Gestire la directory di Azure ADManage your Azure AD directory

Che cos'è un tenant di Azure AD?What is an Azure AD tenant?

In Azure Active Directory (Azure AD), un tenant è un'istanza dedicata di Azure Active Directory che l'organizzazione riceve quando effettua l'iscrizione a un servizio cloud Microsoft, ad esempio Azure oppure Office 365.In Azure Active Directory (Azure AD), a tenant is a dedicated instance of an Azure AD directory that your organization receives when it signs up for a Microsoft cloud service such as Azure or Office 365. Ogni directory di Azure AD è distinta e separata dalle altre directory di Azure AD.Each Azure AD directory is distinct and separate from other Azure AD directories. Proprio come un edificio di uffici è un asset sicuro specifico solo dell'organizzazione che vi ha sede, anche una directory di Azure AD è stata progettata per essere un asset sicuro usato solo dall'organizzazione proprietaria.Just like a corporate office building is a secure asset specific to only your organization, an Azure AD directory was also designed to be a secure asset for use by only your organization. L'architettura di Azure AD isola le informazioni relative all'identità e i dati dei clienti in modo che gli utenti e gli amministratori di una directory di Azure AD non possano accedere intenzionalmente o accidentalmente ai dati presenti in un'altra directory.The Azure AD architecture isolates customer data and identity information so that users and administrators of one Azure AD directory cannot accidentally or maliciously access data in another directory.

Gestire Azure Active Directory

Come è possibile ottenere una directory di Azure AD?How can I get an Azure AD directory?

Azure AD fornisce le principali funzionalità di gestione delle identità e di directory alla base della maggior parte dei servizi cloud Microsoft, tra cui:Azure AD provides the core directory and identity management capabilities behind most of Microsoft’s cloud services, including:

  • AzureAzure
  • Microsoft Office 365Microsoft Office 365
  • Microsoft Dynamics CRM OnlineMicrosoft Dynamics CRM Online
  • Microsoft IntuneMicrosoft Intune

Quando si effettua l'iscrizione a uno di questi servizi cloud Microsoft, si ottiene una directory di Azure AD.You get an Azure AD directory when you sign up for any of these Microsoft cloud services. È possibile creare altre directory, se necessario.You can create additional directories as needed. Ad esempio, è possibile usare la prima directory come directory di produzione e quindi crearne un'altra per le attività di testing o di gestione temporanea.For example, you might maintain your first directory as a production directory and then create another directory for testing or staging.

Uso della directory di Azure AD associata una nuova sottoscrizione di AzureUsing the Azure AD directory that comes with a new Azure subscription

Quando si effettua l'iscrizione ad altri servizi Microsoft è consigliabile usare l'account amministratore usato per il primo servizio.We recommend that you use the administrator account you used for your first service when you sign up for other Microsoft services. Le informazioni specificate durante la prima iscrizione a un servizio Microsoft vengono usate per creare una nuova istanza di directory di Azure AD per l'organizzazione.The information that you provide the first time you sign up for a Microsoft service is used to create a new Azure AD directory instance for your organization. Se si usa tale directory per autenticare i tentativi di accesso quando si effettua la sottoscrizione ad altri servizi Microsoft, questi possono usare l'integrazione di directory locali, le impostazioni, gli account utente e i criteri esistenti che si configurano nella directory predefinita.If you use that directory to authenticate sign-in attempts when you subscribe to other Microsoft services, they can use the existing user accounts, policies, settings, or on-premises directory integration you configure in your default directory.

Se ad esempio si effettua l'iscrizione per ottenere una sottoscrizione di Microsoft Intune e quindi si sincronizza anche l'istanza locale di Active Directory con la directory di Azure AD, è possibile iscriversi a un altro servizio Microsoft come Office 365 usufruendo facilmente degli stessi vantaggi dell'integrazione di directory disponibili con Microsoft Intune.For example, if you sign up for a Microsoft Intune subscription and then further synchronize your on-premises Active Directory with your Azure AD directory, you can sign up for another Microsoft service such as Office 365 and easily achieve the same directory integration benefits that you have with Microsoft Intune.

Per altre informazioni sull'integrazione della directory locale con Azure AD, vedere l'articolo relativo all'integrazione di directory con Azure AD Connect.For more information about integrating your on-premises directory with Azure AD, see Directory integration with Azure AD Connect.

