Monitorare e pulire gli account guest non aggiornati usando le verifiche di accesso
Poiché gli utenti collaborano con partner esterni, è possibile che molti account guest vengano creati nei tenant di Microsoft Entra nel tempo. Al termine della collaborazione e gli utenti non accedono più al tenant, gli account guest potrebbero diventare obsoleti. Gli amministratori possono monitorare gli account guest su larga scala usando informazioni guest inattive. Gli amministratori possono anche usare le verifiche di accesso per esaminare automaticamente gli utenti guest inattivi, impedirne l'accesso e eliminarli dalla directory.
Altre informazioni su come gestire gli account utente inattivi in Microsoft Entra ID.
Esistono alcuni modelli consigliati efficaci per il monitoraggio e la pulizia degli account guest obsoleti:
Monitorare gli account guest su larga scala con informazioni dettagliate intelligenti in guest inattivi nell'organizzazione usando il report guest inattivo. Personalizzare la soglia di inattività in base alle esigenze dell'organizzazione, limitare l'ambito degli utenti guest da monitorare e identificare gli utenti guest che potrebbero essere inattivi.
Creare una verifica a più fasi in base alla quale gli utenti guest autocertificano se hanno ancora bisogno di accesso. Un revisore in seconda fase valuta i risultati e prende una decisione finale. Gli utenti guest con accesso negato vengono disabilitati e eliminati in un secondo momento.
Creare una revisione per rimuovere guest esterni inattivi. Gli amministratori definiscono inattivi come periodo di giorni. Disabilitano e eliminano in seguito guest che non accedono al tenant entro tale intervallo di tempo. Per impostazione predefinita, questo non influisce sugli utenti creati di recente. Altre informazioni su come identificare gli account inattivi.
Usare le istruzioni seguenti per informazioni su come migliorare il monitoraggio degli account guest inattivi su larga scala e creare verifiche di accesso che seguono questi modelli. Prendere in considerazione le raccomandazioni di configurazione e quindi apportare le modifiche necessarie in base all'ambiente in uso.
Requisiti di licenza
L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance o della Famiglia di prodotti Microsoft Entra. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulle licenze di Microsoft Entra ID Governance.
Monitorare gli account guest su larga scala con informazioni dettagliate guest inattive
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedi all'Interfaccia di amministrazione di Microsoft Entra.
Passare a Dashboard di governance delle>identità
Accedere al report dell'account guest inattivo passando alla scheda di governance dell'accesso guest e quindi selezionare Visualizza guest inattivi.
Verrà visualizzato il report guest inattivo che fornirà informazioni dettagliate sugli utenti guest inattivi in base a 90 giorni di inattività. La soglia è impostata su 90 giorni per impostazione predefinita, ma può essere configurata usando "Modifica soglia di inattività" in base alle esigenze dell'organizzazione.
Nell'ambito di questo report vengono fornite le informazioni dettagliate seguenti:
- Panoramica dell'account guest (guest totali e guest inattivi con una categorizzazione ulteriore di utenti guest che non hanno mai eseguito l'accesso o l'accesso almeno una volta)
- Distribuzione dell'inattività guest (distribuzione percentuale degli utenti guest in base ai giorni dall'ultimo accesso)
- Panoramica dell'inattività guest (indicazioni sull'inattività guest per configurare la soglia di inattività)
- Riepilogo degli account guest (visualizzazione tabulare esportabile con i dettagli di tutti gli account guest con informazioni dettagliate sullo stato dell'attività. Lo stato dell'attività potrebbe essere attivo o inattivo in base alla soglia di inattività configurata.
I giorni inattivi vengono calcolati in base alla data dell'ultimo accesso se l'utente ha eseguito l'accesso almeno una volta. Per gli utenti che non hanno mai eseguito l'accesso, i giorni inattivi vengono calcolati in base alla data di creazione.
Nota
Il report con informazioni dettagliate guest può essere scaricato usando "Scarica tutti i dati". Ogni azione da scaricare può richiedere del tempo a seconda del numero di utenti guest e consente il download per un massimo di 1 milione di utenti guest.
Creare una revisione a più fasi per consentire agli utenti guest di auto-attestare l'accesso continuo
Creare un gruppo dinamico per gli utenti guest da rivedere. ad esempio:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Per creare una verifica di accesso per il gruppo dinamico, passare a Verifiche di accesso di Microsoft Entra ID > Identity Governance>.
Selezionare Nuova verifica di accesso.
Configurare il tipo di revisione.
Proprietà valore Selezionare gli elementi da verificare Teams e gruppi Ambito della verifica Selezionare Teams e gruppi Raggruppa Selezionare il gruppo dinamico Ambito Solo utenti guest (Facoltativo) Esaminare gli utenti guest inattivi Selezionare la casella solo utenti inattivi (a livello di tenant).
Immettere il numero di giorni che costituiscono l'inattività.
Selezionare Successivo: Verifiche.
