Informazioni sui ruoli in Microsoft Entra ID
Microsoft Entra include circa 60 ruoli predefiniti, che prevedono un set fisso di autorizzazioni. Per integrare i ruoli predefiniti, Microsoft Entra supporta anche i ruoli personalizzati. Usare i ruoli personalizzati per selezionare le autorizzazioni adatte alle proprie esigenze. Ad esempio, è possibile creare un ruolo personalizzato per gestire particolari risorse di Microsoft Entra, come le applicazioni o le entità servizio.
Questo articolo illustra i ruoli di Microsoft Entra e come possono essere usati.
Differenze tra i ruoli di Microsoft Entra e gli altri ruoli di Microsoft 365
Esistono molti servizi diversi in Microsoft 365, come Microsoft Entra ID e Intune. Alcuni di questi servizi dispongono di sistemi di controllo degli accessi in base al ruolo, in particolare:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Portale di Microsoft 365 Defender
- Portale di conformità
- Gestione dei costi e fatturazione
Altri servizi, come Teams, SharePoint e Managed Desktop, non includono sistemi di controllo degli accessi in base al ruolo separati, Usano i ruoli di Microsoft Entra per l'accesso amministrativo. Azure dispone di un proprio sistema di controllo degli accessi in base al ruolo per le risorse di Azure, come le macchine virtuali, e questo sistema è diverso dai ruoli di Microsoft Entra.
Il termine "sistema separato di controllo degli accessi in base al ruolo" significa che è presente un archivio dati diverso in cui sono memorizzate le definizioni e le assegnazioni dei ruoli. Analogamente, le verifiche dell'accesso vengono eseguite in un Policy Decision Point differente. Per ulteriori informazioni, consultare ruoli dei servizi Microsoft e ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore sottoscrizione classica.
Perché alcuni ruoli di Microsoft Entra sono destinati ad altri servizi
Microsoft 365 include diversi sistemi di controllo degli accessi in base al ruolo sviluppati indipendentemente nel corso del tempo, ognuno con uno specifico portale di servizi. Per semplificare la gestione delle identità in Microsoft 365 dall'interfaccia di amministrazione di Microsoft Entra, sono stati aggiunti alcuni ruoli predefiniti specifici dei servizi, ognuno dei quali garantisce l'accesso amministrativo a un servizio Microsoft 365. Un esempio di questa aggiunta è il ruolo amministratore di Exchange in Microsoft Entra ID. Questo ruolo è equivalente al gruppo di ruoli Gestione organizzazione del sistema di controllo degli accessi in base al ruolo di Exchange e consente di gestire tutti gli aspetti di Exchange. Analogamente, sono stati aggiunti i ruoli di amministratore di Intune, di Teams, di SharePoint e così via. I ruoli specifici dei servizi sono una categoria di ruoli predefiniti in Microsoft Entra.
Categorie di ruoli di Microsoft Entra
I ruoli predefiniti di Microsoft Entra possono essere usati in risorse diverse e rientrano nelle tre categorie ampie seguenti.
- Ruoli specifici di Microsoft Entra: concedono le autorizzazioni per gestire le risorse solo all'interno di Microsoft Entra. Ad esempio, i ruoli Amministratore utenti, Amministratore applicazione e Amministratore gruppi concedono tutti le autorizzazioni per gestire le risorse esistenti in Microsoft Entra.
- Ruoli specifici dei servizi in Microsoft Entra ID: servizi Microsoft come Microsoft 365 che definiscono ruoli in Microsoft Entra ID per privilegi specifici del servizio per gestire tutte le funzionalità all'interno del servizio. Ad esempio, i ruoli Amministratore di Exchange, Amministratore di Intune, Amministratore di SharePoint e Amministratore di Teams possono gestire le funzionalità con i rispettivi servizi. L'amministratore di Exchange può gestire le cassette postali, l'amministratore di Intune può gestire i criteri dei dispositivi, l'amministratore di SharePoint può gestire le raccolte di siti, l'amministratore di Teams può gestire le qualità delle chiamate e così via.
- Ruoli tra servizi in Microsoft Entra ID: alcuni ruoli si applicano a più servizi. Sono disponibili due ruoli globali, ovvero Amministratore globale e Ruolo con autorizzazioni di lettura globali. Questi due ruoli vengono rispettati in tutti i servizi di Microsoft 365. Inoltre, esistono alcuni ruoli legati alla sicurezza, come Amministratore della sicurezza e Ruolo con autorizzazioni di lettura per la sicurezza, che concedono l'accesso a molti servizi di sicurezza all'interno di Microsoft 365. Ad esempio, il ruolo Amministratore della sicurezza di Microsoft Entra ID consente di gestire il portale di Microsoft 365 Defender, Advanced Threat Protection di Microsoft Defender e Microsoft Defender for Cloud Apps. Analogamente, il ruolo amministratore di conformità consente di gestire le impostazioni relative alla conformità nel portale di conformità, in Exchange e così via.
La tabella seguente illustra queste categorie di ruoli. I nomi delle categorie sono arbitrari e non intendono implicare altre funzionalità oltre alle autorizzazioni dei ruoli di Microsoft Entra documentate.
| Categoria | Ruolo |
|---|---|
| Ruoli specifici di Microsoft Entra ID | Amministratore di applicazioni Sviluppatore di applicazioni Amministratore dell'autenticazione Amministratore dei set di chiavi IEF B2C Amministratore dei criteri IEF B2C Amministratore applicazione cloud Amministratore dispositivo cloud Amministratore accesso condizionale Amministratori di dispositivi Ruolo con autorizzazioni di lettura nella directory Account di sincronizzazione della directory Ruolo con autorizzazioni di scrittura nella directory ID esterno - Amministratore dei flussi utente ID esterno - Amministratore degli attributi dei flussi utente Amministratore dei provider di identità esterni Amministratore di gruppi Mittente dell'invito guest Amministratore supporto tecnico Amministratore delle identità ibride Amministratore licenze Supporto partner - Livello 1 Supporto partner - Livello 2 Amministratore password Amministratore autenticazione con privilegi Amministratore ruolo con privilegi Amministratore che legge i report Amministratore utenti |
| Ruoli specifici dei servizi in Microsoft Entra ID | Amministratore di Azure DevOps Amministratore di Azure Information Protection Amministratore fatturazione Amministratore del servizio CRM Responsabile approvazione accesso a Customer Lockbox Amministratore Desktop Analytics Amministratore del servizio Exchange Amministratore Insights Insights Business Leader Amministratore del servizio Intune Amministratore di Kaizala Amministratore del servizio Lync Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi Ruolo con autorizzazioni di lettura per il Centro messaggi Amministratore di Commerce moderno Amministratore di rete Amministratore delle app di Office Amministratore del servizio Power BI Amministratore di Power Platform Amministratore stampante Tecnico della stampante Amministratore della ricerca Editor della ricerca Amministratore del servizio SharePoint Amministratore delle comunicazioni di Teams Tecnico supporto comunicazioni Teams Specialista supporto comunicazioni Teams Amministratore di dispositivi di Teams Amministratore di Teams |
| Ruoli tra servizi in Microsoft Entra ID | Amministratore di conformità Amministratore dei dati sulla conformità Lettore globale Amministratore della sicurezza Operatore per la sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Amministratore servizio di supporto |