Utilizzare i gruppi Microsoft Entra per gestire le assegnazioni di ruolo

Con Microsoft Entra ID P1 o P2, è possibile creare gruppi assegnabili ai ruoli e assegnare ruoli di Microsoft Entra a tali gruppi. Questa funzionalità semplifica la gestione dei ruoli, garantisce l'accesso coerente e rende le autorizzazioni di controllo più semplici. L'assegnazione di ruoli a un gruppo anziché a singoli individui consente di aggiungere o rimuovere facilmente utenti da un ruolo e di creare autorizzazioni coerenti per tutti i membri del gruppo. È anche possibile creare ruoli personalizzati con autorizzazioni specifiche e assegnarli ai gruppi.

Perché assegnare ruoli ai gruppi?

Si consideri l'esempio in cui l'azienda Contoso ha assunto persone di aree geografiche diverse per gestire e reimpostare le password per i dipendenti nell'organizzazione di Microsoft Entra. Anziché chiedere a un amministratore ruolo con privilegi di assegnare il ruolo Amministratore di supporto tecnico a ogni singola persona, è possibile creare un gruppo Contoso_Helpdesk_Administrators e assegnare il ruolo al gruppo. Quando le persone si aggiungono al gruppo, il ruolo viene assegnato loro indirettamente. Il flusso di lavoro di governance esistente può quindi occuparsi del processo di approvazione e del controllo dell'appartenenza del gruppo per garantire che solo gli utenti legittimi siano membri del gruppo e venga quindi assegnato loro il ruolo Amministratore supporto tecnico.

Come funzionano le assegnazioni di ruolo ai gruppi

Per assegnare un ruolo a un gruppo, è necessario creare un nuovo gruppo di sicurezza o Microsoft 365 con la isAssignableToRole proprietà impostata su true. Nell'interfaccia di amministrazione di Microsoft Entra è possibile impostare l'opzione I ruoli di Microsoft Entra possono essere assegnati al gruppo su Sì. In entrambi i casi, è possibile assegnare il gruppo a uno o più ruoli di Microsoft Entra ID al gruppo nello stesso modo in cui si assegnano ruoli agli utenti.

Restrizioni per gruppi a cui è possibile assegnare ruoli

I gruppi a cui possono essere assegnati ruoli hanno le seguenti restrizioni:

• È possibile impostare solo la proprietà isAssignableToRole o l'opzione I ruoli di Microsoft Entra possono essere assegnati al gruppo per i nuovi gruppi.
• La proprietà isAssignableToRole non è modificabile. Una volta creato un gruppo con questa proprietà impostata, non può essere modificata.
• Non è possibile rendere un gruppo esistente un gruppo a cui possono essere assegnati ruoli.
• È possibile creare un massimo di 500 gruppi assegnabili a ruoli in un'unica organizzazione Microsoft Entra (tenant).

Modalità di protezione dei gruppi a cui possono essere assegnati ruoli.

Se a un gruppo viene assegnato un ruolo, qualsiasi amministratore IT in grado di gestire gruppi di appartenenza dinamica potrebbe anche gestire indirettamente l'appartenenza a tale ruolo. Si supponga, ad esempio, che a un gruppo denominato Contoso_User_Administrators sia assegnato il ruolo di amministratore utenti. Un amministratore di Exchange che può modificare i gruppi di appartenenza dinamica può aggiungersi al gruppo di Contoso_User_Administrators e in questo modo diventare un amministratore utenti. Come si può notare, un amministratore potrebbe elevare i propri privilegi in modo non previsto.

È possibile assegnare un ruolo solo ai gruppi con la proprietà isAssignableToRole impostata su true in fase di creazione. Questa proprietà non è modificabile. Una volta creato un gruppo con questa proprietà impostata, non può essere modificata. Non è possibile impostare la proprietà su un gruppo esistente.

