Gestire l'accesso utente e guest con le verifiche di accesso
Con le verifiche di accesso è possibile assicurarsi facilmente che gli utenti o gli utenti guest abbiano accesso appropriato. Si può chiedere agli utenti stessi o a un decision maker di partecipare a una verifica di accesso e certificare di nuovo (o "attestare") l'accesso degli utenti. I revisori possono esprimere il proprio giudizio sull'effettiva esigenza di accesso continuo da parte di ogni utente in base ai suggerimenti ottenuti da Microsoft Entra ID. Al termine di una verifica di accesso, è possibile apportare modifiche e rimuovere l'accesso agli utenti per i quali non è più necessario.
Nota
Questo articolo illustra come eseguire verifiche di accesso per utenti e applicazioni. Per visualizzare informazioni sull'esecuzione di una verifica di accesso per più risorse nei pacchetti di accesso, vedere qui Esaminare l'accesso a un pacchetto di accesso nella gestione entitlement di Microsoft Entra. Per esaminare l'accesso dell'utente o dell'entità servizio ai ruoli di Microsoft Entra ID o delle risorse di Azure, vedere Avviare una verifica di accesso in Microsoft Entra Privileged Identity Management.
Prerequisiti
- Microsoft Entra ID P2 o Microsoft Entra ID Governance
Per altre informazioni, vedere Requisiti relativi alle licenze.
Creare ed eseguire una verifica di accesso per gli utenti
Prima di tutto, è necessario assegnare uno dei ruoli seguenti:
- Amministratore globale
- Amministratore utenti
- Amministratore di Identity Governance
- Amministratore ruolo con privilegi (solo per le verifiche di gruppi a cui è possibile assegnare ruoli)
- (Anteprima) Proprietario del gruppo di sicurezza Microsoft 365 o Microsoft Entra del gruppo da rivedere
Nota
Dopo l'accesso con privilegi minimi, è consigliabile usare l'amministratore di Identity Governance o l'amministratore utenti per queste attività.
Passare quindi alla pagina Identity Governance per assicurarsi che le verifiche di accesso siano pronte per l'organizzazione.
A una verifica di accesso possono partecipare uno o più revisori.
Selezionare un gruppo con uno o più membri in Microsoft Entra ID. In alternativa, selezionare un'applicazione connessa a Microsoft Entra ID a cui sono assegnati uno o più utenti.
Decidere se ogni utente dovrà verificare il proprio accesso o se uno o più utenti dovranno verificare l'accesso di tutti.
In uno dei ruoli elencati in precedenza passare alla pagina Identity Governance.
Creare la verifica di accesso. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.
Quando la verifica di accesso viene avviata, chiedere ai revisori di esprimere il proprio giudizio. Per impostazione predefinita, ognuno di essi riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento al pannello di accesso da dove eseguire la verifica di accesso a gruppi o applicazioni.
Se i revisori non hanno specificato l'input, è possibile chiedere all'ID Entra di Microsoft di inviarli un promemoria. Per impostazione predefinita, Microsoft Entra ID invia automaticamente un promemoria a metà della data di fine a tutti i revisori.
Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.
Gestire l'accesso guest con le verifiche di accesso di Microsoft Entra
Con Microsoft Entra ID, è possibile abilitare facilmente la collaborazione attraverso i limiti dell'organizzazione usando la funzionalità Microsoft Entra B2B. Gli utenti guest dagli altri tenant possono essere invitati dagli amministratori o da altri utenti. Questa funzionalità si applica anche alle identità di social networking, ad esempio gli account Microsoft.
Creare ed eseguire una verifica di accesso per i guest
Gli stessi ruoli necessari per creare una verifica di accesso per gli utenti sono necessari anche per creare una verifica di accesso per i guest. Per altre informazioni, vedere Creare ed eseguire una verifica di accesso per gli utenti.
Microsoft Entra ID abilita diversi scenari per la revisione degli utenti guest.
È possibile esaminare:
- Gruppo in Microsoft Entra ID con uno o più utenti guest come membri.
- Applicazione connessa all'ID Microsoft Entra a cui sono assegnati uno o più utenti guest.
Quando si esamina l'accesso degli utenti guest ai gruppi di Microsoft 365, è possibile creare una verifica per ogni gruppo singolarmente o attivare verifiche di accesso automatiche e ricorrenti degli utenti guest in tutti i gruppi di Microsoft 365. Il video seguente fornisce altre informazioni sulle verifiche di accesso ricorrenti degli utenti guest:
È quindi possibile decidere se chiedere a ogni guest di verificare il proprio accesso o chiedere a uno o più utenti di verificare l'accesso di ogni guest.
Questi scenari verranno illustrati nelle sezioni seguenti.
Chiedere ai guest di verificare la propria appartenenza a un gruppo
È possibile usare le verifiche di accesso per controllare se gli utenti invitati e aggiunti a un gruppo continuano ad avere necessità dell'accesso. È possibile chiedere facilmente ai guest di verificare la propria appartenenza a un gruppo.
Per creare una verifica di accesso per il gruppo, selezionare la verifica per includere solo i membri utente guest e che i membri si rivedono. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.
Chiedere a ogni guest di verificare la propria appartenenza. Per impostazione predefinita, ogni guest che ha accettato un invito riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento alla verifica di accesso. Microsoft Entra ID contiene istruzioni per gli utenti guest su come esaminare l'accesso a gruppi o applicazioni.
Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.
Oltre agli utenti che hanno negato la necessità di un accesso continuo, è possibile rimuovere anche gli utenti che non hanno risposto.
