Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure. Per determinare le risorse a cui gli utenti, i gruppi, le entità servizio o le identità gestite hanno accesso, elencare le assegnazioni di ruolo. Questo articolo descrive come elencare le assegnazioni di ruolo usando il portale di Azure.
Nota
Se l'organizzazione ha funzioni di gestione esternalizzate a un provider di servizi che usa Azure Lighthouse, le assegnazioni dei ruoli autorizzate da tale provider di servizi non verranno visualizzate qui. Analogamente, gli utenti nel tenant del provider di servizi non vedranno le assegnazioni di ruolo per gli utenti nel tenant di un cliente, indipendentemente dal ruolo assegnato.
Prerequisiti
Autorizzazione Microsoft.Authorization/roleAssignments/read, ad esempio Lettore
Elencare i ruoli assegnati a un utente o a un gruppo
Un modo rapido per visualizzare i ruoli assegnati a un utente o a un gruppo in una sottoscrizione consiste nell'usare il riquadro Assegnazioni di ruolo di Azure.
Nel portale di Azure selezionare dal menu Tutti i servizi.
Selezionare Microsoft Entra ID, poi Utenti o Gruppi.
Cliccare sull'utente o sul gruppo per cui si desidera elencare le assegnazioni di ruolo.
Cliccare su Assegnazioni di ruolo di Azure.
Viene visualizzato l’elenco dei ruoli assegnati all'utente o al gruppo selezionato in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si è autorizzati a leggere.
Per modificare la sottoscrizione, cliccare sull’elenco Sottoscrizioni.
Elenco dei proprietari di una sottoscrizione
Gli utenti a cui è stato assegnato il ruolo proprietario per una sottoscrizione possono gestire tutti gli elementi nella sottoscrizione. Seguire questa procedura per elencare i proprietari di una sottoscrizione.
Nel portale di Azure fare clic su Tutti i servizi e quindi Sottoscrizioni.
Fare clic sulla sottoscrizione di cui si desidera elencare i proprietari.
Fare clic su Controllo di accesso (IAM).
Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questa sottoscrizione.
Scorrere fino alla sezione Proprietari per visualizzare tutti gli utenti a cui è stato assegnato il ruolo Proprietario per questa sottoscrizione.
Elencare o gestire le assegnazioni del ruolo di amministratore con privilegi
Nella scheda Assegnazioni di ruolo è possibile elencare e visualizzare il numero di assegnazioni di ruolo di amministratore con privilegi nell'ambito corrente. Per altre informazioni, vedere Ruoli di amministratore con privilegi.
Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l’ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.
Fare clic sulla risorsa specifica.
Fare clic su Controllo di accesso (IAM).
Fare clic sulla scheda Assegnazioni di ruolo e quindi fare clic sulla scheda con privilegi per elencare le assegnazioni di ruolo di amministratore con privilegi in questo ambito.
Per visualizzare il numero di assegnazioni di ruolo di amministratore con privilegi in questo ambito, vedere la scheda con privilegi.
Per gestire le assegnazioni di ruolo con privilegi di amministratore, vedere la scheda Con privilegi e fare clic su Visualizzare le assegnazioni.
Nella pagina Gestisci assegnazioni di ruolo con privilegi è possibile aggiungere una condizione per vincolare l'assegnazione di ruolo con privilegi o rimuovere l'assegnazione di ruolo. Per altre informazioni, vedere Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni.
Elencare le assegnazioni di ruolo in un ambito
Seguire questa procedura:
Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l’ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.
Fare clic sulla risorsa specifica.
Fare clic su Controllo di accesso (IAM).
Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.
Se si dispone di una licenza Microsoft Entra ID Free o Microsoft Entra ID P1, la scheda Assegnazioni di ruolo è simile alla schermata seguente.
Se si dispone di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance, la scheda Assegnazioni di ruolo è simile allo screenshot seguente per gli ambiti di gruppo di gestione, sottoscrizione e gruppo di risorse. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant o l'interfaccia potrebbe avere un aspetto diverso.
Viene visualizzata una colonna di Stato con uno degli stati seguenti:
Stato Descrizione Permanente attivo Un'assegnazione di ruolo in cui un utente può sempre usare il ruolo senza eseguire alcuna azione. Limite di tempo attivo Un'assegnazione di ruolo in cui un utente può usare il ruolo senza eseguire alcuna azione solo tra date di inizio e di fine. Idoneo permanente Un'assegnazione di ruolo in cui un utente è sempre idoneo ad attivare il ruolo. Limite di tempo idoneo Un'assegnazione di ruolo in cui un utente è idoneo per attivare il ruolo solo tra una data di inizio e una data di fine. È possibile impostare la data di inizio in futuro.
Per elencare l'ora di inizio e l'ora di fine per le assegnazioni di ruolo, fare clic su Modifica colonne e quindi selezionare Ora di inizio e Ora di fine.
Si noterà che l'ambito di alcuni ruoli è Questa risorsa, mentre quello di altri è (Ereditato) da un altro ambito. L'accesso viene assegnato in modo specifico alla risorsa oppure ereditato da un'assegnazione nell'ambito padre.
