Gestire i gruppi e l'appartenenza ai gruppi di Microsoft Entra

  • Procedure

I gruppi di Microsoft Entra vengono usati per gestire gli utenti che necessitano tutti dello stesso accesso e delle stesse autorizzazioni per le app e i servizi con potenziali restrizioni. Invece di aggiungere autorizzazioni speciali ai singoli utenti, si crea un gruppo che applica le autorizzazioni speciali a ogni membro del gruppo.

Questo articolo illustra gli scenari di gruppo di base in cui un singolo gruppo viene aggiunto a una singola risorsa e gli utenti vengono aggiunti come membri a tale gruppo. Per scenari più complessi, inclusi i gruppi di appartenenze dinamiche e la creazione di regole, vedere la documentazione sulla gestione degli utenti di Microsoft Entra.

Prima di aggiungere gruppi e membri, è possibile ottenere informazioni sui gruppi e sui tipi di appartenenza per decidere quali opzioni usare quando si crea un gruppo.

Prerequisiti

None

Creare un gruppo di base e aggiungere membri

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

È possibile creare un gruppo di base e aggiungere i membri allo stesso tempo usando l'interfaccia di amministrazione di Microsoft Entra. Per creare i gruppi, è necessario avere almeno il ruolo Amministratore gruppi o Amministratore utenti. Esaminare i ruoli appropriati di Microsoft Entra per la gestione dei gruppi

Per creare un gruppo di base e aggiungere membri:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Selezionare Nuovo gruppo.

    Screenshot della pagina

  4. Selezionare un tipo di gruppo. Per altre informazioni sui tipi di gruppo, fare riferimento all'articolo Tipi di gruppo e di appartenenza.

    • Se si seleziona il tipo di gruppo di Microsoft 365, viene abilitata l'opzione Indirizzo di posta elettronica di gruppo.

  5. Inserire un nome di gruppo. Scegliere un nome facile da ricordare e significativo per il gruppo. Verrà eseguita una verifica per determinare se il nome è già usato da un altro gruppo. Se il nome è già in uso, per evitare duplicati, verrà richiesto di cambiare il nome del gruppo.

    • Il nome del gruppo non può iniziare con uno spazio. Lo spazio all'inizio del nome impedisce la visualizzazione del gruppo come opzione per i passaggi, ad esempio l'aggiunta di assegnazioni di ruolo ai membri del gruppo.

  6. Indirizzo di posta elettronica del gruppo: disponibile solo per i tipi di gruppo di Microsoft 365. Immettere un indirizzo di posta elettronica manualmente o usare l'indirizzo di posta elettronica compilato dal nome del gruppo specificato.

  7. Descrizione gruppo. Aggiungere una descrizione facoltativa per il gruppo.

  8. Cambiare l'impostazione "Ruoli di Microsoft Entra possono essere assegnati al gruppo" su sì per usare questo gruppo per assegnare i ruoli di Microsoft Entra ai membri.

    • Questa opzione è disponibile solo con una licenza P1 o P2.
    • È necessario avere almeno il ruolo Amministratore ruolo con privilegi.
    • L'abilitazione di questa opzione seleziona automaticamente Assegnato come tipo di appartenenza.
    • La possibilità di aggiungere ruoli durante la creazione del gruppo viene aggiunta al processo.
    • Altre informazioni sull'assegnazione dei ruoli.

  9. Selezionare un tipo di appartenenza. Per altre informazioni sui tipi di appartenenza, fare riferimento all'articolo Tipi di gruppo e di appartenenza.

  10. Facoltativamente, aggiungere Proprietari o Membri. I membri e i proprietari possono essere aggiunti dopo la creazione del gruppo.

    1. Selezionare il collegamento in Proprietari o Membri per popolare un elenco di ogni utente nella directory.
    2. Scegliere gli utenti dall'elenco e quindi selezionare il pulsante Seleziona nella parte inferiore della finestra.

    Screenshot dei membri del gruppo selezionati durante il processo di creazione del gruppo.

  11. Seleziona Crea. Il gruppo viene creato e pronto per gestire altre impostazioni.

    Attivare o disattivare il messaggio di posta elettronica di benvenuto del gruppo

    Una notifica di benvenuto viene inviata a tutti gli utenti quando vengono aggiunti a un nuovo gruppo di Microsoft 365, indipendentemente dal tipo di appartenenza. Quando gli attributi di un utente o un dispositivo cambiano, tutte le regole dei gruppi di appartenenza dinamica dell'organizzazione vengono elaborate per rilevare eventuali modifiche nell'appartenenza. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.

Aggiungere membri o proprietari di un gruppo

I membri e i proprietari possono essere aggiunti da gruppi esistenti. Il processo è lo stesso per i membri e i proprietari. Per aggiungere membri e proprietari, è necessario il ruolo Amministratore gruppi o Amministratore utenti.

È necessario aggiungere più membri contemporaneamente? Informazioni sull'opzione aggiungi membri in blocco.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Membri o Proprietari.

    Screenshot della pagina di panoramica del gruppo con le opzioni di menu Membri e Proprietari evidenziate.

  5. Selezionare + Aggiungi (membri o proprietari).

  6. Scorrere l'elenco o digitare un nome nella casella di ricerca. È possibile scegliere più nomi contemporaneamente. Quando si è pronti, selezionare il pulsante Seleziona.

    La pagina Panoramica gruppo viene aggiornata per indicare il numero di membri aggiunti al gruppo.

Rimuovere membri o proprietari di un gruppo

I membri e i proprietari possono essere rimossi dai gruppi esistenti. Il processo è lo stesso per i membri e i proprietari. Per rimuovere membri e proprietari, è necessario il ruolo Amministratore gruppi o Amministratore utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Membri o Proprietari.

  5. Selezionare la casella accanto a un nome dall'elenco e selezionare il pulsante Rimuovi.

    Screenshot dei membri del gruppo con un nome selezionato e il pulsante Rimuovi evidenziato.

Modificare le impostazioni del gruppo

È possibile modificare il nome, la descrizione o il tipo di appartenenza di un gruppo. Per modificare le impostazioni di un gruppo, è necessario il ruolo Amministratore gruppi o Amministratore utenti.

Per modificare le impostazioni del gruppo:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Scorrere l'elenco o immettere un nome di un gruppo nella casella di ricerca. Selezionare il gruppo da gestire.

  4. Selezionare Proprietà sul lato sinistro.

  5. Aggiornare le informazioni in Impostazioni generali in base alle esigenze, tra cui:

    • Nome gruppo. Modificare il nome del gruppo esistente.

    • Descrizione gruppo. Modificare la descrizione del gruppo esistente.

    • Tipo gruppo. Non è possibile modificare il tipo di gruppo dopo che è stato creato. Per modificare Tipo gruppo, è necessario eliminare il gruppo e crearne uno nuovo.

    • Tipo di appartenenza. Modificare il tipo di appartenenza. Se è attiva l'opzione I ruoli di Microsoft Entra possono essere assegnati al gruppo, non è possibile modificare il tipo di appartenenza. Per altre informazioni sui tipi di appartenenza disponibili, vedere l'articolo Informazioni sui gruppi e sui tipi di appartenenza.

    • ID oggetto. Non è possibile modificare l'ID oggetto, ma è possibile copiarlo per usarlo nei comandi di PowerShell per il gruppo. Per altre informazioni sull'uso dei cmdlet di PowerShell, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni di gruppo.

Aggiungere un gruppo a un altro gruppo

Per il tipo di gruppo di sicurezza, è possibile aggiungere un gruppo esistente a un altro gruppo (noti anche come gruppi annidato). In base ai tipi di appartenenza al gruppo, è possibile aggiungere un gruppo come membro di un altro gruppo, analogamente a quanto avviene per un utente, applicando impostazioni come autorizzazioni di accesso e ruoli ai gruppi annidati. Tuttavia, per i gruppi annidati, Entra non applica l'appartenenza assegnata alle risorse e alle applicazioni condivise.

