Autorizzare l'accesso guest in Microsoft TeamsAuthorize guest access in Microsoft Teams

Per soddisfare i requisiti dell'organizzazione, è possibile gestire le funzionalità di accesso guest di Microsoft Teams tramite quattro diversi livelli di autorizzazione.To satisfy your organization’s requirements, you can manage Microsoft Teams guest access features and capabilities through four different levels of authorization. Tutti i livelli di autorizzazione si applicano all’organizzazione di Office 365 o Microsoft 365.All the authorization levels apply to your Microsoft 365 or Office 365 organization. Ogni livello di autorizzazione controlla l'esperienza degli utenti guest come illustrato di seguito:Each authorization level controls the guest experience as shown below:

  • Azure Active Directory: l'accesso guest in Microsoft Teams si basa sulla piattaforma business-to-business (B2B) di Azure AD.Azure Active Directory: Guest access in Microsoft Teams relies on the Azure AD business-to-business (B2B) platform. Questo livello di autorizzazione controlla l'esperienza degli utenti guest a livello di directory, tenant e applicazione.This authorization level controls the guest experience at the directory, tenant, and application level.
  • Microsoft Teams: controlla l'esperienza degli utenti guest solo in Microsoft Teams.Microsoft Teams: Controls the guest experience in Microsoft Teams only.
  • Gruppi di Microsoft 365: controlla l'esperienza degli utenti guest in Gruppi di Microsoft 365 e Microsoft Teams.Microsoft 365 Groups: Controls the guest experience in Microsoft 365 Groups and Microsoft Teams.
  • SharePoint Online e OneDrive for Business: controlla l'esperienza degli utenti guest in SharePoint Online, OneDrive for Business, Gruppi di Microsoft 365 e Microsoft Teams.SharePoint Online and OneDrive for Business: Controls the guest experience in SharePoint Online, OneDrive for Business, Microsoft 365 Groups, and Microsoft Teams.

Questi diversi livelli di autorizzazione forniscono la massima flessibilità per la configurazione dell'accesso guest per l'organizzazione.These different authorization levels provide you with flexibility in how you set up guest access for your organization. Ad esempio, se non si vuole fornire agli utenti guest l'accesso in Microsoft Teams ma si vuole consentire l'accesso globale nell'organizzazione, basta disattivare l'accesso guest in Microsoft Teams.For example, if you don’t want to allow guest users in your Microsoft Teams but want to allow it overall in your organization, just turn off guest access in Microsoft Teams. Un altro esempio: è possibile abilitare l'accesso guest a livello di Azure AD, Teams e Gruppi, ma disabilitare l'aggiunta degli utenti guest a determinati team che soddisfano uno o più criteri come una classificazione dei dati di tipo riservato.Another example: You could enable guest access at the Azure AD, Teams, and Groups levels, but then disable the addition of guest users on selected teams that match one or more criteria such as data classification equals confidential. SharePoint Online e OneDrive for Business hanno le proprie impostazioni per l'accesso guest che non si basano su Gruppi di Microsoft 365.SharePoint Online and OneDrive for Business have their own guest access settings that don't rely on Microsoft 365 Groups.

Nota

Gli utenti guest sono soggetti ai limiti dei servizi descritti in Descrizione dei servizi di Office 365 e Microsoft 365 e Limitazioni di Collaborazione B2B di Azure AD.Guests are subject to the service limits described in Microsoft 365 and Office 365 service descriptions and Limitations of Azure AD B2B collaboration.

Il diagramma seguente mostra in che modo la dipendenza di autorizzazione per l'accesso guest viene concessa e integrata tra Azure Active Directory, Microsoft Teams e Office 365 o Microsoft 365.The following diagram shows how guest access authorization dependency is granted and integrated between Azure Active Directory, Microsoft Teams, and Microsoft 365 or Office 365.

Diagramma delle dipendenze di autorizzazione per l'accesso guest

Il diagramma successivo mostra, a un livello generale, come funziona l'esperienza utente con il modello di autorizzazione tramite un flusso tipico di invito e riscatto dell'accesso guest.The next diagram shows, at a high level, how the user experience works with the permission model through a typical guest access invitation and redemption flow.

Diagramma dei flussi di invito e riscatto

È importante evidenziare che app, bot e connettori potrebbero richiedere il proprio set di autorizzazioni e/o il consenso specifico per l'account utente.It’s important to note here that apps, bots, and connectors might require their own set of permissions and/or consent specific to the user account. Potrebbe essere necessario concederli separatamente.These might need to be granted separately. Allo stesso modo, SharePoint potrebbe imporre limiti di condivisione aggiuntivi esterni per uno specifico utente, gruppi di utenti o persino a livello del sito.Similarly, SharePoint might impose extra external sharing boundaries for a specific user, groups of users, or even at the site level.

I due diagrammi precedenti sono disponibili anche in Visio.The previous two diagrams are also available in Visio.

Controllare l'accesso guest in Azure Active DirectoryControl guest access in Azure Active Directory

Usare Azure AD per determinare se i collaboratori esterni possono essere invitati al tenant come utenti guest e in quali modi.Use Azure AD to determine whether external collaborators can be invited into your tenant as guests, and in what ways. Per altre informazioni sull'accesso guest di Azure B2B, consultare Che cos'è l'accesso utente guest in Azure Active Directory B2B?.For more information about Azure B2B guest access, see What is guest user access in Azure Active Directory B2B. Per informazioni sui ruoli di Azure AD, consultare Concedere autorizzazioni agli utenti di organizzazioni partner nel tenant di Azure Active Directory.For information about Azure AD roles, see Grant permissions to users from partner organizations in your Azure Active Directory tenant.

Le impostazioni per gli inviti si applicano a livello del tenant e controllano l'esperienza degli utenti guest a livello di directory, tenant e applicazione.The settings for invitations apply at the tenant level and control the guest experience at the directory, tenant, and application level. Per configurare queste impostazioni nel portale Azure, accedere a Azure Active Directory > Utenti > Impostazioni utente, quindi sotto Utenti esterni selezionare Gestisci le impostazioni di collaborazione esterna.To configure these settings in the Azure portal, go to Azure Active Directory > Users > User settings, and under External users, select Manage external collaboration settings.

Azure AD include le seguenti impostazioni per la configurazione degli utenti esterni:Azure AD includes the following settings to configure external users:

  • Le autorizzazioni degli utenti guest sono limitate: significa che gli utenti guest non dispongono dell'autorizzazione per determinate attività della directory, come enumerare utenti, gruppi o altre risorse della directory.Guest user permissions are limited: Yes means that guests don't have permission for certain directory tasks, such as enumerate users, groups, or other directory resources. Inoltre, non è possibile assegnare agli utenti guest ruoli amministrativi nella directory.In addition, guests can't be assigned to administrative roles in your directory. No significa che gli utenti guest hanno lo stesso accesso degli utenti standard ai dati della directory.No means that guests have the same access to directory data that regular users have in your directory.
  • **Amministratori e utenti nel ruolo mittente dell'invito guest possono invitare **: significa che gli amministratori e gli utenti nel ruolo mittente invito possono invitare guest nel tenant.Admins and users in the guest inviter role can invite: Yes means that admins and users in the guest inviter role will be able to invite guests to the tenant. No significa che gli amministratori e gli utenti non possono invitare guest nel tenant.No means admins and users can't invite guests to the tenant.
  • I membri possono invitare: per consentire ai membri non amministratori della directory di invitare utenti guest, impostare questo criterio su Yes (scelta consigliata).Members can invite: To allow non-admin members of your directory to invite guests, set this policy to Yes (recommended). Se si preferisce che solo gli amministratori siano autorizzati ad aggiungere utenti guest, è possibile impostare questo criterio su No.If you prefer that only admins be able to add guests, you can set this policy to No. Tenere presente che l'opzione No limiterà l'esperienza guest per i proprietari di team non amministratori, che potranno aggiungere in Teams solo utenti guest già aggiunti in Azure AD dall'amministratore.Keep in mind that setting No will limit the guest experience for non-admin teams owners; they'll only be able to add guests in Teams that have already been added in AAD by the admin.
  • I guest possono invitare: significa che gli utenti guest della directory possono invitare altri guest a collaborare sulle risorse protette di Azure AD, come i siti SharePoint o le risorse di Azure.Guests can invite: Yes means that guests in your directory can invite other guests to collaborate on resources secured by your Azure AD, such as SharePoint sites or Azure resources. No significa che gli utenti guest non possono invitare altri guest a collaborare con l'organizzazione.No means that guests can't invite other guests to collaborate with your organization.

    Importante

    Al momento Teams non supporta il ruolo mittente dell'invito, pertanto se si imposta I guest possono invitare su , gli utenti guest non possono invitare altri guest in Teams.Currently, Teams doesn't support the guest inviter role, so even if you set Guests can invite to Yes, guests can't invite other guests in Teams.

Per altre informazioni su come controllare chi può invitare guest, consultare Delegare gli inviti per Collaborazione B2B di Azure Active Directory.For more information about controlling who can invite guests, see Delegate invitations for Azure Active Directory B2B collaboration.

Nota

È possibile gestire anche i domini che possono essere invitati nel tenant come utenti guest.You can also manage which domains can be invited into your tenant as guests. Consultare Consentire/Bloccare l'accesso guest a Gruppi di Microsoft 365.See Allow/Block guest access to Microsoft 365 Groups.

Non è necessario aggiungere l'account utente guest manualmente in Azure AD B2B in quanto l'account verrà aggiunto automaticamente alla directory quando il guest viene aggiunto a Teams.Adding the user guest account manually to Azure AD B2B is not required, as the account will be added to the directory automatically when you add the guest to Teams.

Licenze per l'accesso guestLicensing for guest access

Le licenze per l'accesso guest fanno parte delle licenze di Azure AD.Guest access licensing is part of Azure AD licensing. L'accesso guest è incluso in tutti gli abbonamenti di Microsoft 365 Business Standard e Office 365 Enterprise.Guest access is included with all Microsoft 365 Business Standard and Office 365 Enterprise subscriptions. Per altre informazioni sulle licenze, consultare Guida alle licenze per la Collaborazione B2B di Azure Active Directory.For more information about licensing, see Azure Active Directory B2B collaboration licensing guidance.

Nota

Gli utenti dell'organizzazione che hanno solo piani di abbonamento a Office 365 autonomi, ad esempio Exchange Online piano 2, non possono essere invitati come utenti guest nell'organizzazione, perché Teams li considera come appartenenti alla stessa organizzazione.Users in your organization who have standalone Office 365 subscription plans only, such as Exchange Online Plan 2, cannot be invited as guests to your organization because Teams considers these users to belong to the same organization. Affinché questi utenti possano usare Teams, è necessario assegnare loro un abbonamento a Microsoft 365 Business Standard, Office 365 Enterprise o Office 365 Education.For these users to use Teams, they must be assigned an Microsoft 365 Business Standard, Office 365 Enterprise, or Office 365 Education subscription.

Controllare l'accesso guest in TeamsControl guest access in Teams

L'accesso guest è disattivato per impostazione predefinita in Teams.Guest access is turned off by default in Teams. Per attivare l'accesso guest, consultare Attivare o disattivare l'accesso guest in Microsoft Teams.To turn on guest access, see Turn on or off guest access to Microsoft Teams.

Controllare l'accesso guest in Gruppi di Microsoft 365Control guest access in Microsoft 365 Groups

Da Gruppi di Microsoft 365, è possibile controllare l'aggiunta di utenti guest e l'accesso guest a tutti i gruppi di Microsoft 365 e i team di Microsoft Teams dell'organizzazione.From Microsoft 365 Groups, you can control adding guest users and guest access to all Microsoft 365 Groups and Microsoft Teams teams in your organization.

  1. Effettuare l'accesso con l'account di amministratore globale su https://portal.office.com/adminportal/home.Sign in with your global admin account at https://portal.office.com/adminportal/home.

  2. A sinistra scegliere Impostazioni, quindi selezionare Servizi& componenti aggiuntivi.On the left, choose Settings and then select Services & add-ins.

