Modificare i ruoli delle risorse per un pacchetto di accesso nella gestione entitlement
In qualità di gestore pacchetti di accesso, è possibile modificare le risorse in un pacchetto di accesso in qualsiasi momento senza doversi preoccupare del provisioning dell'accesso dell'utente alle nuove risorse o rimuovere l'accesso dalle risorse precedenti. Questo articolo descrive come modificare i ruoli delle risorse per un pacchetto di accesso esistente.
Questo video offre una panoramica di come modificare un pacchetto di accesso.
Controllare la presenza di risorse nel catalogo
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Se è necessario aggiungere risorse a un pacchetto di accesso, verificare se le risorse necessarie sono disponibili nel catalogo del pacchetto di accesso. Se si è uno strumento di gestione pacchetti di accesso, non è possibile aggiungere risorse a un catalogo, anche se si è proprietari. È possibile usare le risorse disponibili nel catalogo.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione pacchetti di Access.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso da controllare per assicurarsi che il relativo catalogo disponga delle risorse necessarie.
Nel menu a sinistra selezionare Catalogo e quindi aprire il catalogo.
Nel menu a sinistra selezionare Risorse per visualizzare l'elenco delle risorse in questo catalogo.
Se le risorse non sono già presenti nel catalogo e si è un amministratore o un proprietario del catalogo, è possibile aggiungere risorse a un catalogo. I tipi di risorse che è possibile aggiungere sono gruppi, applicazioni integrate con la directory e siti di SharePoint Online. Ad esempio:
- I gruppi possono essere creati dal cloud Gruppi di Microsoft 365 o gruppi di sicurezza Microsoft Entra creati dal cloud. I gruppi che hanno origine in un Active Directory locale non possono essere assegnati come risorse perché il proprietario, o il membro, gli attributi non possono essere modificati in Microsoft Entra ID. Per concedere agli utenti l'accesso a un'applicazione che usa le appartenenze ai gruppi di sicurezza di Active Directory, creare un nuovo gruppo in Microsoft Entra ID, configurare il writeback dei gruppi in ACTIVE Directory e consentire la scrittura di tale gruppo in ACTIVE Directory. I gruppi che hanno origine in Exchange Online come gruppi di distribuzione non possono neanche essere modificati nell'ID Microsoft Entra.
- Le applicazioni possono essere applicazioni aziendali Microsoft Entra, che includono applicazioni SaaS (Software as a Service), applicazioni locali che usano una directory o un database diverso e le proprie applicazioni integrate con Microsoft Entra ID. Se l'applicazione non è ancora stata integrata con la directory Microsoft Entra, vedere Gestire l'accesso per le applicazioni nell'ambiente e integrare un'applicazione con Microsoft Entra ID.
- I siti possono essere siti di SharePoint Online o raccolte siti di SharePoint Online.
Se si è uno strumento di gestione pacchetti di accesso ed è necessario aggiungere risorse al catalogo, è possibile chiedere al proprietario del catalogo di aggiungerle.
Determinare quali ruoli delle risorse includere in un pacchetto di accesso
Un ruolo risorsa è una raccolta di autorizzazioni associate a e definite da una risorsa. Le risorse possono essere rese disponibili per gli utenti da assegnare se si aggiungono ruoli risorsa da ognuna delle risorse del catalogo al pacchetto di accesso. È possibile aggiungere ruoli delle risorse forniti da gruppi, team, applicazioni e siti di SharePoint. Quando un utente riceve un'assegnazione a un pacchetto di accesso, questi vengono aggiunti a tutti i ruoli delle risorse nel pacchetto di accesso.
Quando perdono un'assegnazione di pacchetto di accesso, vengono rimossi da tutti i ruoli delle risorse nel pacchetto di accesso.
Nota
Se gli utenti sono stati aggiunti alle risorse al di fuori della gestione entitlement e devono mantenere l'accesso anche se in un secondo momento ricevono l'assegnazione del pacchetto di accesso e le assegnazioni dei pacchetti di accesso scadono, non aggiungere i ruoli delle risorse a un pacchetto di accesso.
