Passaggio 6: Usare i gruppi per facilitare la gestioneStep 6: Use groups for easier management

Consentire agli utenti di creare e gestire i propri gruppiAllow users to create and manage their own groups

Questo passaggio è facoltativo e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis is optional and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

In questa sezione verranno identificati i gruppi di Azure Active Directory (AD Azure) che possono essere gestiti dai proprietari del gruppo invece che dagli amministratori IT.In this section, you'll identify Azure Active Directory (Azure AD) groups that can be managed by group owners instead of IT administrators. Detta gestione dei gruppi in modalità self-service, questa caratteristica consente ai proprietari del gruppo a cui non sono stati assegnati ruoli di amministrazione per creare e gestire gruppi di sicurezza.Known as self-service group management, this feature allows group owners who are not assigned an administrative role to create and manage security groups.

Gli utenti possono richiedere l'appartenenza a un gruppo di sicurezza e la richiesta passa al proprietario del gruppo invece che a un amministratore IT. Ciò permette che il controllo quotidiano dell'appartenenza al gruppo sia delegato ai proprietari del team, di progetto o aziendali che capiscano l'uso del gruppo e che possono gestirne l'appartenenza.Users can request membership in a security group and that request goes to the group owner, rather than an IT administrator. This allows the day-to-day control of group membership to be delegated to team, project, or business owners who understand the business use for the group and can manage its membership.

Nota

La gestione dei gruppi in modalità self-service è disponibile solo per specifici di sicurezza di Azure AD e Office 365.Self-service group management is available only for Azure AD security and Office 365 groups. Non è disponibile per i gruppi abilitati alla posta elettronica, liste di distribuzione o qualsiasi gruppo che è stato sincronizzato dall'ambiente Active Directory Domain Services (AD DS).It is not available for mail-enabled groups, distribution lists, or any group that has been synchronized from your on-premises Active Directory Domain Services (AD DS).

Per ulteriori informazioni, vedere le istruzioni per configurare un gruppo Azure AD per la gestione in modalità self-service.For more information, see the instructions to configure an Azure AD group for self-service management.

Come checkpoint provvisorio, è possibile vedere i criteri di uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this section.

Configurare l'appartenenza a gruppi dinamiciSet up dynamic group membership

Questo passaggio è facoltativo e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis is optional and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

In questa sezione si creerà una serie di regole che aggiungono o rimuovono automaticamente gli account utente dai membri di un gruppo di Azure AD.In this section, you'll create a series of rules that automatically add or remove user accounts as members of an Azure AD group. Questa operazione è denominata appartenenza dinamica al gruppo.This is known as dynamic group membership. Le regole si basano sugli attributi dell’account utente, come il reparto o paese.The rules are based on user account attributes, such as Department or Country.

Le regole si applicano nel seguente modo:Here’s how the rules are applied:

  • Se un nuovo account utente è conforme a tutte le regole relative al gruppo, può essere aggiunto come membro.If a new user account matches all the rules for the group, it becomes a member.
  • Se un account utente non è un membro del gruppo, ma i suoi attributi vengono modificati per soddisfare le regole del gruppo, allora può essere aggiunto come membro.If a user account isn’t a member of the group, but its attributes change so that it matches all the rules for the group, it becomes a member of that group.
  • Se un account utente non è conforme alle regole del gruppo, non può essere aggiunto come membro.If a user account doesn’t match all the rules for the group, it isn’t added to the group.
  • Se un account utente è già membro del gruppo, ma i suoi attributi vengono modificati in modo da non essere più conformi alle regole, l'account verrà rimosso dal gruppo.If a user account is a member of the group, but its attributes change so that it no longer matches all the rules for the group, it is removed as a member of the group.

Per utilizzare l'appartenenza dinamica, è necessario determinare i set di gruppi che possiedono un set comune di attributi di account utente. Per esempio, tutti i membri del Reparto vendite dovrebbero far parte del gruppo delle vendite di Azure AD, avendo impostato l'attributo Reparto dell'account utente su "Vendite".To use dynamic membership, you must first determine the sets of groups that have a common set of user account attributes. For example, all members of the Sales department should be in the Sales Azure AD group, based on the user account attribute Department set to “Sales”.

