Condividi tramite


Assegnare ruoli di Microsoft Entra con ambito di unità amministrativa

In Microsoft Entra ID, per un controllo amministrativo più granulare, è possibile assegnare un ruolo Microsoft Entra con un ambito limitato a una o più unità amministrative. Quando un ruolo Microsoft Entra viene assegnato nell'ambito di un'unità amministrativa, le autorizzazioni dei ruoli si applicano solo quando si gestiscono i membri dell'unità amministrativa stessa e non si applicano alle impostazioni o alle configurazioni a livello di tenant.

Ad esempio, un amministratore a cui è assegnato il ruolo Amministratore gruppi nell'ambito di un'unità amministrativa può gestire i gruppi membri dell'unità amministrativa, ma non possono gestire altri gruppi nel tenant. Non possono anche gestire le impostazioni a livello di tenant correlate ai gruppi, ad esempio i criteri di denominazione di scadenza o di gruppo.

Questo articolo descrive come assegnare i ruoli di Microsoft Entra con ambito unità amministrativa.

Prerequisiti

  • Licenza Microsoft Entra ID P1 o P2 per ogni amministratore di unità amministrativa
  • Licenze gratuite di Microsoft Entra ID per i membri dell'unità amministrativa
  • Amministratore ruolo con privilegi
  • Modulo di Microsoft Graph PowerShell quando si usa PowerShell
  • Consenso dell'amministratore per l'uso di Graph Explorer per l'API di Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Ruoli che possono essere assegnati con ambito di unità amministrativa

I ruoli Microsoft Entra seguenti possono essere assegnati con ambito di unità amministrativa. Inoltre, qualsiasi ruolo personalizzato può essere assegnato con ambito di unità amministrativa, purché le autorizzazioni del ruolo personalizzato includano almeno un'autorizzazione rilevante per utenti, gruppi o dispositivi.

Ruolo Descrizione
Amministratore dell'autenticazione Può visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore nella sola unità amministrativa assegnata.
Amministratore dispositivo cloud Accesso limitato per gestire i dispositivi in Microsoft Entra ID.
Amministratore di gruppi Può gestire tutti gli aspetti dei gruppi solo nell'unità amministrativa assegnata.
Amministratore di supporto tecnico Può reimpostare le password solo per gli utenti non amministratori nell'unità amministrativa assegnata.
Amministratore licenze Può assegnare, rimuovere e aggiornare le assegnazioni di licenze all'interno della sola unità amministrativa.
Amministratore di password Può reimpostare le password solo per gli utenti non amministratori all'interno dell'unità amministrativa assegnata.
Amministratore stampante Può gestire stampanti e connettori della stampante. Per altre informazioni, vedere Delegare l'amministrazione delle stampanti in Stampa universale.
Amministratore autenticazione con privilegi Può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).
Amministratore di SharePoint Può gestire i gruppi di Microsoft 365 solo nell'unità amministrativa assegnata. Per i siti di SharePoint associati ai gruppi di Microsoft 365 in un'unità amministrativa, è anche possibile aggiornare le proprietà del sito (nome del sito, URL e criteri di condivisione esterna) usando il interfaccia di amministrazione di Microsoft 365. Impossibile utilizzare l'interfaccia di amministrazione di SharePoint o le API di SharePoint per gestire i siti.
Amministratore di Teams Può gestire i gruppi di Microsoft 365 solo nell'unità amministrativa assegnata. Può gestire i membri del team nella interfaccia di amministrazione di Microsoft 365 solo per i team associati ai gruppi nell'unità amministrativa assegnata. Non è possibile usare l'interfaccia di amministrazione di Teams.
Amministratore di dispositivi di Teams Può eseguire attività correlate alla gestione nei dispositivi certificati di Teams.
Amministratore utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per gli amministratori limitati all'interno della sola unità amministrativa assegnata. Attualmente non è possibile gestire le fotografie del profilo degli utenti.
<Ruolo personalizzato> Può eseguire azioni applicabili a utenti, gruppi o dispositivi, in base alla definizione del ruolo personalizzato.

