Passaggio 1: Pianificare per utenti e gruppiStep 1: Plan for users and groups

In questo passaggio è obbligatorio e si applica a E3 sia E5 versioni di Microsoft 365 EnterpriseThis step is required and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Nel passaggio 1, verrà creata l'infrastruttura di identità che combina utenti, gruppi e appartenenza al gruppo con funzionalità di sicurezza in configurare in modo corretto. Ciò consente di:In Step 1, you'll create your identity infrastructure that combines users, groups, and group membership with security features in the correct configuration. This allows you to:

  • Mantenere il controllo che dispongono dell'accesso alle risorse nell'ambiente in uso.Maintain control over who has access to resources in your environment.
  • Proteggere l'accesso con controlli che garantiscono garanzie sicura dell'identità (gli utenti siano chi verificarne) e l'accesso dai dispositivi sicuri.Secure access with controls that ensure strong assurances of identity (users are who they say they are) and access from safe devices.
  • Eseguire il provisioning di risorse dell'ambiente con le autorizzazioni appropriate per ridurre il rischio di perdita di dati e.Provision resources in your environment with appropriate permissions to reduce the potential for harm and data leakage.
  • Monitorare l'ambiente per un comportamento utente anomala e si occupa automaticamente azione.Monitor your environment for anomalous user behavior and automatically taking action.

Pianificare i provider di identità principalePlan your primary identity provider

Per creare l'infrastruttura di identità, consente di designare un provider di identità principale. Questo servizio vengono archiviati gli account utente e i relativi attributi, gruppi e le relative appartenenze e supporta un'amministrazione continua.To create your identity infrastructure, you'll designate a primary identity provider. This service stores user accounts and their attributes, groups and their memberships, and supports their ongoing administration.

Quando l'organizzazione adotta 365 Microsoft Enterprise, il provider di identità principale è:When your organization adopts Microsoft 365 Enterprise, your primary identity provider is either:

  • Windows Server Active Directory (AD), un provider di identità intranet ospitato nel computer che eseguono Windows Server. Viene in genere utilizzato per le organizzazioni con un provider di identità locale esistente.Windows Server Active Directory (AD), an intranet identity provider hosted on computers running Windows Server. This is typically used by organizations that have an existing on-premises identity provider.
  • Azure Active Directory (Azure Active Directory), un'identità basata su cloud come servizio (IDaaS) che offre un'ampia gamma di funzionalità per la gestione e la protezione dell'ambiente. Viene in genere utilizzato per le organizzazioni che esiste un'infrastruttura locale.Azure Active Directory (Azure AD), a cloud-based Identity as a Service (IDaaS) that provides a broad range of capabilities for managing and protecting your environment. This is typically used by organizations that have no existing on-premises infrastructure.

Se l'organizzazione dispone di un oggetto esistente locale provider di identità, è necessario sincronizzare l'account utente e i gruppi di Windows Server Active Directory per Azure Active Directory per fornire un accesso semplice a servizi basati su cloud di Microsoft 365 Enterprise. È inoltre possibile utilizzare Azure Active Directory per creare e gestire i gruppi che esistono solo in Microsoft cloud.If your organization has an existing on-premises identity provider, you need to synchronize your user accounts and groups from Windows Server AD to Azure AD to provide more seamless access to the cloud-based services of Microsoft 365 Enterprise. You can also use Azure AD to create and manage groups that exist only in the Microsoft cloud.

Dopo avere gli utenti e gruppi in Azure Active Directory, è possibile:After you have your users and groups in Azure AD, you can:

  • Gestire tutti gli account di Azure Active Directory per tutte le applicazioni cloud.Manage all the Azure AD accounts for all your cloud applications.
  • Utilizzare lo stesso insieme di controlli per la protezione dell'accesso alle applicazioni nell'ambiente.Use the same set of controls to protect access to applications across your environment.
  • Collaborare con partner esterni.Collaborate with external partners.
  • Controllare il comportamento di account anomala, ad esempio tentativi di accesso sospetti e un'azione automaticamente.Monitor anomalous account behavior, such as suspicious sign-in attempts, and automatically act.

Seguire le istruzioni riportate nelle sezioni seguenti due pianificare e implementare l'account utente e gruppi.Follow the instructions in the next two sections to plan for and implement your user accounts and groups.

