Assegnare ruoli di Azure a utenti guest esterni usando il portale di Azure
Il controllo degli accessi in base al ruolo di Azure consente una migliore gestione della sicurezza per le organizzazioni di grandi dimensioni e per le aziende di piccole e medie dimensioni che lavorano con collaboratori esterni, fornitori o liberi professionisti che devono accedere a risorse specifiche nell'ambiente, ma non necessariamente all'intera infrastruttura o a qualsiasi ambito correlato alla fatturazione. È possibile usare le funzionalità di Microsoft Entra B2B per collaborare con utenti guest esterni ed è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere solo le autorizzazioni necessarie agli utenti guest nell'ambiente.
Prerequisiti
Per assegnare ruoli di Azure o rimuovere le assegnazioni di ruolo, è necessario disporre di:
- autorizzazioni
Microsoft.Authorization/roleAssignments/write
eMicrosoft.Authorization/roleAssignments/delete
, ad esempio Amministratore accesso utenti o Proprietario
Quando invitare gli utenti guest?
Ecco alcuni scenari di esempio quando è possibile invitare utenti guest all'organizzazione e concedere le autorizzazioni:
- Consentire a un fornitore esterno indipendente che ha solo un account di posta elettronica di accedere alle risorse di Azure per un progetto.
- Consentire a un partner esterno di gestire determinate risorse o un'intera sottoscrizione.
- Consentire ai tecnici di assistenza che non fanno parte della propria organizzazione (come il supporto Microsoft) di accedere temporaneamente alla propria risorsa di Azure per la risoluzione dei problemi.
Differenze di autorizzazione tra utenti membri e utenti guest
I membri nativi di una directory (utenti membri) hanno autorizzazioni diverse rispetto agli utenti invitati da un'altra directory come guest di Collaborazione B2B (utenti guest). Ad esempio, gli utenti membri possono leggere quasi tutte le informazioni sulla directory mentre gli utenti guest dispongono di autorizzazioni di directory limitate. Per altre informazioni sugli utenti membri e sugli utenti guest, vedere Che cosa sono le autorizzazioni utente predefinite in Microsoft Entra ID?.
Aggiungere un utente guest alla directory
Seguire questa procedura per aggiungere un utente guest alla directory usando la pagina Microsoft Entra ID.
Accedi al portale di Azure.
Assicurarsi che le impostazioni di collaborazione esterna dell'organizzazione siano configurate per consentire gli inviti agli utenti guest. Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.
Fare clic su Microsoft Entra ID Users New guest user .Click Microsoft Entra ID>Users>New guest user.
Seguire la procedura per aggiungere un nuovo utente guest. Per altre informazioni, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nel portale di Azure.
Dopo aver aggiunto un utente guest alla directory, è possibile inviare all'utente guest un collegamento diretto a un'app condivisa oppure l'utente guest può fare clic sul collegamento accetta invito nel messaggio di posta elettronica di invito.
Affinché l'utente guest possa accedere alla directory, deve completare il processo di invito.
Per altre informazioni sul processo di invito, vedere Riscatto dell'invito di Collaborazione B2B di Microsoft Entra.
Assegnare un ruolo a un utente guest
In Controllo degli accessi in base al ruolo di Azure, per concedere l'accesso, si assegna un ruolo. Per assegnare un ruolo a un utente guest, seguire la stessa procedura per un utente membro, un gruppo, un'entità servizio o un'identità gestita. Seguire questa procedura per assegnare un ruolo a un utente guest in ambiti diversi.
Accedi al portale di Azure.
Nella casella Cerca della parte superiore cercare l'ambito a cui si vuole concedere l'accesso. È possibile ad esempio cercare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa specifica.
Fare clic sulla risorsa specifica per tale ambito.
Fare clic su Controllo di accesso (IAM).
L'immagine seguente mostra un esempio della pagina Controllo di accesso (IAM) per un gruppo di risorse.
Fare clic sulla scheda Assegnazioni di ruolo per visualizzare le assegnazioni di ruolo in questo ambito.
Fare clic su Aggiungi aggiungi>assegnazione di ruolo.
Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.
Verrà visualizzata la pagina Aggiungi assegnazione di ruolo.
Nella scheda Ruolo selezionare un ruolo come Collaboratore macchina virtuale.
Nella scheda Membri selezionare Utente, gruppo o entità servizio.
Fare clic su Seleziona membri.
Trovare e selezionare l'utente guest. Se l'utente non viene visualizzato nell'elenco, è possibile digitare nella casella Seleziona per cercare nella directory il nome visualizzato o l'indirizzo di posta elettronica.
Nella casella Seleziona è possibile digitare il nome visualizzato o l'indirizzo di posta elettronica per eseguire una ricerca nella directory.
Fare clic su Seleziona per aggiungere l'utente guest all'elenco Membri.
Nella scheda Rivedi e assegna fare clic su Rivedi e assegna.
Dopo alcuni istanti, all'utente guest viene assegnato il ruolo nell'ambito selezionato.
Assegnare un ruolo a un utente guest non ancora nella directory
Per assegnare un ruolo a un utente guest, seguire la stessa procedura per un utente membro, un gruppo, un'entità servizio o un'identità gestita.
Se l'utente guest non è ancora presente nella directory, è possibile invitare l'utente direttamente dal riquadro Seleziona membri.
