Gestire le app e l'accesso alle risorse tramite i gruppi di Azure Active DirectoryManage app and resource access using Azure Active Directory groups

Azure Active Directory (Azure AD) consente di gestire le app basate sul cloud, le app locali e le risorse usando i gruppi dell'organizzazione.Azure Active Directory (Azure AD) helps you to manage your cloud-based apps, on-premises apps, and your resources using your organization's groups. Le risorse possono far parte della directory, come ad esempio le autorizzazioni per gestire oggetti tramite i ruoli nella directory, o essere esterne alla directory, come ad esempio le app SaaS (Software as a Service, software come un servizio), i servizi di Azure, i siti di SharePoint e le risorse locali.Your resources can be part of the directory, such as permissions to manage objects through roles in the directory, or external to the directory, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

Nota

Per usare Azure Active Directory, è necessario un account Azure.To use Azure Active Directory, you need an Azure account. Se non si dispone di un account, è possibile iscriversi per un account Azure gratuito.If you don't have an account, you can sign up for a free Azure account.

Come funziona la gestione dell'accesso in Azure AD?How does access management in Azure AD work?

Azure AD consente di concedere l'accesso alle risorse dell'organizzazione fornendo i diritti di accesso a un singolo utente o a un intero gruppo di Azure AD.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. L'uso dei gruppi consente al proprietario delle risorse (o al proprietario della directory di Azure AD) di assegnare un set di autorizzazioni di accesso a tutti i membri del gruppo, invece di dover fornire i diritti singolarmente.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. Il proprietario delle risorse o della directory può anche concedere i diritti di gestione per l'elenco dei membri a qualcun altro, ad esempio al responsabile di un reparto o a un amministratore del supporto tecnico, consentendo a tale persona di aggiungere e rimuovere i membri, in base alle esigenze.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. Per altre informazioni su come gestire i proprietari dei gruppi, vedere Gestire i proprietari dei gruppiFor more information about how to manage group owners, see Manage group owners

Diagramma di gestione dell’accesso di Azure Active Directory

Modi per assegnare i diritti di accessoWays to assign access rights

È possibile assegnare agli utenti i diritti di accesso alle risorse in quattro modi:There are four ways to assign resource access rights to your users:

  • Assegnazione diretta.Direct assignment. Il proprietario della risorsa assegna direttamente l'utente alla risorsa.The resource owner directly assigns the user to the resource.

  • Assegnazione di gruppi.Group assignment. Il proprietario della risorsa assegna un gruppo di Azure AD alla risorsa, concedendo automaticamente a tutti i membri del gruppo l'accesso alla risorsa.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. L'appartenenza al gruppo viene gestita sia dal proprietario del gruppo che dal proprietario della risorsa, consentendo a entrambi i proprietari di aggiungere o rimuovere i membri dal gruppo.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. Per altre informazioni su come aggiungere o rimuovere l'appartenenza a un gruppo, vedere Come aggiungere o rimuovere un gruppo da un altro gruppo tramite il portale di Azure Active Directory.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • Assegnazione basata su regole.Rule-based assignment. Il proprietario della risorsa crea un gruppo e usa una regola per definire quali utenti vengono assegnati a una risorsa specifica.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. La regola è basata su attributi che vengono assegnati ai singoli utenti.The rule is based on attributes that are assigned to individual users. Il proprietario della risorsa gestisce la regola, determinando quali attributi e valori sono necessari per consentire l'accesso alla risorsa.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. Per altre informazioni, vedere Creare un gruppo dinamico e controllare lo stato.For more information, see Create a dynamic group and check status.

    È anche possibile guardare questo breve video per una rapida spiegazione sulla creazione e l'uso di gruppi dinamici:You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • Assegnazione di un'autorità esterna.External authority assignment. L'accesso proviene da un'origine esterna, ad esempio una directory locale o un'app SaaS.Access comes from an external source, such as an on-premises directory or a SaaS app. In questa situazione il proprietario della risorsa assegna a un gruppo il compito di fornire l'accesso alla risorsa e quindi l'origine esterna gestisce i membri del gruppo.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    Panoramica del diagramma di gestione dell’accesso

Gli utenti possono essere aggiunti ai gruppi senza esservi assegnati?Can users join groups without being assigned?

Il proprietario del gruppo, invece di assegnare gli utenti ai gruppi, può consentire loro di trovare i gruppi a cui unirsi.The group owner can let users find their own groups to join, instead of assigning them. Il proprietario può anche configurare il gruppo in modo che accetti automaticamente tutti gli utenti che vengono aggiunti o in modo che richieda l'approvazione.The owner can also set up the group to automatically accept all users that join or to require approval.

Dopo che un utente ha richiesto di essere aggiunto a un gruppo, la richiesta viene inoltrata al proprietario del gruppo.After a user requests to join a group, the request is forwarded to the group owner. Se necessario, il proprietario può approvare la richiesta e l'utente riceve una notifica relativa all'appartenenza al gruppo.If it's required, the owner can approve the request and the user is notified of the group membership. Se tuttavia si hanno più proprietari e uno di loro non approva la richiesta, l'utente riceve la notifica, ma non viene aggiunto al gruppo.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. Per altre informazioni e istruzioni su come consentire agli utenti di richiedere di essere aggiunti ai gruppi, vedere Configurare Azure AD in modo che gli utenti possano richiedere di essere aggiunti ai gruppiFor more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

Passaggi successiviNext steps

Dopo questa introduzione alla gestione dell'accesso mediante i gruppi, è possibile iniziare a gestire le risorse e le app.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.