Configurare i criteri di scadenza per i gruppi di Microsoft 365
Questo articolo descrive come gestire il ciclo di vita dei gruppi di Microsoft 365 impostando criteri di scadenza. È possibile impostare un criterio di scadenza solo per i gruppi di Microsoft 365 in Microsoft Entra ID.
Dopo aver impostato un gruppo in modo che scada:
- I gruppi con attività utente vengono rinnovati automaticamente al termine della scadenza.
- I proprietari del gruppo ricevono una notifica per rinnovare il gruppo, se il gruppo non viene nuovo automaticamente.
- Tutti i gruppi che non vengono rinnovati vengono eliminati.
- Qualsiasi gruppo di Microsoft 365 eliminato può essere ripristinato entro 30 giorni dai proprietari del gruppo o dall'amministratore.
Attualmente, è possibile configurare un solo criterio di scadenza per tutti i gruppi di Microsoft 365 in un'organizzazione Microsoft Entra.
Nota
La configurazione e l'uso dei criteri di scadenza per i gruppi di Microsoft 365 richiede di possedere ma non necessariamente assegnare licenze Microsoft Entra ID P1 o P2 per i membri di tutti i gruppi a cui viene applicato il criterio di scadenza.
Per informazioni su come scaricare e installare i cmdlet di PowerShell di Microsoft Graph, vedere Installare Microsoft Graph PowerShell SDK.
Importante
Azure AD PowerShell è pianificato per la deprecazione il 30 marzo 2024. Per altre informazioni, leggere l'aggiornamento deprecato. È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Microsoft Graph PowerShell consente l'accesso a tutte le API Microsoft Graph ed è disponibile in PowerShell 7. Per risposte alle query di migrazione comuni, vedere Domande frequenti sulla migrazione.
Rinnovo automatico basato sulle attività
Con Microsoft Entra intelligence, i gruppi vengono ora rinnovati automaticamente in base al fatto che siano stati usati di recente. Questa funzionalità elimina la necessità di un'azione manuale da parte dei proprietari del gruppo. Si basa sull'attività degli utenti in gruppi in servizi di Microsoft 365 come Outlook, SharePoint, Teams o Yammer.
Ad esempio, un proprietario o un membro del gruppo potrebbe eseguire operazioni simili a:
- Inviare un messaggio di posta elettronica al gruppo in Outlook.
- Caricare un documento in SharePoint.
- Visitare un canale di Teams.
- Visualizzare un post in Yammer.
Negli scenari precedenti, il gruppo viene rinnovato automaticamente circa 35 giorni prima della scadenza del gruppo e il proprietario non riceve alcuna notifica di rinnovo.
Si consideri ora un criterio di scadenza impostato in modo che un gruppo scada dopo 30 giorni di inattività. Per evitare di inviare un messaggio di posta elettronica di scadenza il giorno in cui la scadenza del gruppo è abilitata (perché non è ancora presente alcuna attività di record), Microsoft Entra attende prima cinque giorni. Quindi:
- Se sono presenti attività in questi cinque giorni, i criteri di scadenza funzionano come previsto.
- Se non è presente alcuna attività entro cinque giorni, Microsoft Entra ID invia un messaggio di posta elettronica di scadenza o rinnovo.
- Se il gruppo era inattivo per cinque giorni, è stato inviato un messaggio di posta elettronica e quindi il gruppo era attivo, Microsoft Entra autorenews it e avvia nuovamente il periodo di scadenza.
Attività che rinnovano automaticamente la scadenza del gruppo
Le azioni utente seguenti causano il rinnovo automatico del gruppo:
- SharePoint: visualizzare, modificare, scaricare, spostare, condividere o caricare file.
- Outlook: aggiungere un gruppo, leggere o scrivere un messaggio di gruppo da uno spazio di gruppo o un messaggio "like" (in Outlook Web Access).
- Teams: visitare un canale di Teams.
- Yammer: visualizzare un post all'interno di una community di Yammer o un messaggio di posta elettronica interattivo in Outlook.
Controllo e creazione di report
Amministrazione istrator può ottenere un elenco di gruppi rinnovati automaticamente dai log di controllo delle attività in Microsoft Entra ID.
Ruoli e autorizzazioni
I ruoli seguenti possono configurare e usare la scadenza per i gruppi di Microsoft 365 in Microsoft Entra ID.
| Ruolo | Autorizzazioni |
|---|---|
| Amministratore globale, amministratore del gruppo o amministratore utenti | Può creare, leggere, aggiornare o eliminare le impostazioni dei criteri di scadenza dei gruppi di Microsoft 365 Può rinnovare qualsiasi gruppo di Microsoft 365 |
| User | Può rinnovare un gruppo di Microsoft 365 proprietario Può ripristinare un gruppo di Microsoft 365 di cui sono proprietari Questo ruolo consente di leggere le impostazioni dei criteri di scadenza |
Per altre informazioni sulle autorizzazioni per ripristinare un gruppo eliminato, vedere Ripristinare un gruppo di Microsoft 365 eliminato in Microsoft Entra ID.
