Completare una verifica di accesso di gruppi e applicazioni nelle verifiche di accesso
In qualità di amministratore, si crea una verifica di accesso di gruppi o applicazioni e revisori che eseguono la verifica di accesso. Questo articolo descrive come visualizzare i risultati della verifica di accesso e applicarli.
Nota
Questo articolo descrive le procedure per l'eliminazione dei dati personali dal dispositivo o dal servizio e può essere usato per adempiere gli obblighi del Regolamento generale sulla protezione dei dati (GDPR). Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.
Prerequisiti
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
- Amministratore globale, Amministratore utenti o Amministratore di Identity Governance per gestire l'accesso delle verifiche su gruppi e applicazioni. Gli utenti con ruolo di amministratore globale o amministratore ruolo con privilegi possono gestire le verifiche dei gruppi assegnabili ai ruoli, vedere: Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo
- I lettori di sicurezza hanno accesso in lettura.
Per altre informazioni, vedere: Requisiti di licenza.
Visualizzare lo stato di una verifica di accesso
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Seguire questa procedura per tenere traccia dello stato di avanzamento delle verifiche di accesso man mano che vengono completate.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Governance identità>Verifiche di accesso.
Nell'elenco selezionare una verifica di accesso.
Nella pagina Panoramica è possibile visualizzare lo stato di avanzamento dell'istanza corrente della revisione. Se al momento non è aperta un'istanza attiva, verranno visualizzate informazioni sull'istanza precedente. Nessun diritto di accesso viene modificato nella directory fino al completamento della verifica.
Tutti i pannelli in Corrente sono visualizzabili solo durante la durata di ogni istanza di revisione.
Nota
Mentre la verifica di accesso corrente mostra solo informazioni sull'istanza di revisione attiva, è possibile ottenere informazioni sulle recensioni ancora da eseguire nella serie nella sezione Revisione pianificata.
La pagina Risultati fornisce altre informazioni su ogni utente sottoposto a revisione nell'istanza, inclusa la possibilità di arrestare, reimpostare e scaricare i risultati.
Se si visualizza una verifica di accesso che verifica l'accesso guest tra i gruppi di Microsoft 365, il riquadro Panoramica elenca ogni gruppo nella verifica.
Selezionare un gruppo per visualizzare lo stato di avanzamento della revisione su tale gruppo, anche per arrestare, reimpostare, applicare ed eliminare.
Se si vuole interrompere una verifica di accesso prima che raggiunga la data di fine pianificata, selezionare il pulsante Arresta .
Quando si arresta una revisione, i revisori non saranno più in grado di fornire risposte. Non è possibile riavviare una verifica dopo che è stata interrotta.
Se non si è più interessati alla verifica di accesso, è possibile eliminarlo facendo clic sul pulsante Elimina .
Visualizzare lo stato della revisione in più fasi (anteprima)
Per visualizzare lo stato e la fase di una verifica di accesso a più fasi:
Selezionare la verifica a più fasi in cui si vuole controllare lo stato o visualizzare la fase in cui si trova.
Selezionare Risultati nel menu di spostamento a sinistra in Corrente.
Una volta che si è nella pagina dei risultati, in Stato indica in quale fase si trova la revisione a più fasi. La fase successiva della revisione non diventerà attiva fino al termine della durata specificata durante l'installazione della verifica di accesso.
Se viene presa una decisione, ma la durata della revisione per questa fase non è ancora scaduta, è possibile selezionare Arresta fase corrente nella pagina dei risultati. Verrà attivata la fase successiva della revisione.
Recuperare i risultati
Per visualizzare i risultati di una revisione, selezionare la pagina Risultati . Per visualizzare solo l'accesso di un utente, nella casella di ricerca, immettere il nome visualizzato o il nome dell'entità utente dell'utente il cui accesso è stato analizzato.
Per visualizzare i risultati di un'istanza completata di una verifica di accesso ricorrente, selezionare Cronologia di revisione, quindi selezionare l'istanza specifica dall'elenco delle istanze di verifica di accesso completate, in base alla data di inizio e di fine dell'istanza. I risultati di questa istanza possono essere visualizzati nella sezione Risultati. Le verifiche di accesso ricorrenti consentono di avere un quadro costante dell'accesso alle risorse che potrebbero dover essere aggiornate più spesso rispetto alle verifiche di accesso monouso.
Per recuperare i risultati di una verifica di accesso, sia in corso che completato, selezionare il pulsante Scarica . Il file CSV risultante può essere visualizzato in Excel o in altri programmi aperti in file CSV con codifica UTF-8.
Recuperare i risultati a livello di codice
È anche possibile recuperare i risultati di una verifica di accesso usando Microsoft Graph o PowerShell.