Alcune autorizzazioni del ruolo si applicano solo agli utenti non amministratori quando assegnati con l'ambito di un'unità amministrativa. In altre parole, gli amministratori del supporto tecnico con ambito unità amministrativa possono reimpostare le password per gli utenti nell'unità amministrativa solo se tali utenti non hanno ruoli di amministratore. L'elenco di autorizzazioni seguente è limitato quando la destinazione di un'azione è un altro amministratore:

  • Leggere e modificare i metodi di autenticazione utente o reimpostare le password utente
  • Modificare le proprietà degli utenti sensibili, ad esempio numeri di telefono, indirizzi di posta elettronica alternativi o chiavi segrete OAuth (Open Authorization)
  • Eliminare o ripristinare gli account utente

Entità di sicurezza a cui è possibile assegnare l'ambito dell'unità amministrativa

Le entità di sicurezza seguenti possono essere assegnate a un ruolo con ambito di unità amministrativa:

  • Utenti
  • Gruppi assegnabili ai ruoli di Microsoft Entra
  • Entità servizio

Entità servizio e utenti guest

Le entità servizio e gli utenti guest non potranno usare un'assegnazione di ruolo con ambito a un'unità amministrativa, a meno che non vengano assegnate anche autorizzazioni corrispondenti per leggere gli oggetti. Ciò è dovuto al fatto che le entità servizio e gli utenti guest non ricevono le autorizzazioni di lettura della directory per impostazione predefinita, necessarie per eseguire azioni amministrative. Per consentire a un'entità servizio o a un utente guest di usare un'assegnazione di ruolo con ambito a un'unità amministrativa, è necessario assegnare il ruolo Lettori directory (o un altro ruolo che include le autorizzazioni di lettura) in un ambito tenant.

Non è attualmente possibile assegnare autorizzazioni di lettura directory con ambito a un'unità amministrativa. Per altre informazioni sulle autorizzazioni predefinite per gli utenti, vedere Autorizzazioni utente predefinite.

Assegnare un ruolo con un ambito di unità amministrativa

È possibile assegnare un ruolo Microsoft Entra con un ambito di unità amministrativa usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Identità>Ruoli e amministratori>Unità amministrative.

  3. Selezionare l'unità amministrativa a cui assegnare un ambito del ruolo utente.

  4. Nel riquadro sinistro selezionare Ruoli e amministratori per elencare tutti i ruoli disponibili.

    Screenshot del riquadro

  5. Selezionare il ruolo da assegnare e quindi selezionare Aggiungi assegnazioni.

  6. Nel riquadro Aggiungi assegnazioni selezionare uno o più utenti da assegnare al ruolo.

    Selezionare il ruolo per definire l'ambito e quindi selezionare Aggiungi assegnazioni

Nota

Per assegnare un ruolo in un'unità amministrativa usando Microsoft Entra Privileged Identity Management (PIM), vedere Assegnare i ruoli di Microsoft Entra in PIM.

PowerShell

Usare il comando New-MgRoleManagementDirectoryRoleAssignment e il DirectoryScopeId parametro per assegnare un ruolo con ambito unità amministrativa.

$user = Get-MgUser -Filter "userPrincipalName eq 'Example_UPN'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Example_role_name'"
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Example_admin_unit_name'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

API di Microsoft Graph

Usare l'API Add a scopedRoleMember per assegnare un ruolo con ambito unità amministrativa.

Richiesta

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Testo

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Elencare le assegnazioni di ruolo con ambito unità amministrativa

È possibile visualizzare un elenco delle assegnazioni di ruolo di Microsoft Entra con ambito unità amministrativa usando l'interfaccia di amministrazione di Microsoft Entra, PowerShell o Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

È possibile visualizzare tutte le assegnazioni di ruolo create con un ambito di unità amministrativa nella sezione Unità di amministrazione dell'interfaccia di amministrazione di Microsoft Entra.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Passare a Identità>Ruoli e amministratori>Unità amministrative.

  3. Selezionare l'unità amministrativa per l'elenco delle assegnazioni di ruolo da visualizzare.

  4. Selezionare Ruoli e amministratori e quindi aprire un ruolo per visualizzare le assegnazioni nell'unità amministrativa.

PowerShell

Usare il comando Get-MgDirectoryAdministrativeUnitScopedRoleMember per elencare le assegnazioni di ruolo con ambito unità amministrativa.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

API di Microsoft Graph

Usare l'API List scopedRoleMembers per elencare le assegnazioni di ruolo con ambito unità amministrativa.

Richiesta

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Testo

{}

Passaggi successivi