Organizzare le sottoscrizioni in gruppi di gestione e assegnare ruoli agli utenti

  • Articolo

Gestire il comportamento di sicurezza dell'organizzazione su larga scala applicando criteri di sicurezza a tutte le sottoscrizioni di Azure collegate al tenant di Microsoft Entra.

Per ottenere visibilità sul comportamento di sicurezza di tutte le sottoscrizioni collegate a un tenant di Microsoft Entra, è necessario un ruolo di Azure con autorizzazioni di lettura sufficienti assegnate nel gruppo di gestione radice.

Organizzare le sottoscrizioni in gruppi di gestione

Panoramica dei gruppi di gestione

Usare i gruppi di gestione per gestire in modo efficiente l'accesso, i criteri e la creazione di report sui gruppi di sottoscrizioni e gestire efficacemente l'intero ambiente di Azure eseguendo azioni nel gruppo di gestione radice. È possibile organizzare le sottoscrizioni in gruppi di gestione a cui vengono applicati i criteri di governance. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente i criteri applicati al gruppo di gestione.

A ogni tenant di Microsoft Entra viene assegnato un singolo gruppo di gestione di primo livello denominato gruppo di gestione radice. Questo gruppo di gestione radice è integrato nella gerarchia in modo da ricondurre al suo interno tutti i gruppi di gestione e le sottoscrizioni. Questo gruppo consente l'applicazione di criteri globali e assegnazioni di ruolo di Azure a livello di directory.

Il gruppo di gestione radice viene creato automaticamente quando si esegue una delle azioni seguenti:

I gruppi di gestione non devono eseguire l'onboarding di Defender per il cloud, ma è consigliabile creare almeno uno in modo che venga creato il gruppo di gestione radice. Dopo aver creato il gruppo, tutte le sottoscrizioni nel tenant di Microsoft Entra verranno collegate.

Per una panoramica dettagliata dei gruppi di gestione, vedere l'articolo Organizzare le risorse con i gruppi di gestione di Azure.

Visualizzare e creare gruppi di gestione nel portale di Azure

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Gruppi di gestione.

  3. Per creare un gruppo di gestione, selezionare Crea, immettere i dettagli pertinenti e selezionare Invia.

    Adding a management group to Azure.

    • L'ID del gruppo di gestione è l'identificatore univoco della directory usato per inviare i comandi per questo gruppo di gestione. Questo identificatore non è modificabile dopo la creazione, perché è usato all'interno dell'intero sistema Azure per identificare il gruppo.

    • Il nome visualizzato è il nome che viene visualizzato nel portale di Azure. Un nome visualizzato separato è un campo facoltativo al momento della creazione del gruppo di gestione e può essere modificato in qualsiasi momento.

Aggiungere sottoscrizioni a un gruppo di gestione

È possibile aggiungere le sottoscrizioni al gruppo di gestione creato.

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Gruppi di gestione.

  3. Selezionare il gruppo di gestione per la sottoscrizione.

  4. Quando si apre la pagina del gruppo, selezionare Sottoscrizioni.

  5. Nella pagina sottoscrizioni selezionare Aggiungi, quindi selezionare le sottoscrizioni e selezionare Salva. Ripetere fino a quando non sono state aggiunte tutte le sottoscrizioni nell'ambito.

    Adding a subscription to a management group.

    Importante

    I gruppi di gestione possono contenere sia sottoscrizioni che gruppi di gestione figlio. Quando si assegna un utente a un ruolo di Azure al gruppo di gestione padre, l'accesso viene ereditato dalle sottoscrizioni del gruppo di gestione figlio. Anche i criteri impostati nel gruppo di gestione padre vengono ereditati dagli elementi figlio.

Assegnare ruoli di Azure ad altri utenti

Assegnare ruoli di Azure agli utenti tramite il portale di Azure

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Gruppi di gestione.

  3. Selezionare il gruppo di gestione pertinente.

  4. Selezionare Controllo di accesso (IAM), aprire la scheda Assegnazioni di ruolo e selezionare Aggiungi aggiungi>assegnazione di ruolo.

    Adding a user to a management group.

  5. Nella pagina Aggiungi assegnazione di ruolo selezionare il ruolo pertinente.

    Add role assignment page.

  6. Nella scheda Membri selezionare + Seleziona membri e assegnare il ruolo ai membri pertinenti.

  7. Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.

Assegnare ruoli di Azure agli utenti con PowerShell

  1. Installare Azure PowerShell.

  2. Eseguire i comandi seguenti:

    # Login to Azure as a Global Administrator user
Connect-AzAccount

  3. Quando richiesto, accedere con le credenziali di amministratore globale.

    Sign in prompt screenshot.

  4. Concedere le autorizzazioni del ruolo Lettore eseguendo il comando seguente:

    # Add Reader role to the required user on the Root Management Group
# Replace "user@domian.com” with the user to grant access to
New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

  5. Per rimuovere il ruolo, usare il comando seguente:

    Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

Rimuovere l'accesso con privilegi elevati

Dopo aver assegnato i ruoli di Azure agli utenti, l'amministratore del tenant deve rimuovere se stesso dal ruolo di amministratore dell'accesso utente.

  1. Accedere al portale di Azure.

  2. Nell'elenco di spostamento selezionare Microsoft Entra ID e quindi proprietà.

  3. In Gestione degli accessi per le risorse di Azure impostare l'opzione su No.

  4. Per salvare l'impostazione, selezionare Salva.

Passaggi successivi

In questa pagina si è appreso come organizzare le sottoscrizioni in gruppi di gestione e assegnare ruoli agli utenti. Per informazioni correlate, vedere: