Condividi tramite

Aggiungere e gestire gli account amministratore

  • Articolo

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant delle risorse Cerchio verde con un segno di spunta bianco. Tenant esterni (altre informazioni)

In Microsoft Entra per ID esterno un tenant esterno rappresenta la directory degli account consumer e guest. Con un ruolo di amministratore, gli account aziendali e guest possono gestire il tenant.

Prerequisiti

  • Se non hai ancora creato il tuo proprio tenant esterno di Microsoft Entra, creane uno ora.
  • Informazioni sugli account utente in Microsoft Entra per ID esterno.
  • Informazioni sui ruoli utente per controllare l'accesso alle risorse.

Aggiungere un account amministratore

Usare la procedura seguente per creare un nuovo account utente e concedere autorizzazioni di amministratore all'account aggiungendo un ruolo Microsoft Entra. Di seguito sono descritti solo i passaggi necessari. Per una descrizione completa di tutte le proprietà, vedere l'articolo Microsoft Entra ID Come creare utenti.)

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Selezionare Nuovo utente>Creare nuovo utente.

  5. Nella scheda Base, sotto Identity, inserire le informazioni per questo amministratore:

    • Nome principale utente: immettere un nome utente univoco e selezionare un dominio dal menu dopo il simbolo @.
    • Nome visualizzato: immettere il nome dell'utente, ad esempio Chris Green o Chris A. Green.
    • Password: copiare la password generata automaticamente oppure deselezionare l'opzione genera automaticamente la password e inserire una password diversa. È necessario assegnare questa password all'amministratore per accedere per la prima volta.

  6. Selezionare la scheda Assegnazioni e seguire questi passaggi per assegnare un ruolo all'utente. L'aggiunta di un gruppo è facoltativa.

    • Selezionare + Aggiungi ruolo.
    • Dal menu visualizzato scegliere fino a 20 ruoli dall'elenco. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Selezionare il pulsante Seleziona.

  7. Seleziona il pulsante Rivedi e crea.

L'amministratore viene creato e aggiunto al tenant esterno.

Invitare un amministratore (account guest)

È anche possibile invitare un nuovo utente guest a gestire il tenant. Per invitare un nuovo utente guest con autorizzazioni di amministratore, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Selezionare Nuovo utente>Invita utente esterno (anteprima).

  5. Nella scheda Informazioni di base immettere le informazioni per l'utente:

    • messaggio di posta elettronica. Obbligatorio. Indirizzo di posta elettronica dell'utente da invitare.
    • Nome visualizzato. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
    • In messaggio di invito:
      • Selezionare la casella di controllo Invia messaggio di invito se si desidera inviare l'e-mail di invito all'utente. In caso contrario, deselezionare la casella di controllo.
      • In Messaggioaggiungere un messaggio personale da includere nel messaggio di posta elettronica di invito.
      • Per inviare una copia del messaggio di posta elettronica di invito a qualcuno, aggiungere il loro indirizzo di posta elettronica nella casella di testo Cc Destinatario .
      • L'URL di reindirizzamento , per impostazione predefinita, rimanda a MyApplications, dove l'utente viene reindirizzato quando riscatta l'invito. È possibile modificarlo in un URL diverso.

  6. Selezionare la scheda Assegnazioni e seguire questa procedura per assegnare un ruolo all'utente. L'aggiunta di un gruppo è facoltativa.

    • Selezionare + Aggiungi ruolo.
    • Dal menu visualizzato scegliere fino a 20 ruoli dall'elenco. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Selezionare il pulsante Seleziona.

  7. Seleziona il pulsante Rivedi + invita.

All'utente viene inviato un messaggio di posta elettronica di invito. L'utente deve accettare l'invito per poter eseguire l’accesso.

Modificare o aggiungere un'assegnazione di ruolo

È possibile assegnare un ruolo quando si crea un utente o si invita un utente guest. È possibile aggiungere un ruolo, modificare il ruolo o rimuovere un ruolo per un utente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare Aggiungi assegnazioni, scegliere il ruolo da assegnare all'utente (ad esempio, Amministratore applicazione) e quindi selezionare Aggiungi.

Rimuovere un'assegnazione di ruolo

Se è necessario rimuovere un'assegnazione di ruolo da un utente, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare il ruolo che si vuole rimuovere, ad esempio Amministratore applicazione e quindi selezionare Rimuovi assegnazione.

Esaminare le assegnazioni di ruolo dell'account amministratore

Come parte di un processo di controllo, in genere si esaminano gli utenti assegnati a ruoli specifici nella directory dei clienti. Usare la procedura seguente per controllare a quali utenti sono attualmente assegnati ruoli con privilegi.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
  4. Selezionare un ruolo, ad esempio Amministratore utenti. La pagina Assegnazioni elenca gli utenti con tale ruolo.

Eliminare un account amministratore

Per eliminare un utente esistente, è necessario avere almeno l'assegnazione di ruolo Amministratore utenti. Gli amministratori di autenticazione con privilegi possono eliminare qualsiasi utente, inclusi gli altri amministratori. Gli amministratori utenti possono eliminare qualsiasi utente non amministratore.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore di autenticazione con privilegi.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente da eliminare.
  5. Selezionare Elimina e quindi per confermare l'eliminazione.

L'utente viene eliminato e non è più visualizzato nella pagina Tutti gli utenti. L'utente può essere visualizzato nella pagina Utenti eliminati per i 30 giorni successivi e durante tale periodo può essere ripristinato. Per altre informazioni sul ripristino di un utente, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.

Proteggere gli account amministratore

È consigliabile proteggere tutti gli account amministratore con l'autenticazione a più fattori (MFA) per una maggiore sicurezza. L'autenticazione a più fattori è un processo di verifica dell'identità durante l'accesso che richiede all'utente un passcode monouso.

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo di amministratore globale. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Tali account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo i consigli per l'account di accesso di emergenza.