Gestire i gruppi e l'appartenenza ai gruppi di Microsoft Entra

  • Articolo

I gruppi di Microsoft Entra vengono usati per gestire gli utenti che necessitano degli stessi accessi e autorizzazioni per le risorse, ad esempio app e servizi potenzialmente limitati. Invece di aggiungere autorizzazioni speciali ai singoli utenti, si crea un gruppo che applica le autorizzazioni speciali a ogni membro del gruppo.

Questo articolo illustra gli scenari di gruppo di base in cui un singolo gruppo viene aggiunto a una singola risorsa e gli utenti vengono aggiunti come membri a tale gruppo. Per scenari più complessi, ad esempio appartenenze dinamiche e creazione di regole, vedere la documentazione sulla gestione degli utenti di Microsoft Entra.

Prima di aggiungere gruppi e membri, è possibile ottenere informazioni sui gruppi e sui tipi di appartenenza per decidere quali opzioni usare quando si crea un gruppo.

Creare un gruppo di base e aggiungere membri

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

È possibile creare un gruppo di base e aggiungere i membri contemporaneamente usando l'interfaccia di amministrazione di Microsoft Entra. I ruoli di Microsoft Entra che possono gestire i gruppi includono Gruppi Amministrazione istrator, User Amministrazione istrator, Privileged Role Amministrazione istrator o Global Amministrazione istrator. Esaminare i ruoli appropriati di Microsoft Entra per la gestione dei gruppi

Per creare un gruppo di base e aggiungere membri:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Passare a Gruppi>di identità>Tutti i gruppi.

  3. Selezionare Nuovo gruppo.

    Screenshot della pagina

  4. Selezionare un tipo di gruppo. Per altre informazioni sui tipi di gruppo, vedere l'articolo sui gruppi e sui tipi di appartenenza.

    • Se si seleziona il tipo di gruppo di Microsoft 365 , viene abilitata l'opzione Indirizzo di posta elettronica gruppo.

  5. Immettere un nome di gruppo. Scegliere un nome che si ricorderà e che ha senso per il gruppo. Verrà eseguito un controllo per determinare se il nome è già in uso. Se il nome è già in uso, verrà chiesto di modificare il nome del gruppo.

    • Il nome del gruppo non può iniziare con uno spazio. L'avvio del nome con uno spazio impedisce la visualizzazione del gruppo come opzione per i passaggi, ad esempio l'aggiunta di assegnazioni di ruolo ai membri del gruppo.

  6. Indirizzo di posta elettronica del gruppo: disponibile solo per i tipi di gruppo di Microsoft 365. Immettere un indirizzo di posta elettronica manualmente o usare l'indirizzo di posta elettronica compilato dal nome del gruppo specificato.

  7. Descrizione gruppo. Aggiungere una descrizione facoltativa per il gruppo.

  8. Cambiare i ruoli di Microsoft Entra può essere assegnato all'impostazione del gruppo su sì per usare questo gruppo per assegnare i ruoli di Microsoft Entra ai membri.

    • Questa opzione è disponibile solo con licenze P1 o P2.
    • È necessario avere il ruolo Amministrazione istrator con privilegi o globale Amministrazione istrator.
    • L'abilitazione di questa opzione seleziona automaticamente Assegnato come tipo di appartenenza.
    • La possibilità di aggiungere ruoli durante la creazione del gruppo viene aggiunta al processo.
    • Altre informazioni sui gruppi assegnabili a ruoli.

  9. Selezionare un tipo di appartenenza. Per altre informazioni sui tipi di appartenenza, vedere l'articolo sui gruppi e sui tipi di appartenenza.

  10. Facoltativamente, aggiungere proprietari o membri. I membri e i proprietari possono essere aggiunti dopo la creazione del gruppo.

    1. Selezionare il collegamento in Proprietari o Membri per popolare un elenco di ogni utente nella directory.
    2. Scegliere gli utenti dall'elenco e quindi selezionare il pulsante Seleziona nella parte inferiore della finestra.

