Controllare l'accesso alle funzionalità in Viva con PowerShell
È possibile usare i criteri di accesso in Viva per gestire quali utenti possono accedere a funzionalità specifiche nelle app Viva con PowerShell. La gestione degli accessi alle funzionalità consente di abilitare o disabilitare funzionalità specifiche in Viva per gruppi o utenti specifici nel tenant e quindi personalizzare le distribuzioni in base ai requisiti normativi e aziendali locali.
Un amministratore autorizzato nel tenant può creare, assegnare e gestire i criteri di accesso da PowerShell. Quando un utente accede a Viva, vengono applicate le impostazioni dei criteri e vengono visualizzate solo le funzionalità che non sono state disabilitate.
Importante
È possibile avere più criteri di accesso per una funzionalità attiva nell'organizzazione. Ciò significa che un utente o un gruppo potrebbe essere interessato da più criteri. In tal caso, i criteri più restrittivi assegnati direttamente a un utente o a un gruppo hanno la precedenza. Per altre informazioni, vedere Funzionamento dei criteri di accesso in Viva.
Requisiti
Prima di creare un criterio di accesso in Viva, è necessario:
- Una versione supportata di Microsoft 365 o una licenza di Viva Suite
- Accesso a Exchange Online PowerShell versione 3.2.0 o successiva. Se è necessario usare gruppi non abilitati alla posta elettronica, è necessario avere accesso a Exchange PowerShell versione 3.5.1 o successiva.
- Account utente creati in o sincronizzati con Microsoft Entra ID
- Gruppi di Microsoft 365, Microsoft Entra gruppi di sicurezza creati in o sincronizzati con Microsoft Entra ID o gruppi di distribuzione.
- Ruolo necessario per l'app e la funzionalità specifiche.
Importante
Queste funzionalità non sono ancora disponibili in GCC High o DoD. Per GCC, vedere la documentazione relativa all'app specifica per la disponibilità.
Creare e gestire i criteri di accesso per le funzionalità di Viva
I criteri possono essere creati e gestiti da un amministratore Viva che dispone delle autorizzazioni per eseguire questa operazione nel interfaccia di amministrazione di Microsoft 365 o tramite PowerShell. Ottenere tutti i dettagli sulla creazione e la gestione dei criteri.
Ottenere il featureID per la funzionalità
Prima di creare un criterio di accesso, usare ModuleID per ottenere il featureID per la funzionalità specifica a cui si vuole controllare l'accesso.
ID modulo
| App | ModuleID |
|---|---|
| Partecipazione | VivaEngage |
| Glint | VivaGlint |
| Obiettivi | VivaGoals |
| Insights | VivaInsights |
| Polso | VivaPulse |
| Competenze | VivaSkills |
Usare il cmdlet Di PowerShell Get-VivaModuleFeature per ottenere un elenco di tutte le funzionalità disponibili in un'app Viva specifica e i relativi ID associati.
Installare Exchange Online PowerShell versione 3.2.0 o successiva:
Install-Module -Name ExchangeOnlineManagementConnettersi a Exchange Online con le credenziali di amministratore:
Connect-ExchangeOnlineCompletare l'autenticazione come ruolo necessario per la funzionalità specifica per cui si stanno creando i criteri.
Eseguire il cmdlet Get-VivaModuleFeature per visualizzare le funzionalità che è possibile gestire usando un criterio di accesso.
Ad esempio, per vedere quali funzionalità sono supportate in Viva Insights, eseguire il cmdlet seguente:
Get-VivaModuleFeature -ModuleId VivaInsightsTrovare la funzionalità per cui si vuole creare un criterio di accesso e prendere nota del relativo featureID.
Creare una verifica di accesso
Ora che è disponibile il featureID, usare il cmdlet Di PowerShell Add-VivaModuleFeaturePolicy per creare un criterio di accesso per la funzionalità.
È possibile assegnare un massimo di 10 criteri per funzionalità a utenti e gruppi. Ogni criterio può essere assegnato a un massimo di 20 utenti o gruppi. È possibile assegnare un criterio aggiuntivo per funzionalità all'intero tenant usando il parametro -Everyone , che funzionerà come stato predefinito globale per tale funzionalità nell'intera organizzazione.