Sarà prima necessario individuare l'istanza della verifica di accesso. Se accessReviewScheduleDefinition è una verifica di accesso ricorrente, le istanze rappresentano ogni ricorrenza. Una revisione che non viene ricorsiva ha esattamente un'istanza. Le istanze rappresentano anche ogni gruppo univoco esaminato nella definizione della pianificazione. Se una definizione di pianificazione esamina più gruppi, ogni gruppo ha un'istanza univoca per ogni ricorrenza. Ogni istanza contiene un elenco di decisioni su cui i revisori possono intervenire, con una decisione per identità da esaminare.
Dopo aver identificato l'istanza, per recuperare le decisioni usando Graph, chiamare l'API Graph per elencare le decisioni da un'istanza di . Se l'istanza è una revisione a più fasi, chiamare l'API Graph per elencare le decisioni di una verifica di accesso a più fasi. Il chiamante deve essere un utente in un ruolo appropriato con un'applicazione con delega AccessReview.Read.All
o AccessReview.ReadWrite.All
autorizzazione oppure un'applicazione con l'autorizzazione o AccessReview.ReadWrite.All
l'autorizzazione AccessReview.Read.All
dell'applicazione. Per altre informazioni, vedere l'esercitazione su come esaminare un gruppo di sicurezza.
È anche possibile recuperare le decisioni in PowerShell con il Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision
cmdlet dei cmdlet di PowerShell di Microsoft Graph per il modulo Identity Governance . Le dimensioni predefinite della pagina di questa API sono 100 elementi decisionali.
Applicare le modifiche.
Se l'applicazione automatica dei risultati alla risorsa è stata abilitata in base alle selezioni in Al completamento delle impostazioni, l'applicazione automatica viene eseguita al termine di un'istanza di revisione o precedente se si arresta manualmente la verifica.
Se l'applicazione automatica dei risultati alla risorsa non è stata abilitata per la revisione, passare a Cronologia di revisione in Serie dopo la fine della verifica o la revisione è stata interrotta in anticipo e selezionare l'istanza della revisione da applicare.
Selezionare Applica per applicare manualmente le modifiche. Se l'accesso di un utente è stato negato nella verifica, quando si seleziona Applica, Microsoft Entra ID rimuove l'appartenenza o l'assegnazione dell'applicazione.
Lo stato della verifica cambia da Completato a stati intermedi, ad esempio Applicazione e infine allo stato Risultato applicato. È possibile che, dopo alcuni minuti, eventuali utenti rifiutati vengano rimossi dall'appartenenza al gruppo o dall'assegnazione dell'applicazione.
L'applicazione manuale o automatica dei risultati non ha alcun effetto su un gruppo che ha origine in una directory locale. Per modificare un gruppo che ha origine in locale, scaricare i risultati e applicare queste modifiche alla rappresentazione del gruppo in questa directory.
Nota
Alcuni utenti negati non sono in grado di applicare loro i risultati. Gli scenari in cui ciò può verificarsi includono:
- Verifica dei membri di un gruppo di Windows Server AD locale sincronizzato: se il gruppo è sincronizzato da Windows Server AD locale, il gruppo non può essere gestito in Microsoft Entra ID e pertanto l'appartenenza non può essere modificata.
- Revisione di una risorsa (ruolo, gruppo, applicazione) con i gruppi annidati assegnati: per gli utenti che hanno appartenenza tramite un gruppo annidato, l'appartenenza al gruppo annidato non verrà rimossa e pertanto manterrà l'accesso alla risorsa da esaminare.
- L'utente non trovato/altri errori può anche causare un risultato di applicazione non supportato.
- Verifica dei membri del gruppo abilitato alla posta elettronica: il gruppo non può essere gestito in Microsoft Entra ID, quindi l'appartenenza non può essere modificata.
- La revisione di un'applicazione che usa l'assegnazione di gruppo non rimuoverà i membri di tali gruppi, quindi manterrà l'accesso esistente dalla relazione di gruppo per l'assegnazione dell'applicazione
Azioni eseguite sugli utenti guest negati in una verifica di accesso
Durante la creazione della revisione, l'autore può scegliere tra due opzioni per gli utenti guest negati in una verifica di accesso.
- Gli utenti guest negati possono avere accesso alla risorsa rimossa. Questa è l'impostazione predefinita.
- L'utente guest negato può essere bloccato per l'accesso per 30 giorni, quindi eliminato dal tenant. Durante il periodo di 30 giorni l'utente guest può essere ripristinato l'accesso al tenant da parte di un amministratore. Al termine del periodo di 30 giorni, se l'utente guest non ha avuto nuovamente accesso alla risorsa concessa, verrà rimosso dal tenant in modo permanente. Inoltre, usando l'interfaccia di amministrazione di Microsoft Entra, un amministratore globale può eliminare in modo esplicito un utente eliminato di recente prima che venga raggiunto tale periodo di tempo. Dopo l'eliminazione definitiva di un utente, i dati relativi all'utente guest vengono rimossi dalle verifiche di accesso attive. Le informazioni di controllo sugli utenti eliminati restano nel log di controllo.
Azioni eseguite sugli utenti con connessione diretta B2B negata
Negata connessione diretta B2B utenti e team perdono l'accesso a tutti i canali condivisi nel team.