Per modificare l'appartenenza a un gruppo, è necessario disporre del ruolo di Amministratore utenti o Amministratore di gruppi. Per ulteriori informazioni sui gruppi di sicurezza, consultare Informazioni da conoscere prima di creare un gruppo.

Al momento non sono supportati:

  • Aggiunta di gruppi a un gruppo sincronizzato con Active Directory locale.
  • Aggiunta di gruppi di sicurezza a gruppi di Microsoft 365.
  • Aggiunta di gruppi di Microsoft 365 a gruppi di sicurezza o ad altri gruppi di Microsoft 365.
  • Assegnazione dell'appartenenza a risorse e applicazioni condivise per gruppi di sicurezza annidati.
  • Applicazione di licenze ai gruppi di sicurezza annidati.
  • Aggiunta di gruppi di distribuzione in scenari di annidamento.
  • Aggiunta di gruppi di sicurezza come membri di gruppi di sicurezza abilitati alla posta.
  • Aggiunta di gruppi come membri di un gruppo assegnabile a un ruolo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Nella pagina Tutti i gruppi, cercare e selezionare il gruppo che si desidera rendere membro di un altro gruppo.

    Nota

    È possibile aggiungere il proprio gruppo come membro a un solo altro gruppo per volta. I caratteri jolly non sono supportati nella casella di ricerca Seleziona gruppo.

  4. Nella pagina Panoramica del gruppo selezionare Appartenenze a gruppi dal menu laterale.

  5. Selezionare + Aggiungi appartenenze.

  6. Individuare il gruppo al quale si desidera aggiungere il proprio gruppo come membro e fare clic su Seleziona.

    In questo esercizio, verrà aggiuto "MDM policy - West" al gruppo "MDM policy - All org". Il gruppo "MDM - policy - West" avrà lo stesso accesso del gruppo "MDM policy - All org".

    Screenshot di come rendere un gruppo membro di un altro gruppo con l'opzione

    Ora è possibile consultare la pagina "MDM policy - West - Appartenenza a gruppi" per visualizzare la relazione tra gruppo e membro.

    Per una panoramica più dettagliata della relazione tra gruppo e membro, selezionare il nome del gruppo padre (MDM policy - All org) e consultare i dettagli della pagina "MDM policy - West".

Rimuovere un gruppo da un altro gruppo

Per il tipo di gruppo di sicurezza, è possibile aggiungere un gruppo esistente a un altro gruppo (noti anche come gruppi annidato). In base ai tipi di appartenenza al gruppo, è possibile aggiungere un gruppo come membro di un altro gruppo, analogamente a quanto avviene per un utente, applicando impostazioni come autorizzazioni di accesso e ruoli ai gruppi annidati. Tuttavia, per i gruppi annidati, Entra non applica l'appartenenza assegnata alle risorse e alle applicazioni condivise.

Per modificare l'appartenenza a un gruppo, è necessario disporre del ruolo di Amministratore utenti o Amministratore di gruppi. Per ulteriori informazioni sui gruppi di sicurezza, consultare Informazioni da conoscere prima di creare un gruppo.

È possibile rimuovere un gruppo di sicurezza esistente da un altro gruppo di sicurezza; tuttavia, tale rimozione comporta anche l'eliminazione degli eventuali accessi ereditati dai suoi membri.

  1. Nella pagina Tutti i gruppi, cercare e selezionare il gruppo da rimuovere come membro di un altro gruppo.

  2. Nella pagina Panoramica del gruppo, selezionare Appartenenze a gruppi.

  3. Selezionare il gruppo padre dalla pagina Appartenenze a gruppi.

  4. Selezionare Rimuovi.

    Per questo esercizio, verrà rimosso "MDM policy - West" dal gruppo "MDM policy - All org".

    Screenshot della pagina

Eliminare un gruppo

È possibile eliminare un gruppo per diversi motivi, ma i più comuni sono i seguenti:

  • Selezionare l'opzione Tipo di gruppo errata.
  • È stato creato per errore un gruppo duplicato.
  • Il gruppo non è più necessario.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Cercare e selezionare il gruppo che si desidera eliminare.

  4. Selezionare Elimina.

Contenuto correlato