  3. Selezionare Gruppi di Microsoft 365.Select Microsoft 365 Groups.

    Screenshot di Gruppi di Microsoft 365 nelle impostazioni

  4. Nella pagina Gruppi di Microsoft 365 impostare l'interruttore su Attivato o Disattivato, a seconda che si voglia o meno consentire ai proprietari del gruppo e del team esterni all'organizzazione di accedere a Gruppi di Microsoft 365.On the Microsoft 365 Groups page, set the toggle to On or Off, depending on whether you want to let team and group owners outside your organization access Microsoft 365 Groups. Fare clic o toccare l'interruttore per impostarlo su Attivato accanto a Consenti ai proprietari di gruppi di aggiungere persone esterne all'organizzazione ai gruppi.Click or tap the toggle to On next to Let group owners add people outside the organization to groups. Se si imposta l'interruttore su Attivato, viene visualizzata un'altra opzione per controllare se si vuole consentire ai proprietari del gruppo e del team di aggiungere persone esterne all'organizzazione a Gruppi di Microsoft 365 e Microsoft Teams.If you turn this toggle to On, you'll see another option to control whether you want to let group and team owners add people outside your organization to Microsoft 365 Groups and Microsoft Teams. Impostare l'interruttore su Attivato per consentire ai proprietari del gruppo e del team di aggiungere utenti guest.Set this toggle to On if you want to let group and team owners add guest users.

    Screenshot del pannello Gruppi di Microsoft 365 con le opzioni attivate

Queste impostazioni si applicano a livello del tenant e controllano l'esperienza degli utenti guest in Gruppi di Microsoft 365 e Teams.These settings apply at the tenant level and control the guest experience in Microsoft 365 Groups and Teams.

Consultare Gestire l'accesso guest in Gruppi di Microsoft 365 e Accesso guest in Gruppi di Microsoft 365 per ulteriori informazioni sull'accesso guest nei gruppi, tra cui il modo in cui funziona l'accesso guest, il modo in cui gestire l'accesso guest e le risposte alle domande frequenti.See Manage guest access in Microsoft 365 groups and Guest access in Microsoft 365 Groups for more information about guest access in groups, including how guest access works, how to manage guest access, and answers to frequently asked questions.

Controllare l'accesso guest in SharePoint Online e OneDrive for BusinessControl guest access to SharePoint Online and OneDrive for Business

Teams si basa su SharePoint Online e OneDrive for Business per archiviare file e documenti per i canali e le conversazioni chat.Teams relies on SharePoint Online and OneDrive for Business to store files and documents for channels and chat conversations.

Per l'esperienza di accesso guest completa in Teams, gli amministratori di Microsoft 365 e Office 365 devono configurare le impostazioni seguenti:For the full Teams guest access experience, Microsoft 365 and Office 365 admins need to configure the following settings:

Queste impostazioni si applicano a livello del tenant e controllano l'esperienza degli utenti guest in SharePoint Online, OneDrive for Business, Gruppi di Microsoft 365 e Teams.These settings apply at the tenant level and control the guest experience in SharePoint Online, OneDrive for Business, Microsoft 365 Groups, and Teams.

È possibile gestire le impostazioni degli utenti esterni di SharePoint Online per i siti del team connessi a Teams.You can manage SharePoint Online external user settings for the team sites connected to Teams. Per altre informazioni, consultare Gestire le impostazioni dei siti del team di SharePoint.To learn more, see Manage your SharePoint team site settings.

Accesso esterno (federazione) e accesso guestExternal access (federation) vs. guest access

L'accesso esterno (Federazione) e l'accesso Guest sono diversi:External access (federation) and guest access are different:

  • L'accesso esterno consente l'autorizzazione di accesso a un intero dominio.External access gives access permission to an entire domain.
  • L'accesso Guest offre l'autorizzazione di accesso a un utente.Guest access gives access permission to an individual.

Per un confronto dettagliato, vedere comunicare con utenti di altre organizzazioni.For a detailed comparison, see Communicate with users from other organizations.