Categorizzazione degli utentiCategorize your users

Gli utenti di organizzazioni possono essere suddivise in vari modi. Ad esempio, alcune sono dipendenti e con stato permanente. Alcuni lavoratori sono fornitori, consulenti o partner con uno stato temporaneo. Alcuni lavoratori sono utenti esterni che non dispongono di alcun account utente, ma ancora concedere l'accesso a risorse per supportare l'interazione e la collaborazione e servizi specifici. Per esempio:Users in organizations can be categorized in a number of ways. For example, some are employees and have a permanent status. Some are vendors, contractors, or partners that have a temporary status. Some are external users that have no user accounts but must still be granted access to specific services and resources to support interaction and collaboration. For example:

  • Gli account tenant rappresentano gli utenti all'interno dell'organizzazione licenza per i servizi cloudTenant accounts represent users within your organization that you license for cloud services
  • Gli account (B2B) Business to Business rappresentano gli utenti esterni all'organizzazione che inviti a partecipare a collaborazioneBusiness to Business (B2B) accounts represent users outside your organization that you invite to participate in collaboration

Prendere nota dei tipi di utenti nell'organizzazione. Che cosa sono i raggruppamenti? Ad esempio, è possibile raggruppare gli utenti dalla funzione di alto livello o lo scopo dell'organizzazione.Take stock of the types of users to your organization. What are the groupings? For example, you can group users by high-level function or purpose to your organization.

Inoltre, alcuni servizi cloud da condividere con gli utenti esterni all'organizzazione senza alcun account utente. È necessario identificare i gruppi di utenti anche.Additionally, some cloud services can be shared with users outside your organization without any user accounts. You'll need to identify these groups of users as well.

Pianificare per Windows Server Active Directory e i gruppi di Azure Active DirectoryPlan for Windows Server AD and Azure AD groups

È possibile utilizzare gruppi di Azure Active Directory per diversi scopi che semplificano la gestione dell'ambiente cloud. Ad esempio, per i gruppi di Azure Active Directory, è possibile:You can use groups in Azure AD for several purposes that simplify management of your cloud environment. For example, for Azure AD groups, you can:

  • Utilizzare basata su gruppo di licenze per assegnare licenze per Office 365 e mobilità aziendale + sicurezza (EMS) per gli account utente automaticamente non appena vengono aggiunte in Azure Active Directory o sincronizzati da Windows Server Active Directory.Use group-based licensing to assign licenses for Office 365 and Enterprise Mobility + Security (EMS) to your user accounts automatically as soon as they are added in Azure AD or synchronized from Windows Server AD.
  • Aggiungere account utente a gruppi specifici in modo dinamico in base agli attributi dell'account utente, ad esempio reparto.Add user accounts to specific groups dynamically based on user account attributes, such as department.
  • Provisioning automatico degli utenti per il Software come applicazioni di servizio (SaaS) e per proteggere l'accesso a tali applicazioni con l'autenticazione a più fattori e altre regole di accesso condizionale.Automatically provision users for Software as a Service (SaaS) applications and to protect access to those applications with multi-factor authentication and other conditional access rules.
  • Eseguire il provisioning delle autorizzazioni e livelli di accesso ai siti dei team SharePoint Online. Gruppi di Active Directory Azure anche utilizzabile con i criteri di protezione delle informazioni Azure con ambiti per proteggere i file con la crittografia e le autorizzazioni.Provision permissions and levels of access for SharePoint Online team sites. Azure AD groups can also be used with scoped Azure Information Protection policies to protect files with encryption and permissions.

RisultatiResults

Dopo aver completato questo passaggio, è necessario:When you complete this step, you’ll have:

  • Un elenco di account utente in Azure Active Directory che corrispondono ai dipendenti dell'organizzazione e i fornitori, consulenti e partner esterni che utilizzano per o con l'organizzazione.A list of user accounts in Azure AD that correspond to the employees in your organization and the vendors, contractors, and external partners that work for or with your organization.
  • Un insieme di gruppi e della loro appartenenza Azure Active Directory che riflettono i set di logica di account utente e altri gruppi per il provisioning automatico delle licenze di impostazioni di protezione per i servizi cloud Microsoft.A set of groups and their membership in Azure AD that reflect logical sets of user accounts and other groups for automatic licensing provisioning of security settings for Microsoft cloud services.

Come un punto di arresto provvisoria, è possibile visualizzare i criteri di uscita per questo passaggio.As an interim checkpoint, you can see the exit criteria for this step.

Passaggio successivoNext step

Passaggio 2: Sincronizzare le directoryStep 2: Synchronize directories