Impostare la scadenza dei gruppi
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore globale.
Selezionare Microsoft Entra ID.
Selezionare Gruppi>Tutti i gruppi e quindi selezionare Scadenza per aprire le impostazioni di scadenza.
Nella pagina Scadenza è possibile:
- Impostare la durata del gruppo in giorni. È possibile selezionare uno dei valori predefiniti o un valore personalizzato. Dovrebbe essere di 30 giorni o più.
- Specificare un indirizzo di posta elettronica in cui vengono inviate le notifiche di rinnovo e scadenza quando un gruppo non ha proprietario.
- Selezionare la scadenza dei gruppi di Microsoft 365. È possibile impostare la scadenza per:
- Tutti i gruppi di Microsoft 365.
- Gruppi di Microsoft 365 selezionati .
- Nessuno per limitare la scadenza per tutti i gruppi.
- Al termine salvare le impostazioni facendo clic su Salva.
Nota
- Quando si configura la scadenza per la prima volta, tutti i gruppi precedenti all'intervallo di scadenza vengono impostati su 35 giorni fino alla scadenza, a meno che il gruppo non venga rinnovato automaticamente o che il proprietario lo rinnova.
- Quando un gruppo dinamico viene eliminato e ripristinato, viene considerato come un nuovo gruppo e ripopolato in base alla regola. Questo processo può richiedere fino a 24 ore.
- Le notifiche di scadenza per i gruppi usati in Teams vengono visualizzate nel feed Dei proprietari di Teams.
- Quando si abilita la scadenza per i gruppi selezionati, è possibile aggiungere fino a 500 gruppi all'elenco. Se è necessario aggiungere più di 500 gruppi, è possibile abilitare la scadenza per tutti i gruppi. In questo scenario, la limitazione di 500 gruppi non si applica.
- I gruppi non vengono rinnovati immediatamente quando si verificano attività di rinnovo automatico. In caso di attività, un flag viene inserito nel gruppo per indicare che è pronto per il rinnovo quando è prossimo alla scadenza. Se il gruppo è prossimo alla scadenza, il rinnovo si verifica entro 24 ore.
Notifiche tramite posta elettronica
Se i gruppi non vengono rinnovati automaticamente, le notifiche tramite posta elettronica come l'esempio seguente vengono inviate ai proprietari del gruppo di Microsoft 365 30 giorni, 15 giorni e 1 giorno prima della scadenza del gruppo.
La lingua preferita del proprietario del gruppo o l'impostazione della lingua di Microsoft Entra determina la lingua del messaggio di posta elettronica. Se il proprietario del gruppo ha definito una lingua preferita o più proprietari hanno la stessa lingua preferita, tale lingua viene usata. Per tutti gli altri casi, viene usata l'impostazione del linguaggio Microsoft Entra.
Dal messaggio di posta elettronica rinnova la notifica di gruppo, i proprietari del gruppo possono accedere direttamente alla pagina dei dettagli del gruppo nella Pannello di accesso. Qui, gli utenti possono ottenere altre informazioni sul gruppo, ad esempio la relativa descrizione, quando è stato rinnovato per l'ultima volta, quando scadrà e anche la possibilità di rinnovare il gruppo. La pagina dei dettagli del gruppo include ora anche collegamenti alle risorse del gruppo di Microsoft 365 in modo che il proprietario del gruppo possa visualizzare facilmente il contenuto e l'attività nel proprio gruppo.
Importante
Se si verificano problemi con i messaggi di posta elettronica di notifica e non vengono inviati o ritardati, assicurarsi che Microsoft non elimini mai un gruppo prima dell'invio dell'ultimo messaggio di posta elettronica.
Alla scadenza il gruppo viene eliminato, un giorno dopo la data di scadenza. Una notifica tramite posta elettronica, ad esempio questa, viene inviata ai proprietari del gruppo di Microsoft 365 informandoli sulla scadenza e sulla successiva eliminazione del gruppo di Microsoft 365.
È possibile ripristinare il gruppo entro 30 giorni dall'eliminazione selezionando Ripristina gruppo o usando i cmdlet di PowerShell. Per altre informazioni, vedere Ripristinare un gruppo di Microsoft 365 eliminato in Microsoft Entra ID. Il periodo di ripristino dei gruppi di 30 giorni non è personalizzabile.
Se il gruppo che si sta ripristinando contiene documenti, siti di SharePoint o altri oggetti persistenti, potrebbero essere necessarie fino a 24 ore per ripristinare completamente il gruppo e il relativo contenuto.
Recuperare la data di scadenza del gruppo di Microsoft 365
Oltre a usare Pannello di accesso per visualizzare i dettagli del gruppo, ad esempio la data di scadenza e l'ultima data di rinnovo, è possibile recuperare la data di scadenza di un gruppo di Microsoft 365 dalla versione beta dell'API REST di Microsoft Graph. La proprietà expirationDateTime del gruppo è abilitata in Microsoft Graph Beta. È possibile recuperarlo con una richiesta GET. Per altre informazioni, vedere questo esempio.
