Che cos'è la gestione degli utenti aziendali?
Questo articolo fornisce un'introduzione per l'amministratore di Microsoft Entra ID, parte di Microsoft Entra, alla relazione tra le principali attività di gestione delle identità per gli utenti in termini di gruppi, licenze, app aziendali distribuite e ruoli di amministratore. Con la crescita dell'organizzazione, è possibile usare i gruppi e i ruoli di amministratore di Microsoft Entra per:
- Assegnare licenze a gruppi anziché ai singoli utenti.
- Concedere le autorizzazioni per delegare il lavoro di gestione di Microsoft Entra a personale con ruoli con meno privilegi.
- Assegnare a gruppi l'accesso alle app aziendali.
Assegnare utenti a gruppi
È possibile usare i gruppi in Microsoft Entra ID per assegnare licenze, o app aziendali distribuite, a un numero elevato di utenti. È possibile usare i gruppi per assegnare tutti i ruoli di amministratore, tranne amministratore globale di Microsoft Entra o concedere per concedere l'accesso a risorse esterne, ad esempio applicazioni SaaS o siti di SharePoint.
È possibile usare gruppi di appartenenza dinamica in Microsoft Entra ID per espandere e contrarre automaticamente gruppi di appartenenza dinamica. I gruppi dinamici offrono maggiore flessibilità e riducono il lavoro di gestione dei gruppi di appartenenza dinamica.
Nota
È necessaria una licenza Microsoft Entra ID P1 per ogni utente univoco membro di uno o più gruppi di appartenenza dinamica.
Assegnare licenze a gruppi
La gestione delle assegnazioni di licenze utente singolarmente richiede molto tempo ed è soggetta a errori. Se invece si assegnano le licenze a gruppi, è possibile semplificare la gestione delle licenze su larga scala.
Agli utenti Microsoft Entra che entrano a far parte di un gruppo con licenze vengono assegnate automaticamente le licenze appropriate. Quando gli utenti lasciano il gruppo, Microsoft Entra ID rimuove le licenze assegnate. Senza i gruppi di Microsoft Entra, sarebbe necessario scrivere uno script di PowerShell oppure usare l'API Graph per aggiungere o rimuovere in blocco le licenze degli utenti che entrano in azienda o ne escono. Per altre informazioni sulle operazioni di gruppo in blocco, vedere Caricamento in blocco per aggiungere o creare membri di un gruppo.
Se non vi sono licenze sufficienti disponibili o si verifica un problema, ad esempio piani di servizio che non possono essere assegnati allo stesso tempo, è possibile visualizzare lo stato di eventuali problemi di licenza del gruppo nel portale di Azure.
Delegare i ruoli di amministratore
Molte grandi organizzazioni richiedono la possibilità di assegnare ai propri utenti autorizzazioni sufficienti per le loro attività lavorative, senza necessità di assegnare il potente ruolo di amministratore globale, ad esempio per gli utenti che devono registrare applicazioni. Di seguito è riportato un esempio di nuovi ruoli di amministratore di Microsoft Entra che consentono di distribuire il lavoro di gestione delle applicazioni con maggiore specificità:
| Nome ruolo | Riepilogo delle autorizzazioni |
|---|---|
| Amministratore applicazione | Può aggiungere e gestire applicazioni aziendali e registrazioni di applicazioni e configurare le impostazioni proxy delle applicazioni. L'amministratore di applicazioni può visualizzare i criteri di accesso condizionale e i dispositivi, ma non gestirli. |
| Amministratore di applicazioni cloud | Può aggiungere e gestire applicazioni aziendali e registrazioni di app aziendali. Questo ruolo ha tutte le autorizzazioni dell'amministratore di applicazioni, tranne quella per gestire le impostazioni proxy delle applicazioni. |
| Sviluppatore di applicazioni | Può aggiungere e aggiornare registrazioni di applicazioni, ma non può gestire le applicazioni aziendali né configurare i proxy delle applicazioni. |
Vengono aggiunti nuovi ruoli di amministratore di Microsoft Entra. Vedere il portale di Azure o il riferimento alle autorizzazioni dei ruoli di amministratore per conoscere i ruoli attualmente disponibili.
Assegnare l'accesso alle app
È possibile usare Microsoft Entra ID per assegnare l'accesso di gruppo alle app aziendali distribuite nell'organizzazione Microsoft Entra. Se si combinano i gruppi di appartenenza dinamica con l'assegnazione di gruppi alle app, è possibile automatizzare le assegnazioni degli accessi utente adattandole alla crescita dell'organizzazione. Per assegnare l'accesso alle app aziendali, è necessaria una licenza Microsoft Entra ID P1 o Premium P2.
Microsoft Entra ID consente anche un controllo specifico dei dati scambiati tra l'app e i gruppi a cui si è assegnato l'accesso. In Applicazioni aziendali aprire un'app e selezionare Provisioning per:
- Configurare il provisioning automatico per le app che lo supportano
- Specificare le credenziali di connessione all'API di gestione utenti dell'app
- Configurare i mapping che controllano quali attributi utente sono trasmessi tra Microsoft Entra ID e l'app quando viene effettuato il provisioning o l'aggiornamento degli account utente
- Avviare e arrestare il servizio di provisioning di Microsoft Entra per un'app, cancellare la cache di provisioning o riavviare il servizio
- Visualizzare il Report dell'attività di provisioning, che fornisce il log di tutti gli utenti e i gruppi creati, aggiornati e rimossi tra Microsoft Entra ID e l'app, e il Report degli errori di provisioning, con messaggi di errore più dettagliati
Passaggi successivi
Se l'utente è un amministratore di Microsoft Entra, ottenere le nozioni di base in Concetti fondamentali su Microsoft Entra.
È anche possibile cominciare a creare gruppi, assegnare licenze, assegnare l'accesso alle app o assegnare i ruoli di amministratore.