Condividi tramite

Aggiungere e gestire gli account amministratore

  • Articolo

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant delle risorse Cerchio verde con un segno di spunta bianco. Tenant esterni (altre informazioni)

In Microsoft Entra per ID esterno un tenant esterno rappresenta la directory degli account consumer e guest. Con un ruolo di amministratore, gli account aziendali e guest possono gestire il tenant.

Prerequisiti

  • Se non è già stato creato un tenant esterno di Microsoft Entra, crearne uno ora.
  • Informazioni sugli account utente in Microsoft Entra per ID esterno.
  • Informazioni sui ruoli utente per controllare l'accesso alle risorse.

Aggiungere un account amministratore

Per creare un nuovo account amministratore, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Selezionare Nuovo utente>Creare nuovo utente.

  5. Nella pagina Nuovo utente, scegliere Seleziona modello e quindi selezionare Crea utente.

  6. In Identitàimmettere le informazioni relative all'amministratore:

    • Nome utente. Obbligatorio. Nome utente del nuovo utente. Ad esempio: mary@contoso.com.
    • Nome. Obbligatorio. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
    • Nome. Nome del nuovo utente. Ad esempio, Mary.
    • Cognome. Cognome del nuovo utente. Ad esempio, Parker.
    • Gruppi. Facoltativo. Facoltativamente, è possibile aggiungere l'utente a uno o più gruppi esistenti. È anche possibile aggiungere l'utente a gruppi in un secondo momento.
    • Ruoli: per aggiungere autorizzazioni amministrative per l'utente, aggiungerle a un ruolo di Microsoft Entra. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Impostazioni: usare l'interruttore sì o no per impostare Blocca accesso e selezionare la posizione primaria dell'utente nell'elenco Posizione utilizzo.
    • Informazioni sul processo: è possibile aggiungere altre informazioni sull'utente qui o farlo in un secondo momento.

  7. Copiare la password generata automaticamente nella casella Password. È necessario fornire questa password all'amministratore per la procedura di accesso iniziale.

  8. Seleziona Crea.

L'amministratore viene creato e aggiunto al tenant esterno.

Invitare un amministratore (account guest)

È anche possibile invitare un nuovo utente guest a gestire il tenant. Per invitare un amministratore, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Selezionare Nuovo utente>Invita utente esterno.

  5. Nella pagina Nuovo utente, scegliere Seleziona modello e quindi selezionare Invita utente.

  6. In Identità immettere le informazioni relative all'amministratore:

    • Nome. Obbligatorio. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
    • Indirizzo di posta elettronica. Obbligatorio. Indirizzo di posta elettronica dell'utente da invitare.
    • Nome. Nome del nuovo utente. Ad esempio, Mary.
    • Cognome. Cognome del nuovo utente. Ad esempio, Parker.
    • Messaggio personale: aggiungere un messaggio personale da includere nel messaggio di posta elettronica di invito.
    • Gruppi. Facoltativo. Facoltativamente, è possibile aggiungere l'utente a uno o più gruppi esistenti. È anche possibile aggiungere l'utente a gruppi in un secondo momento.
    • Ruoli: per aggiungere autorizzazioni amministrative per l'utente, aggiungerle a un ruolo di Microsoft Entra. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Impostazioni: usare l'interruttore sì o no per impostare Blocca accesso e selezionare la posizione primaria dell'utente nell'elenco Posizione utilizzo.
    • Informazioni sul processo: è possibile aggiungere altre informazioni sull'utente qui o farlo in un secondo momento.

  7. Selezionare Invita.

All'utente viene inviato un messaggio di posta elettronica di invito. L'utente deve accettare l'invito per poter eseguire l’accesso.

Aggiungere un'assegnazione di ruolo

È possibile assegnare un ruolo quando si crea un utente o si invita un utente guest. È possibile aggiungere un ruolo, modificare il ruolo o rimuovere un ruolo per un utente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare Aggiungi assegnazioni, scegliere il ruolo da assegnare all'utente (ad esempio, Amministratore applicazione) e quindi selezionare Aggiungi.

Rimuovere un'assegnazione di ruolo

Se è necessario rimuovere un'assegnazione di ruolo da un utente, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare il ruolo che si vuole rimuovere, ad esempio Amministratore applicazione e quindi selezionare Rimuovi assegnazione.

Esaminare le assegnazioni di ruolo dell'account amministratore

Come parte di un processo di controllo, in genere si esaminano gli utenti assegnati a ruoli specifici nella directory dei clienti. Usare la procedura seguente per controllare a quali utenti sono attualmente assegnati ruoli con privilegi.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
  4. Selezionare un ruolo, ad esempio Amministratore utenti. La pagina Assegnazioni elenca gli utenti con tale ruolo.

Eliminare un account amministratore

Per eliminare un utente esistente, è necessario avere almeno l'assegnazione di ruolo Amministratore utenti. Gli amministratori di autenticazione con privilegi possono eliminare qualsiasi utente, inclusi gli altri amministratori. Gli amministratori utenti possono eliminare qualsiasi utente non amministratore.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore di autenticazione con privilegi.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Identità>Utenti>Tutti gli utenti.
  4. Selezionare l'utente da eliminare.
  5. Selezionare Elimina e quindi per confermare l'eliminazione.

L'utente viene eliminato e non è più visualizzato nella pagina Tutti gli utenti. L'utente può essere visualizzato nella pagina Utenti eliminati per i 30 giorni successivi e durante tale periodo può essere ripristinato. Per altre informazioni sul ripristino di un utente, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.

Proteggere gli account amministratore

È consigliabile proteggere tutti gli account amministratore con l'autenticazione a più fattori (MFA) per una maggiore sicurezza. L'autenticazione a più fattori è un processo di verifica dell'identità durante l'accesso che richiede all'utente un passcode monouso.

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo di amministratore globale. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Tali account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo i consigli per l'account di accesso di emergenza.