I gruppi a cui possono essere assegnati ruoli sono progettati per contribuire a prevenire potenziali violazioni, avendo le restrizioni seguenti:

• Per creare un gruppo a cui possono essere assegnati ruoli, è necessario avere assegnato almeno il ruolo di amministratore ruolo con privilegi.
• Il tipo di appartenenza per i gruppi a cui possono essere assegnati ruoli deve essere Assegnato e non può essere un gruppo dinamico di Microsoft Entra. Il popolamento automatizzato dei gruppi di appartenenza dinamica potrebbe causare che un account indesiderato venga aggiunto al gruppo e quindi assegnato al ruolo.
• Per impostazione predefinita, gli amministratori di ruolo con privilegi possono gestire l'appartenenza a un gruppo a cui possono essere assegnati ruoli, ma è possibile delegare la gestione dei gruppi a cui possono essere assegnati ruoli aggiungendo proprietari del gruppo.
• Per Microsoft Graph, è necessaria l'autorizzazione RoleManagement.ReadWrite.Directory per poter gestire l'appartenenza ai gruppi a cui possono essere assegnati ruoli. L'autorizzazione Group.ReadWrite.All non funziona.
• Per impedire l'elevazione dei privilegi, è necessario che all'utente venga assegnato almeno il ruolo di Amministratore dell'autenticazione per cambiare le credenziali, reimpostare l'autenticazione a più fattori o modificare attributi sensibili per i membri e i proprietari di un gruppo assegnabile a ruoli.
• L'annidamento di gruppo non è supportato. Un gruppo non può essere aggiunto come membro di un gruppo assegnabile a ruoli.

Usare Azure AD Privileged Identity Management (PIM) per rendere un gruppo idoneo per un'assegnazione di ruolo

Se non si vuole che i membri del gruppo abbiano accesso permanente a un ruolo, è possibile usare Microsoft Entra Privileged Identity Management (PIM) per rendere un gruppo idoneo per un'assegnazione di ruolo. Ogni membro del gruppo sarà quindi idoneo per attivare l'assegnazione di ruolo per una durata fissa.

Scenari non supportati

Non sono supportati gli scenari seguenti:

• Assegnare i ruoli di Microsoft Entra (predefiniti o personalizzati) ai gruppi locali.

Problemi noti

Di seguito sono riportati i problemi noti relativi ai gruppi assegnabili a un ruolo:

• Solo i clienti con licenza Microsoft Entra ID P2: anche dopo l'eliminazione del gruppo, viene comunque visualizzato un membro idoneo al ruolo nell'interfaccia utente di PIM. Non vi sono problemi dal punto di vista funzionale; si tratta solo di un problema relativo alla cache nell'interfaccia di amministrazione di Microsoft Entra.
• Usare la nuova interfaccia di amministrazione di Exchange per le assegnazioni di ruolo tramite i gruppi di appartenenza dinamica. La precedente interfaccia di amministrazione di Exchange non supporta questa funzionalità. Se è necessario accedere alla precedente interfaccia di amministrazione di Exchange, assegnare il ruolo idoneo direttamente all'utente (non tramite i gruppi assegnabili a un ruolo). I cmdlet di Exchange PowerShell funzionano come previsto.
• Se un ruolo di amministratore viene assegnato a un gruppo assegnabile a un ruolo anziché ai singoli utenti, i membri del gruppo non potranno accedere a Regole, Organizzazione o Cartelle pubbliche nella nuova interfaccia di amministrazione di Exchange. La soluzione alternativa consiste nell'assegnare il ruolo direttamente agli utenti anziché al gruppo.
• Il portale di Azure Information Protection (portale classico) non riconosce ancora l'appartenenza al ruolo tramite il gruppo. È possibile eseguire la migrazione alla piattaforma di etichettatura unificata di riservatezza e quindi usare il portale di conformità di Microsoft Purview per usare le assegnazioni di gruppo per gestire i ruoli.

Requisiti di licenza

L'uso di questa funzionalità richiede una licenza microsoft Entra ID P1. Privileged Identity Management richiede una licenza Microsoft Entra ID P2 per l'attivazione dei ruoli JIT (just-in-time). Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.

Passaggi successivi

• Creare un gruppo assegnabile a un ruolo
• Assegnare i ruoli di Microsoft Entra ai gruppi