Se il gruppo non viene usato per la gestione dell'accesso, è possibile rimuovere anche gli utenti non selezionati per partecipare alla verifica perché non hanno accettato in precedenza il proprio invito. Non accettare può indicare che l'indirizzo di posta elettronica dell'utente invitato conteneva un errore di digitazione. Se un gruppo viene usato come lista di distribuzione, è possibile che alcuni utenti guest non siano stati selezionati per partecipare poiché erano oggetti contatto.
Chiedere agli sponsor di verificare l'appartenenza del guest a un gruppo
È possibile chiedere a uno sponsor, ad esempio i proprietari di un gruppo, di verificare la necessità del guest di avere un'appartenenza continua al gruppo.
Per creare una verifica di accesso per il gruppo, selezionare la verifica per includere solo i membri dell'utente guest. Specificare quindi uno o più revisori. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.
Chiedere ai revisori di esprimere il proprio giudizio. Per impostazione predefinita, ognuno di essi riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento al pannello di accesso da dove eseguire la verifica di accesso a gruppi o applicazioni.
Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.
Nota
È possibile impedire alle identità esterne di accedere al tenant ed eliminare le identità esterne dal tenant dopo 30 giorni. Durante questo periodo, le impostazioni, i risultati, i revisori o i log di controllo nella revisione corrente non saranno visualizzabili o configurabili. Per altre informazioni, vedere Disabilitare ed eliminare identità esterne con le verifiche di accesso di Microsoft Entra.
Chiedere ai guest di verificare il proprio accesso a un'applicazione
È possibile usare le verifiche di accesso per controllare che gli utenti invitati per una specifica applicazione continuino ad avere necessità dell'accesso. È possibile chiedere semplicemente ai guest stessi di verificare la propria necessità di accesso.
Per creare una verifica di accesso per l'applicazione, selezionare la verifica per includere solo gli utenti guest e che gli utenti rivedano il proprio accesso. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.
Chiedere a ogni guest di verificare il proprio accesso all'applicazione. Per impostazione predefinita, ogni guest che ha accettato un invito riceve un messaggio di posta elettronica dall'ID Microsoft Entra. Quel messaggio di posta elettronica conterrà un collegamento alla verifica di accesso nel pannello di accesso dell'organizzazione. Microsoft Entra ID contiene istruzioni per gli utenti guest su come esaminare l'accesso a gruppi o applicazioni.
Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.
Oltre agli utenti che hanno negato la necessità di un accesso continuo, è possibile rimuovere anche gli utenti guest che non hanno risposto. È possibile anche rimuovere gli utenti guest che non sono stati selezionati per partecipare, soprattutto se non sono stati invitati di recente. Questi utenti non hanno accettato l'invito e quindi non hanno accesso all'applicazione.
Chiedere a uno sponsor di verificare l'accesso del guest a un'applicazione
È possibile chiedere a uno sponsor, ad esempio il proprietario di un'applicazione, di verificare la necessità del guest di un accesso continuo all'applicazione.
Per creare una verifica di accesso per l'applicazione, selezionare la verifica per includere solo utenti guest. Specificare quindi uno o più utenti come revisori. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.
Chiedere ai revisori di esprimere il proprio giudizio. Per impostazione predefinita, ognuno di essi riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento al pannello di accesso da dove eseguire la verifica di accesso a gruppi o applicazioni.
Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso e applicare le modifiche. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.
Chiedere ai guest di verificare la propria necessità di accesso in generale
In alcune organizzazioni i guest potrebbero non essere consapevoli delle proprie appartenenze a un gruppo.
Creare un gruppo di sicurezza in Microsoft Entra ID con gli utenti guest come membri, se non esiste già un gruppo appropriato. Ad esempio, è possibile creare un gruppo con un'appartenenza gestita manualmente di guest. In alternativa, è possibile creare un gruppo dinamico con un nome, ad esempio "Guest di Contoso" per gli utenti nel tenant Contoso con l'attributo UserType impostato su valore Guest. Tenere presente che un utente guest membro del gruppo può visualizzare gli altri membri del gruppo.
Per creare una verifica di accesso per tale gruppo, selezionare i revisori come membri stessi. Per altre informazioni, vedere Creare una verifica di accesso di gruppi o applicazioni.
Chiedere a ogni guest di verificare la propria appartenenza. Per impostazione predefinita, ogni guest che ha accettato un invito riceve un messaggio di posta elettronica da Microsoft Entra ID con un collegamento alla verifica di accesso nel pannello di accesso dell'organizzazione. Microsoft Entra ID contiene istruzioni per gli utenti guest su come esaminare l'accesso a gruppi o applicazioni.
Dopo che i revisori avranno espresso il proprio giudizio, interrompere la verifica di accesso. Per altre informazioni, vedere Completare una verifica di accesso di gruppi o applicazioni.
Rimuovere l'accesso guest per i guest per cui è stato negato l'accesso, che non hanno completato la verifica o non hanno accettato in precedenza l'invito. Se alcuni utenti guest sono contatti selezionati per partecipare alla revisione o non hanno accettato in precedenza un invito, è possibile disabilitare i propri account usando l'interfaccia di amministrazione di Microsoft Entra o PowerShell. Se l'utente guest non necessita più dell'accesso e non è un contatto, è possibile rimuovere l'oggetto utente dalla directory usando l'interfaccia di amministrazione di Microsoft Entra o PowerShell per eliminare l'oggetto utente guest.