Aggiungere un account amministratore

  • 10 minuti

Esercizio - Aggiungere un account amministratore

In Microsoft Entra per ID esterno un tenant esterno rappresenta la directory degli account consumer e guest. Con un ruolo di amministratore, gli account aziendali e guest possono gestire il tenant.

Nota

Sarà necessario almeno il ruolo della directory Amministratore utenti per creare un account amministratore.

Si tratta di un ruolo con privilegi. Leggere le informazioni sulle procedure consigliate per lavorare con i ruoli con privilegi.

Si desidera fornire un feedback? Saremmo felici di sapere come procede il progetto del modello di verifica. Ci piacerebbe sapere cosa ne pensi!

Avviso

Nell'ambito della creazione di account amministratore, si consiglia di assegnare agli utenti il ruolo con i privilegi minori necessari, a garanzia che dispongano solo delle autorizzazioni necessarie per completare le loro attività.

  1. Per aggiungere un account amministratore, accedere all'interfaccia di amministrazione di Microsoft Entra almeno con autorizzazioni di amministratore ruolo con privilegi e passare a Identità>Utenti>Tutti gli utenti. Selezionare quindi Nuovo utente>Crea nuovo utente.

    Screenshot del pannello Utenti con un pulsante denominato Nuovo utente evidenziato e una delle opzioni del menu a discesa Crea nuovo utente che consente di creare un nuovo utente interno nell'organizzazione evidenziata.

  2. Nella pagina Crea nuovo utente immettere le informazioni seguenti:

    • In Informazioni di base immettere le informazioni per questo amministratore:
      1. Nome dell'entità utente (obbligatorio): nome utente del nuovo utente. Ad esempio: emily@woodgrovelive.com.
      2. Nome visualizzato: nome del nuovo utente. Ad esempio, Pupetta Costa.
    • In Password copiare la password generata automaticamente nella casella Password. È necessario fornire questa password all'amministratore per la procedura di accesso iniziale.

    Screenshot del pannello Crea nuovo utente in cui vengono popolati i campi obbligatori Nome dell'entità utente, Nome alternativo di posta elettronica, Nome visualizzato e Password.

  3. In Proprietà è anche possibile specificare Nome e Cognome insieme ad altre proprietà.

    Screenshot del pannello Crea nuovo utente in cui è selezionata una delle schede denominate

  4. Per aggiungere autorizzazioni amministrative per l'utente, aggiungerle a uno o più ruoli di amministratore in Microsoft Entra ID. In Assegnazioni selezionare Aggiungi ruolo. Individuare quindi il ruolo da assegnare all'utente e scegliere Seleziona.

    Avviso

    Nell'ambito della creazione di account amministratore, si consiglia di assegnare agli utenti il ruolo con i privilegi minori necessari, a garanzia che dispongano solo delle autorizzazioni necessarie per completare le loro attività.

    Screenshot del pannello Crea nuovo utente in cui è selezionata la scheda successiva nella struttura procedura guidata intitolata Assegnazioni. Mostra un pulsante denominato Aggiungi ruolo evidenziato. Nel riquadro Ruoli della directory aperto a destra, il ruolo amministratore della sicurezza è evidenziato.

  5. Per creare l'account, selezionare Crea.

    Screenshot del pannello Crea nuovo utente in cui è selezionata la scheda finale nella struttura della procedura guidata intitolata Rivedi e crea. Mostra una panoramica delle Informazioni di base, delle Proprietà e delle Assegnazioni configurate e assegnate per questo utente.

    Molto bene! L'amministratore è stato creato e aggiunto al tenant esterno.

1. Creare un utente

Per creare un utente, sostituire i valori seguenti nella richiesta di Microsoft Graph:

  • displayName con il nome visualizzato dell'utente.
  • mailNickname con un alias di posta elettronica per l'utente. È necessario specificare questa proprietà al momento della creazione dell'utente.
  • userPrincipalName con il nome dell'entità utente. Il formato generale è alias@domain, in cui il dominio deve essere presente nella raccolta di domini verificati del tenant.
  • password con una password temporanea che verrà condivisa con l'utente. Durante il primo accesso, all'utente verrà chiesto di modificare la password.
Esempio

L'esempio seguente illustra come creare un nuovo account utente per Adele Vance.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 Copiare l'ID utente

Dalla risposta copiare il valore di id. Ad esempio:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}

2. Assegnare un ruolo di amministratore

Dopo aver creato il nuovo utente, creare un'assegnazione di ruolo (unificata). Nella richiesta di Microsoft Graph seguente sostituire:

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}
Esempio

Nell'esempio seguente viene assegnato il ruolo di amministratore della sicurezza ad Adele Vance

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}

Fornire commenti e suggerimenti