Monitorare e pulire gli account guest non aggiornati usando le verifiche di accesso
Poiché gli utenti collaborano con partner esterni, è possibile che molti account guest vengano creati nei tenant di Microsoft Entra nel tempo. Quando termina la collaborazione e gli utenti non accedono più al tenant, gli account guest potrebbero diventare obsoleti. Gli amministratori possono monitorare gli account guest su larga scala utilizzando analisi degli ospiti inattivi. Gli amministratori possono anche usare le verifiche di accesso per esaminare automaticamente gli utenti guest inattivi, impedirne l'accesso e eliminarli dalla directory.
Altre informazioni su come gestire gli account utente inattivi in Microsoft Entra ID.
Esistono alcuni modelli consigliati efficaci per il monitoraggio e la pulizia degli account guest obsoleti:
Monitorare gli account ospite su larga scala con approfondimenti intelligenti sugli ospiti inattivi nell'organizzazione usando il report sugli ospiti inattivi. Personalizzare la soglia di inattività in base alle esigenze dell'organizzazione, limitare l'ambito degli utenti guest da monitorare e identificare gli utenti guest che potrebbero essere inattivi.
Creare una verifica a più fasi in base alla quale gli utenti guest autocertificano se hanno ancora bisogno di accesso. Un revisore in seconda fase valuta i risultati e prende una decisione finale. Gli utenti guest con accesso negato vengono disabilitati e eliminati in un secondo momento.
Creare una revisione per rimuovere guest esterni inattivi. Gli amministratori definiscono l'inattività come un periodo di giorni. Disabilitano e eliminano in seguito guest che non accedono al tenant entro tale intervallo di tempo. Per impostazione predefinita, questo non influisce sugli utenti creati di recente. Altre informazioni su come identificare gli account inattivi.
Usare le istruzioni seguenti per informazioni su come migliorare il monitoraggio degli account guest inattivi su larga scala e creare verifiche di accesso che seguono questi modelli. Prendere in considerazione le raccomandazioni di configurazione e quindi apportare le modifiche necessarie in base all'ambiente in uso.
Requisiti di licenza
L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance o della Famiglia di prodotti Microsoft Entra. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulle licenze di Microsoft Entra ID Governance.
Monitorare gli account guest su larga scala con approfondimenti sugli account inattivi
Accedi all'Interfaccia di amministrazione di Microsoft Entra.
Vai su governance dell'identità>Dashboard
Accedi al report degli account ospite inattivi navigando alla scheda Governance dell'accesso ai guest e quindi selezionare Visualizza gli ospiti inattivi.
Verrà visualizzato il report guest inattivo che fornirà informazioni dettagliate sugli utenti guest inattivi sulla base di 90 giorni di inattività. La soglia è impostata su 90 giorni per impostazione predefinita, ma può essere configurata usando "Modifica soglia di inattività" in base alle esigenze dell'organizzazione.
Nell'ambito di questo report vengono fornite le informazioni dettagliate seguenti:
- Panoramica dell'account ospite (ospiti totali e ospiti inattivi, ulteriormente categorizzati in ospiti che non hanno mai eseguito l'accesso o che hanno effettuato l'accesso almeno una volta)
- Distribuzione dell'inattività degli ospiti (distribuzione percentuale degli utenti ospiti da giorni dall'ultimo accesso)
- Panoramica dell'inattività dell'ospite (istruzioni sull'inattività dell'ospite per configurare la soglia di inattività)
- Riepilogo degli account guest (visualizzazione tabulare esportabile con i dettagli di tutti gli account guest con informazioni dettagliate sullo stato dell'attività. Lo stato dell'attività potrebbe essere attivo o inattivo in base alla soglia di inattività configurata.
I giorni inattivi vengono calcolati in base alla data dell'ultimo accesso se l'utente ha eseguito l'accesso almeno una volta. Per gli utenti che non hanno mai eseguito l'accesso, i giorni inattivi vengono calcolati in base alla data di creazione.
Nota
Il report con intuizioni sugli ospiti può essere scaricato usando "Scarica tutti i dati". Ogni azione da scaricare può richiedere del tempo a seconda del numero di utenti guest e consente il download per un massimo di 1 milione di utenti guest.
Creare una revisione a più fasi per consentire agli ospiti di auto-verificare l'accesso continuo
Creare un gruppo dinamico per gli utenti guest da rivedere. ad esempio:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Per creare una Revisione degli Accessi per il gruppo dinamico, passare a Microsoft Entra ID > Identity Governance > Revisione degli Accessi.
Selezionare Nuova verifica di accesso.
Configurare il tipo di revisione.
Proprietà valore Selezionare gli elementi da verificare Teams e gruppi Ambito della verifica Selezionare Teams e gruppi Gruppo Selezionare il gruppo dinamico Ambito Solo utenti ospiti (Facoltativo) Esaminare gli utenti ospiti inattivi Selezionare la casella per utenti inattivi (a livello di tenant) solo.
Immettere il numero di giorni che costituiscono l'inattività.