Eseguire il cmdlet Add-VivaModuleFeaturePolicy per creare un nuovo criterio di accesso.
Nota
Se la funzionalità supporta i controlli utente per rifiutare esplicitamente, assicurarsi di impostare il parametro IsUserControlEnabled quando si creano i criteri. In caso contrario, i controlli utente per i criteri usano lo stato predefinito per la funzionalità.
Ad esempio, eseguire quanto segue per creare un criterio di accesso, denominato UsersAndGroups, per limitare l'accesso alla funzionalità reflection in Viva Insights.
Add-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -Name UsersAndGroups -IsFeatureEnabled $false -GroupIds group1@contoso.com,group2@contoso.com -UserIds user1@contoso.com,user2@contoso.com
In questo esempio viene aggiunto un criterio per la funzionalità Reflection in Viva Insights. Il criterio disabilita la funzionalità per gli utenti e i membri del gruppo specificati. Se si vuole disabilitare la funzionalità per tutti gli utenti, usare invece il parametro -Everyone .
Gestire i criteri di accesso
È possibile aggiornare un criterio di accesso per modificare se una funzionalità è abilitata o disabilitata, nonché per modificare a chi si applica il criterio (tutti, un utente o un gruppo).
Ad esempio, basandosi sull'ultimo esempio, per aggiornare a chi si applica il criterio, eseguire il cmdlet seguente:
Update-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -GroupIds group1@contoso.com,group2@contoso.com
Proprio come quando si creano i criteri, se i criteri supportano i controlli utente, includere il parametro IsUserControlEnabled quando si modificano i criteri.
Importante
I valori specificati per i parametri -UserIds e -GroupIds o il parametro -Everyone sovrascrivono tutti gli utenti o i gruppi esistenti. Per mantenere gli utenti e i gruppi esistenti, è necessario specificare gli utenti o i gruppi esistenti e gli eventuali utenti o gruppi aggiuntivi che si desidera aggiungere. Se non si includono utenti o gruppi esistenti nel comando, tali utenti o gruppi specifici vengono rimossi dai criteri. Non è possibile aggiornare un criterio per un determinato utente o gruppo in modo da includere l'intero tenant se esiste già un criterio per l'intero tenant per la funzionalità. È supportato un solo criterio a livello di tenant.
Per verificare quali funzionalità sono disabilitate per un utente o un gruppo specifico, eseguire il cmdlet Get-VivaModuleFeatureEnablement . Questo cmdlet restituisce quello che viene chiamato stato di abilitazione per l'utente o il gruppo.
Ad esempio:
Get-VivaModuleFeatureEnablement -ModuleId VivaInsights -FeatureId Reflection -Identity user@contoso.com
Eliminare un criterio di accesso
Usare il cmdlet Remove-VivaModuleFeaturePolicy per eliminare un criterio di accesso.
Ad esempio, per eliminare i criteri di accesso alle funzionalità di Reflection, iniziare recuperando l'UID specifico per i criteri di accesso. È possibile ottenerlo eseguendo Get-VivaModuleFeaturePolicy. In seguito, eseguire il seguente comando cmdlet:
Remove-VivaModuleFeaturePolicy -ModuleId VivaInsights -FeatureId Reflection -PolicyId xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Risoluzione dei problemi
- In caso di problemi durante la creazione o l'uso di criteri di accesso per Viva funzionalità dell'app, verificare che la funzionalità per cui si sta tentando di impostare un criterio sia elencata nella tabella delle funzionalità ed è disponibile per il tenant.
- Se viene visualizzato il messaggio di errore "Richiedente non autorizzato a completare la richiesta" durante l'esecuzione di un cmdlet di PowerShell, verificare se sono stati impostati criteri di accesso condizionale che bloccano indirizzi IP specifici. In tal caso, rimuovere l'indirizzo IP da tale criterio o creare un nuovo criterio per consentire l'inserimento dell'indirizzo IP. Altre informazioni su Microsoft Entra l'accesso condizionale e la risoluzione dei problemi di accesso condizionale usando lo strumento What If.
Altre risorse
Altre informazioni sulla creazione e la gestione dei criteri