Analizzare le autorizzazioni del ruolo Microsoft Entra

  • 3 minuti

Che cos'è un'autorizzazione? La definizione del dizionario dell'autorizzazione è il consenso o permesso per eseguire un'azione specifica. In Microsoft Entra ID esistono autorizzazioni per ognuna delle operazioni che è possibile eseguire. L'autorizzazione può variare dalla visualizzazione delle impostazioni alla possibilità di modificare un'impostazione. È anche possibile concedere l'autorizzazione per aggiungere o rimuovere utenti e per altre operazioni. Ci sono due posizioni principali in cui è possibile assegnare l'autorizzazione: a livello di utente o di gruppo. Tutte le autorizzazioni tuttavia passano in definitiva all'utente. Quando si gestiscono gli utenti, sono presenti utenti membro e utenti guest. Le autorizzazioni predefinite per l'utente guest sono leggermente inferiori di quelle per l'utente membro.

Esempio di autorizzazioni predefinite per gli utenti

Utenti membro Utenti guest
Enumerare l'elenco di utenti e i relativi contatti Lettura delle proprietà personali
Invitare gli utenti guest Invitare gli utenti guest
Creare gruppi di sicurezza e gruppi di Microsoft 365 Cercare gruppi non nascosti in base al nome
Registrare nuove applicazioni Lettura delle proprietà delle applicazioni aziendali e registrate

Nota

Questo è solo un piccolo subset, per mostrare le differenze. Per un elenco completo, vedere l'articolo relativo alle autorizzazioni utente predefinite

Controllo delle autorizzazioni: aggiungere e limitare

Impostazioni utente Ruoli e amministratori
Screenshot delle impostazioni utente di Microsoft Entra ID in cui le autorizzazioni possono essere limitate. Screenshot della schermata Ruoli e amministratori in Microsoft Entra ID. Elenco di ruoli che possono essere applicati.

È possibile usare Impostazioni utente nel menu Gestisci di Microsoft Entra ID per limitare o controllare le autorizzazioni predefinite degli utenti predefiniti. In alternativa, è possibile usare Ruoli e amministratori per aggiungere nuove autorizzazioni a utenti e gruppi. Usare sempre il concetto di privilegi minimi e assicurarsi che gli utenti dispongano solo dei diritti necessari. In Impostazioni utente è possibile limitare la capacità dell'utente di:

  • Registrare le applicazioni
  • Accedere al portale di Azure
  • Bloccare le connessioni LinkedIn
  • Gestire le impostazioni per la collaborazione esterna

Aggiungendo ruoli a un determinato account utente o gruppo, è possibile aggiungere autorizzazioni per gli utenti membro, gli utenti guest e le entità servizio. L'aggiunta di ruoli concede le autorizzazioni per eseguire attività specifiche. Le azioni sono limitate, in base alla regola dei privilegi minimi.

Esplorazione delle autorizzazioni disponibili

Screenshot del lettore di definizioni di attributo. È possibile visualizzare le autorizzazioni concesse da un ruolo predefinito.

Se possibile, concedere solo le autorizzazioni minime necessarie a un utente. È quindi importante conoscere tutte le autorizzazioni che vengono concesse quando si assegna un ruolo. È possibile visualizzare l'elenco delle autorizzazioni nella descrizione di ogni ruolo. Per aprirlo, avviare Microsoft Entra ID, quindi aprire la schermata Ruoli e amministratori. Selezionare quindi un ruolo e aprire la relativa pagina di descrizione dal menu con i puntini di sospensione (...). A seconda del ruolo scelto, verrà visualizzato un numero elevato o ridotto di autorizzazioni. Due set di autorizzazioni:

  • Autorizzazioni del ruolo
  • Autorizzazioni di lettura di base per guest ed entità servizio