la ricorrenza durata e revisione.

    Nota

    • Se si imposta Select reviewers (Seleziona revisori) su Users review their own access or Manager of users (Utenti con connessione diretta B2B) e Teams non sarà in grado di esaminare il proprio accesso nel tenant. Il proprietario del team in esame riceverà un messaggio di posta elettronica che chiede al proprietario di esaminare l'utente di connessione diretta B2B e Teams.
    • Se si seleziona Manager di utenti, un revisore di fallback selezionato esaminerà qualsiasi utente senza un manager nel tenant principale. Sono inclusi gli utenti e Teams con connessione diretta B2B senza un manager.

  8. Passare alla scheda Impostazioni e configurare impostazioni aggiuntive. Passare quindi alla scheda Rivedi e crea per avviare la verifica di accesso. Per informazioni più dettagliate sulla creazione di una verifica e delle impostazioni di configurazione, vedere Creare una verifica di accesso a una singola fase.

Consentire ai proprietari del gruppo di creare e gestire le verifiche di accesso dei gruppi

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Il ruolo prerequisito è un Amministrazione istrator globale o un Amministrazione istrator di Identity Governance.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Verifiche> di accesso di Identity Governance>Impostazioni.

  3. Nella pagina Delegato che può creare e gestire le verifiche di accesso impostare Proprietari del gruppo in grado di creare e gestire le verifiche di accesso per i gruppi di cui sono proprietari su .

    Screenshot che mostra l'abilitazione della revisione dei proprietari dei gruppi.

    Nota

    Per impostazione predefinita, l'impostazione è impostata su No. Per consentire ai proprietari del gruppo di creare e gestire le verifiche di accesso, modificare l'impostazione su .

Creare una verifica di accesso a livello di codice

È anche possibile creare una verifica di accesso usando Microsoft Graph o PowerShell.

Per creare una verifica di accesso usando Graph, chiamare l'API Graph per creare una definizione di pianificazione della verifica di accesso. Il chiamante deve essere un utente in un ruolo appropriato con un'applicazione con l'autorizzazione delegata AccessReview.ReadWrite.All o un'applicazione con l'autorizzazione dell'applicazione AccessReview.ReadWrite.All . Per altre informazioni, vedere panoramica delle API delle verifiche di accesso e le esercitazioni su come esaminare i membri di un gruppo di sicurezza o esaminare gli utenti guest nei gruppi di Microsoft 365.

È anche possibile creare una verifica di accesso in PowerShell con il New-MgIdentityGovernanceAccessReviewDefinition cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance . Per ulteriori informazioni, vedi gli esempi.

All'avvio di una verifica di accesso

Dopo aver specificato le impostazioni per una verifica di accesso e averla creata, la verifica di accesso viene visualizzata nell'elenco con un indicatore del relativo stato.

Screenshot che mostra un elenco di verifiche di accesso e il relativo stato.

Per impostazione predefinita, Microsoft Entra ID invia un messaggio di posta elettronica ai revisori poco dopo una revisione monouso o una ricorrenza di una revisione ricorrente, viene avviata. Se si sceglie di non inviare l'ID Entra di Microsoft, assicurarsi di informare i revisori che una verifica di accesso è in attesa del completamento. È possibile visualizzare le istruzioni per esaminare l'accesso a gruppi o applicazioni. Se la revisione è destinata agli utenti guest a esaminare il proprio accesso, visualizzare le istruzioni per esaminare l'accesso per se stessi a gruppi o applicazioni.

Se gli utenti guest sono stati assegnati come revisori e non hanno accettato l'invito al tenant, non riceveranno un messaggio di posta elettronica dalle verifiche di accesso. Devono prima accettare l'invito prima di iniziare la revisione.

Aggiornare la verifica di accesso

Dopo l'avvio di una o più verifiche di accesso, è possibile modificare o aggiornare le impostazioni delle verifiche di accesso esistenti. Ecco alcuni scenari comuni da considerare:

  • Aggiornare le impostazioni o i revisori: se una verifica di accesso è ricorrente, esistono impostazioni separate in Corrente e in Serie. L'aggiornamento delle impostazioni o dei revisori in Current applica solo le modifiche alla verifica di accesso corrente. L'aggiornamento delle impostazioni in Serie aggiorna le impostazioni per tutte le ricorrenze future.

    Screenshot che mostra l'aggiornamento delle impostazioni di verifica dell'accesso.

  • Aggiungere e rimuovere revisori: quando si aggiornano le verifiche di accesso, è possibile scegliere di aggiungere un revisore di fallback oltre al revisore primario. I revisori primari potrebbero essere rimossi quando si aggiorna una verifica di accesso. I revisori di fallback non sono rimovibili per impostazione predefinita.

    Nota

    I revisori di fallback possono essere aggiunti solo quando il tipo di revisore è un manager o un proprietario del gruppo. I revisori primari possono essere aggiunti quando il tipo di revisore è l'utente selezionato.

  • Ricorda ai revisori: quando si aggiornano le verifiche di accesso, è possibile scegliere di abilitare l'opzione Promemoria in Impostazioni avanzate. Gli utenti ricevono quindi una notifica tramite posta elettronica al punto intermedio del periodo di revisione, indipendentemente dal fatto che la revisione sia stata completata o meno.

    Screenshot che mostra la promemoria dei revisori.

Passaggi successivi