Nota
Per gestire le appartenenze ai gruppi in Pannello di accesso, è necessario impostare Limita l'accesso ai gruppi in Pannello di accesso su No nell'impostazione Generale gruppi di Microsoft Entra.
Scadenza del gruppo di Microsoft 365 con una cassetta postale in attesa legale
Quando un gruppo scade e viene eliminato, 30 giorni dopo l'eliminazione dei dati del gruppo da app come Planner, Siti o Teams vengono eliminati definitivamente. La cassetta postale del gruppo con blocco a fini giudiziari viene mantenuta e non viene eliminata definitivamente. L'amministratore può usare i cmdlet di Exchange per ripristinare la cassetta postale e recuperare i dati.
Scadenza del gruppo di Microsoft 365 con criteri di conservazione
È possibile configurare i criteri di conservazione nel portale Sicurezza e conformità. È possibile configurare un criterio di conservazione per i gruppi di Microsoft 365. Quando un gruppo scade e viene eliminato, le conversazioni di gruppo nella cassetta postale e nei file del gruppo nel sito del gruppo vengono mantenute nel contenitore di conservazione per il numero specifico di giorni definiti nei criteri di conservazione. Gli utenti non vedranno il gruppo o il relativo contenuto dopo la scadenza. Possono recuperare i dati del sito e della cassetta postale tramite e-discovery.
Esempi di PowerShell
Ecco alcuni esempi di come usare i cmdlet di PowerShell per configurare le impostazioni di scadenza per i gruppi di Microsoft 365 nell'organizzazione Microsoft Entra:
Installare il modulo PowerShell di Microsoft Graph e accedere al prompt di PowerShell.
Install-Module Microsoft.Graph -Scope CurrentUser Connect-MgGraph -Scopes "Directory.ReadWrite.All"Configurare le impostazioni di scadenza. Usare il cmdlet New-MgGroupLifecyclePolicy per impostare la durata per tutti i gruppi di Microsoft 365 nell'organizzazione di Microsoft Entra su 365 giorni. Le notifiche di rinnovo per i gruppi di Microsoft 365 senza proprietari vengono inviate a
emailaddress@contoso.com.New-MgGroupLifecyclePolicy -AlternateNotificationEmails emailaddress@contoso.com ` -GroupLifetimeInDays 365 -ManagedGroupTypes AllRecuperare i criteri esistenti usando Get-MgGroupLifecyclePolicy. Questo cmdlet recupera le impostazioni di scadenza correnti del gruppo di Microsoft 365 configurate.
Get-MgGroupLifecyclePolicyQuesto esempio contiene gli elementi seguenti:
- ID criterio.
- Le notifiche di rinnovo per i gruppi di Microsoft 365 senza proprietari vengono inviate a
emailaddress@contoso.com. - La durata di tutti i gruppi di Microsoft 365 nell'organizzazione di Microsoft Entra è impostata su 365 giorni.
Id AlternateNotificationEmails GroupLifetimeInDays ManagedGroupTypes -- --------------------------- ------------------- ----------------- 0d21d969-85ed-4c75-8675-eb1bc4899f4e emailaddress@contoso.com 365 AllAggiornare i criteri esistenti usando Update-MgGroupLifecyclePolicy. Questo cmdlet viene usato per aggiornare un criterio esistente. Nell'esempio seguente la durata del gruppo nei criteri esistenti viene modificata da 365 giorni a 180 giorni.
Update-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupLifetimeInDays 180 -AlternateNotificationEmails "emailaddress@contoso.com"Aggiungere gruppi specifici ai criteri usando Add-MgGroupToLifecyclePolicy. Questo cmdlet aggiunge un gruppo di criteri di ciclo di vita. Ad esempio:
Add-MgGroupToLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e" -GroupId "cffd97bd-6b91-4c4e-b553-6918a320211c"Rimuovere i criteri esistenti usando Remove-MgGroupLifecyclePolicy. Questo cmdlet elimina le impostazioni di scadenza del gruppo di Microsoft 365, ma richiede l'ID criterio. Questo cmdlet disabilita la scadenza per i gruppi di Microsoft 365.
Remove-MgGroupLifecyclePolicy -GroupLifecyclePolicyId "0d21d969-85ed-4c75-8675-eb1bc4899f4e"
È possibile usare i cmdlet seguenti per configurare i criteri in modo più dettagliato. Per altre informazioni, vedere la documentazione di Microsoft Graph PowerShell.
- Get-MgGroupLifecyclePolicy
- New-MgGroupLifecyclePolicy
- Remove-MgGroupLifecyclePolicy
- Update-MgGroupLifecyclePolicy
- Add-MgGroupToLifecyclePolicy
- Remove-MgGroupFromLifecyclePolicy
- Invoke-MgRenewGroup
Passaggi successivi
Per altre informazioni sui gruppi di Microsoft Entra, vedere: