Cos'è Microsoft Entra ID?
Anche se una volta hanno condiviso un nome simile, Microsoft Entra ID non è una versione cloud di Windows Server Active Directory. Non è inoltre concepito come sostituzione completa di un'istanza di Active Directory locale. Se invece si usa già un server Windows AD, è possibile connetterlo a Microsoft Entra ID per estendere la directory in Azure. Questo approccio consente agli utenti di usare le stesse credenziali per accedere alle risorse locali e basate sul cloud.
Un utente può usare Microsoft Entra ID anche in modo indipendente da Windows Active Directory. Le aziende più piccole possono usare Microsoft Entra ID come unico servizio directory per controllare l'accesso alle applicazioni e ai prodotti SaaS, ad esempio Microsoft 365, Salesforce e Dropbox.
Nota
Tenere presente che questo approccio non fornisce un modello amministrativo completamente centralizzato. I computer Windows locali, ad esempio, eseguirebbero l'autenticazione con le credenziali locali. Gli utenti possono scrivere applicazioni in modo da usare Microsoft Entra ID e consentire l'autenticazione e l'autorizzazione, che possono essere amministrate da un utente in un'unica posizione.
Directory, sottoscrizioni e utenti
Microsoft offre attualmente diversi prodotti basati sul cloud, tutti progettati per supportare l'uso di Microsoft Entra ID per identificare gli utenti e controllare l'accesso:
- Microsoft Azure
- Microsoft 365
- Microsoft Intune
- Microsoft Dynamics 365
Quando un'azienda o un'organizzazione si iscrive per usare una di queste offerte, ha a disposizione una directory predefinita, un'istanza di Microsoft Entra ID. Questa directory contiene gli utenti e i gruppi che avranno accesso a ogni servizio acquistato dall'azienda. È possibile fare riferimento a questa directory predefinita come tenant. Un tenant rappresenta l'organizzazione e la directory predefinita assegnata.
Una sottoscrizione in Azure è sia un'entità di fatturazione che un limite di sicurezza. Risorse come macchine virtuali, siti Web e database sono associate a una singola sottoscrizione. Ogni sottoscrizione ha anche un singolo proprietario dell'account, responsabile di eventuali addebiti per le risorse in tale sottoscrizione. Se l'organizzazione vuole che una sottoscrizione venga addebitata a un altro account, è possibile trasferire la sottoscrizione. Una sottoscrizione è associata a una singola directory di Microsoft Entra ID. Più sottoscrizioni possono considerare attendibile la stessa directory, ma una sottoscrizione può considerare attendibile una sola directory.
È possibile aggiungere utenti e gruppi a più sottoscrizioni. Questo approccio consente all'utente di creare, controllare e accedere a risorse nella sottoscrizione. Quando si aggiunge un utente a una sottoscrizione, l'utente deve essere noto alla directory associata, come illustrato nella figura seguente:
Se si appartiene a più directory, è possibile cambiare la directory corrente in cui si sta lavorando tramite il pulsante Directory e sottoscrizione nell'intestazione del portale di Azure.
È anche possibile decidere come selezionare la directory predefinita: in base all'ultima visita o a una directory specifica. Si può anche impostare il filtro predefinito per le sottoscrizioni visualizzate. I filtri predefiniti sono utili se si ha accesso a diverse sottoscrizioni, ma in genere funzionano solo in alcune di esse.
Creare una nuova directory.
A un'organizzazione (tenant) è associata una directory predefinita di Microsoft Entra ID. Tuttavia, i proprietari possono creare directory aggiuntive per supportare attività di sviluppo o test oppure perché vogliono avere directory separate per la sincronizzazione con le rispettive foreste di Windows Server AD locali.
Importante
La procedura per creare una nuova directory è descritta di seguito, ma questa opzione sarà disponibile solo per i proprietari di account Azure. La sandbox di Azure non consente di creare nuove directory di Microsoft Entra ID.
Accedi al portale di Azure.
Nella home page di Azure, in Servizi di Azure selezionare Crea una risorsa.
Nel riquadro del menu a sinistra selezionare Identità e quindi cercare e selezionare Microsoft Entra ID.
Seleziona Crea.
Selezionare Microsoft Entra ID per il tipo di tenant e quindi selezionare Avanti: Configurazione.
Immettere i seguenti valori per ogni impostazione.
Nome di organizzazione: immettere un nome per la directory in modo da distinguerla dalle altre directory. La directory da creare verrà usata nell'ambiente di produzione. Scegliere un nome che gli utenti riconoscano come nome dell'organizzazione. Il nome può essere modificato in un secondo momento, se necessario.
Nome di dominio iniziale: immettere un nome di dominio associato all'organizzazione. Azure genererà un errore di convalida, a meno che il dominio non sia noto. Il nome di dominio predefinito avrà sempre il suffisso
.onmicrosoft.com. Non è possibile modificare il dominio predefinito. Se si sceglie di farlo, è possibile aggiungere un dominio personalizzato di proprietà dell'organizzazione in modo che gli utenti definiti possano usare un indirizzo e-mail aziendale tradizionale, ad esempiojohn@contoso.com.Paese o area geografica: selezionare il paese o l'area geografica in cui risiederà la directory. Il paese/area geografica identificherà l'area e il data center in cui risiede l'istanza di Microsoft Entra ID e non è possibile modificarlo in un secondo momento.
Selezionare Crea per creare la nuova directory. Verrà creata una directory del livello gratuito in cui è possibile aggiungere utenti, creare ruoli, registrare app e dispositivi e controllare le licenze.
Dopo aver creato la directory, selezionare Fare clic qui per gestire il nuovo tenant per passare al dashboard Panoramica che consente di controllare tutti gli aspetti della directory.
Verrà ora presentato uno degli elementi principali usati in Microsoft Entra ID: gli utenti.