Configurare Azure Active Directory per la gestione dei gruppi self-serviceSet up Azure Active Directory for self-service group management

Gli utenti possono creare e gestire gruppi di sicurezza o gruppi di Office 365 in Azure Active Directory (Azure AD).Your users can create and manage their own security groups or Office 365 groups in Azure Active Directory (Azure AD). Gli utenti possono anche richiedere l'appartenenza a gruppi di sicurezza o gruppi di Office 365, che il proprietario del gruppo può quindi approvare o rifiutare.Users can also request security group or Office 365 group memberships, and then the owner of the group can approve or deny membership. Il controllo giornaliero dell'appartenenza al gruppo può essere delegato a persone che conoscono il contesto aziendale pertinente.Day-to-day control of group membership can be delegated to the people who understand the business context for that membership. Le funzionalità di gestione self-service dei gruppi sono disponibili solo per i gruppi di sicurezza e i gruppi di Office 365, ma non per i gruppi di protezione abilitati alla posta o le liste di distribuzione.Self-service group management features are available only for security groups and Office 365 groups, but not for mail-enabled security groups or distribution lists.

La gestione dei gruppi self-service riguarda attualmente due scenari principali, ovvero gestione dei gruppi delegata e gestione dei gruppi self-service.Self-service group management currently services two essential scenarios: delegated group management and self-service group management.

  • Gestione delegata dei gruppi : un esempio è costituito da un amministratore che gestisce l'accesso a un'applicazione SaaS usata dall'azienda.Delegated group management An example is an administrator who is managing access to a SaaS application that the company is using. In questo caso la gestione dei diritti di accesso diventa più onerosa e pertanto l'amministratore chiede al titolare dell'organizzazione di creare un nuovo gruppo.Managing these access rights is becoming cumbersome, so this administrator asks the business owner to create a new group. L'amministratore assegna l'accesso per l'applicazione al nuovo gruppo e aggiunge al gruppo tutte le persone che accedono già all'applicazione.The administrator assigns access for the application to the new group, and adds to the group all people already accessing to the application. Il titolare dell'organizzazione può quindi aggiungere altri utenti, per i quali il provisioning nell'applicazione viene effettuato automaticamente.The business owner then can add more users, and those users are automatically provisioned to the application. Il titolare dell'organizzazione non deve attendere che l'amministratore gestisca l'accesso degli utenti.The business owner doesn't need to wait for the administrator to manage access for users. Se l'amministratore concede la stessa autorizzazione a un manager di un diverso gruppo aziendale, anche tale persona può gestire l'accesso dei propri utenti.If the administrator grants the same permission to a manager in a different business group, then that person can also manage access for their own users. Né il titolare dell'organizzazione né il manager possono visualizzare o gestire gli utenti dell'altro.Neither the business owner nor the manager can view or manage each other’s users. L'amministratore può comunque visualizzare tutti gli utenti che hanno accesso all'applicazione e, se necessario, revocare i diritti di accesso.The administrator can still see all users who have access to the application and block access rights if needed.
  • Gestione self-service dei gruppi Un esempio di questo scenario è costituito da due utenti che hanno entrambi siti di SharePoint Online configurati in modo indipendenteSelf-service group management An example of this scenario is two users who both have SharePoint Online sites that they set up independently. e che vogliono concedere al team dell'altro l'accesso al proprio sito.They want to give each other’s teams access to their sites. A questo scopo, possono creare un gruppo in Azure AD che può essere selezionato da ognuno in SharePoint Online per consentire l'accesso al proprio sito.To accomplish this, they can create one group in Azure AD, and in SharePoint Online each of them selects that group to provide access to their sites. Se un utente desidera accedere, effettua la richiesta dal pannello di accesso e dopo aver ottenuto l'approvazione potrà accedere automaticamente a entrambi i siti di SharePoint Online.When someone wants access, they request it from the Access Panel, and after approval they get access to both SharePoint Online sites automatically. Se successivamente uno degli utenti decide che tutte le persone che accedono al sito devono poter accedere anche a una determinata applicazione SaaS,Later, one of them decides that all people accessing the site should also get access to a particular SaaS application. l'amministratore dell'applicazione SaaS può aggiungere i diritti di accesso per l'applicazione al sito di SharePoint Online.The administrator of the SaaS application can add access rights for the application to the SharePoint Online site. A questo punto, tutte le richieste approvate garantiranno l'accesso ai due siti di SharePoint Online e anche all'applicazione SaaS.From then on, any requests that get approved gives access to the two SharePoint Online sites and also to this SaaS application.