Se si vuole che alcuni utenti ricevano ruoli di risorsa diversi rispetto ad altri, è necessario creare più pacchetti di accesso nel catalogo, con pacchetti di accesso separati per ognuno dei ruoli delle risorse. È anche possibile contrassegnare i pacchetti di accesso come incompatibili tra loro in modo che gli utenti non possano richiedere l'accesso ai pacchetti di accesso che potrebbero concedere loro un accesso eccessivo.
In particolare, le applicazioni possono avere più ruoli dell'app. Quando si aggiunge il ruolo dell'app di un'applicazione come ruolo risorsa a un pacchetto di accesso, se tale applicazione ha più di un ruolo app, è necessario specificare il ruolo appropriato per tali utenti nel pacchetto di accesso.
Nota
Se un'applicazione ha più ruoli dell'app e più ruoli dell'applicazione si trovano in un pacchetto di accesso, l'utente riceverà tutti i ruoli inclusi dell'applicazione. Se invece si vuole che gli utenti abbiano solo alcuni ruoli dell'applicazione, sarà necessario creare più pacchetti di accesso nel catalogo, con pacchetti di accesso separati per ognuno dei ruoli dell'app.
Inoltre, le applicazioni possono anche basarsi sui gruppi di sicurezza per esprimere le autorizzazioni. Ad esempio, un'applicazione potrebbe avere un singolo ruolo User dell'app e controllare anche l'appartenenza di due gruppi, ovvero un Ordinary Users gruppo e un Administrative Access gruppo. Un utente dell'applicazione deve essere membro esattamente di uno di questi due gruppi. Se si vuole configurare che gli utenti possano richiedere una delle autorizzazioni, è necessario inserire in un catalogo tre risorse: l'applicazione, il gruppo Ordinary Users e il gruppo Administrative Access. Creare quindi in tale catalogo due pacchetti di accesso e indicare che ogni pacchetto di accesso non è compatibile con l'altro:
- un primo pacchetto di accesso con due ruoli delle risorse, il ruolo
Userdell'app dell'applicazione e l'appartenenza del gruppoOrdinary Users - un secondo pacchetto di accesso con due ruoli risorsa, il ruolo
Userdell'app dell'applicazione e l'appartenenza del gruppoAdministrative Access
Controllare se gli utenti sono già assegnati al ruolo della risorsa
Quando un ruolo risorsa viene aggiunto a un pacchetto di accesso da un amministratore, gli utenti che si trovano già in tale ruolo della risorsa, ma non hanno assegnazioni al pacchetto di accesso, rimarranno nel ruolo della risorsa, ma non verranno assegnati al pacchetto di accesso. Ad esempio, se un utente è membro di un gruppo e quindi viene creato un pacchetto di accesso e il ruolo membro del gruppo viene aggiunto a un pacchetto di accesso, l'utente non riceverà automaticamente un'assegnazione al pacchetto di accesso.
Se si vuole che gli utenti con appartenenza a un ruolo di risorsa vengano assegnati anche al pacchetto di accesso, è possibile assegnare direttamente gli utenti a un pacchetto di accesso usando l'interfaccia di amministrazione di Microsoft Entra o in blocco tramite Graph o PowerShell. Gli utenti assegnati al pacchetto di accesso riceveranno quindi anche l'accesso agli altri ruoli delle risorse nel pacchetto di accesso. Tuttavia, poiché gli utenti che erano nel ruolo della risorsa hanno già accesso prima di essere aggiunti al pacchetto di accesso, quando l'assegnazione del pacchetto di accesso viene rimossa, verranno rimossi dal ruolo della risorsa.
Aggiungere ruoli delle risorse
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione pacchetti di Access.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso a cui si desidera aggiungere i ruoli delle risorse.
Nel menu a sinistra selezionare Ruoli risorsa.
Selezionare Aggiungi ruoli risorsa per aprire la pagina Aggiungi ruoli risorsa per accedere al pacchetto.
A seconda che si voglia aggiungere un'appartenenza a un gruppo o a un team, accedere a un'applicazione, a un sito di SharePoint o a un ruolo Microsoft Entra (anteprima) eseguire i passaggi in una delle sezioni seguenti del ruolo della risorsa.