Selezionare Successivo: Verifiche.
Configurare le recensioni:
Proprietà valore Revisione della prima fase Revisione in più fasi Selezionare la casella Selezionare i revisori Gli utenti verificano il proprio accesso Durata della fase (in giorni) Immettere il numero di giorni Revisione della seconda fase Selezionare i revisori Proprietari del gruppo o utenti o gruppi selezionati Durata della fase (in giorni) Immettere il numero di giorni.
(Facoltativo) Specificare un revisore di fallback.Specificare la ricorrenza della revisione Rivedi ricorrenza Selezionare le preferenze dall'elenco a discesa Data di inizio Seleziona una data Fine Selezionare le preferenze Indicare i valutati per passare alla fase successiva Utenti sottoposti a revisione che passano alla fase successiva Seleziona i partecipanti alla revisione. Ad esempio, selezionare gli utenti che hanno ricevuto l'approvazione automatica o che hanno risposto Non lo sanno. 
Selezionare Avanti: Impostazioni.
Configurare le impostazioni:
Proprietà valore Al completamento delle impostazioni Applica automaticamente i risultati alla risorsa Selezionare la casella Se i revisori non rispondono Rimuovere i privilegi di accesso Azione da applicare agli utenti guest a cui è stato respinto l'accesso Impedire all'utente di accedere per 30 giorni, quindi rimuovere l'utente dal tenant (Facoltativo) Al termine della revisione, inviare una notifica a Specificare altri utenti o gruppi a cui inviare una notifica. Abilitare gli strumenti decisionali per i revisori Contenuto aggiuntivo per la posta elettronica del revisore Aggiungere un messaggio personalizzato per i revisori Tutti gli altri campi Lasciare i valori predefiniti per le opzioni rimanenti. 
Selezionare Avanti: Rivedi e crea
Immettere un nome di verifica di accesso. (Facoltativo) specificare la descrizione.
Seleziona Crea.
Creare una revisione per rimuovere guest esterni inattivi
Creare un gruppo dinamico per gli utenti guest da rivedere. ad esempio:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Per creare una revisione degli accessi per il gruppo dinamico, passare a Microsoft Entra ID > Identity Governance > Verifiche di accesso.
Selezionare Nuova verifica di accesso.
Configurare il tipo di revisione:
Proprietà valore Selezionare gli elementi da verificare Teams e gruppi Ambito della verifica Selezionare Teams e gruppi Gruppo Selezionare il gruppo dinamico Ambito Solo utenti ospiti Solo utenti non attivi a livello di tenant Selezionare la casella Giorni inattivi Immettere il numero di giorni che costituiscono l'inattività Nota
Il tempo di inattività configurato non influirà sugli utenti creati di recente. La verifica di accesso verificherà se l'utente è stato creato nell'intervallo di tempo configurato e ignorerà gli utenti che non esistono per almeno quel periodo di tempo. Ad esempio, se si imposta il tempo di inattività su 90 giorni e un utente guest è stato creato/invitato meno di 90 giorni fa, l'utente guest non rientra nell'ambito della verifica di accesso. In questo modo, gli ospiti possono effettuare l'accesso una volta prima di essere rimossi.
Selezionare Successivo: Verifiche.
Configurare le recensioni:
Proprietà valore Specificare i revisori Selezionare i revisori Selezionare Proprietari del gruppo o un utente o un gruppo.
(Facoltativo) Per consentire al processo di rimanere automatizzato, selezionare un revisore che non eseguirà alcuna azione.Specificare la ricorrenza della revisione Durata (in giorni) Immettere o selezionare un valore in base alle preferenze Verifica ricorrenza Selezionare le preferenze dall'elenco a discesa Data di inizio Seleziona una data Fine Scegliere un'opzione Selezionare Avanti: Impostazioni.
Configurare le impostazioni:
Proprietà valore Al completamento delle impostazioni Applica automaticamente i risultati alla risorsa Selezionare la casella Se le recensioni non danno riscontro Rimuovere i privilegi di accesso Azione da applicare agli utenti guest a cui è stato respinto l'accesso Impedire all'utente di accedere per 30 giorni, quindi rimuovere l'utente dal tenant Abilitare gli assistenti decisionali per i revisori Nessun accesso effettuato negli ultimi 30 giorni Selezionare la casella Tutti gli altri campi Selezionare/deselezionare le caselle in base alle preferenze. 
Selezionare Avanti: Rivedi e crea.
Immettere un nome di verifica di accesso. (Facoltativo) specificare la descrizione.
Seleziona Crea.
Gli utenti guest che non accedono al tenant per il numero di giorni configurati vengono disabilitati per 30 giorni, quindi eliminati. Dopo l'eliminazione, è possibile ripristinare gli utenti guest per un massimo di 30 giorni, dopo il quale è necessario un nuovo invito.
Nota
Se le decisioni relative alla verifica di accesso non sono ancora applicate , l'accesso all'APIReviewInstance : stopApplyDecisions può essere usato per interrompere l'applicazione attiva delle decisioni.