Ruolo amministrativo differente in Azure AD PIMDifferent administrative role in Azure Active Directory PIM

È possibile assegnare gli utenti dell'organizzazione a diversi ruoli amministrativi in Azure AD.You can assign users in your organization to different administrative roles in Azure AD. Queste assegnazioni di ruolo controllano le attività, ad esempio l'aggiunta o la rimozione di utenti o la modifica delle impostazioni del servizio, che gli utenti possono eseguire in Azure AD, Office 365 e altri Microsoft Online Services e applicazioni connesse.These role assignments control which tasks, such as adding or removing users or changing service settings, the users are able to perform on Azure AD, Office 365 and other Microsoft Online Services and connected applications.

Importante

Microsoft consiglia di gestire Azure AD usando l'interfaccia di amministrazione di Azure AD nel portale di Azure invece di usare il portale di Azure classico citato nel presente articolo.Microsoft recommends that you manage Azure AD using the Azure AD admin center in the Azure portal instead of using the Azure classic portal referenced in this article.

Un amministratore globale può aggiornare gli utenti assegnati in modo permanente ai ruoli di Azure AD, usando i cmdlet di PowerShell, ad esempio Add-MsolRoleMember e Remove-MsolRoleMember, o il portale classico come descritto in Assegnazione dei ruoli di amministratore in Azure Active Directory.A global administrator can update which users are permanently assigned to roles in Azure AD, using PowerShell cmdlets such as Add-MsolRoleMember and Remove-MsolRoleMember, or through the classic portal as described in assigning administrator roles in Azure Active Directory.

Azure AD Privileged Identity Management (PIM) gestisce i criteri per l'accesso con privilegi per gli utenti in Azure AD.Azure AD Privileged Identity Management (PIM) manages policies for privileged access for users in Azure AD. PIM assegna utenti a uno o più ruoli in Azure AD ed è possibile assegnare un utente in modo che sia permanente nel ruolo o idoneo per il ruolo.PIM assigns users to one or more roles in Azure AD, and you can assign someone to be permanently in the role, or eligible for the role. Quando a un utente viene assegnato in modo permanente a un ruolo o attiva un'assegnazione di idoneità al ruolo, può gestire Azure Active Directory, Office 365 e altre applicazioni con le autorizzazioni assegnate ai relativi ruoli.When a user is permanently assigned to a role, or activates an eligible role assignment, then they can manage Azure Active Directory, Office 365, and other applications with the permissions assigned to their roles.

Non esiste alcuna differenza sostanziale tra l'accesso concesso a un utente con l'assegnazione permanente e quello con l'assegnazione di idoneità al ruolo.There's no difference in the access given to someone with a permanent versus an eligible role assignment. L'unica differenza è che alcuni utenti non necessitano dell'accesso continuo.The only difference is that some people don't need that access all the time. Sono idonei per il ruolo e possono attivarlo e disattivarlo ogni volta che è necessario.They are made eligible for the role, and can turn it on and off whenever they need to.

Ruoli gestiti in PIMRoles managed in PIM

Privileged Identity Management consente di assegnare utenti a ruoli di amministratore comuni, tra cui:Privileged Identity Management lets you assign users to common administrator roles, including:

  • amministratore globale , noto anche come amministratore della società, ha accesso a tutte le funzionalità amministrative.Global administrator (also known as Company administrator) has access to all administrative features. Si può avere più di un amministratore globale nell'organizzazione.You can have more than one global admin in your organization. La persona che esegue l'iscrizione per l'acquisto di Office 365 diventa automaticamente un amministratore globale.The person who signs up to purchase Office 365 automatically becomes a global admin.
  • amministratore dei ruoli con privilegi gestisce Azure AD PIM e aggiorna le assegnazioni dei ruoli per gli altri utenti.Privileged role administrator manages Azure AD PIM and updates role assignments for other users.
  • Amministratore fatturazione : effettua acquisti, gestisce le sottoscrizioni, gestisce i ticket di supporto e monitora l'integrità del servizio.Billing administrator makes purchases, manages subscriptions, manages support tickets, and monitors service health.
  • Amministratore password : reimposta le password, gestisce le richieste di servizio e monitora l'integrità del servizio.Password administrator resets passwords, manages service requests, and monitors service health. Gli amministratori password sono limitati alla reimpostazione delle password per gli utenti.Password admins are limited to resetting passwords for users.
  • Amministratore del servizio : gestisce le richieste di servizio e monitora l'integrità del servizio.Service administrator manages service requests and monitors service health.

    Nota

    Se si usa Office 365, prima di assegnare il ruolo di amministratore del servizio a un utente, prima di tutto assegnare all'utente autorizzazioni amministrative per un servizio, ad esempio Exchange Online.If you are using Office 365, then before assigning the service admin role to a user, first assign the user administrative permissions to a service, such as Exchange Online.

  • amministratore Gestione utenti reimposta le password, effettua il monitoraggio dell'integrità del servizio e gestisce gli account utente, i gruppi di utenti e le richieste di servizio.User management administrator resets passwords, monitors service health, and manages user accounts, user groups, and service requests. L'amministratore Gestione utenti non può eliminare un amministratore globale, creare altri ruoli amministrativi o reimpostare le password per gli amministratori fatturazione, globali e dei servizi.The user management admin can’t delete a global admin, create other admin roles, or reset passwords for billing, global, and service admins.
  • amministratore di Exchange ha accesso amministrativo a Exchange Online tramite l'interfaccia di amministrazione di Exchange e può eseguire quasi tutte le attività in Exchange Online.Exchange administrator has administrative access to Exchange Online through the Exchange admin center (EAC), and can perform almost any task in Exchange Online.
  • amministratore di SharePoint ha accesso amministrativo a SharePoint Online tramite l'interfaccia di amministrazione di SharePoint Online e può eseguire quasi tutte le attività in SharePoint Online.SharePoint administrator has administrative access to SharePoint Online through the SharePoint Online admin center, and can perform almost any task in SharePoint Online.
  • amministratore di Skype for Business ha accesso amministrativo a Skype for Business tramite l'interfaccia di amministrazione di Skype for Business e può eseguire quasi tutte le attività in Skype for Business Online.Skype for Business administrator has administrative access to Skype for Business through the Skype for Business admin center, and can perform almost any task in Skype for Business Online.

Leggere gli articoli seguenti per altre informazioni sull'assegnazione dei ruoli di amministratore in Azure Active Directory e sull'assegnazione dei ruoli di amministratore in Office 365.Read these articles for more details about assigning administrator roles in Azure AD and assigning admin roles in Office 365.

Da PIM è possibile assegnare questi ruoli a un utente in modo che l'utente possa attivare il ruolo quando serve.From PIM, you can assign these roles to a user so that the user can activate the role when needed.

Se si vuole concedere a un altro utente l'accesso per la gestione all'interno del servizio PIM stesso, vedere Come concedere l'accesso a PIMper altre informazioni sui ruoli necessari all'utente per l'uso di PIM.If you want to give another user access to manage in PIM itself, the roles which PIM requires the user to have are described further in how to give access to PIM.

Ruoli non gestiti in PIMRoles not managed in PIM

I ruoli in Exchange Online o SharePoint Online, ad eccezione di quelli indicati in precedenza, non sono rappresentati in Azure AD e quindi non sono visibili in PIM.Roles within Exchange Online or SharePoint Online, except for those mentioned above, are not represented in Azure AD and so are not visible in PIM. Per altre informazioni sulla modifica delle assegnazioni di ruolo specifiche in questi servizi di Office 365, vedere Autorizzazioni in Office 365.For more information on changing fine-grained role assignments in these Office 365 services, see Permissions in Office 365.

In Azure AD non sono rappresentati neanche i gruppi di risorse e le sottoscrizioni di Azure.Azure subscriptions and resource groups are also not represented in Azure AD. Per informazioni su come gestire le sottoscrizioni di Azure, vedere Come aggiungere o modificare i ruoli di amministratore di Azure. Per altre informazioni su controllo degli accessi in base al ruolo di Azure, vedere Controllo degli accessi in base al ruolo di Azure.To manage Azure subscriptions, see How to add or change Azure administrator roles and for more information on Azure RBAC see Azure Role-Based Access Control.

Ruoli utente e accessoUser roles and signing in

Per alcuni servizi e applicazioni Microsoft l'assegnazione di un utente a un ruolo potrebbe non essere sufficiente per abilitarlo al ruolo di amministratore.For some Microsoft services and applications, assigning a user to a role may not be sufficient to enable that user to be an administrator.

L'accesso al portale di Azure classico richiede che l'utente sia un amministratore del servizio o un coamministratore in una sottoscrizione di Azure, anche se l'utente non deve gestire le sottoscrizioni di Azure.Access to the Azure classic portal requires the user be a service administrator or co-administrator on an Azure subscription, even if the user does not need to manage the Azure subscriptions. Ad esempio, per gestire le impostazioni di configurazione per Azure AD nel portale classico, un utente deve essere sia un amministratore globale di Azure AD sia un coamministratore della sottoscrizione in una sottoscrizione di Azure.For example, to manage configuration settings for Azure AD in the classic portal, a user must be both a global administrator in Azure AD and a subscription co-administrator on an Azure subscription. Per informazioni su come aggiungere utenti alle sottoscrizioni di Azure, vedere Come aggiungere o modificare i ruoli di amministratore di Azure.To learn how to add users to Azure subscriptions, see How to add or change Azure administrator roles.

L'accesso a Microsoft Online Services può richiedere che all'utente sia assegnata anche una licenza prima di poter aprire il portale del servizio o eseguire attività amministrative.Access to Microsoft Online Services may require the user also be assigned a license before they can open the service's portal or perform administrative tasks.

Assegnazione di una licenza a un utente in Azure ADAssign a license to a user in Azure AD

  1. Accedere al portale di Azure classico con un account di amministratore globale o di coamministratore.Sign in to the Azure classic portal with a global administrator account or a co-administrator account.
  2. Selezionare Tutti gli elementi dal menu principale.Select All Items from the main menu.
  3. Selezionare la directory con cui si desidera lavorare e a cui sono associate licenze.Select the directory you want to work with and that has licenses associated with it.
  4. Selezionare Licenze.Select Licenses. Verrà visualizzato l'elenco delle licenze disponibili.The list of available licenses will appear.
  5. Fare clic sul piano di licenza che contiene le licenze da distribuire.Select the license plan which contains the licenses that you want to distribute.
  6. Selezionare Assegna utenti.Select Assign Users.
  7. Selezionare l'utente a cui si desidera assegnare una licenza.Select the user that you want to assign a license to.
  8. Scegliere il pulsante Assegna .Click the Assign button. L'utente ora può accedere ad Azure.The user can now sign in to Azure.

Passaggi successiviNext steps