Associare una directory di Azure AD esistente a una nuova sottoscrizione di AzureAssociate an existing Azure AD directory with a new Azure subscription

È possibile associare una nuova sottoscrizione di Azure alla stessa directory che autentica l'accesso per una sottoscrizione esistente di Office 365 o Microsoft Intune.You can associate a new Azure subscription with the same directory that authenticates sign-in for an existing Office 365 or Microsoft Intune subscription. Per altre informazioni su tale scenario, vedere Trasferimento della proprietà di una sottoscrizione di Azure a un altro account.For more information on that scenario, see Transfer ownership of an Azure subscription to another account

Creare una directory di Azure AD effettuando l'iscrizione a un servizio cloud Microsoft come organizzazioneCreate an Azure AD directory by signing up for a Microsoft cloud service as an organization

Se non si ha ancora una sottoscrizione a un servizio cloud Microsoft, è possibile usare uno dei collegamenti seguenti per iscriversi.If you don’t yet have a subscription to a Microsoft cloud service, you can use one of the following links to sign up. Con l'iscrizione al primo servizio verrà creata automaticamente una directory di Azure AD.Signing up for your first service creates an Azure AD directory automatically.

Come modificare la directory predefinita per una sottoscrizioneHow to change the default directory for a subscription

  1. Accedere al Centro account di Azure con un account amministratore della sottoscrizione per trasferirne la proprietà.Sign in to the Azure Account Center with an account that is the Account Administrator of the subscription to transfer subscription ownership.
  2. Assicurarsi che l'utente che si vuole impostare come proprietario della sottoscrizione sia incluso nella directory di destinazione.Ensure that the user who you want to be the subscription owner is in the targeted directory.
  3. Fare clic su Trasferisci sottoscrizione.Click Transfer subscription.
  4. Specificare il destinatario.Specify the recipient. Il destinatario riceve automaticamente un messaggio e-mail con un link per l'accettazione.The recipient automatically gets an email with an acceptance link.
  5. Il destinatario deve fare clic sul link e seguire le istruzioni, inclusa l'immissione delle informazioni sul pagamento.The recipient clicks the link and follows the instructions, including entering their payment information. Quando il destinatario ha esito positivo, la sottoscrizione viene trasferita.When the recipient succeeds, the subscription is transferred.
  6. In caso di esito positivo del trasferimento di proprietà, la directory predefinita della sottoscrizione viene modificata alla directory in cui si trova l'utente.The default directory of the subscription is changed to the directory that the user is in if the subscription ownership transfer is successful.

Per altre informazioni, vedere Trasferimento della proprietà di una sottoscrizione di Azure a un altro accountTo learn more, see Transfer Azure subscription ownership to another account

Gestire la directory predefinita in AzureManage the default directory in Azure

Quando si effettua l'iscrizione ad Azure, alla sottoscrizione viene associata una directory di Azure AD predefinita.When you sign up for Azure, a default Azure AD directory is associated with your subscription. L'uso di Azure AD non comporta alcun costo e le directory sono una risorsa gratuita.There are no costs for using Azure AD and your directories are a free resource. Sono disponibili servizi di Azure AD a pagamento, concessi in licenza separatamente, che offrono funzionalità aggiuntive come le informazioni personalizzate distintive dell'azienda all'accesso e la reimpostazione password self-service.There are paid Azure AD services that are licensed separately and provide additional functionality such as company branding at sign-in, and self-service password reset. È anche possibile creare un dominio personalizzato usando un nome DNS di cui si è proprietari invece del dominio *.onmicrosoft.com predefinito.You can also create a custom domain using a DNS name that you own instead of the default *.onmicrosoft.com domain.

Come gestire i dati della directoryHow can I manage directory data?

Per amministrare una o più sottoscrizioni di servizi cloud Microsoft, è possibile usare l'interfaccia di amministrazione di Azure AD, il portale per gli account di Microsoft Intune o l'interfaccia di amministrazione di Office 365 per gestire i dati della directory dell'organizzazione.To administer one or more Microsoft cloud service subscriptions, you can use the Azure AD admin center, the Microsoft Intune account portal, or the Office 365 Admin Center to manage your organization's directory data. È anche possibile usare i cmdlet di Azure Active Directory PowerShell per gestire i dati archiviati in Azure AD.You can also use Azure Active Directory PowerShell cmdlets to help you manage data stored in Azure AD.

Da uno qualsiasi di questi portali o cmdlet è possibile:From any one of these portals (or cmdlets), you can:

  • Creare e gestire account di gruppi e utentiCreate and manage user and group accounts
  • Gestire i servizi cloud correlati per le sottoscrizioni dell'organizzazioneManage related cloud services for your organization's subscriptions
  • Configurare l'integrazione locale con i servizi di autenticazione e di gestione delle identità di Azure ADSet up on-premises integration with Azure AD identity and authentication services

L'interfaccia di amministrazione di Azure AD, l'interfaccia di amministrazione di Office 365, il portale per gli account di Microsoft Intune e i cmdlet di Azure AD eseguono tutti la lettura e la scrittura in una singola istanza condivisa di Azure AD associata alla directory dell'organizzazione.The Azure AD admin center, Office 365 Admin Center, Microsoft Intune account portal, and the Azure AD cmdlets all read from and write to a single shared instance of Azure AD that is associated with your organization’s directory. Ognuno di questi strumenti funge da interfaccia front-end che esegue il pull o la modifica dei dati della directory.Each of those tools acts as a front-end interface that pulls in or changes your directory data.

Quando si modificano i dati dell'organizzazione con uno qualsiasi dei portali o dei cmdlet dopo aver eseguito l'accesso nel contesto di uno di questi servizi, le modifiche verranno visualizzate anche negli altri portali all'accesso successivo.When you change your organization's data using any of the portals or cmdlets while signed in under the context of one of these services, the changes are also shown in the other portals the next time you sign in. Questi dati vengono condivisi tra i servizi cloud Microsoft a cui si effettua la sottoscrizione.This data is shared across the Microsoft cloud services to which you subscribe.

Se ad esempio si usa l'interfaccia di amministrazione di Office 365 per impedire a un utente di eseguire l'accesso, tale azione impedirà l'accesso dell'utente a qualsiasi altro servizio attualmente sottoscritto dall'organizzazione.For example, if you use the Office 365 Admin Center to block a user from signing in, that action blocks the user from signing in to any other service to which your organization is currently subscribed to. Se si visualizza lo stesso account utente nel portale per gli account di Microsoft Intune, l'utente risulterà bloccato.If you view the same user account in the Microsoft Intune account portal, you also see that the user is blocked.

Come è possibile aggiungere e gestire più directory?How can I add and manage multiple directories?

È possibile aggiungere una directory di Azure AD nel portale di Azure AD.You can add an Azure AD directory in the Azure portal. Inserire le informazioni e selezionare Crea.Fill out the information and select Create.

È possibile gestire ogni directory come una risorsa completamente indipendente. Ogni directory è infatti un peer con funzionalità complete, indipendente dal punto di vista logico dalle altre directory gestite. Non esiste alcuna relazione padre-figlio tra le directory.You can manage each directory as a fully independent resource: each directory is a peer, fully featured and logically independent of other directories that you manage; there is no parent-child relationship between directories. Questa indipendenza tra le directory include l'indipendenza delle risorse, l'indipendenza amministrativa e l'indipendenza della sincronizzazione.This independence between directories includes resource independence, administrative independence, and synchronization independence.

  • Indipendenza delle risorse.Resource independence. Se si crea o si elimina una risorsa in una directory, ciò non influisce sulle risorse presenti in un'altra directory, con la parziale eccezione degli utenti esterni.If you create or delete a resource in one directory, it has no impact on any resource in another directory, with the partial exception of external users. Se si usa un dominio personalizzato "contoso.com" con una directory, non è possibile usarlo con altre directory.If you use a custom domain 'contoso.com' with one directory, it cannot be used with any other directory.
  • Indipendenza amministrativa.Administrative independence. Se un utente non amministratore della directory "Contoso" crea una directory di test denominata "Test":If a user who is not an administrator of directory 'Contoso' creates a test directory 'Test,' then:

    • Gli amministratori della directory "Contoso" non hanno privilegi amministrativi diretti per la directory "Test" se tali privilegi non vengono loro concessi specificamente da un amministratore di "Test".The administrators of directory 'Contoso' have no direct administrative privileges to directory 'Test' unless an administrator of 'Test' specifically grants them these privileges. Gli amministratori di "Contoso" possono controllare l'accesso alla directory "Test" in virtù del proprio controllo sull'account utente che ha creato "Test".Administrators of 'Contoso' can control access to directory 'Test' by virtue of their control of the user account that created 'Test.'

    • Se si assegna o si rimuove un ruolo di amministratore per un utente in una directory, la modifica non influisce sul ruolo di amministratore che l'utente potrebbe avere in un'altra directory.If you assign or remove an administrator role for a user in one directory, the change does not affect any administrator role that user may have in another directory.

  • Indipendenza della sincronizzazione.Synchronization independence. È possibile configurare ogni tenant di Azure AD in modo indipendente per ottenere la sincronizzazione dei dati da una singola istanza con lo strumento di sincronizzazione directory Azure AD Connect.You can configure each Azure AD tenant independently to get data synchronized from a single instance the Azure AD Connect directory synchronization tool.

