Configurare la gestione dei gruppi self-service in Microsoft Entra ID

È possibile consentire agli utenti di creare e gestire i propri gruppi di sicurezza o i gruppi di Microsoft 365 in Microsoft Entra ID. Il proprietario del gruppo può approvare o negare le richieste di appartenenza e delegare il controllo dell'appartenenza al gruppo. Le funzionalità di gestione dei gruppi self-service non sono disponibili per i gruppi di sicurezza abilitati alla posta elettronica o per le liste di distribuzione.

Appartenenza al gruppo self-service

È possibile consentire agli utenti di creare gruppi di sicurezza, usati per gestire l'accesso alle risorse condivise. Gli utenti possono creare gruppi di sicurezza nel portale di Azure usando PowerShell di Azure Active Directory (Azure AD) o dal portale Gruppi personali.

Screenshot che mostra il portale Gruppi personali.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Solo i proprietari del gruppo possono aggiornare l'appartenenza, ma è possibile fornire ai proprietari del gruppo la possibilità di approvare o negare le richieste di appartenenza dal portale Gruppi personali. I gruppi di sicurezza creati da self-service tramite il portale Gruppi personali sono disponibili per l'aggiunta a tutti gli utenti, sia approvati dal proprietario che approvati automaticamente. Nel portale Gruppi personali è possibile modificare le opzioni di appartenenza quando si crea il gruppo.

I gruppi di Microsoft 365 offrono opportunità di collaborazione per gli utenti. È possibile creare gruppi in qualsiasi applicazione di Microsoft 365, ad esempio SharePoint, Microsoft Teams e Planner. È anche possibile creare gruppi di Microsoft 365 in portale di Azure usando PowerShell di Microsoft Graph o dal portale Gruppi personali. Per altre informazioni sulla differenza tra i gruppi di sicurezza e i gruppi di Microsoft 365, vedere Informazioni sui gruppi.

Gruppi creati in Comportamento predefinito del gruppo di sicurezza Comportamento predefinito del gruppo di Microsoft 365
Microsoft Graph PowerShell Solo i proprietari possono aggiungere membri.
Visibile ma non disponibile per l'aggiunta a gruppi di app personali Pannello di accesso.
Aprire per partecipare a tutti gli utenti.
Azure portal Solo i proprietari possono aggiungere membri.
Visibile ma non disponibile per l'aggiunta nel portale Gruppi personali.
Il proprietario non viene assegnato automaticamente alla creazione del gruppo.
Aprire per partecipare a tutti gli utenti.
Portale Gruppi personali Gli utenti possono gestire i gruppi e richiedere l'accesso ai gruppi qui.
Le opzioni di appartenenza possono essere modificate quando viene creato un gruppo.
Aprire per partecipare a tutti gli utenti.
Le opzioni di appartenenza possono essere modificate quando viene creato un gruppo.

Scenari di gestione dei gruppi self-service

Due scenari consentono di spiegare la gestione dei gruppi self-service.

Gestione del gruppo delegata

In questo scenario di esempio, un amministratore gestisce l'accesso a un'applicazione SaaS (Software as a Service) usata dall'azienda. La gestione dei diritti di accesso è complessa, quindi l'amministratore chiede al proprietario dell'azienda di creare un nuovo gruppo. L'amministratore assegna l'accesso per l'applicazione al nuovo gruppo e aggiunge al gruppo tutte le persone che già accedono all'applicazione. Il titolare dell'organizzazione può quindi aggiungere altri utenti, per i quali il provisioning nell'applicazione viene effettuato automaticamente.

Il titolare dell'organizzazione non deve attendere che l'amministratore gestisca l'accesso degli utenti. Se l'amministratore concede la stessa autorizzazione a un manager in un gruppo aziendale diverso, tale persona può anche gestire l'accesso per i propri membri del gruppo. Il proprietario dell'azienda e il manager non possono visualizzare o gestire le appartenenze ai gruppi dell'altro. L'amministratore può comunque visualizzare tutti gli utenti che hanno accesso all'applicazione e bloccare i diritti di accesso, se necessario.

Nota

Per gli scenari delegati, l'amministratore deve avere almeno un ruolo di amministratore del ruolo con privilegi Microsoft Entra .

Gestione di gruppi self-service

In questo scenario di esempio, due utenti hanno siti di SharePoint Online configurati in modo indipendente. Vogliono concedere l'accesso ai propri siti da parte dei team dell'altro. Per eseguire questa attività, è possibile creare un gruppo in Microsoft Entra ID. In SharePoint Online ognuno di essi seleziona tale gruppo per fornire l'accesso ai propri siti.

Quando un utente vuole accedere, lo richiede dal portale Gruppi personali. Dopo l'approvazione, ottengono automaticamente l'accesso a entrambi i siti di SharePoint Online. Se successivamente uno degli utenti decide che tutte le persone che accedono al sito devono poter accedere anche a una determinata applicazione SaaS, l'amministratore dell'applicazione SaaS può aggiungere i diritti di accesso per l'applicazione al sito di SharePoint Online. Da quel punto in poi, tutte le richieste approvate forniscono l'accesso ai due siti di SharePoint Online e anche all'applicazione SaaS.

Rendere disponibile un gruppo per gli utenti in modalità self-service

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di gruppi.

  2. Selezionare Microsoft Entra ID.

  3. Selezionare Tutti i gruppi> e quindi impostazioni Generali.

    Nota

    Questa impostazione limita solo l'accesso alle informazioni sui gruppi in Gruppi personali. Non limita l'accesso alle informazioni sui gruppi tramite altri metodi, ad esempio le chiamate all'API Microsoft Graph o l'interfaccia di amministrazione di Microsoft Entra.

    Screenshot che mostra le impostazioni generali dei gruppi di Entra di Microsoft.

    Nota

    Le modifiche relative all'impostazione Gestione gruppi self-service, inizialmente pianificate per giugno 2024, sono attualmente in fase di revisione e non verranno eseguite come previsto in origine. Una data di deprecazione verrà annunciata in futuro.

  4. Impostare Proprietari in grado di gestire le richieste di appartenenza ai gruppi nel Pannello di accesso su .

  5. Impostare Limita la capacità utente di accedere alle funzionalità dei gruppi nel Pannello di accesso su No.

  6. Impostare Gli utenti possono creare gruppi di sicurezza in portale di Azure, API o PowerShell su o No.

    Per altre informazioni su questa impostazione, vedere Impostazioni di gruppo.

  7. Impostare Gli utenti possono creare gruppi di Microsoft 365 in portale di Azure, API o PowerShell su o No.

    Per altre informazioni su questa impostazione, vedere Impostazioni di gruppo.

È anche possibile usare Proprietari che possono assegnare membri come proprietari di gruppi nel portale di Azure per ottenere un controllo di accesso più granulare sulla gestione dei gruppi self-service per gli utenti.

Quando gli utenti possono creare gruppi, tutti gli utenti dell'organizzazione possono creare nuovi gruppi. Come proprietario predefinito, possono quindi aggiungere membri a questi gruppi. Non è possibile specificare singoli utenti che possono creare i propri gruppi. È possibile specificare singoli utenti solo per rendere un altro membro del gruppo proprietario di un gruppo.

Nota

Per gli utenti è necessaria una licenza Microsoft Entra ID P1 o P2 per richiedere agli utenti di partecipare a un gruppo di sicurezza o a un gruppo di Microsoft 365 e per consentire ai proprietari di approvare o negare le richieste di appartenenza. Senza una licenza Microsoft Entra ID P1 o P2, gli utenti possono comunque gestire i propri gruppi nel Pannello di accesso Gruppi di app personali. Ma non possono creare un gruppo che richiede l'approvazione del proprietario e non possono richiedere l'aggiunta a un gruppo.

Impostazioni dei gruppi

Le impostazioni di gruppo consentono di controllare chi può creare gruppi di sicurezza e Microsoft 365.

Screenshot che mostra la modifica dell'impostazione dei gruppi di sicurezza di Microsoft Entra.

La tabella seguente consente di decidere quali valori scegliere.

Impostazione Valore Effetto sul tenant
Gli utenti possono creare gruppi di sicurezza nella portale di Azure, nell'API o in PowerShell. Tutti gli utenti dell'organizzazione Microsoft Entra possono creare nuovi gruppi di sicurezza e aggiungere membri a questi gruppi nella portale di Azure, nell'API o in PowerShell. Questi nuovi gruppi vengono visualizzati anche nella Pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi.
No Gli utenti non possono creare gruppi di sicurezza. Possono comunque gestire l'appartenenza ai gruppi per i quali sono proprietari e approvare le richieste da parte di altri utenti di partecipare ai gruppi.
Gli utenti possono creare gruppi di Microsoft 365 nel portale di Azure, nell'API o in PowerShell. Tutti gli utenti dell'organizzazione Microsoft Entra possono creare nuovi gruppi di Microsoft 365 e aggiungere membri a questi gruppi nel portale di Azure, nell'API o in PowerShell. Questi nuovi gruppi vengono visualizzati anche nella Pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi.
No Gli utenti non possono creare gruppi M365. Possono comunque gestire l'appartenenza ai gruppi per i quali sono proprietari e approvare le richieste da parte di altri utenti di partecipare ai gruppi.

Ecco alcuni dettagli su queste impostazioni di gruppo:

  • L'applicazione di queste impostazioni può richiedere fino a 15 minuti.
  • Se si vogliono abilitare alcuni utenti, ma non tutti, per creare gruppi, è possibile assegnare agli utenti un ruolo in grado di creare gruppi, ad esempio Amministratore gruppi.
  • Queste impostazioni sono destinate agli utenti e non influiscono sulle entità servizio. Ad esempio, se si dispone di un'entità servizio con autorizzazioni per creare gruppi, anche se si impostano queste impostazioni su No, l'entità servizio può comunque creare gruppi.

Configurare le impostazioni del gruppo usando Microsoft Graph

Per configurare l'impostazione Users can create Microsoft 365 groups in portale di Azure s, API o PowerShell setting by using Microsoft Graph, configure the EnableGroupCreation object in the groupSettings object. Per altre informazioni, vedere Panoramica delle impostazioni del gruppo.

Per configurare l'impostazione Users can create security groups in portale di Azure s, API o PowerShell using Microsoft Graph, aggiornare la allowedToCreateSecurityGroups proprietà di defaultUserRolePermissions nell'oggetto authorizationPolicy.

Passaggi successivi

Per altre informazioni sull'ID Microsoft Entra, vedere: