Creazione e gestione di utenti

  • 8 minuti

Ogni utente che deve accedere alle risorse di Azure necessita di un account utente di Azure. Il tuo account utente contiene tutte le informazioni necessarie per autenticare l'utente durante il processo di accesso. Una volta eseguita l'autenticazione, Microsoft Entra ID crea un token di accesso per autorizzare l'utente e determinare le risorse a cui può accedere e le operazioni che può eseguire con tali risorse.

L'Interfaccia di amministrazione di Microsoft Entra è un portale di identità basato sul Web per i prodotti Microsoft Entra. Offre un'esperienza amministrativa unificata per organizzazioni e amministratori per configurare e gestire le soluzioni Microsoft Entra in una posizione centralizzata.

In questo esercizio si userà l'interfaccia di amministrazione di Microsoft Entra per usare gli oggetti utente. Tenere presente che è possibile usare solo una singola directory alla volta, ma è possibile usare il riquadro Directory e sottoscrizione per cambiare directory.

Visualizzare gli utenti

Per visualizzare gli utenti di Microsoft Entra, selezionare Utenti nel riquadro a sinistra, quindi selezionare Tutti gli utenti. Viene visualizzato il riquadro Tutti gli utenti. Si notino le colonne Tipo utente e Identità, come illustrato nella figura seguente:

Screenshot che mostra il riquadro Tutti gli utenti, con le colonne Tipo utente e Identità evidenziate.

In genere Microsoft Entra ID definisce gli utenti in tre modi:

  • Identità cloud: Questi utenti esistono solo in Microsoft Entra ID. Ad esempio, gli account amministratore e gli utenti gestiti dall'utente. La loro origine è Microsoft Entra ID o Microsoft Entra ID esterno se l'utente è definito in un'altra istanza di Microsoft Entra, ma deve accedere a risorse della sottoscrizione controllate da questa directory. Quando questi account vengono rimossi dalla directory primaria, vengono eliminati.

  • Identità sincronizzate con la directory: Questi utenti esistono in un'istanza di Active Directory locale. Un'attività di sincronizzazione che si verifica tramite Microsoft Entra Connect porta questi utenti in Azure. L'origine è Windows Server AD.

  • Utenti guest: Questi utenti esistono all'esterno di Azure. Ad esempio account di altri provider di servizi cloud e account Microsoft, come un account Xbox LIVE. L'origine è Utente invitato. Questo tipo di account è utile quando fornitori o consulenti esterni devono accedere alle risorse di Azure. Quando non è più necessaria la loro collaborazione, è possibile rimuovere l'account e tutti i relativi accessi.

Aggiungere utenti

È possibile aggiungere identità cloud a Microsoft Entra ID in diversi modi:

  • Sincronizzazione di un'istanza di Windows Server Active Directory locale
  • Uso dell'interfaccia di amministrazione di Microsoft Entra
  • Tramite il portale di Azure
  • Uso della riga di comando
  • Altre opzioni

Sincronizzare un'istanza di Windows Server Active Directory locale

Microsoft Entra Connect è un servizio separato che consente di sincronizzare un'istanza di Active Directory tradizionale con l'istanza di Microsoft Entra. Questo è il modo in cui la maggior parte dei clienti aziendali aggiunge utenti alla directory. Il vantaggio di questo approccio è che gli utenti possono usare Single Sign-on (SSO) per accedere alle risorse locali e a quelle basate sul cloud.

Usare l'interfaccia di amministrazione di Microsoft Entra

È possibile aggiungere manualmente nuovi utenti tramite l'interfaccia di amministrazione di Microsoft Entra. Questo è il modo più semplice per aggiungere un piccolo set di utenti. Per eseguire questa funzione, è necessario avere il ruolo di amministratore utenti.

  1. Per aggiungere un nuovo utente, selezionare Nuovo utente nella barra dei menu in alto, quindi selezionare Crea nuovo utente.

