Panoramica del controllo degli accessi in base al ruolo in Microsoft Entra ID

Questo articolo spiega come comprendere il controllo degli accessi basato sui ruoli di Microsoft Entra. I ruoli di Microsoft Entra consentono di concedere autorizzazioni granulari agli amministratori, rispettando il principio dei privilegi minimi. I ruoli predefiniti e personalizzati di Microsoft Entra operano su concetti simili a quelli che si trovano nel il sistema di controllo degli accessi in base al ruolo per le risorse di Azure (ruoli di Azure). La differenza tra questi due sistemi di controllo degli accessi in base al ruolo è:

• I ruoli di Microsoft Entra controllano l'accesso alle risorse di Microsoft Entra, ad esempio utenti, gruppi e applicazioni tramite l'API Microsoft Graph
• I ruoli di Azure controllano l'accesso alle risorse di Azure, ad esempio macchine virtuali o archiviazione con Gestione risorse di Azure

Entrambi i sistemi contengono definizioni di ruolo e assegnazioni di ruolo usate in modo analogo. Tuttavia, le autorizzazioni del ruolo Microsoft Entra non possono essere usate nei ruoli personalizzati di Azure e viceversa.

Comprendere il controllo degli accessi basato sui ruoli di Microsoft Entra

Microsoft Entra ID supporta due tipi di definizioni di ruoli:

• ruoli predefiniti
• ruoli personalizzati

I ruoli integrati sono ruoli predefiniti con un set fisso di autorizzazioni. Queste definizioni di ruolo non possono essere modificate. Esistono molti ruoli predefiniti supportati da Microsoft Entra ID e l'elenco è in crescita. Per affinare i dettagli e soddisfare i requisiti sofisticati, Microsoft Entra ID supporta anche ruoli personalizzati. La concessione dell'autorizzazione tramite ruoli Microsoft Entra personalizzati è un processo in due passaggi che prevede la creazione di una definizione di ruolo personalizzata e quindi l'assegnazione tramite un'assegnazione di ruolo. Una definizione di ruolo personalizzata è una raccolta di autorizzazioni aggiunte da un elenco preimpostato. Queste autorizzazioni sono le stesse autorizzazioni usate nei ruoli predefiniti.

Dopo aver creato la definizione di ruolo personalizzata (o usando un ruolo predefinito), è possibile assegnarla a un utente creando un'assegnazione di ruolo. Un'assegnazione di ruolo concede all'utente le autorizzazioni in una definizione di ruolo in un ambito specificato. Questo processo in due passaggi consente di creare una singola definizione di ruolo e assegnarla più volte in ambiti diversi. Un ambito definisce il set di risorse di Microsoft Entra a cui il membro del ruolo ha accesso. L'ambito più comune è a livello di organizzazione. È possibile assegnare un ruolo personalizzato a livello di intera organizzazione, il che significa che il membro del ruolo ha le autorizzazioni del ruolo su tutte le risorse dell'organizzazione. È anche possibile assegnare un ruolo personalizzato in un ambito di oggetto. Un esempio di ambito di un oggetto è una singola applicazione. Lo stesso ruolo può essere assegnato a un utente per tutte le applicazioni dell'organizzazione e poi a un altro utente con l'ambito limitato solo all'app Contoso Expense Reports.

Come Microsoft Entra ID determina se un utente ha accesso a una risorsa

Di seguito sono riportati i passaggi generali usati da Microsoft Entra ID per determinare se si ha accesso a una risorsa di gestione. Usare queste informazioni per risolvere i problemi di accesso.

1. Un utente (o un principale di servizio) acquisisce un token per l'accesso all'endpoint di Microsoft Graph.
2. L'utente effettua una chiamata API all'ID Microsoft Entra tramite Microsoft Graph usando il token rilasciato.
3. A seconda delle circostanze, Microsoft Entra ID esegue una delle azioni seguenti:
   • Valuta le appartenenze ai ruoli dell'utente in base all'attestazione nel token di accesso dell'utente.
   • Recupera tutte le assegnazioni di ruolo che si applicano all'utente, direttamente o tramite appartenenza al gruppo, alla risorsa in cui viene eseguita l'azione.
4. Microsoft Entra ID determina se l'azione nella chiamata API è inclusa nei ruoli che l'utente ha per questa risorsa.
5. Se l'utente non ha un ruolo con l'azione nell'ambito richiesto, l'accesso non viene concesso. In caso contrario, viene concesso l'accesso.

Assegnazione di ruolo

Un'assegnazione di ruolo è una risorsa di Microsoft Entra che collega una definizione di ruolo a un'entità di sicurezza in un determinato ambito per concedere l'accesso alle risorse di Microsoft Entra. L'accesso viene concesso creando un'assegnazione di ruolo e l'accesso viene revocato rimuovendo un'assegnazione di ruolo. Al suo interno, un'assegnazione di ruolo è costituita da tre elementi:

• Entità di sicurezza: identità che ottiene le autorizzazioni. Può trattarsi di un utente, un gruppo o un'entità servizio.
• Definizione del ruolo: raccolta di autorizzazioni.
• Ambito: un modo per vincolare la posizione in cui tali autorizzazioni sono applicabili.

