Che cosa sono gli account utente in Microsoft Entra ID?
In Microsoft Entra ID a tutti gli account utente viene concesso un set di autorizzazioni predefinite. L'accesso di un account utente è costituito dal tipo di utente, dalle assegnazioni di ruolo e dal diritto di proprietà dell'utente sui singoli oggetti.
Microsoft Entra ID supporta diversi tipi di account utente. ognuno dei quali ha un livello di accesso specifico per l'ambito di lavoro previsto. Il livello di accesso più elevato appartiene agli amministratori, seguiti dagli account utente membro dell'organizzazione di Microsoft Entra. Gli utenti guest hanno il livello di accesso più limitato.
Autorizzazioni e ruoli
Per rendere più agevole il controllo dei diritti di accesso concessi a un utente o a un gruppo, Microsoft Entra ID usa le autorizzazioni. che vengono applicate tramite i ruoli. Microsoft Entra ID ha molti ruoli a cui sono associate autorizzazioni diverse. Quando a un utente viene assegnato un ruolo specifico, eredita le autorizzazioni da tale ruolo. Un utente a cui venga assegnato il ruolo di amministratore utenti può creare ed eliminare account utente.
Sapere quale tipo di ruolo assegnare in occasioni diverse a utenti diversi è un aspetto di importanza cruciale per garantire il rispetto della privacy e la sicurezza. Se si assegna un ruolo inappropriato a un utente, le autorizzazioni disponibili con tale ruolo possono consentire all'utente di causare gravi danni all'organizzazione.
Ruoli di amministratore
I ruoli di amministratore in Microsoft Entra ID consentono agli utenti di accedere con privilegi elevati e controllare chi è autorizzato a eseguire operazioni specifiche. Questi ruoli vengono assegnati a un gruppo limitato di utenti per la gestione delle attività relative all'identità dell'organizzazione di Microsoft Entra. È possibile assegnare ruoli di amministratore che consentono di creare o modificare utenti, assegnare ruoli amministrativi ad altri utenti, reimpostare le password degli utenti, gestire le licenze utente e altro ancora.
Un account utente con il ruolo di Amministratore utenti o Amministratore globale può creare un nuovo utente in Microsoft Entra ID usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell. In PowerShell eseguire il cmdlet New-MgUser. Nell'interfaccia della riga di comando di Azure usare az ad user create.
Utenti membri
Un account utente membro è un membro nativo dell'organizzazione di Microsoft Entra con un set di autorizzazioni predefinite, ad esempio la possibilità di gestire le informazioni del proprio profilo. Per un nuovo utente aggiunto all'organizzazione viene in genere creato un account di questo tipo.
Tutti gli utenti che non sono utenti guest o che non hanno un ruolo di amministratore rientrano in questo tipo. Un ruolo utente membro è destinato agli utenti considerati interni all'organizzazione e membri dell'organizzazione di Microsoft Entra. Questi utenti, tuttavia, non devono essere in grado di gestire altri utenti, ad esempio creandoli ed eliminandoli. Gli utenti membri non hanno le stesse limitazioni che in genere caratterizzano gli utenti guest.
Utenti guest
Gli utenti guest hanno autorizzazioni limitate nell'organizzazione di Microsoft Entra. Quando si invita qualcuno a collaborare con l'organizzazione, la persona viene aggiunta all'organizzazione di Microsoft Entra come utente guest. È quindi possibile inviare un messaggio di posta elettronica di invito contenente un collegamento di riscatto oppure inviare un collegamento diretto a un'app che si vuole condividere. Gli utenti guest eseguono l'accesso con la propria identità aziendale, dell'istituto di istruzione o di social networking. Per impostazione predefinita, gli utenti membri di Microsoft Entra possono invitare utenti guest. Un utente con il ruolo Amministratore utenti può disabilitare questa impostazione predefinita.
L'organizzazione potrebbe avere la necessità di collaborare con partner esterni. Per collaborare con l'organizzazione, spesso i partner hanno bisogno di un certo livello di accesso a risorse specifiche. Per situazioni di questo tipo è consigliabile usare account utente guest. In questo modo è possibile assicurarsi che i partner abbiano un livello di accesso adeguato per svolgere il proprio lavoro, ma non un livello di accesso più elevato del necessario.
Aggiungere gli account utente
È possibile aggiungere account utente singoli usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.
Se si vuole usare l'interfaccia della riga di comando di Azure, eseguire il cmdlet seguente:
# create a new user
az ad user create
Questo comando crea un nuovo utente tramite l'interfaccia della riga di comando di Azure.
Per Azure PowerShell, eseguire il cmdlet seguente:
# create a new user
New-MgUser
È possibile creare utenti membri e account guest in blocco. L'esempio seguente illustra come invitare utenti guest in blocco.
$invitations = import-csv c:\bulkinvite\invitations.csv
$messageInfo = [Microsoft.Graph.PowerShell.Models.MicrosoftGraphInvitation]@{ `
CustomizedMessageBody = "Hello. You are invited to the Contoso organization." }
foreach ($email in $invitations)
{New-MgInvitation `
-InviteRedirectUrl https://myapps.microsoft.com `
-InvitedUserDisplayName $email.Name `
-InvitedUserEmailAddress $email.InvitedUserEmailAddress `
-InvitedUserMessageInfo $messageInfo `
-SendInvitationMessage
}
Si crea il file con valori delimitati da virgole (CSV) con l'elenco di tutti gli utenti da aggiungere. Si invia un invito a ogni utente contenuto nel file CSV.
Eliminare account utente
È anche possibile eliminare account utente usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure. In PowerShell eseguire il cmdlet Remove-MgUser. Nell'interfaccia della riga di comando di Azure eseguire il cmdlet az ad user delete.
Dopo l'eliminazione di un utente, l'account rimane in sospeso per 30 giorni. Durante questo periodo l'account utente può essere ripristinato.