Che cos'è la gestione degli utenti aziendali?
Questo articolo presenta un amministratore per Microsoft Entra ID, parte di Microsoft Entra, alla relazione tra le principali attività di gestione delle identità per gli utenti in termini di gruppi, licenze, app aziendali distribuite e ruoli di amministratore. Man mano che l'organizzazione cresce, è possibile usare i gruppi e i ruoli di amministratore di Microsoft Entra per:
- Assegnare licenze ai gruppi invece di assegnare licenze a singoli utenti.
- Concedere le autorizzazioni per delegare il lavoro di gestione di Microsoft Entra al personale in ruoli con privilegi inferiori.
- Assegnare a gruppi l'accesso alle app aziendali.
Assegnare utenti a gruppi
È possibile usare i gruppi in Microsoft Entra ID per assegnare licenze o app aziendali distribuite a un numero elevato di utenti. È anche possibile usare i gruppi per assegnare tutti i ruoli di amministratore ad eccezione di Microsoft Entra Global Amministrazione istrator oppure concedere l'accesso a risorse esterne, ad esempio applicazioni SaaS o siti di SharePoint.
È possibile usare i gruppi dinamici in Microsoft Entra ID per espandere e gestire automaticamente l'appartenenza al gruppo di contratti. I gruppi dinamici offrono maggiore flessibilità e riducono il lavoro di gestione delle appartenenze ai gruppi.
Nota
È necessaria una licenza Microsoft Entra ID P1 per ogni utente univoco membro di uno o più gruppi dinamici.
Assegnare licenze a gruppi
La gestione delle assegnazioni di licenze utente singolarmente richiede molto tempo ed è soggetta a errori. Se invece si assegnano licenze ai gruppi , si riscontra una gestione delle licenze su larga scala più semplice.
Agli utenti di Microsoft Entra che partecipano a un gruppo concesso in licenza vengono assegnate automaticamente le licenze appropriate. Quando gli utenti lasciano il gruppo, Microsoft Entra ID rimuove le assegnazioni di licenza. Senza i gruppi di Microsoft Entra, è necessario scrivere uno script di PowerShell o usare l'API Graph per aggiungere o rimuovere in blocco licenze utente per gli utenti che accedono o lasciano l'organizzazione.
Se non sono disponibili licenze sufficienti o si verifica un problema come i piani di servizio che non possono essere assegnati contemporaneamente, è possibile visualizzare lo stato di qualsiasi problema di licenza per il gruppo nel portale di Azure.
Delegare i ruoli di amministratore
Molte grandi organizzazioni richiedono la possibilità di assegnare ai propri utenti autorizzazioni sufficienti per le loro attività lavorative, senza necessità di assegnare il potente ruolo di amministratore globale, ad esempio per gli utenti che devono registrare applicazioni. Ecco un esempio di nuovi ruoli di amministratore di Microsoft Entra che consentono di distribuire il lavoro di gestione delle applicazioni con maggiore specificità:
| Nome ruolo | Riepilogo delle autorizzazioni |
|---|---|
| Amministratore applicazione | Può aggiungere e gestire applicazioni aziendali e registrazioni di applicazioni e configurare le impostazioni proxy delle applicazioni. L'amministratore di applicazioni può visualizzare i criteri di accesso condizionale e i dispositivi, ma non gestirli. |
| Amministratore di applicazioni cloud | Può aggiungere e gestire applicazioni aziendali e registrazioni di app aziendali. Questo ruolo ha tutte le autorizzazioni dell'amministratore di applicazioni, tranne quella per gestire le impostazioni proxy delle applicazioni. |
| Sviluppatore di applicazioni | Può aggiungere e aggiornare registrazioni di applicazioni, ma non può gestire le applicazioni aziendali né configurare i proxy delle applicazioni. |
Vengono aggiunti nuovi ruoli di amministratore di Microsoft Entra. Vedere il portale di Azure o il riferimento alle autorizzazioni dei ruoli di amministratore per conoscere i ruoli attualmente disponibili.
Assegnare l'accesso alle app
È possibile usare Microsoft Entra ID per assegnare l'accesso di gruppo alle app aziendali distribuite nell'organizzazione Microsoft Entra. Se si combinano gruppi dinamici con l'assegnazione di gruppi alle app, è possibile automatizzare le assegnazioni di accesso alle app utente man mano che l'organizzazione cresce. Per assegnare l'accesso alle app aziendali, è necessaria una licenza Microsoft Entra ID P1 o Premium P2.
Microsoft Entra ID offre anche un controllo specifico dei dati trasmessi tra l'app e i gruppi a cui si assegna l'accesso. In Applicazioni aziendali aprire un'app e selezionare Provisioning per:
- Configurare il provisioning automatico per le app che lo supportano
- Specificare le credenziali di connessione all'API di gestione utenti dell'app
- Configurare i mapping che controllano il flusso degli attributi utente tra Microsoft Entra ID e l'app quando viene effettuato il provisioning o l'aggiornamento degli account utente
- Avviare e arrestare il servizio di provisioning di Microsoft Entra per un'app, cancellare la cache di provisioning o riavviare il servizio
- Visualizzare il report attività provisioning che fornisce un log di tutti gli utenti e i gruppi creati, aggiornati e rimossi tra Microsoft Entra ID e l'app e il report degli errori di provisioning che fornisce messaggi di errore più dettagliati
Passaggi successivi
Se sei un amministratore di Microsoft Entra, ottieni le nozioni di base in Nozioni fondamentali su Microsoft Entra.
È anche possibile cominciare a creare gruppi, assegnare licenze, assegnare l'accesso alle app o assegnare i ruoli di amministratore.