Rendere disponibile un gruppo per gli utenti in modalità self-serviceMake a group available for user self-service

  1. Accedere all'interfaccia di amministrazione di Azure AD con un account amministratore globale per la directory.Sign in to the Azure AD admin center with an account that's a global admin for the directory.
  2. Selezionare Utenti e gruppi e quindi Impostazioni di gruppo.Select Users and groups, and then select Group settings.
  3. Impostare Gestione gruppi self-service abilitata su .Set Self-service group management enabled to Yes.
  4. Impostare Gli utenti possono creare gruppi di sicurezza o Gli utenti possono creare gruppi di Office 365 su .Set Users can create security groups or Users can create Office 365 groups to Yes.
    • Quando queste impostazioni sono abilitate, tutti gli utenti nella directory possono creare nuovi gruppi di sicurezza e aggiungere membri a tali gruppi.When these settings are enabled, all users in your directory are allowed to create new security groups and add members to these groups. Questi nuovi gruppi saranno visibili anche nel pannello di accesso per tutti gli altri utenti.These new groups would also show up in the Access Panel for all other users. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi.If the policy setting on the group allows it, other users can create requests to join these groups.
    • Quando queste impostazioni sono disabilitate, gli utenti non possono creare gruppi né modificare i gruppi esistenti di cui sono proprietari.When these settings are disabled, users can't create groups and can't change existing groups for which they are an owner. Possono tuttavia gestire l'appartenenza a tali gruppi e approvare le richieste di partecipazione provenienti da altri utenti.However, they can still manage the memberships of those groups and approve requests from other users to join their groups.

È anche possibile usare le opzioni Utenti che possono gestire gruppi di sicurezza e Utenti che possono gestire gruppi di Office 365 per ottenere un controllo di accesso più granulare sulla gestione dei gruppi self-service per gli utenti.You can also use Users who can manage security groups and Users who can manage Office 365 groups to achieve more granular access control over self-service group management for your users. Quando l'opzione Users can create groups (Gli utenti possono creare gruppi) è abilitata, tutti gli utenti nel tenant possono creare nuovi gruppi e aggiungervi membri.When Users can create groups is enabled, all users in your tenant are allowed to create new groups and add members to these groups. Impostando l'opzione su In parte, si restringe la gestione dei gruppi a un gruppo limitato di utenti.By setting them to Some, you are restricting group management to only a limited group of users. Quando questa opzione è impostata su In parte, è necessario aggiungere gli utenti al gruppo SSGMSecurityGroupsUsers perché possano creare nuovi gruppi e aggiungervi membri.When this switch is set to Some, you must add users to the group SSGMSecurityGroupsUsers before they can create new groups and add members to them. Impostando le opzioni Utenti che possono usare la modalità self-service per i gruppi di sicurezza e Utenti che possono gestire gruppi di Office 365 su Tutti, si consente a tutti gli utenti nel tenant di creare nuovi gruppi.By setting Users who can use self-service for security groups and Users who can manage Office 365 groups to All, you enable all users in your tenant to create new groups.

È anche possibile usare l'opzione Gruppo che può gestire i gruppi di sicurezza o Gruppi che possono gestire gruppi di Office 365 per specificare un singolo gruppo i cui membri possono usare la modalità self-service.You can also use Group that can manage security groups or Group that can manage Office 365 groups to specify a single group whose members can use self-service.

Passaggi successiviNext steps

Questi articoli forniscono informazioni aggiuntive su Azure Active Directory.These articles provide additional information on Azure Active Directory.