Elencare le assegnazioni di ruolo per un utente in un ambito
Per elencare l'accesso per un utente, gruppo, entità servizio o identità gestita, vengono elencate le assegnazioni di ruolo. Seguire questa procedura per elencare le assegnazioni di ruolo per un singolo utente, gruppo, entità servizio o identità gestita in un determinato ambito.
Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l’ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.
Fare clic sulla risorsa specifica.
Fare clic su Controllo di accesso (IAM).
Nella scheda Verifica l'accesso fare clic sul pulsante Controlla l’accesso personale.
Nel riquadro Controllare l'accesso fare clic su Utente, gruppo o entità servizio o Identità gestita.
Nella casella di ricerca, immettere una stringa per eseguire ricerche nella directory in base ai nomi visualizzati, agli indirizzi di posta elettronica o agli identificatori di oggetto.
Fare clic sull'entità di sicurezza per aprire il riquadro Assegnazioni.
In questo riquadro è possibile visualizzare l'accesso per l'entità di sicurezza selezionata in questo ambito, oltre a quello ereditato da un altro ambito. Le assegnazioni in corrispondenza degli ambiti figlio non sono elencate. Vengono visualizzate le assegnazioni seguenti:
- Assegnazioni di ruolo aggiunte con il controllo degli accessi in base al ruolo di Azure.
- Assegnazioni di rifiuto aggiunte tramite Azure Blueprints o app gestite di Azure.
Elencare le assegnazioni di ruolo per un’identità gestita
È possibile elencare le assegnazioni di ruolo per le identità gestite assegnate dal sistema e assegnate dall'utente in un determinato ambito usando il pannello di controllo di accesso (IAM), come descritto in precedenza. Questa sezione descrive come elencare le assegnazioni di ruolo solo per l'identità gestita.
Identità gestita assegnata dal sistema
Per abilitare l'identità gestita assegnata dal sistema nel portale di Azure.
Nel menu a sinistra fare clic su Identity.
In Autorizzazioni selezionare Assegnazioni di ruolo di Azure.
Viene visualizzato un elenco di ruoli assegnati all'identità gestita assegnata dal sistema selezionata in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si è autorizzati a leggere.
Per modificare la sottoscrizione, fare clic sull'elenco Sottoscrizione.
Identità gestita assegnata dall'utente
Nel portale di Azure aprire un'identità gestita assegnata dall'utente.
Cliccare su Assegnazioni di ruolo di Azure.
Viene visualizzato un elenco di ruoli assegnati all'identità gestita assegnata dall’utente selezionata in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si è autorizzati a leggere.
Per modificare la sottoscrizione, fare clic sull'elenco Sottoscrizione.
Elencare il numero di assegnazioni di ruolo
È possibile avere fino a 4000 assegnazioni di ruolo in ogni sottoscrizione. Questo limite include le assegnazioni di ruolo negli ambiti di sottoscrizione, gruppo di risorse e risorsa. Le Assegnazioni di ruolo idonee e le assegnazioni di ruolo pianificate in futuro non vengono conteggiate per questo limite. Per tenere traccia di questo limite, la scheda Assegnazioni di ruolo include un grafico che elenca il numero di assegnazioni di ruolo per la sottoscrizione corrente.
Se si avvicina al numero massimo e si tenta di aggiungere altre assegnazioni di ruolo, verrà visualizzato un avviso nel riquadro Aggiungi assegnazione di ruolo. Per informazioni su come ridurre il numero di assegnazioni di ruolo, vedere Risolvere i limiti del controllo degli accessi in base al ruolo di Azure.
Scarica assegnazioni di ruolo
È possibile scaricare le assegnazioni di ruolo in un ambito in formato CSV o JSON. Questo può essere utile se è necessario esaminare l'elenco in un foglio di calcolo o eseguire un inventario durante la migrazione di una sottoscrizione.
Quando si scaricano le assegnazioni di ruolo, tenere presente i criteri seguenti:
- Se non si dispone delle autorizzazioni per leggere la directory, ad esempio il ruolo con autorizzazioni di lettura nella directory, le colonne DisplayName, SignInName e ObjectType saranno vuote.
- Le assegnazioni di ruolo le cui entità di sicurezza sono state eliminate non sono incluse.
- L'accesso concesso agli amministratori classici non è incluso.
Seguire questa procedura per scaricare le assegnazioni di ruolo in un ambito.
Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l'ambito in cui scaricare le assegnazioni di ruolo. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.
Fare clic sulla risorsa specifica.
Fare clic su Controllo di accesso (IAM).
Fare clic su Scaricare le assegnazioni di ruolo per aprire il riquadro Scarica assegnazioni di ruolo.
Usare le caselle di controllo per selezionare le assegnazioni di ruolo da includere nel file scaricato.
- Ereditato: includere le assegnazioni di ruolo ereditate per l'ambito corrente.
- All'ambito corrente: includere le assegnazioni di ruolo per l'ambito corrente.
- Children: includere le assegnazioni di ruolo a livelli inferiori rispetto all'ambito corrente. Questa casella di controllo è disabilitata per l'ambito del gruppo di gestione.
Selezionare il formato di file, che può essere delimitato da virgole (CSV) o JSON (JavaScript Object Notation).
Specificare il nome del file.
Fare clic su Avvia per avviare il download.
Di seguito sono riportati esempi dell'output per ogni formato di file.