    Screenshot della selezione dei membri per il gruppo durante il processo di creazione del gruppo.

  11. Seleziona Crea. Il gruppo viene creato e pronto per gestire altre impostazioni.

Disattivare il messaggio di posta elettronica di benvenuto del gruppo

Una notifica di benvenuto viene inviata a tutti gli utenti quando vengono aggiunti a un nuovo gruppo di Microsoft 365, indipendentemente dal tipo di appartenenza. Quando un attributo di un utente o di un dispositivo cambia, tutte le regole di gruppo dinamiche nell'organizzazione vengono elaborate per potenziali modifiche di appartenenza. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.

Aggiungere o rimuovere membri e proprietari

I membri e i proprietari possono essere aggiunti e rimossi dai gruppi esistenti. Il processo è lo stesso per i membri e i proprietari. Per aggiungere e rimuovere membri e proprietari, è necessario il ruolo Gruppi Amministrazione istrator o Utente Amministrazione istrator.

È necessario aggiungere più membri contemporaneamente? Informazioni sull'opzione aggiungi membri in blocco .

Aggiungere membri o proprietari di un gruppo

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Passare a Gruppi>di identità>Tutti i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Membri o Proprietari.

    Screenshot della pagina Panoramica del gruppo con le opzioni di menu Membri e proprietari evidenziate.

  5. Selezionare + Aggiungi (membri o proprietari).

  6. Scorrere l'elenco o immettere un nome nella casella di ricerca. È possibile scegliere più nomi contemporaneamente. Quando si è pronti, selezionare il pulsante Seleziona .

    La pagina Panoramica gruppo viene aggiornata per indicare il numero di membri aggiunti al gruppo.

Rimuovere membri o proprietari di un gruppo

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Passare a Gruppi>di identità>Tutti i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Membri o Proprietari.

  5. Selezionare la casella accanto a un nome dall'elenco e selezionare il pulsante Rimuovi .

    Screenshot dei membri del gruppo con un nome selezionato e il pulsante Rimuovi evidenziato.

Modificare le impostazioni del gruppo

È possibile modificare il nome, la descrizione o il tipo di appartenenza di un gruppo. Per modificare le impostazioni di un gruppo, è necessario il ruolo Gruppi Amministrazione istrator o Utente Amministrazione istrator.

Per modificare le impostazioni del gruppo:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Passare a Gruppi>di identità>Tutti i gruppi.

  3. Scorrere l'elenco o immettere un nome di gruppo nella casella di ricerca. Selezionare il gruppo da gestire.

  4. Selezionare Proprietà dal menu laterale.

    Screenshot della pagina Panoramica del gruppo con l'opzione di menu Proprietà evidenziata.

  5. Aggiornare le informazioni in Impostazioni generali in base alle esigenze, tra cui:

    • Nome gruppo. Modificare il nome del gruppo esistente.

    • Descrizione gruppo. Modificare la descrizione del gruppo esistente.

    • Tipo gruppo. Non è possibile modificare il tipo di gruppo dopo che è stato creato. Per modificare Tipo gruppo, è necessario eliminare il gruppo e crearne uno nuovo.

    • Tipo di appartenenza. Modificare il tipo di appartenenza. Se è possibile assegnare i ruoli Di Microsoft Entra all'opzione di gruppo , non è possibile modificare il tipo di appartenenza. Per altre informazioni sui tipi di appartenenza disponibili, vedi l'articolo sui gruppi e sui tipi di appartenenza.

    • ID oggetto. Non è possibile modificare l'ID oggetto, ma è possibile copiarlo per usarlo nei comandi di PowerShell per il gruppo. Per altre informazioni sull'uso dei cmdlet di PowerShell, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni di gruppo.