Configurare le recensioni:
Proprietà valore Prima revisione della fase Revisione in più fasi Selezionare la casella Selezionare i revisori Gli utenti verificano il proprio accesso Durata della fase (in giorni) Immettere il numero di giorni Revisione della seconda fase Selezionare i revisori Proprietari del gruppo o utenti o gruppi selezionati Durata della fase (in giorni) Immettere il numero di giorni.
(Facoltativo) Specificare un revisore di fallback.Specificare la ricorrenza della revisione Verifica ricorrenza Selezionare le preferenze dall'elenco a discesa Data di inizio Seleziona una data Fine Selezionare le preferenze Specificare gli esaminatore per passare alla fase successiva Utenti sottoposti a revisione che passano alla fase successiva Selezionare Reviewees (Verifica). Ad esempio, selezionare gli utenti che hanno ricevuto l'approvazione automatica o che hanno risposto Non lo sanno. 
Selezionare Avanti: Impostazioni.
Configurare le impostazioni:
Proprietà valore Al completamento delle impostazioni Applica automaticamente i risultati alla risorsa Selezionare la casella Se i revisori non rispondono Rimuovere i privilegi di accesso Azione da applicare agli utenti guest a cui è stato respinto l'accesso Impedire all'utente di accedere per 30 giorni, quindi rimuovere l'utente dal tenant (Facoltativo) Al termine della revisione, inviare una notifica a Specificare altri utenti o gruppi a cui inviare una notifica. Abilitare gli helper decisionali per i revisori Contenuto aggiuntivo per la posta elettronica del revisore Aggiungere un messaggio personalizzato per i revisori Tutti gli altri campi Lasciare i valori predefiniti per le opzioni rimanenti. 
Selezionare Avanti: Rivedi e crea
Immettere un nome di verifica di accesso. (Facoltativo) specificare la descrizione.
Seleziona Crea.
Creare una revisione per rimuovere guest esterni inattivi
Creare un gruppo dinamico per gli utenti guest da rivedere. ad esempio:
(user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)Per creare una verifica di accesso per il gruppo dinamico, passare a Verifiche di accesso di Microsoft Entra ID > Identity Governance>.
Selezionare Nuova verifica di accesso.
Configurare il tipo di revisione:
Proprietà valore Selezionare gli elementi da verificare Teams e gruppi Ambito della verifica Selezionare Teams e gruppi Raggruppa Selezionare il gruppo dinamico Ambito Solo utenti guest Solo utenti non attivi a livello di tenant Selezionare la casella Giorni inattivi Immettere il numero di giorni che costituiscono l'inattività Nota
Il tempo di inattività configurato non influirà sugli utenti creati di recente. La verifica di accesso verificherà se l'utente è stato creato nell'intervallo di tempo configurato e ignorerà gli utenti che non esistono per almeno quel periodo di tempo. Ad esempio, se si imposta il tempo di inattività su 90 giorni e un utente guest è stato creato/invitato meno di 90 giorni fa, l'utente guest non rientra nell'ambito della verifica di accesso. In questo modo, gli utenti guest possono accedere una volta prima di essere rimossi.
Selezionare Successivo: Verifiche.
Configurare le recensioni:
Proprietà valore Specificare i revisori Selezionare i revisori Selezionare Proprietari del gruppo o un utente o un gruppo.
(Facoltativo) Per consentire al processo di rimanere automatizzato, selezionare un revisore che non eseguirà alcuna azione.Specificare la ricorrenza della revisione Durata (in giorni) Immettere o selezionare un valore in base alle preferenze Verifica ricorrenza Selezionare le preferenze dall'elenco a discesa Data di inizio Seleziona una data Fine Scegliere un'opzione Selezionare Avanti: Impostazioni.
Configurare le impostazioni:
Proprietà valore Al completamento delle impostazioni Applica automaticamente i risultati alla risorsa Selezionare la casella Se le recensioni non rispondono Rimuovere i privilegi di accesso Azione da applicare agli utenti guest a cui è stato respinto l'accesso Impedire all'utente di accedere per 30 giorni, quindi rimuovere l'utente dal tenant Abilitare gli helper decisionali per i revisori Nessuna informazione di accesso negli ultimi 30 giorni Selezionare la casella Tutti gli altri campi Selezionare/deselezionare le caselle in base alle preferenze. 
Selezionare Avanti: Rivedi e crea.
Immettere un nome di verifica di accesso. (Facoltativo) specificare la descrizione.
Seleziona Crea.
Gli utenti guest che non accedono al tenant per il numero di giorni configurati vengono disabilitati per 30 giorni, quindi eliminati. Dopo l'eliminazione, è possibile ripristinare gli utenti guest per un massimo di 30 giorni, dopo il quale è necessario un nuovo invito.
Nota
Se le decisioni relative alla verifica di accesso non sono ancora applicate , l'accesso all'APIReviewInstance : stopApplyDecisions può essere usato per interrompere l'applicazione attiva delle decisioni.