Azure AD Privileged Identity Management: Come aggiungere o rimuovere un ruolo utenteAzure AD Privileged Identity Management: How to add or remove a user role

Con Azure Active Directory, un amministratore globale o un amministratore della società può aggiornare gli utenti assegnati in modo permanente ai ruoli in Azure AD.With Azure Active Directory (AD), a global administrator (or company administrator) can update which users are permanently assigned to roles in Azure AD. Per questa operazione è necessario usare i cmdlet di PowerShell, ad esempio Add-MsolRoleMember e Remove-MsolRoleMember.This is done with PowerShell cmdlets like Add-MsolRoleMember and Remove-MsolRoleMember. In alternativa, è possibile usare il portale di Azure classico come illustrato in Assegnazione dei ruoli amministratore in Azure Active Directory.Or they can use the Azure classic portal as described in assigning administrator roles in Azure Active Directory.

L'applicazione Azure AD Privileged Identity Management consente agli amministratori dei ruoli con privilegi di effettuare anche assegnazioni di ruolo permanenti.The Azure AD Privileged Identity Management application allows privileged role administrators to make permanent role assignments, as well. Inoltre, gli amministratori di ruolo con privilegi possono rendere gli utenti idonei ai ruoli di amministratore.Additionally, privileged role administrators can make users eligible for admin roles. Un amministratore idoneo può attivare il ruolo quando serve e le relative autorizzazioni scadono al termine delle operazioni.An eligible admin can activate the role when they need it, and then their permissions expire once they're done.

Gestire i ruoli con PIM nel portale di AzureManage roles with PIM in the Azure portal

All'interno dell'organizzazione è possibile assegnare gli utenti a diversi ruoli amministrativi in Azure AD, Office 365 e altri servizi e applicazioni Microsoft.In your organization, you can assign users to different administrative roles in Azure AD, Office 365, and other Microsoft services and applications. Per informazioni dettagliate sui ruoli disponibili, vedere Ruoli in Azure AD PIM.More details on the available roles can be found at Roles in Azure AD PIM.

Per aggiungere o rimuovere un utente in un ruolo usando Privileged Identity Management, visualizzare il dashboard PIM.To add or remove a user in a role using Privileged Identity Management, bring up the PIM dashboard. Quindi fare clic sul pulsante Utenti in ruoli amministrativi o selezionare un ruolo specifico (ad esempio Amministratore globale) dalla tabella dei ruoli.Then either click the Users in Admin Roles button, or select a specific role (such as Global Administrator) from the roles table.

Nota

Se ancora non è stato abilitato il servizio PIM nel portale di Azure, vedere Introduzione ad Azure AD Privileged Identity Management .If you haven't enabled PIM in the Azure portal yet, go to Get started with Azure AD PIM for details.

Per concedere a un altro utente l'accesso al servizio PIM stesso, vedere come concedere l'accesso a PIMper informazioni dettagliate sui ruoli utente necessari per l'uso di PIM.If you want to give another user access to PIM itself, the roles which PIM requires the user to have are described further in how to give access to PIM.

Aggiungere un utente a un ruoloAdd a user to a role

  1. Nel portale di Azureselezionare il riquadro Azure AD Privileged Identity Management nel dashboard.In the Azure portal, select the Azure AD Privileged Identity Management tile on the dashboard.
  2. Selezionare Gestione dei ruoli con privilegi.Select Manage privileged roles.
  3. Selezionare il ruolo che si vuole gestire dalla tabella Riepilogo del ruolo .In the Role summary table, select the role you want to manage.
  4. Nel pannello del ruolo selezionare Aggiungi.In the role blade, select Add.
  5. Fare clic su Seleziona utenti e cercare l'utente nel pannello Seleziona utenti.Click Select users and search for the user on the Select users blade.
  6. Selezionare l'utente nell'elenco dei risultati della ricerca e quindi fare clic su Fine.Select the user from the search results list, and click Done.
  7. Fare clic su OK per salvare la selezione.Click OK to save your selection. L'utente selezionato verrà visualizzato nell'elenco come idoneo per il ruolo.The user you have selected will appear in the list as eligible for the role.

Nota

Per impostazione predefinita, i nuovi utenti in un ruolo sono idonei solo per il ruolo.New users in a role are only eligible for the role by default. Se si desidera rendere permanente il ruolo, fare clic sull'utente nell'elenco.If you want to make the role permanent, click the user in the list. Le informazioni relative all'utente verranno visualizzate in un nuovo pannello.The user's information will appear in a new blade. Scegliere Rendi permanente nel menu delle informazioni dell'utente.Select Make perm in the user information menu.
Se un utente non riesce a eseguire la registrazione ad Azure Multi-Factor Authentication (MFA) o usa un account Microsoft, in genere @outlook.com, è necessario rendere l'utente permanente in tutti i relativi ruoli.If a user cannot register for Azure Multi-Factor Authentication (MFA), or is using a Microsoft account (usually @outlook.com), you need to make them permanent in all their roles. Gli amministratori idonei devono effettuare la registrazione a MFA durante l'attivazione.Eligible admins are asked to register for MFA during activation.

Ora che l'utente è idoneo per un ruolo, è necessario comunicargli che può attivarlo in base alle istruzioni fornite in Come attivare o disattivare un ruolo.Now that the user is eligible for a role, let them know that they can activate it according to the instructions in How to activate or deactivate a role.

Rimuovere un utente da un ruoloRemove a user from a role

È possibile rimuovere gli utenti da assegnazioni di idoneità al ruolo, ma è necessario assicurarsi che sia sempre presente almeno un utente con ruolo di amministratore globale permanente.You can remove users from eligible role assignments, but make sure there is always at least one user who is a permanent global administrator.

Per rimuovere un utente specifico da un ruolo, seguire questa procedura:Follow these steps to remove a specific user from a role:

  1. Passare al pannello del ruolo selezionando un ruolo nel dashboard di Azure AD PIM oppure facendo clic sul pulsante Utenti con ruoli di amministratore .Navigate to the role in the role list either by selecting a role in the Azure AD PIM dashboard or by clicking on the Users in Admin Roles button.
  2. Selezionare l'utente nell'elenco degli utenti.Click on the user in the user list.
  3. Fare clic su Rimuovi.Click Remove. Verrà visualizzato un messaggio che richiede la conferma.A message will ask you to confirm.
  4. Fare clic su per rimuovere il ruolo dall'utente.Click Yes to remove the role from the user.

Se non si è certi se gli utenti necessitano ancora delle assegnazioni di ruoli, è possibile avviare una verifica di accesso per il ruolo.If you're not sure which users still need their role assignments, then you can start an access review for the role.

Passaggi successiviNext steps