    Screenshot che mostra il pulsante Nuovo utente evidenziato nell'interfaccia di amministrazione di Microsoft Entra.

  2. Oltre a Nome e Nome utente, puoi aggiungere informazioni sul profilo, ad esempio Posizione e Reparto nella scheda Proprietà.

    Screenshot con la finestra di dialogo Nuovo utente.

    Il comportamento predefinito prevede la creazione di un nuovo utente nell'organizzazione. L'utente avrà un nome utente con il nome di dominio predefinito assegnato alla directory, ad esempio alice@staracoustics.onmicrosoft.com.

  3. È anche possibile invitare un utente nella directory. In questo caso viene inviato un messaggio di posta elettronica a un indirizzo di posta elettronica noto e un account viene creato e associato a tale indirizzo di posta elettronica se l’utente accetta l'invito.

    Screenshot che illustra la schermata di invito.

    L'utente invitato dovrà creare un account Microsoft (MSA) associato se l'indirizzo di posta elettronica specifico non è associato a un MSA e l'account verrà aggiunto a Microsoft Entra ID come utente guest.

Usare la riga di comando

Se gli utenti da aggiungere sono molti, un'opzione migliore consiste nell'usare uno strumento da riga di comando. Puoi eseguire il comando PowerShell New-MgUser per aggiungere utenti basati sul cloud.

# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }

# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled

Il comando restituirà il nuovo oggetto utente creato.

DisplayName Id                                    UserPrincipalName
----------- --                                    -----------------
Abby Brown  f36634c8-8a93-4909-9248-0845548bc515  AbbyB@contoso.com

Se si preferisce un'interfaccia della riga di comando più standard, è possibile usare l'interfaccia della riga di comando di Azure:

az ad user create --display-name "Abby Brown" \
                  --password "<password>" \
                  --user-principal-name "AbbyB@contoso.com" \
                  --force-change-password-next-login true \
                  --mail-nickname "AbbyB"

Gli strumenti da riga di comando consentono di aggiungere utenti in blocco tramite scripting. L'approccio più comune consiste nell'usare un file con valori delimitati da virgole (CSV). È possibile creare manualmente il file o esportare il file da un'origine dati esistente.

Se si intende usare un file CSV, ecco alcuni aspetti da considerare:

  • Convenzioni di denominazione: Stabilire o implementare una convenzione di denominazione per i nomi utente, i nomi visualizzati e gli alias. Un nome utente, ad esempio, può essere costituito dal cognome, seguito da un punto (.) e dal nome; ad esempio Smith.John@contoso.com.

  • Password: Implementare una convenzione per la password iniziale dei nuovi utenti creati. Stabilire come i nuovi utenti riceveranno le proprie password in modo avanzato per la sicurezza. Un metodo usato comunemente prevede la generazione di una password casuale e il suo invio tramite posta elettronica al nuovo utente o al manager.

Per usare un file CSV con Azure PowerShell:

  1. Esegui il comando Connect-MgGraph per creare una connessione PowerShell alla directory. Connettersi con un account amministratore con i privilegi per la directory.

  2. Creare nuovi profili password per i nuovi utenti. Le password per i nuovi utenti devono rispettare le regole di complessità delle password impostate per la directory.

  3. Usare Import-CSV per importare il file CSV. È necessario specificare il percorso e il nome del file CSV.

  4. Costruire i parametri utenti necessari per ogni utente scorrendo tutti gli utenti nel file. Sono esempi di parametri il nome dell'entità utente, il nome visualizzato, il nome, il reparto e la qualifica professionale.

  5. Eseguire il comando New-MgUser per creare ogni utente. Assicurarsi di abilitare ogni account.

Altre opzioni

È anche possibile aggiungere utenti a Microsoft Entra ID a livello di codice tramite l'API Graph di Microsoft oppure tramite l'interfaccia di amministrazione di Microsoft 365 e la console di amministrazione di Microsoft Intune se si condivide la stessa directory.