Aggiungere o rimuovere un gruppo da un altro gruppo

Per il tipo di gruppo di sicurezza, è possibile aggiungere un gruppo esistente a un altro gruppo (noto anche come gruppi annidati). A seconda dei tipi di appartenenza al gruppo, è possibile aggiungere un gruppo come membro di un altro gruppo, proprio come un utente, che applica impostazioni come autorizzazioni di accesso e ruoli ai gruppi annidati. Tuttavia, per i gruppi annidati, Microsoft Entra ID non applica l'appartenenza assegnata a risorse e applicazioni condivise.

Per modificare l'appartenenza ai gruppi, è necessario il ruolo Gruppi Amministrazione istrator o User Amministrazione istrator. Per altre informazioni sui gruppi di sicurezza, vedere Cosa sapere prima di creare un gruppo.

Attualmente non è supportato:

  • Aggiunta di gruppi a un gruppo sincronizzato con Active Directory locale.
  • Aggiunta di gruppi di sicurezza ai gruppi di Microsoft 365.
  • Aggiunta di gruppi di Microsoft 365 ai gruppi di sicurezza o ad altri gruppi di Microsoft 365.
  • Appartenenza assegnata a risorse condivise e app per i gruppi di sicurezza annidati.
  • Applicazione di licenze ai gruppi di sicurezza annidati.
  • Aggiunta di gruppi di distribuzione in scenari di annidamento.
  • Aggiunta di gruppi di sicurezza come membri dei gruppi di sicurezza abilitati alla posta elettronica.
  • Aggiunta di gruppi come membri di un gruppo assegnabile a ruoli.

Aggiungere un gruppo a un altro gruppo

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Passare a Gruppi>di identità>Tutti i gruppi.

  3. Nella pagina Tutti i gruppi cercare e selezionare il gruppo che si vuole diventare membro di un altro gruppo.

    Nota

    È possibile aggiungere il gruppo solo come membro a un altro gruppo alla volta. I caratteri jolly non sono supportati nella casella di ricerca Seleziona gruppo .

  4. Nella pagina Panoramica del gruppo selezionare Appartenenze a gruppi dal menu laterale.

  5. Selezionare + Aggiungi appartenenze.

  6. Individuare il gruppo di cui si vuole che il gruppo sia membro e scegliere Seleziona.

    Per questo esercizio si aggiunge "Criteri MDM - West" al gruppo "MDM policy - All org". Il gruppo "MDM - policy - West" avrà lo stesso accesso del gruppo "MDM policy - All org".

    Screenshot della creazione di un gruppo come membro di un altro gruppo con appartenenza al gruppo dal menu laterale e l'opzione 'Aggiungi appartenenza' evidenziata.

È ora possibile esaminare la pagina "Criteri MDM - West - Appartenenze a gruppi" per visualizzare la relazione tra gruppi e membri.

Per una visualizzazione più dettagliata della relazione tra gruppo e membro, selezionare il nome del gruppo padre (criteri MDM - Tutta l'organizzazione) e osservare i dettagli della pagina "Criteri MDM - West".

Rimuovere un gruppo da un altro gruppo

È possibile rimuovere un gruppo di sicurezza esistente da un altro gruppo di sicurezza; Tuttavia, la rimozione del gruppo rimuove anche qualsiasi accesso ereditato per i relativi membri.

  1. Nella pagina Tutti i gruppi cercare e selezionare il gruppo da rimuovere come membro di un altro gruppo.

  2. Nella pagina Panoramica del gruppo selezionare Appartenenze a gruppi.

  3. Selezionare il gruppo padre nella pagina Appartenenza a gruppi .

  4. Selezionare Rimuovi.

    Per questo esercizio verrà rimosso "Criteri MDM - West" dal gruppo "MDM policy - All org".

    Screenshot della pagina

Eliminare un gruppo

È possibile eliminare un gruppo per diversi motivi, ma i più comuni sono i seguenti:

  • Scegliere l'opzione Tipo di gruppo non corretta.
  • Creazione di un gruppo duplicato per errore.
  • Il gruppo non è più necessario.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Passare a Gruppi>di identità>Tutti i gruppi.

  3. Cercare e selezionare il gruppo da eliminare.

  4. Selezionare Elimina.

Passaggi successivi