Aggiungere un ruolo della risorsa del gruppo o del team
È possibile aggiungere automaticamente gli utenti a un gruppo o a un team in Microsoft Teams quando viene assegnato un pacchetto di accesso.
- Quando un'appartenenza a un gruppo o a un team è un ruolo risorsa che fa parte di un pacchetto di accesso e un utente viene assegnato a tale pacchetto di accesso, l'utente viene aggiunto come membro di tale gruppo o team, se non è già presente.
- Quando l'assegnazione del pacchetto di accesso di un utente scade, viene rimossa dal gruppo o dal team, a meno che non abbia attualmente un'assegnazione a un altro pacchetto di accesso che include lo stesso gruppo o team.
È possibile selezionare qualsiasi gruppo di sicurezza Microsoft Entra o gruppo di Microsoft 365. Gli utenti in un ruolo di amministratore che possono gestire i gruppi possono aggiungere qualsiasi gruppo a un catalogo; I proprietari del catalogo possono aggiungere qualsiasi gruppo al catalogo se sono proprietari del gruppo. Quando si seleziona un gruppo, tenere presenti i vincoli di Microsoft Entra seguenti:
- Quando un utente, incluso un guest, viene aggiunto come membro a un gruppo o a un team, può visualizzare tutti gli altri membri del gruppo o del team.
- Microsoft Entra ID non può modificare l'appartenenza di un gruppo sincronizzato da Windows Server Active Directory usando Microsoft Entra Connessione o creato in Exchange Online come gruppo di distribuzione. Se si prevede di gestire l'accesso alle applicazioni che usano i gruppi di sicurezza di ACTIVE Directory, vedere come configurare il writeback dei gruppi con la gestione entitlement.
- L'appartenenza ai gruppi dinamici non può essere aggiornata aggiungendo o rimuovendo un membro, quindi le appartenenze dinamiche ai gruppi non sono adatte per l'uso con la gestione entitlement.
- I gruppi di Microsoft 365 hanno vincoli aggiuntivi, descritti nella panoramica di Gruppi di Microsoft 365 per gli amministratori, incluso un limite di 100 proprietari per gruppo, limiti sul numero di membri che possono accedere alle conversazioni di gruppo contemporaneamente e 7.000 gruppi per membro.
Per altre informazioni, vedere Confrontare gruppi e Gruppi di Microsoft 365 e Microsoft Teams.
Nella pagina Aggiungi ruoli risorsa per accedere al pacchetto selezionare Gruppi e Teams per aprire il riquadro Seleziona gruppi.
Selezionare i gruppi e i team da includere nel pacchetto di accesso.
Seleziona Seleziona.
Dopo aver selezionato il gruppo o il team, la colonna Tipo secondario elenca uno dei sottotipi seguenti:
Sottotipo Descrizione Sicurezza Usato per concedere l'accesso alle risorse. Distribuzione Usato per l'invio di notifiche a un gruppo di persone. Microsoft 365 Gruppo di Microsoft 365 non abilitato per Teams. Usato per la collaborazione tra utenti, sia all'interno che all'esterno dell'azienda. Team Gruppo di Microsoft 365 abilitato per Teams. Usato per la collaborazione tra utenti, sia all'interno che all'esterno dell'azienda. Nell'elenco Ruolo selezionare Proprietario o Membro.
In genere si seleziona il ruolo Membro. Se si seleziona il ruolo Proprietario, gli utenti diventano proprietari del gruppo, che consente agli utenti di aggiungere o rimuovere altri membri o proprietari.
Selezionare Aggiungi.
Tutti gli utenti con assegnazioni esistenti al pacchetto di accesso diventeranno automaticamente membri (o proprietari) di questo gruppo o team dopo l'aggiunta. Per altre informazioni, vedere quando vengono applicate le modifiche.
Aggiungere un ruolo risorsa applicazione
È possibile assegnare automaticamente agli utenti l'accesso a un'applicazione Microsoft Entra enterprise, tra cui applicazioni SaaS, applicazioni locali e applicazioni dell'organizzazione integrate con Microsoft Entra ID, quando a un utente viene assegnato un pacchetto di accesso. Per le applicazioni che si integrano con Microsoft Entra ID tramite Single Sign-On federato, Microsoft Entra ID rilascia i token di federazione per gli utenti assegnati all'applicazione.
