Assegnare i ruoli di Microsoft Entra

Questo articolo descrive come assegnare ruoli di Microsoft Entra a utenti e gruppi usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph. Descrive anche come assegnare ruoli in ambiti diversi, ad esempio tenant, registrazione dell'applicazione e ambiti di unità amministrative.

È possibile assegnare assegnazioni di ruolo dirette e indirette a un utente. Se a un utente viene assegnato un ruolo da un'appartenenza a un gruppo, aggiungere l'utente al gruppo per aggiungere l'assegnazione di ruolo. Per ulteriori informazioni, vedere Usare i gruppi Microsoft Entra per gestire le assegnazioni dei ruoli.

In Microsoft Entra ID i ruoli vengono in genere assegnati per l'applicazione all'intero tenant. Tuttavia, è anche possibile assegnare ruoli Microsoft Entra per risorse diverse, ad esempio registrazioni di applicazioni o unità amministrative. Ad esempio, è possibile assegnare il ruolo di amministratore del supporto tecnico in modo che si applichi solo a una determinata unità amministrativa e non all'intero tenant. Le risorse a cui si applica un'assegnazione di ruolo sono dette anche ambito. La limitazione dell'ambito di un'assegnazione di ruolo è supportata per i ruoli predefiniti e personalizzati. Per ulteriori informazioni sull'ambito, consultare Panoramica del controllo degli accessi basato sui ruoli in Microsoft Entra ID.

Ruoli di Microsoft Entra in PIM

Se si dispone di una licenza Microsoft Entra ID P2 e Privileged Identity Management (PIM), sono disponibili funzionalità aggiuntive quando si assegnano ruoli, ad esempio rendendo un utente idoneo per un'assegnazione di ruolo o definendo l'ora di inizio e di fine per un'assegnazione di ruolo. Per informazioni sull'assegnazione dei ruoli di Microsoft Entra in PIM, vedere gli articoli seguenti:

Metodo	Informazione
Interfaccia di amministrazione di Microsoft Entra	Assegnare i ruoli di Microsoft Entra in Privileged Identity Management
Microsoft Graph PowerShell	Esercitazione : Assegnare ruoli di Microsoft Entra in Privileged Identity Management usando Microsoft Graph PowerShell
Microsoft Graph API	Gestire le assegnazioni di ruolo di Microsoft Entra usando le API PIM Assegnare i ruoli di Microsoft Entra in Privileged Identity Management

Prerequisiti

• Amministratore ruolo con privilegi
• modulo di Microsoft Graph PowerShell quando si usa PowerShell
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Assegnare ruoli con ambito tenant

Questa sezione descrive come assegnare ruoli nell'ambito del tenant.

Consiglio

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore del ruolo con privilegi .

2. Passare a Ruoliidentità & amministratoriruoli & amministratori.

   

3. Seleziona un nome del ruolo per aprire il ruolo. Non aggiungere un segno di spunta accanto al ruolo.

   

4. Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti o i gruppi da assegnare a questo ruolo.

   Vengono visualizzati solo i gruppi assegnabili a ruoli. Se un gruppo non è elencato, dovrai creare un gruppo a cui si possono assegnare ruoli. Per altre informazioni, vedere Creare un gruppo a cui è possibile assegnare ruoli in Microsoft Entra ID.

   Se la tua esperienza è diversa dallo screenshot seguente, potresti avere Microsoft Entra ID P2 e PIM. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra in Privileged Identity Management.

   

5. Selezionare Aggiungi per assegnare il ruolo.

PowerShell

Seguire questa procedura per assegnare i ruoli di Microsoft Entra tramite PowerShell.

1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. In una finestra di PowerShell, usa Connect-MgGraph per accedere al tuo tenant.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Usare Get-MgUser per ottenere l'utente.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Usa il comando Get-MgGroup per ottenere il gruppo assegnabile al ruolo.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.

   Per visualizzare l'elenco degli ID di definizione dei ruoli per tutti i ruoli predefiniti, vedere ruoli predefiniti di Microsoft Entra.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Impostare il tenant come ambito dell'assegnazione di ruolo.

   $directoryScope = '/'
   

6. Usare il comando New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Ecco un altro modo per assegnare un ruolo.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph API

Seguire queste istruzioni per assegnare un ruolo usando l'API Microsoft Graph in Graph Explorer.

1. Accedere al Graph Explorer.

2. Usare l'API Elenco utenti per ottenere l'utente.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Usare List groups API per ottenere il gruppo assegnabile ai ruoli.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Usa l'API List unifiedRoleDefinitions per ottenere il ruolo che desideri assegnare.