A differenza di altre risorse di Azure, le proprie directory non sono risorse figlio di una sottoscrizione di Azure.Unlike other Azure resources, your directories are not child resources of an Azure subscription. Se pertanto si annulla o si lascia scadere la propria sottoscrizione di Azure, sarà comunque possibile accedere ai dati delle directory mediante Azure AD PowerShell, l'API Graph di Azure o altre interfacce come l'interfaccia di amministrazione di Office 365.So if you cancel or allow your Azure subscription to expire, you can still access your directory data using Azure AD PowerShell, the Azure Graph API, or other interfaces such as the Office 365 Admin Center. È anche possibile associare un'altra sottoscrizione alla directory.You can also associate another subscription with the directory.

Come prepararsi a eliminare una directory di Azure ADHow to prepare to delete an Azure AD directory

Un amministratore globale può eliminare una directory di Azure AD dal portale.A global administrator can delete an Azure AD directory from the portal. Quando viene eliminata una directory, vengono eliminate anche tutte le risorse in essa contenute.When a directory is deleted, all resources that are contained in the directory are also deleted. Prima di eliminare la directory, verificare che non sia necessaria.Verify that you don’t need the directory before you delete it.

Nota

Se l'utente ha eseguito l'accesso con un account aziendale o dell'istituto di istruzione, non deve tentare di eliminarne la home directory.If the user is signed in with a work or school account, the user must not be attempting to delete their home directory. Ad esempio, se l'utente ha eseguito l'accesso come joe@contoso.onmicrosoft.com, non può eliminare la directory che ha contoso.onmicrosoft.com come dominio predefinito.For example, if the user is signed in as joe@contoso.onmicrosoft.com, that user cannot delete the directory that has contoso.onmicrosoft.com as its default domain.

Azure AD richiede che vengano soddisfatte determinate condizioni per eliminare una directory.Azure AD requires that certain conditions are met to delete a directory. In questo modo riduce il rischio che l'eliminazione di una directory possa incidere negativamente sugli utenti o sulle applicazioni, ad esempio sulla possibilità per gli utenti di accedere a Office 365 o alle risorse in Azure.This reduces risk that deleting a directory negatively impacts users or applications, such as the ability of users to sign in to Office 365 or access resources in Azure. Se una directory di una sottoscrizione viene eliminata accidentalmente, ad esempio, gli utenti non potranno accedere alle risorse di Azure per tale sottoscrizione.For example, if a directory for a subscription is unintentionally deleted, then users can't access the Azure resources for that subscription.

Viene verificato che siano soddisfatte le condizioni seguenti:The following conditions are checked:

  • L'unico utente presente nella directory deve essere l'amministratore globale che eliminerà la directory.The only user in the directory should be the global administrator who is to delete the directory. Tutti gli altri utenti devono essere eliminati prima che possa essere eliminata la directory.Any other users must be deleted before the directory can be deleted. Se gli utenti vengono sincronizzati dall'ambiente locale, è necessario disattivare la sincronizzazione ed eliminare gli utenti nella directory cloud con il portale di Azure o i cmdlet di Azure PowerShell.If users are synchronized from on-premises, then sync must be turned off, and the users must be deleted in the cloud directory by using the Azure portal or Azure PowerShell cmdlets. Non è necessario eliminare gruppi o contatti, ad esempio i contatti aggiunti dall'interfaccia di amministrazione di Office 365.There is no requirement to delete groups or contacts, such as contacts added from the Office 365 Admin Center.
  • La directory non può contenere applicazioni.There can be no applications in the directory. Tutte le applicazioni devono essere eliminate prima che possa essere eliminata la directory.Any applications must be deleted before the directory can be deleted.
  • Alla directory non possono essere collegati provider di Multi-Factor Authentication.No multi-factor authentication providers can be linked to the directory.
  • Alla directory non possono essere associate sottoscrizioni per i Microsoft Online Services, ad esempio Microsoft Azure, Office 365 o Azure AD Premium.There can be no subscriptions for any Microsoft Online Services such as Microsoft Azure, Office 365, or Azure AD Premium associated with the directory. Se, ad esempio, in Azure è stata creata una directory predefinita, non è possibile eliminare la directory se la propria sottoscrizione di Azure si basa ancora su di essa per l'autenticazione.For example, if a default directory was created for you in Azure, you cannot delete this directory if your Azure subscription still relies on this directory for authentication. Analogamente, non è possibile eliminare una directory se la sottoscrizione di un altro utente è associata a tale directory.Similarly, you can't delete a directory if another user has associated a subscription with it.

Passaggi successiviNext steps