Vedere le istruzioni per creare e configurare le regole per un gruppo dinamico di Azure AD.See the instructions to create and configure the rules for a dynamic Azure AD group.

I risultati di questa sezione sono:The results of this section are:

  • Un set di gruppi di Azure AD che può essere configurato per l'appartenenza dinamicaA set of Azure AD groups that can be configured for dynamic membership
  • Un set di regole per ogni gruppo dinamicoA set of rules on each dynamic group
Guide al lab di test per il cloud Microsoft Guida al lab di test: automatizzare le licenze e l'appartenenza ai gruppiTest Lab Guide: Automate licenses and group membership

Come checkpoint provvisorio, è possibile vedere i criteri di uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this section.

Configurare l'assegnazione automatica delle licenzeSet up automatic licensing

Questo passaggio è facoltativo e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis is optional and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

In questa sezione è possibile configurare gruppi di sicurezza in Azure AD per assegnare automaticamente licenze da un set di abbonamenti a tutti i membri del gruppo.In this section, you'll configure security groups in Azure AD to automatically assign licenses from a set of subscriptions to all the members of the group. Questa operazione è denominata licenze basate sui gruppi.This is known as group-based licensing. Se un account utente viene aggiunto o rimosso dal gruppo, le licenze per gli abbonamenti del gruppo verranno automaticamente assegnate o rimosse dall'account utente.If a user account is added to or removed from the group, the licenses for the group’s subscriptions will be automatically assigned or removed from the user account.

Per Microsoft 365 Enterprise è necessario configurare i gruppi di sicurezza di Azure AD per assegnare entrambe queste licenze:For Microsoft 365 Enterprise, you'll configure Azure AD security groups to assign both of these licenses:

  • Office 365 Enterprise E3 o E5Office 365 Enterprise E3 or E5
  • Enterprise Mobility + Security (EMS) E3 o E5Enterprise Mobility + Security (EMS) E3 or E5

Utilizzando i gruppi identificati con il Passaggio 2, cercare quelli che contengono un elenco di account in cui tutti i membri del gruppo dispongono di entrambe le licenze di Office 365 ed EMS. Assicurarsi di avere a disposizione abbastanza licenze per tutti i membri del gruppo. Se le licenze a disposizione sono terminate, i nuovi utenti non potranno ottenerne una fino a quando non saranno di nuovo disponibili.Using the groups you identified in Step 2, look for groups that contain a list of accounts where all users in that group must have both Office 365 and EMS licenses. Make sure you have enough licenses for all the group members. If you run out of licenses, new users won’t be assigned licenses until licenses become available.

Nota

Non è necessario configurare l'assegnazione delle licenze basate su gruppo per i gruppi contenenti account Azure business to business (B2B).You should not configure group-based licensing for groups that contain Azure business to business (B2B) accounts.

Per ulteriori informazioni, vedere Informazioni di base sull'assegnazione delle licenze basate su gruppo in Azure Active Directory.See additional information on Group-based licensing basics in Azure Active Directory.

Vedere i passaggi per configurare l'assegnazione delle licenze basate su gruppo per un gruppo di sicurezza Azure.See the steps to configure group-based licensing for an Azure security group.

I risultati di questa sezione sono:The results of this section are:

  • Sono stati identificati i gruppi di sicurezza idonei per l'assegnazione delle licenze basate su gruppo.You've identified which security groups are appropriate for group-based licensing.
  • Sono stati configurati i gruppi per l'assegnazione delle licenze basate su gruppo.You've configured these groups for group-based licensing.
Guide al lab di test per il cloud Microsoft Guida al lab di test: automatizzare le licenze e l'appartenenza ai gruppiTest Lab Guide: Automate licenses and group membership

Come checkpoint provvisorio, è possibile vedere i criteri di uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this section.

Passaggio successivoNext step

Criteri uscita dell'infrastruttura di identitàIdentity infrastructure exit criteria