È possibile creare assegnazioni di ruolo e elencare le assegnazioni di ruolo usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShello l'API Microsoft Graph. La CLI di Azure non è supportata per l'assegnazione dei ruoli di Microsoft Entra.

Il diagramma seguente mostra un esempio di assegnazione di ruolo. In questo esempio, a Chris è stato assegnato il ruolo personalizzato di Amministratore della registrazione delle app nel contesto della registrazione dell'app Contoso Widget Builder. L'assegnazione concede a Chris le autorizzazioni del ruolo Amministratore registrazione app solo per questa registrazione specifica dell'app.

Entità di sicurezza

Un'entità di sicurezza rappresenta un utente, un gruppo o un'entità servizio assegnata alle risorse di Microsoft Entra. Un utente è un utente che ha un profilo utente in Microsoft Entra ID. Un gruppo è un nuovo gruppo Microsoft 365 o di sicurezza impostato come gruppo assegnabile al ruolo . Un'entità servizio è un'identità creata per l'uso con applicazioni, servizi ospitati e strumenti automatizzati per accedere alle risorse di Microsoft Entra.

Definizione del ruolo

Una definizione di ruolo, o ruolo, è una raccolta di permessi. Una definizione di ruolo elenca le operazioni che possono essere eseguite sulle risorse di Microsoft Entra, ad esempio creare, leggere, aggiornare ed eliminare. Esistono due tipi di ruoli in Microsoft Entra ID:

• Ruoli predefiniti creati da Microsoft che non possono essere modificati.
• Ruoli personalizzati creati e gestiti dall'organizzazione.

Ambito

Un ambito è un modo per limitare le azioni consentite a un determinato set di risorse come parte di un'assegnazione di ruolo. Ad esempio, se si vuole assegnare un ruolo personalizzato a uno sviluppatore, ma solo per gestire una registrazione specifica dell'applicazione, è possibile includere la registrazione dell'applicazione specifica come ambito nell'assegnazione di ruolo.

Quando si assegna un ruolo, specificare uno dei tipi di ambito seguenti:

• Inquilino
• L'unità amministrativa
• Risorsa Microsoft Entra

Se si specifica una risorsa Microsoft Entra come ambito, può essere una delle seguenti:

• Gruppi di Microsoft Entra
• Applicazioni aziendali
• Registrazioni dell'applicazione

Quando un ruolo viene assegnato nel contesto di un contenitore, come un Tenant o un'unità amministrativa, concede le autorizzazioni sugli oggetti che vi sono contenuti ma non sul contenitore stesso. Al contrario, quando un ruolo viene assegnato a un ambito di risorsa, concede le autorizzazioni sulla risorsa stessa, ma non si estende oltre (in particolare, non si estende ai membri di un gruppo Microsoft Entra).

Per ulteriori informazioni, consultare Assegnare ruoli di Microsoft Entra.

Opzioni di assegnazione dei ruoli

Microsoft Entra ID offre più opzioni per l'assegnazione dei ruoli:

• È possibile assegnare ruoli direttamente agli utenti, ovvero il modo predefinito per assegnare i ruoli. I ruoli predefiniti e personalizzati di Microsoft Entra possono essere assegnati agli utenti, in base ai requisiti di accesso. Per altre informazioni, vedere Assegnare i ruoli di Microsoft Entra.
• Con Microsoft Entra ID P1, è possibile creare gruppi assegnabili a ruoli e assegnare ruoli a questi gruppi. L'assegnazione di ruoli a un gruppo anziché a singoli utenti consente di aggiungere o rimuovere facilmente gli utenti da un ruolo e di creare autorizzazioni coerenti per tutti i membri del gruppo. Per ulteriori informazioni, consultare Assegnare ruoli di Microsoft Entra.
• Con Microsoft Entra ID P2, è possibile usare Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) per fornire l'accesso just-in-time ai ruoli. Questa funzionalità consente di concedere l'accesso limitato al tempo a un ruolo agli utenti che lo richiedono, anziché concedere l'accesso permanente. Offre anche funzionalità dettagliate di creazione di report e controllo. Per ulteriori informazioni, vedere Assegnare ruoli Microsoft Entra in Privileged Identity Management.

Requisiti di licenza

L'uso dei ruoli predefiniti in Microsoft Entra ID è gratuito. L'uso di ruoli personalizzati richiede una licenza Microsoft Entra ID P1 per ogni utente con un'assegnazione di ruolo personalizzata. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità generalmente disponibili delle edizioni Gratuita e Premium.

Passaggi successivi

• Informazioni sui ruoli di Microsoft Entra
• Assegnare ruoli di Microsoft Entra
• forum di Microsoft Entra