Creare una verifica di accesso di PIM per i gruppi in Microsoft Entra ID (anteprima)
Questo articolo descrive come creare una o più verifiche di accesso per PIM per i gruppi, che includeranno i membri attivi del gruppo e i membri idonei. Le revisioni possono essere eseguite su entrambi i membri attivi del gruppo, attivi al momento della creazione della verifica e sui membri idonei del gruppo.
Prerequisiti
L'uso di questa funzionalità richiede licenze di Microsoft Entra ID Governance o Microsoft Entra Suite. Per trovare la licenza appropriata per i propri requisiti, vedere Concetti fondamentali sulla governance delle licenze di Microsoft Entra ID Governance.
Creare una verifica di accesso pim per i gruppi
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Ambito
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.
Passare a Identity Governance Access Reviews Review History>di accesso di Identity Governance).>
Selezionare Nuova verifica di accesso per creare una nuova verifica di accesso.
Nella casella Seleziona cosa rivedere selezionare Teams e gruppi.
Selezionare Teams e gruppi e quindi selezionare Seleziona Teams e gruppi in Rivedi ambito. Sullo schermo viene visualizzato un elenco di gruppi tra cui scegliere.
Nota
Quando si seleziona PIM per i gruppi, gli utenti sottoposti a verifica per il gruppo includeranno tutti gli utenti idonei e gli utenti attivi in tale gruppo.
Ora è possibile selezionare un ambito per la verifica. Le opzioni disponibili sono:
- Solo utenti guest: questa opzione limita la verifica di accesso solo agli utenti guest di Microsoft Entra B2B nella directory in uso.
- Tutti: questa opzione estende l'ambito definito per la verifica di accesso a tutti gli oggetti utente associati alla risorsa.
Se si sta eseguendo una verifica dell'appartenenza al gruppo, è possibile creare verifiche di accesso solo per gli utenti inattivi del gruppo. Nella sezione Ambito utenti, contrassegnare la casella accanto a Utenti non attivi (a livello di tenant). Se si seleziona la casella, l'ambito della revisione è incentrato solo sugli utenti inattivi, gli utenti che non hanno eseguito l'accesso in modo interattivo o non interattivo al tenant. Specificare quindi Giorni di inattività inserendo un numero massimo di 730 giorni (due anni). Gli utenti del gruppo che rimangono inattivi per il numero specificato di giorni saranno gli unici inclusi nella verifica.
Nota
Gli utenti creati di recente non saranno interessati durante la configurazione del tempo di inattività. La verifica di accesso verificherà se un utente sia stato creato nell'intervallo di tempo configurato e ignora gli utenti che non sono esistiti per almeno quel periodo di tempo. Ad esempio, se si imposta il tempo di inattività su 90 giorni e un utente guest è stato creato o invitato meno di 90 giorni fa, l'utente guest non rientrerà nell'ambito della verifica di accesso. In questo modo, un utente può accedere almeno una volta prima di essere rimosso.
- Selezionare Successivo: Verifiche.
Dopo aver raggiunto questo passaggio, è possibile seguire le istruzioni descritte in Avanti: Recensioni nell'articolo Creare una verifica di accesso di gruppi o applicazioni per completare la verifica di accesso.
Nota
Per le verifiche di accesso di PIM per Gruppi (anteprima), quando si seleziona il proprietario del gruppo come revisore, è obbligatorio assegnare almeno un revisore di fallback. La verifica assegnerà solo il/i proprietario/i attivo/i come revisore/i. I proprietari idonei non sono inclusi. Se non sono presenti proprietari attivi all'inizio della verifica, i revisori di fallback verranno assegnati alla revisione.