Accedi al portale di Azure.
Nella casella Cerca della parte superiore cercare l'ambito a cui si vuole concedere l'accesso. È possibile ad esempio cercare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa specifica.
Fare clic sulla risorsa specifica per tale ambito.
Fare clic su Controllo di accesso (IAM).
Fare clic su Aggiungi aggiungi>assegnazione di ruolo.
Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.
Verrà visualizzata la pagina Aggiungi assegnazione di ruolo.
Nella scheda Ruolo selezionare un ruolo come Collaboratore macchina virtuale.
Nella scheda Membri selezionare Utente, gruppo o entità servizio.
Fare clic su Seleziona membri.
Nella casella Seleziona digitare l'indirizzo di posta elettronica della persona che si desidera invitare e selezionare tale persona.
Fare clic su Seleziona per aggiungere l'utente guest all'elenco Membri.
Nella scheda Rivedi e assegna fare clic su Rivedi e assegna per aggiungere l'utente guest alla directory, assegnare il ruolo e inviare un invito.
Dopo alcuni istanti, verrà visualizzata una notifica dell'assegnazione di ruolo e le informazioni sull'invito.
Per invitare manualmente l'utente guest, fare clic con il pulsante destro del mouse e copiare il collegamento di invito nella notifica. Non fare clic sul collegamento di invito perché avvia il processo di invito.
Il collegamento di invito avrà il formato seguente:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...
Inviare il collegamento di invito all'utente guest per completare il processo di invito.
Per altre informazioni sul processo di invito, vedere Riscatto dell'invito di Collaborazione B2B di Microsoft Entra.
Rimuovere un utente guest dalla directory
Prima di rimuovere un utente guest da una directory, è necessario rimuovere tutte le assegnazioni di ruolo per l'utente guest. Seguire questa procedura per rimuovere un utente guest da una directory.
Aprire Controllo di accesso (IAM) in un ambito, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa, in cui l'utente guest ha un'assegnazione di ruolo.
Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo.
Nell'elenco delle assegnazioni di ruolo aggiungere un segno di spunta accanto all'utente guest con l'assegnazione di ruolo da rimuovere.
Fare clic su Rimuovi.
Nella finestra con il messaggio di rimozione dell'assegnazione di ruolo fare clic su Sì.
Fare clic sulla scheda Amministratori (versione classica).
Se l'utente guest ha un'assegnazione co-Amministrazione istrator, aggiungere un segno di spunta accanto all'utente guest e fare clic su Rimuovi.
Nella barra di spostamento a sinistra fare clic su Microsoft Entra ID Users.In the left navigation bar, click Microsoft Entra ID>Users.
Fare clic sull'utente guest da rimuovere.
Fai clic su Elimina.
Nel messaggio di eliminazione visualizzato fare clic su Sì.
Risoluzione dei problemi
L'utente guest non può esplorare la directory
Gli utenti guest hanno autorizzazioni di directory limitate. Ad esempio, gli utenti guest non possono esplorare la directory e non possono cercare gruppi o applicazioni. Per altre informazioni, vedere Che cosa sono le autorizzazioni utente predefinite in Microsoft Entra ID?.
Se un utente guest necessita di privilegi aggiuntivi nella directory, è possibile assegnare un ruolo Microsoft Entra all'utente guest. Se si vuole che un utente guest abbia accesso in lettura completo alla directory, è possibile aggiungere l'utente guest al ruolo Lettori directory in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nel portale di Azure.
L'utente guest non può esplorare utenti, gruppi o entità servizio per assegnare ruoli
Gli utenti guest hanno autorizzazioni di directory limitate. Anche se un utente guest è un proprietario in un ambito, se tenta di assegnare un ruolo per concedere l'accesso a un altro utente, non può esplorare l'elenco di utenti, gruppi o entità servizio.
Se l'utente guest conosce il nome di accesso esatto di un utente nella directory, può concedere l'accesso. Se si vuole che un utente guest abbia accesso in lettura completo alla directory, è possibile aggiungere l'utente guest al ruolo Lettori directory in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nel portale di Azure.
L'utente guest non può registrare applicazioni o creare entità servizio
Gli utenti guest hanno autorizzazioni di directory limitate. Se un utente guest deve essere in grado di registrare applicazioni o creare entità servizio, è possibile aggiungere l'utente guest al ruolo Sviluppatore di applicazioni in Microsoft Entra ID. Per altre informazioni, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nel portale di Azure.
L'utente guest non visualizza la nuova directory
Se a un utente guest è stato concesso l'accesso a una directory, ma non viene visualizzata la nuova directory elencata nel portale di Azure quando tenta di passare alla pagina Directory, assicurarsi che l'utente guest abbia completato il processo di invito. Per altre informazioni sul processo di invito, vedere Riscatto dell'invito di Collaborazione B2B di Microsoft Entra.
L'utente guest non visualizza le risorse
Se a un utente guest è stato concesso l'accesso a una directory, ma non vengono visualizzate le risorse a cui è stato concesso l'accesso nella portale di Azure, assicurarsi che l'utente guest abbia selezionato la directory corretta. Un utente guest potrebbe avere accesso a più directory. Per cambiare directory, in alto a sinistra fare clic su Impostazioni> Directoriese quindi fare clic sulla directory appropriata.