Share via

Aggiungere e gestire gli account amministratore

  • Articolo

In Microsoft Entra per ID esterno un tenant esterno rappresenta la directory degli account consumer e guest. Con un ruolo di amministratore, gli account aziendali e guest possono gestire il tenant.

Prerequisiti

  • Se il tenant esterno di Microsoft Entra non è già stato creato, crearne uno ora.
  • Informazioni sugli account utente in Microsoft Entra per ID esterno.
  • Informazioni sui ruoli utente per controllare l'accesso alle risorse.

Aggiungere un account amministratore

Per creare un nuovo account amministratore, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Selezionare Nuovo utente>Creare nuovo utente.

  5. Nella pagina Nuovo utente, in Seleziona modello selezionare Crea utente.

  6. In Identità immettere le informazioni per l'amministratore:

    • Nome utente. Obbligatorio. Nome utente del nuovo utente. Ad esempio: mary@contoso.com.
    • Nome. Obbligatorio. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
    • Nome. Nome del nuovo utente. Ad esempio, Mary.
    • Cognome. Cognome del nuovo utente. Ad esempio, Parker.
    • Gruppi. Facoltativo. È possibile aggiungere l'utente a uno o più gruppi esistenti. È anche possibile aggiungere l'utente a gruppi in un secondo momento.
    • Ruoli: per aggiungere autorizzazioni amministrative per l'utente, aggiungerle a un ruolo Microsoft Entra. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Impostazioni: usare l'interruttore sì o no per impostare Blocca accesso e selezionare la posizione primaria dell'amministratore nell'elenco Località di utilizzo.
    • Informazioni sul processo: è possibile aggiungere altre informazioni sull'utente qui o farlo in un secondo momento.

  7. Copiare la password generata automaticamente nella casella Password. È necessario assegnare questa password all'amministratore per accedere per la prima volta.

  8. Seleziona Crea.

L'amministratore viene creato e aggiunto al tenant esterno.

Invitare un amministratore (account guest)

È anche possibile invitare un nuovo utente guest a gestire il tenant. Per invitare un amministratore, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Selezionare Nuovo utente Invita utente> esterno.

  5. Nella pagina Nuovo utente, in Seleziona modello selezionare Invita utente.

  6. In Identità immettere le informazioni per l'amministratore:

    • Nome. Obbligatorio. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
    • Indirizzo di posta elettronica. Obbligatorio. Indirizzo di posta elettronica dell'utente da invitare.
    • Nome. Nome del nuovo utente. Ad esempio, Mary.
    • Cognome. Cognome del nuovo utente. Ad esempio, Parker.
    • Messaggio personale: aggiungi un messaggio personale che verrà incluso nel messaggio di posta elettronica di invito.
    • Gruppi. Facoltativo. È possibile aggiungere l'utente a uno o più gruppi esistenti. È anche possibile aggiungere l'utente a gruppi in un secondo momento.
    • Ruoli: per aggiungere autorizzazioni amministrative per l'utente, aggiungerle a un ruolo Microsoft Entra. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Impostazioni: usare l'interruttore sì o no per impostare Blocca accesso e selezionare la posizione primaria dell'amministratore nell'elenco Località di utilizzo.
    • Informazioni sul processo: è possibile aggiungere altre informazioni sull'utente qui o farlo in un secondo momento.

  7. Selezionare Invita.

All'utente viene inviato un messaggio di posta elettronica di invito. L'utente deve accettare l'invito per poter accedere.

Aggiungere un'assegnazione di ruolo

È possibile assegnare un ruolo quando si crea un utente o si invita un utente guest. È possibile aggiungere un ruolo, modificare il ruolo o rimuovere un ruolo per un utente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare Aggiungi assegnazioni, selezionare il ruolo da assegnare( ad esempio, Application Amministrazione istrator) e quindi scegliere Aggiungi.

Rimuovere un'assegnazione di ruolo

Se è necessario rimuovere un'assegnazione di ruolo da un utente, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare il ruolo da rimuovere, ad esempio Application Amministrazione istrator e quindi selezionare Rimuovi assegnazione.

Esaminare le assegnazioni di ruolo dell'account amministratore

Come parte di un processo di controllo, in genere si esaminano gli utenti assegnati a ruoli specifici nella directory dei clienti. Usare la procedura seguente per controllare quali utenti sono attualmente assegnati ruoli con privilegi.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>
  4. Selezionare un ruolo, ad esempio User Amministrazione istrator. Nella pagina Assegnazioni sono elencati gli utenti con tale ruolo.

Eliminare un account amministratore

Per eliminare un utente esistente, è necessario avere almeno l'assegnazione di ruolo User Amministrazione istrator. L'autenticazione con privilegi Amministrazione istrator può eliminare qualsiasi utente, inclusi gli altri amministratori. Gli utenti Amministrazione istrator possono eliminare qualsiasi utente non amministratore.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'autenticazione con privilegi Amministrazione istrators.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente da eliminare.
  5. Selezionare Elimina e quindi per confermare l'eliminazione.

L'utente viene eliminato e non viene più visualizzato nella pagina Tutti gli utenti . L'utente può essere visualizzato nella pagina Utenti eliminati per i 30 giorni successivi e durante tale periodo può essere ripristinato. Per altre informazioni sul ripristino di un utente, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.

Proteggere gli account amministrativi

È consigliabile proteggere tutti gli account amministratore con l'autenticazione a più fattori (MFA) per una maggiore sicurezza. L'autenticazione a più fattori è un processo di verifica dell'identità durante l'accesso che richiede all'utente un passcode monouso.

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo Global Amministrazione istrator. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Gli account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo le raccomandazioni relative all'account di accesso di emergenza.