   Per visualizzare l'elenco degli ID di definizione dei ruoli per tutti i ruoli predefiniti, vedere ruoli predefiniti di Microsoft Entra.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Usa l'API Create unifiedRoleAssignment per assegnare il ruolo.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Risposta

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Se la definizione del responsabile o del ruolo non esiste, la risposta non viene trovata.

   Risposta

   HTTP/1.1 404 Not Found
   

Assegnare ruoli nell'ambito della registrazione dell'app

I ruoli predefiniti e i ruoli personalizzati vengono assegnati automaticamente nell'ambito del tenant per fornire autorizzazioni di accesso a tutte le registrazioni delle app nell'organizzazione. Inoltre, i ruoli personalizzati e alcuni ruoli predefiniti pertinenti (a seconda del tipo di risorsa Microsoft Entra) possono essere assegnati anche nell'ambito di una singola risorsa Microsoft Entra. In questo modo è possibile concedere all'utente l'autorizzazione per aggiornare le credenziali e le proprietà di base di una singola app senza dover creare un secondo ruolo personalizzato.

Questa sezione descrive come assegnare ruoli a un ambito di registrazione dell'applicazione.

1. Accedere al centro di amministrazione di Microsoft Entra nel ruolo di Application Developer.

2. Passare a Identity>Applications>Registrazioni app.

3. Selezionare un'applicazione. È possibile usare la casella di ricerca per trovare l'app desiderata.

   Potrebbe essere necessario selezionare Tutte le applicazioni per visualizzare l'elenco completo delle registrazioni delle app nel tenant.

   

4. Selezionare Ruoli e amministratori dal menu di spostamento a sinistra per visualizzare l'elenco di tutti i ruoli disponibili per l'assegnazione tramite la registrazione dell'app.

   

5. Selezionare il ruolo desiderato.

   Consiglio

   Qui non verrà visualizzato l'intero elenco dei ruoli predefiniti o personalizzati di Microsoft Entra. Questo è previsto. Vengono mostrati i ruoli con autorizzazioni correlate alla gestione solo delle registrazioni delle app.

6. Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti o i gruppi a cui si vuole assegnare questo ruolo.

   

7. Selezionare Aggiungi per assegnare il ruolo associato all'ambito della registrazione dell'app.

PowerShell

Seguire questa procedura per assegnare i ruoli di Microsoft Entra nell'ambito dell'applicazione tramite PowerShell.

1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. In una finestra di PowerShell, usa Connect-MgGraph per accedere al tuo tenant.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Usare Get-MgUser per ottenere l'utente.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Per assegnare il ruolo a un service principal anziché a un utente, usare il comando Get-MgServicePrincipal.

4. Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Usare Get-MgApplication per ottenere la registrazione dell'app a cui si vuole definire l'ambito dell'assegnazione di ruolo.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Usare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph API

Segui queste istruzioni per assegnare un ruolo all'ambito dell'applicazione utilizzando l'API Microsoft Graph in Graph Explorer.

1. Accedere al Graph Explorer.

2. Usare la Lista utenti API per ottenere l'utente.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Usare l'API List unifiedRoleDefinitions per ottenere il ruolo da assegnare.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Usare l'API List applications per ottenere l'applicazione per la quale si vuole assegnare un ambito di ruolo.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Risposta

   HTTP/1.1 201 Created
   

   Nota

   In questo esempio, directoryScopeId viene specificato come /<ID>, diversamente dalla sezione dell'unità amministrativa. È intenzionale. L'ambito di /<ID> significa che il principale può gestire l'oggetto Microsoft Entra. L'ambito /administrativeUnits/<ID> indica che il preside può gestire i membri dell'unità amministrativa (in base al ruolo assegnato al preside), non l'unità amministrativa stessa.

Assegnare ruoli con ambito per unità amministrativa

In Microsoft Entra ID, per un controllo amministrativo più granulare, è possibile assegnare un ruolo Microsoft Entra con un ambito limitato a una o più unità amministrative . Quando un ruolo Microsoft Entra viene assegnato nell'ambito di un'unità amministrativa, le autorizzazioni dei ruoli si applicano solo quando si gestiscono i membri dell'unità amministrativa stessa e non si applicano alle impostazioni o alle configurazioni a livello di tenant.

Ad esempio, un amministratore a cui è assegnato il ruolo Amministratore gruppi nell'ambito di un'unità amministrativa può gestire i gruppi membri dell'unità amministrativa, ma non possono gestire altri gruppi nel tenant. Non possono gestire neanche le impostazioni a livello di tenant correlate ai gruppi, come le politiche di scadenza o di denominazione dei gruppi.

Questa sezione descrive come assegnare i ruoli di Microsoft Entra con l'ambito dell'unità amministrativa.

Prerequisiti

• Licenza Microsoft Entra ID P1 o P2 per ciascun amministratore di unità amministrative
• Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
• Amministratore ruolo con privilegi
• Modulo di Microsoft Graph PowerShell quando si usa PowerShell
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Ruoli assegnabili nell'ambito di un'unità amministrativa

I ruoli Microsoft Entra seguenti possono essere assegnati con ambito di unità amministrativa. Inoltre, qualsiasi ruolo personalizzato può essere assegnato con l'ambito dell'unità amministrativa, purché le autorizzazioni del ruolo personalizzato includano almeno un'autorizzazione rilevante per utenti, gruppi o dispositivi.

Ruolo	Descrizione
Amministratore di Autenticazione	Ha accesso a visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore solo nell'unità amministrativa assegnata.
Amministratore di dispositivi cloud	Accesso limitato per la gestione dei dispositivi in Microsoft Entra ID.
amministratore di gruppi	Può gestire tutti gli aspetti dei gruppi solo nell'unità amministrativa assegnata.
Amministratore helpdesk	Può reimpostare le password solo per gli utenti non amministratori nell'unità amministrativa assegnata.
amministratore licenze	Può assegnare, rimuovere e aggiornare le assegnazioni di licenze solo all'interno dell'unità amministrativa.
Amministratore delle Password	Può reimpostare le password solo per gli utenti non amministratori all'interno dell'unità amministrativa assegnata.
amministratore stampante	Può gestire stampanti e connettori della stampante. Per altre informazioni, vedere Delegare l'amministrazione delle stampanti in Stampa Universale.
Amministratore dell'autenticazione privilegiata	Può accedere a visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).
amministratore di SharePoint	Può gestire i gruppi di Microsoft 365 solo nell'unità amministrativa assegnata. Per i siti di SharePoint associati ai gruppi di Microsoft 365 in un'unità amministrativa, è anche possibile aggiornare le proprietà del sito (nome del sito, URL e criteri di condivisione esterna) usando l'interfaccia di amministrazione di Microsoft 365. Impossibile utilizzare l'interfaccia di amministrazione di SharePoint o le API di SharePoint per gestire i siti.
Amministratore di Teams	Può gestire i gruppi di Microsoft 365 solo nell'unità amministrativa assegnata. Può gestire i membri del team nel centro di amministrazione di Microsoft 365 solo per i team associati ai gruppi nell'unità amministrativa assegnata. Non è possibile usare l'interfaccia di amministrazione di Teams.
l'amministratore dei dispositivi di Teams	Può eseguire attività correlate alla gestione nei dispositivi certificati di Teams.
amministratore utenti di	Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per amministratori limitati solo all'interno dell'unità amministrativa assegnata. Attualmente non è possibile gestire le fotografie del profilo degli utenti.
<ruolo personalizzato>	Può eseguire azioni applicabili a utenti, gruppi o dispositivi, in base alla definizione del ruolo personalizzato.

Alcune autorizzazioni del ruolo si applicano solo agli utenti non amministratori quando assegnati con l'ambito di un'unità amministrativa. In altre parole, gli amministratori del supporto tecnico con ambito unità amministrativa possono reimpostare le password per gli utenti nell'unità amministrativa solo a condizione che questi non abbiano ruoli amministrativi. L'elenco di autorizzazioni seguente è limitato quando la destinazione di un'azione è un altro amministratore:

• Leggere e modificare i metodi di autenticazione utente o reimpostare le password utente
• Modificare le proprietà degli utenti sensibili, ad esempio numeri di telefono, indirizzi di posta elettronica alternativi o chiavi segrete OAuth (Open Authorization)
• Eliminare o ripristinare gli account utente

Entità di sicurezza a cui è possibile assegnare l'ambito dell'unità amministrativa

Le seguenti entità di sicurezza possono essere assegnate a un ruolo con ambito di un'unità amministrativa:

• Gli utenti
• Gruppi assegnabili ai ruoli di Microsoft Entra
• Principal di servizio

Principali di servizio e utenti ospiti

Le entità servizio e gli utenti guest non potranno usare un'assegnazione di ruolo con ambito a un'unità amministrativa, a meno che non vengano assegnate anche autorizzazioni corrispondenti per leggere gli oggetti. Ciò è dovuto al fatto che i principali del servizio e gli utenti ospiti non ricevono di default le autorizzazioni di lettura della directory, che sono necessarie per svolgere azioni amministrative. Per consentire a un'entità servizio o a un utente guest di usare un'assegnazione di ruolo con ambito definito a un'unità amministrativa, è necessario assegnare il ruolo "Directory Readers" (o un altro ruolo che include autorizzazioni di lettura) nell'ambito del tenant.

Non è attualmente possibile assegnare autorizzazioni di lettura directory limitate a un'unità amministrativa. Per altre informazioni sulle autorizzazioni predefinite per gli utenti, vedere autorizzazioni utente predefinite.

Assegnare ruoli con ambito unità amministrativa

Questa sezione descrive come assegnare ruoli nell'ambito dell'unità amministrativa.

Centro di amministrazione

1. Accedi al centro di amministrazione di Microsoft Entra come minimo un Amministratore del Ruolo con privilegi .

2. Naviga a Identità>Ruoli & amministratori>Unità amministrative.

3. Selezionare un'unità amministrativa.

   

4. Selezionare Ruoli e amministratori dal menu di navigazione a sinistra per visualizzare l'elenco di tutti i ruoli che possono essere assegnati a un'unità amministrativa.

   

5. Selezionare il ruolo desiderato.

   Consiglio

   Qui non verrà visualizzato l'intero elenco dei ruoli predefiniti o personalizzati di Microsoft Entra. Questo è previsto. Vengono illustrati i ruoli con autorizzazioni correlate agli oggetti supportati all'interno dell'unità amministrativa. Per visualizzare l'elenco degli oggetti supportati in un'unità amministrativa, vedere Unità amministrative in Microsoft Entra ID.

6. Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti o i gruppi a cui assegnare questo ruolo.

7. Selezionare Aggiungi per assegnare il ruolo nell'ambito dell'unità amministrativa.

PowerShell

Seguire questa procedura per assegnare i ruoli di Microsoft Entra nell'ambito dell'unità amministrativa tramite PowerShell.

1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Nella finestra di PowerShell, utilizzare Connect-MgGraph per effettuare l'accesso al tenant.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Utilizzare Get-MgUser per recuperare l'utente.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Usate Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo che desiderate assegnare.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Usare Get-MgDirectoryAdministrativeUnit per ottenere l'unità amministrativa a cui si vuole definire l'ambito dell'assegnazione di ruolo.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Usare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph API

Seguire queste istruzioni per assegnare un ruolo nell'ambito dell'unità amministrativa usando l'API Microsoft Graph in Graph Explorer.

Assegnare un ruolo usando l'API Create unifiedRoleAssignment

1. Accedi a Graph Explorer.

2. Utilizzare l'API List Users per ottenere i dati dell'utente.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Usare l'API List unifiedRoleDefinitions per ottenere il ruolo che si desidera assegnare.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Usare l'API elenco delle unità amministrative per ottenere l'unità amministrativa a cui si vuole limitare l'ambito dell'assegnazione di ruolo.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Utilizzare l'API Create unifiedRoleAssignment per assegnare il ruolo.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Risposta

   HTTP/1.1 201 Created
   

   Se il ruolo non è supportato, la risposta è richiesta errata.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Nota

   In questo esempio, directoryScopeId viene specificato come /administrativeUnits/<ID>, invece di /<ID>. È progettato così. L'ambito /administrativeUnits/<ID> indica che il titolare può gestire i membri dell'unità amministrativa (in base al ruolo loro assegnato), non gestire l'unità amministrativa stessa. L'ambito di /<ID> indica che il principal può gestire direttamente l'oggetto Microsoft Entra. Nella sezione di registrazione delle app, si vede che l’ambito è /<ID> perché un ruolo assegnato alla registrazione di un’app concede il privilegio di gestire l’oggetto in sé.

Assegna un ruolo utilizzando l'API Add a scopedRoleMember

In alternativa, è possibile utilizzare l'API Add a scopedRoleMember per assegnare un ruolo con l'ambito dell'unità amministrativa.

Richiesta

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Corpo

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Passaggi successivi

• Elencare le assegnazioni di ruolo di Microsoft Entra
• Assegnare i ruoli di Microsoft Entra nella gestione delle identità privilegiate
• Usare i gruppi di Entra di Microsoft per gestire le assegnazioni di ruolo
• Risolvere i problemi dei ruoli di Microsoft Entra assegnati ai gruppi