Se l'applicazione non è ancora stata integrata con la directory Microsoft Entra, vedere Gestire l'accesso per le applicazioni nell'ambiente e integrare un'applicazione con Microsoft Entra ID.
Le applicazioni possono avere più ruoli dell'app definiti nel manifesto e gestiti tramite l'interfaccia utente dei ruoli dell'app. Quando si aggiunge il ruolo dell'app di un'applicazione come ruolo risorsa a un pacchetto di accesso, se tale applicazione ha più di un ruolo dell'app, è necessario specificare il ruolo appropriato per gli utenti nel pacchetto di accesso. Se si sviluppano applicazioni, è possibile leggere altre informazioni su come questi ruoli vengono aggiunti alle applicazioni in Procedura: Configurare l'attestazione del ruolo rilasciata nel token SAML per le applicazioni aziendali. Se si usano le librerie di autenticazione Microsoft, è disponibile anche un esempio di codice per l'uso dei ruoli dell'app per il controllo di accesso.
Nota
Se un'applicazione ha più ruoli dell'app e più ruoli dell'applicazione si trovano in un pacchetto di accesso, l'utente riceverà tutti i ruoli inclusi dell'applicazione. Se invece si vuole che gli utenti abbiano solo alcuni ruoli dell'applicazione, sarà necessario creare più pacchetti di accesso nel catalogo, con pacchetti di accesso separati per ognuno dei ruoli dell'app.
Una volta che un ruolo app è una risorsa di un pacchetto di accesso:
- Quando a un utente viene assegnato tale pacchetto di accesso, l'utente viene aggiunto al ruolo dell'app, se non è già presente. Se l'applicazione richiede attributi, i valori degli attributi raccolti dalla richiesta verranno scritti nell'utente.
- Quando l'assegnazione del pacchetto di accesso di un utente scade, l'accesso viene rimosso dall'applicazione, a meno che non disponga di un'assegnazione a un altro pacchetto di accesso che include tale ruolo dell'app. Se l'applicazione richiede attributi, tali attributi vengono rimossi dall'utente.
Ecco alcune considerazioni per la selezione di un'applicazione:
- Le applicazioni possono anche avere gruppi assegnati ai ruoli dell'app. È possibile scegliere di aggiungere un gruppo al posto di un'applicazione e del relativo ruolo in un pacchetto di accesso, ma l'applicazione non sarà visibile all'utente come parte del pacchetto di accesso nel portale di Accesso personale.
- L'interfaccia di amministrazione di Microsoft Entra può anche visualizzare le entità servizio per i servizi che non possono essere selezionati come applicazioni. In particolare, Exchange Online e SharePoint Online sono servizi, non applicazioni con ruoli delle risorse nella directory, quindi non possono essere inclusi in un pacchetto di accesso. Usare invece le licenze basate su gruppi per stabilire una licenza appropriata per un utente che ha bisogno di accedere a tali servizi.
- Le applicazioni che supportano solo gli utenti dell'account Microsoft personale per l'autenticazione e non supportano gli account aziendali nella directory, non hanno ruoli applicazione e non possono essere aggiunti ai cataloghi dei pacchetti di accesso.
Nella pagina Aggiungi ruoli risorsa per accedere al pacchetto selezionare Applicazioni per aprire il riquadro Seleziona applicazioni.
Selezionare le applicazioni da includere nel pacchetto di accesso.
Seleziona Seleziona.
Nell'elenco Ruolo selezionare un ruolo dell'app.
Selezionare Aggiungi.
Gli utenti con assegnazioni esistenti al pacchetto di accesso riceveranno automaticamente l'accesso a questa applicazione quando viene aggiunto. Per altre informazioni, vedere quando vengono applicate le modifiche.
Aggiungere un ruolo risorsa del sito di SharePoint
Microsoft Entra ID può assegnare automaticamente agli utenti l'accesso a un sito di SharePoint Online o a una raccolta siti di SharePoint Online quando viene assegnato un pacchetto di accesso.
Nella pagina Aggiungi ruoli risorsa per accedere al pacchetto selezionare Siti di SharePoint per aprire il riquadro Seleziona siti di SharePoint Online.
Selezionare i siti di SharePoint Online da includere nel pacchetto di accesso.
Seleziona Seleziona.
Nell'elenco Ruolo selezionare un ruolo del sito di SharePoint Online.
Selezionare Aggiungi.
Tutti gli utenti con assegnazioni esistenti al pacchetto di accesso riceveranno automaticamente l'accesso a questo sito di SharePoint Online quando viene aggiunto. Per altre informazioni, vedere quando vengono applicate le modifiche.
Aggiungere un'assegnazione di ruolo Di Microsoft Entra
Quando gli utenti necessitano di autorizzazioni aggiuntive per accedere alle risorse dell'organizzazione, è possibile gestire tali autorizzazioni assegnando loro ruoli Di Microsoft Entra tramite pacchetti di accesso. Assegnando ruoli di Microsoft Entra ai dipendenti e agli utenti guest, usando Entitlement Management, è possibile esaminare i diritti di un utente per determinare rapidamente quali ruoli vengono assegnati a tale utente. Quando si include un ruolo Microsoft Entra come risorsa in un pacchetto di accesso, è anche possibile specificare se l'assegnazione di ruolo è "idonea" o "attiva".
L'assegnazione dei ruoli di Microsoft Entra tramite pacchetti di accesso consente di gestire in modo efficiente le assegnazioni di ruolo su larga scala e di migliorare il ciclo di vita delle assegnazioni di ruolo.
Nota
È consigliabile usare Privileged Identity Management per fornire l'accesso JIT a un utente per eseguire un'attività che richiede autorizzazioni elevate. Queste autorizzazioni vengono fornite tramite i ruoli di Microsoft Entra, contrassegnati come "con privilegi", nella documentazione qui: Ruoli predefiniti di Microsoft Entra. Entitlement Management è più adatto per assegnare agli utenti un bundle di risorse, che può includere un ruolo Microsoft Entra, necessario per svolgere il proprio lavoro. Gli utenti assegnati ai pacchetti di accesso tendono ad avere accesso più lungo alle risorse. Sebbene sia consigliabile gestire ruoli con privilegi elevati tramite Privileged Identity Management, è possibile configurare l'idoneità per tali ruoli tramite pacchetti di accesso in Gestione entitlement.
Seguire questa procedura per includere un ruolo Microsoft Entra come risorsa in un pacchetto di accesso:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance Entitlement management Access Packages (Pacchetti di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso a cui si vogliono aggiungere ruoli delle risorse e selezionare Ruoli risorsa.
Nella pagina Aggiungi ruoli risorsa per accedere al pacchetto selezionare Ruoli Di Microsoft Entra (anteprima) per aprire il riquadro Seleziona ruoli Di Microsoft Entra.
Selezionare i ruoli di Microsoft Entra da includere nel pacchetto di accesso.
Nell'elenco Ruolo selezionare Membro idoneo o Membro attivo.
Seleziona Aggiungi.
Nota
Se si seleziona Idoneo, gli utenti diventeranno idonei per tale ruolo e potranno attivarne l'assegnazione usando Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra. Se si seleziona Attivo, gli utenti avranno un'assegnazione di ruolo attiva finché non avranno più accesso al pacchetto di accesso. Per i ruoli Entra contrassegnati come "con privilegi", sarà possibile selezionare Idoneo. Un elenco dei ruoli con privilegi è disponibile qui: Ruoli predefiniti di Microsoft Entra.
Per aggiungere un ruolo Microsoft Entra a livello di codice, vedere Aggiungere un ruolo Microsoft Entra come risorsa in un pacchetto di accesso a livello di codice.
Aggiungere ruoli delle risorse a livello di codice
Esistono due modi per aggiungere un ruolo risorsa a un pacchetto di accesso a livello di codice, tramite Microsoft Graph e tramite i cmdlet di PowerShell per Microsoft Graph.
Aggiungere ruoli delle risorse a un pacchetto di accesso con Microsoft Graph
È possibile aggiungere un ruolo risorsa a un pacchetto di accesso usando Microsoft Graph. Un utente in un ruolo appropriato con un'applicazione che dispone dell'autorizzazione delegata EntitlementManagement.ReadWrite.All può chiamare l'API per:
- Elencare le risorse nel catalogo e creare un accessPackageResourceRequest per tutte le risorse che non sono ancora presenti nel catalogo.
- Recuperare i ruoli e gli ambiti di ogni risorsa nel catalogo. Questo elenco di ruoli verrà quindi usato per selezionare un ruolo, quando successivamente si crea una risorsaRoleScope.
- Creare una risorsaRoleScope per ogni ruolo di risorsa necessario nel pacchetto di accesso.
Aggiungere ruoli delle risorse a un pacchetto di accesso con Microsoft PowerShell
È anche possibile aggiungere ruoli delle risorse a un pacchetto di accesso in PowerShell con i cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance versione 2.1.x o successiva del modulo.
Recuperare prima di tutto l'ID del catalogo e della risorsa in tale catalogo e i relativi ambiti e ruoli, da includere nel pacchetto di accesso. Usare uno script simile all'esempio seguente. Si presuppone che nel catalogo sia presente una singola risorsa dell'applicazione.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Assegnare quindi il ruolo della risorsa da tale risorsa al pacchetto di accesso. Ad esempio, se si desidera includere il primo ruolo risorsa della risorsa restituita in precedenza come ruolo risorsa di un pacchetto di accesso, si userà uno script simile al seguente.
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams
Rimuovere i ruoli delle risorse
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Suggerimento
Altri ruoli con privilegi minimi che possono completare questa attività includono il proprietario del catalogo e gestione pacchetti di Access.
Passare a Identity Governance Entitlement management Access package (Pacchetto di accesso per la gestione>entitlement di Identity Governance>).
Nella pagina Pacchetti di accesso aprire il pacchetto di accesso per cui si desidera rimuovere i ruoli delle risorse.
Nel menu a sinistra selezionare Ruoli risorsa.
Nell'elenco dei ruoli delle risorse trovare il ruolo della risorsa da rimuovere.
Selezionare i puntini di sospensione (...) e quindi selezionare Rimuovi ruolo risorsa.
Tutti gli utenti con assegnazioni esistenti al pacchetto di accesso avranno automaticamente l'accesso revocato a questo ruolo della risorsa quando viene rimosso.
Quando vengono applicate le modifiche
Nella gestione entitlement, Microsoft Entra ID elabora le modifiche in blocco per l'assegnazione e le risorse nei pacchetti di accesso più volte al giorno. Pertanto, se si effettua un'assegnazione o si modificano i ruoli delle risorse del pacchetto di accesso, possono essere necessarie fino a 24 ore prima che tale modifica venga apportata in Microsoft Entra ID, più il tempo necessario per propagare tali modifiche ad altre applicazioni SaaS o Microsoft Online Services connesse. Se la modifica interessa solo alcuni oggetti, la modifica richiederà probabilmente solo alcuni minuti per l'applicazione in Microsoft Entra ID, dopo la quale altri componenti Di Microsoft Entra rileveranno tale modifica e aggiorneranno le applicazioni SaaS. Se la modifica influisce su migliaia di oggetti, la modifica richiede più tempo. Ad esempio, se si dispone di un pacchetto di accesso con 2 applicazioni e 100 assegnazioni utente e si decide di aggiungere un ruolo del sito di SharePoint al pacchetto di accesso, può verificarsi un ritardo fino a quando tutti gli utenti fanno parte del ruolo del sito di SharePoint. È possibile monitorare lo stato di avanzamento tramite il log di controllo di Microsoft Entra, il log di provisioning di Microsoft Entra e i log di controllo del sito di SharePoint.
Quando si rimuove un membro di un team, vengono rimossi anche dal gruppo di Microsoft 365. La rimozione dalla funzionalità di chat del team potrebbe essere posticipata. Per altre informazioni, vedere Appartenenza al gruppo.