Organizzare le sottoscrizioni in gruppi di gestione e assegnare ruoli agli utenti
Gestire il comportamento di sicurezza dell'organizzazione su larga scala applicando criteri di sicurezza a tutte le sottoscrizioni di Azure collegate al tenant di Microsoft Entra.
Per ottenere visibilità sul comportamento di sicurezza di tutte le sottoscrizioni collegate a un tenant di Microsoft Entra, è necessario un ruolo di Azure con autorizzazioni di lettura sufficienti assegnate nel gruppo di gestione radice.
Organizzare le sottoscrizioni in gruppi di gestione
Panoramica dei gruppi di gestione
Usare i gruppi di gestione per gestire in modo efficiente l'accesso, i criteri e la creazione di report sui gruppi di sottoscrizioni e gestire efficacemente l'intero ambiente di Azure eseguendo azioni nel gruppo di gestione radice. È possibile organizzare le sottoscrizioni in gruppi di gestione a cui vengono applicati i criteri di governance. Tutte le sottoscrizioni all'interno di un gruppo di gestione ereditano automaticamente i criteri applicati al gruppo di gestione.
A ogni tenant di Microsoft Entra viene assegnato un singolo gruppo di gestione di primo livello denominato gruppo di gestione radice. Questo gruppo di gestione radice è integrato nella gerarchia in modo da ricondurre al suo interno tutti i gruppi di gestione e le sottoscrizioni. Questo gruppo consente l'applicazione di criteri globali e assegnazioni di ruolo di Azure a livello di directory.
Il gruppo di gestione radice viene creato automaticamente quando si esegue una delle azioni seguenti:
- Nella portale di Azure selezionare Gruppi di gestione.
- Creare un gruppo di gestione con una chiamata API.
- Si crea un gruppo di gestione con PowerShell. Per istruzioni su PowerShell, vedere Creare gruppi di gestione per la gestione delle risorse e dell'organizzazione.
I gruppi di gestione non devono eseguire l'onboarding di Defender per il cloud, ma è consigliabile creare almeno uno in modo che venga creato il gruppo di gestione radice. Dopo aver creato il gruppo, tutte le sottoscrizioni nel tenant di Microsoft Entra verranno collegate.
Per una panoramica dettagliata dei gruppi di gestione, vedere l'articolo Organizzare le risorse con i gruppi di gestione di Azure.
Visualizzare e creare gruppi di gestione nel portale di Azure
Accedere al portale di Azure.
Cercare e selezionare Gruppi di gestione.
Per creare un gruppo di gestione, selezionare Crea, immettere i dettagli pertinenti e selezionare Invia.
L'ID del gruppo di gestione è l'identificatore univoco della directory usato per inviare i comandi per questo gruppo di gestione. Questo identificatore non è modificabile dopo la creazione, perché è usato all'interno dell'intero sistema Azure per identificare il gruppo.
Il nome visualizzato è il nome che viene visualizzato nel portale di Azure. Un nome visualizzato separato è un campo facoltativo al momento della creazione del gruppo di gestione e può essere modificato in qualsiasi momento.
Aggiungere sottoscrizioni a un gruppo di gestione
È possibile aggiungere le sottoscrizioni al gruppo di gestione creato.
Accedere al portale di Azure.
Cercare e selezionare Gruppi di gestione.
Selezionare il gruppo di gestione per la sottoscrizione.
Quando si apre la pagina del gruppo, selezionare Sottoscrizioni.
Nella pagina sottoscrizioni selezionare Aggiungi, quindi selezionare le sottoscrizioni e selezionare Salva. Ripetere fino a quando non sono state aggiunte tutte le sottoscrizioni nell'ambito.
Importante
I gruppi di gestione possono contenere sia sottoscrizioni che gruppi di gestione figlio. Quando si assegna un utente a un ruolo di Azure al gruppo di gestione padre, l'accesso viene ereditato dalle sottoscrizioni del gruppo di gestione figlio. Anche i criteri impostati nel gruppo di gestione padre vengono ereditati dagli elementi figlio.
Assegnare ruoli di Azure ad altri utenti
Assegnare ruoli di Azure agli utenti tramite il portale di Azure
Accedere al portale di Azure.
Cercare e selezionare Gruppi di gestione.
Selezionare il gruppo di gestione pertinente.
Selezionare Controllo di accesso (IAM), aprire la scheda Assegnazioni di ruolo e selezionare Aggiungi aggiungi>assegnazione di ruolo.
Nella pagina Aggiungi assegnazione di ruolo selezionare il ruolo pertinente.
Nella scheda Membri selezionare + Seleziona membri e assegnare il ruolo ai membri pertinenti.
Nella scheda Rivedi e assegna selezionare Rivedi e assegna per assegnare il ruolo.
Assegnare ruoli di Azure agli utenti con PowerShell
Installare Azure PowerShell.
Eseguire i comandi seguenti:
# Login to Azure as a Global Administrator user Connect-AzAccount
Quando richiesto, accedere con le credenziali di amministratore globale.
Concedere le autorizzazioni del ruolo Lettore eseguendo il comando seguente:
# Add Reader role to the required user on the Root Management Group # Replace "user@domian.com” with the user to grant access to New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
Per rimuovere il ruolo, usare il comando seguente:
Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
Rimuovere l'accesso con privilegi elevati
Dopo aver assegnato i ruoli di Azure agli utenti, l'amministratore del tenant deve rimuovere se stesso dal ruolo di amministratore dell'accesso utente.
Accedere al portale di Azure.
Nell'elenco di spostamento selezionare Microsoft Entra ID e quindi proprietà.
In Gestione degli accessi per le risorse di Azure impostare l'opzione su No.
Per salvare l'impostazione, selezionare Salva.
Passaggi successivi
In questa pagina si è appreso come organizzare le sottoscrizioni in gruppi di gestione e assegnare ruoli agli utenti. Per informazioni correlate, vedere: