Condividi tramite

Aggiungere utenti e concedere l'autorizzazione amministrativa a Intune

  • Articolo

Gli amministratori possono aggiungere utenti direttamente o sincronizzare gli utenti dal Active Directory locale. Dopo l'aggiunta e l'abilitazione, gli utenti possono registrare i dispositivi e accedere alle risorse aziendali. È anche possibile concedere agli utenti più autorizzazioni, incluse le autorizzazioni di amministratore globale e amministratore del servizio .

Aggiungere utenti a Intune

È possibile aggiungere manualmente gli utenti alla sottoscrizione Intune tramite il interfaccia di amministrazione di Microsoft 365, il Interfaccia di amministrazione di Microsoft Entra o il Microsoft Intune'interfaccia di amministrazione. Inoltre, un amministratore può modificare gli account utente per assegnare licenze Intune. È possibile assegnare licenze nell'interfaccia di amministrazione interfaccia di amministrazione di Microsoft 365 o Microsoft Intune. Per altre informazioni sull'uso del interfaccia di amministrazione di Microsoft 365, vedere Aggiungere utenti singolarmente o in blocco alla interfaccia di amministrazione di Microsoft 365. Per altre informazioni sull'uso del Interfaccia di amministrazione di Microsoft Entra, vedere Come creare, invitare ed eliminare utenti.

Aggiungere singoli utenti Intune nell'interfaccia di amministrazione Microsoft Intune

  1. Nell'interfaccia di amministrazione Microsoft Intune scegliere Utenti>Tutti gli utenti>Nuovo utente>Crea nuovo utente.

  2. Nella scheda Informazioni di base aggiungere i dettagli utente seguenti:

    • Nome dell'entità utente : nome upn (Universal Principle Name) archiviato in Microsoft Entra ID usato per accedere al servizio.
    • Nome alternativo della posta elettronica: se è necessario immettere un nome alternativo di posta elettronica diverso dal nome dell'entità utente immesso, deselezionare l'opzione Deriva dal nome dell'entità utente , quindi immettere il nome alternativo della posta elettronica.
    • Nome visualizzato : il nome dell'utente, ad esempio Chris Green o Chris A. Green.
    • Password : aggiungere una password per il nuovo utente o scegliere di generarla automaticamente.
    • Account abilitato : scegliere di abilitare l'account dopo averlo creato. Se non è selezionata, all'utente verrà impedito l'accesso. Questa operazione può essere aggiornata dopo la creazione dell'utente.

    Selezionare il pulsante Rivedi e crea per creare il nuovo utente o Avanti: Proprietà per completare la sezione successiva.

  3. Nella scheda Proprietà aggiungere i dettagli seguenti:

    • Identità:
      • FirstName
      • Cognome
      • Tipo di utente : scegliere Membro o Guest. Entrambi questi tipi di utente sono interni all'organizzazione. I membri sono in genere dipendenti a tempo pieno nell'organizzazione. Gli utenti guest hanno un account nel tenant, ma dispongono di privilegi a livello di guest. È possibile che siano stati creati all'interno del tenant prima della disponibilità della collaborazione B2B.
      • Informazioni sull'autorizzazione : è possibile aggiungere fino a 5 ID utente certificato. Questi vengono usati come parte dell'autenticazione basata su certificati e richiedono un formato specifico. Per altre informazioni, vedere Mapping all'attributo certificateUserIds in Microsoft Entra ID.
    • Informazioni sul processo: Aggiungere tutte le informazioni correlate al processo, ad esempio il titolo del processo, il reparto o il responsabile dell'utente.
    • Informazioni di contatto: Aggiungere tutte le informazioni di contatto pertinenti per l'utente.
    • Controllo genitori: Per organizzazioni come i distretti scolastici K-12, potrebbe essere necessario fornire la fascia di età dell'utente. I minori hanno 12 anni e meno, Non adulti hanno 13-18 anni e gli adulti hanno 18 anni e più. La combinazione di fascia di età e consenso fornita dalle opzioni padre determina la classificazione della fascia di età legale. La classificazione della fascia di età legale può limitare l'accesso e l'autorità dell'utente.
    • Impostazioni: Il percorso di utilizzo specifica la posizione globale dell'utente.

    Selezionare il pulsante Rivedi e crea per creare il nuovo utente o Avanti: Assegnazioni per completare la sezione successiva.

  4. Nella scheda Assegnazioni aggiungere i dettagli seguenti: È possibile assegnare l'utente a un'unità amministrativa, un gruppo o un ruolo Microsoft Entra al momento della creazione dell'account. È possibile assegnare l'utente a un massimo di 20 gruppi o ruoli. È possibile assegnare l'utente solo a un'unità amministrativa. Le assegnazioni possono essere aggiunte dopo la creazione dell'utente.

    Per assegnare un gruppo al nuovo utente:

    1. Selezionare + Aggiungi gruppo.
    2. Dal menu visualizzato scegliere fino a 20 gruppi dall'elenco e selezionare il pulsante Seleziona .
    3. Selezionare il pulsante Rivedi e crea .

    Per assegnare un ruolo al nuovo utente:

    1. Selezionare + Aggiungi ruolo.
    2. Dal menu visualizzato scegliere fino a 20 ruoli dall'elenco e selezionare il pulsante Seleziona .
    3. Selezionare il pulsante Rivedi e crea .

    Per aggiungere un'unità amministrativa al nuovo utente:

    1. Selezionare + Aggiungi unità amministrativa.
    2. Dal menu visualizzato scegliere un'unità amministrativa dall'elenco e selezionare il pulsante Seleziona .
    3. Selezionare il pulsante Rivedi e crea .

  5. Nella scheda Rivedi e crea esaminare i dettagli per assicurarsi che le informazioni siano corrette e che i dettagli superati la convalida. Esaminare i dettagli e selezionare il pulsante Crea se tutto ha un aspetto ottimale.

Nota

Se si passa a Microsoft 365 da una sottoscrizione Office 365, gli utenti e i gruppi sono già in Microsoft Entra ID. Intune usa lo stesso Microsoft Entra ID e può usare gli utenti e i gruppi esistenti.

È anche possibile invitare utenti guest al tenant Intune. Per altre informazioni, vedere Aggiungere Microsoft Entra utenti di collaborazione B2B nel Interfaccia di amministrazione di Microsoft Entra.

Aggiungere più utenti Intune nell'interfaccia di amministrazione Microsoft Intune

È possibile aggiungere Intune utenti in blocco caricando un file CSV contenente l'elenco completo degli utenti. La procedura seguente consente di aggiungere più utenti a Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune almeno come amministratore utente.
  2. Selezionare Utenti>Tutti gli utenti>Operazioni> bulkcreate in blocco. Viene visualizzato il riquadro Creazione bulk utenti .
  3. Scaricare, modificare e caricare un modello csv contenente un elenco di utenti da aggiungere a Intune.

Il file CSV è un elenco di valori delimitati da virgole che può essere modificato nel Blocco note o in Excel. Per altre informazioni sull'uso di un file CSV per aggiungere utenti Intune, vedere Creare utenti in blocco in Microsoft Entra ID.

Nota

È anche possibile invitare più utenti guest al tenant Intune. Per altre informazioni, vedere Esercitazione: Invitare in blocco Microsoft Entra utenti di collaborazione B2B.

Eliminare l'utente da Intune

Quando un utente ha lasciato l'organizzazione, è possibile eliminarli dal tenant Intune. Se necessario, è possibile scegliere di eliminare più utenti usando operazioni bulk.

Per eliminare un singolo utente da Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune almeno come amministratore utente.
  2. Passare a Utenti>Tutti gli utenti.
  3. Selezionare l'utente da eliminare.
  4. Selezionare Elimina.

Per eliminare più utenti da Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune almeno come amministratore utente.
  2. Selezionare Utenti>Tutti gli utenti>Operazioni> bulkEliminazione in blocco. Viene visualizzato il riquadro Eliminazione bulk utenti .
  3. Scaricare, modificare e caricare un modello csv contenente un elenco di utenti da eliminare da Intune.

Per informazioni correlate, vedere Eliminazione bulk di utenti in Microsoft Entra ID.

Concedere le autorizzazioni di amministratore

Dopo aver aggiunto gli utenti alla sottoscrizione di Intune, è consigliabile concedere ad alcuni utenti l'autorizzazione amministrativa. Per concedere le autorizzazioni di amministratore, seguire questa procedura:

Concedere autorizzazioni di amministratore in Microsoft 365

  1. Accedere all'interfaccia di amministrazione Microsoft Intune con un account > amministratore globale selezionare Utenti>Utenti attivi> scegliere l'utente per concedere le autorizzazioni di amministratore.
  2. Nel riquadro utente scegliere Gestisci ruoli in Ruoli.
  3. Nel riquadro Gestisci ruoli scegliere l'autorizzazione di amministratore da concedere dall'elenco dei ruoli disponibili.
  4. Selezionare Salva modifiche.

Concedere autorizzazioni di amministratore nell'interfaccia di amministrazione Microsoft Intune

  1. Accedere all'interfaccia di amministrazione Microsoft Intune con un account > amministratore globale Gli utenti> scelgono l'utente che si vuole concedere le autorizzazioni di amministratore.
  2. Selezionare Ruoli assegnati>Aggiungi assegnazioni.
  3. Nel riquadro Ruoli directory selezionare i ruoli da assegnare all'utente >Aggiungi.

Tipi di amministratori

Assegnare agli utenti una o più autorizzazioni di amministratore. Queste autorizzazioni definiscono l'ambito amministrativo per gli utenti e le attività che possono gestire. Le autorizzazioni di amministratore sono comuni tra i diversi servizi cloud Microsoft e alcuni servizi potrebbero non supportare alcune autorizzazioni. Sia il portale di Azure che interfaccia di amministrazione di Microsoft 365 elencano ruoli di amministratore limitati che non vengono usati da Intune. Intune autorizzazioni di amministratore includono le opzioni seguenti:

  • amministratore globale : (Microsoft 365 e Intune) accede a tutte le funzionalità amministrative in Intune. Per impostazione predefinita, la persona che si iscrive a Intune diventa amministratore globale. Gli amministratori globali sono gli unici amministratori che possono assegnare altri ruoli di amministratore. Nell'organizzazione è possibile definire più amministratori globali. Come procedura consigliata, è consigliabile che solo poche persone dell'azienda abbiano questo ruolo per ridurre il rischio per l'azienda.
  • Amministratore password: (Microsoft 365 e Intune) Reimposta le password, gestisce le richieste di servizio e monitora l'integrità del servizio. Gli amministratori delle password possono solo reimpostare le password per gli utenti.
  • Amministratore del supporto tecnico : (Microsoft 365 e Intune) Apre le richieste di supporto con Microsoft e visualizza il dashboard del servizio e il centro messaggi. Ha autorizzazioni di sola visualizzazione tranne che per l'apertura e lettura di ticket di supporto.
  • Amministratore fatturazione : (Microsoft 365 e Intune) effettua acquisti, gestisce le sottoscrizioni, gestisce i ticket di supporto e monitora l'integrità del servizio.
  • Amministratore utente: (Microsoft 365 e Intune) Reimposta le password, monitora l'integrità del servizio, aggiunge ed elimina gli account utente e gestisce le richieste di servizio. L'amministratore della gestione utenti non può eliminare un amministratore globale, creare altri ruoli di amministratore o reimpostare le password per altri amministratori.
  • Intune amministratore: tutte le autorizzazioni Intune amministratore globale ad eccezione dell'autorizzazione per creare amministratori con le opzioni del ruolo directory.

L'account usato per creare la sottoscrizione Microsoft Intune è un amministratore globale. Come procedura consigliata, non usare un amministratore globale per le attività di gestione quotidiane. Anche se un amministratore non richiede una licenza di Intune per accedere alla Intune in portale di Azure, per eseguire determinate attività di gestione, ad esempio la configurazione di Exchange Service Connector, è necessaria una licenza di Intune.

Per accedere alla interfaccia di amministrazione di Microsoft 365, l'account deve avere un set di autorizzazioni di accesso. Nel portale di Azure in Profilo impostare Blocca accesso suNo per consentire l'accesso. Questo stato è diverso da avere una licenza per la sottoscrizione. Per impostazione predefinita, tutti gli account utente sono Consentiti. Gli utenti senza autorizzazioni di amministratore possono usare il interfaccia di amministrazione di Microsoft 365 per reimpostare Intune password.

Sincronizzare Active Directory e aggiungere utenti a Intune

È possibile configurare la sincronizzazione della directory per importare gli account utente dal Active Directory locale a Microsoft Entra che include Intune utenti. La connessione del servizio Active Directory locale a tutti i servizi basati su Microsoft Entra ID semplifica la gestione dell'identità utente. È anche possibile configurare le funzionalità di Accesso Single Sign-On per rendere l'esperienza di autenticazione per gli utenti familiare e semplice. Quando si collega lo stesso tenant Microsoft Entra con più servizi, gli account utente sincronizzati in precedenza sono disponibili per tutti i servizi basati sul cloud.

Assicurarsi che gli amministratori di Active Directory abbiano accesso alla sottoscrizione di Microsoft Entra e che siano sottoposti a training per completare le attività comuni di AD e Microsoft Entra.

Come sincronizzare gli utenti locali con Microsoft Entra ID

  • Per spostare gli utenti esistenti da Active Directory locale a Microsoft Entra ID, è possibile configurare l'identità ibrida. Le identità ibride sono presenti in entrambi i servizi: AD locale e Microsoft Entra ID.

  • È anche possibile esportare gli utenti di Active Directory usando l'interfaccia utente o tramite script. Una ricerca su Internet consente di trovare l'opzione migliore per l'organizzazione.

  • Per sincronizzare gli account utente con Microsoft Entra ID, usare la procedura guidata Microsoft Entra Connect. La procedura guidata Microsoft Entra Connect offre un'esperienza semplificata e guidata per la connessione dell'infrastruttura di identità locale al cloud. Scegliere la topologia e le esigenze (directory singole o multiple, sincronizzazione dell'hash delle password, autenticazione pass-through o federazione). La procedura guidata distribuisce e configura tutti i componenti necessari per rendere operativa la connessione. Inclusi: servizi di sincronizzazione, Active Directory Federation Services (AD FS) e il modulo PowerShell di Microsoft Graph.

Consiglio

Microsoft Entra Connect include le funzionalità rilasciate in precedenza come Dirsync e Azure AD Sync. Altre informazioni sull'integrazione della directory. Per informazioni sulla sincronizzazione degli account utente da una directory locale a Microsoft Entra ID, vedere Analogie tra Active Directory e Microsoft Entra ID.