Creare e gestire gruppi

Completato

Un gruppo Microsoft Entra consente di organizzare gli utenti, semplificando la gestione delle autorizzazioni. L'uso dei gruppi consente al proprietario della risorsa (o al proprietario della directory Microsoft Entra), di assegnare un set di autorizzazioni di accesso a tutti i membri del gruppo invece di dover fornire i diritti uno alla volta. I gruppi consentono di definire un limite di sicurezza, quindi di aggiungere e rimuovere utenti specifici per concedere o negare l'accesso con un impegno minimo. Ancora meglio, Microsoft Entra ID supporta la possibilità di definire l'appartenenza in base alle regole, ad esempio il reparto in cui lavora un utente o la sua qualifica.

Microsoft Entra ID consente di definire due tipi diversi di gruppi.

  1. Gruppo di sicurezza: Questi sono i più comuni e vengono usati per gestire l'accesso di membri e computer a risorse condivise per un gruppo di utenti. Ad esempio, è possibile creare un gruppo di sicurezza per criteri di sicurezza specifici. In questo modo, è possibile concedere un set di autorizzazioni a tutti i membri in una sola volta, invece di dover aggiungere autorizzazioni per ogni membro singolarmente. Questa opzione richiede un amministratore di Microsoft Entra.

  2. Gruppi di Microsoft 365: questi gruppi offrono opportunità di collaborazione consentendo ai membri di accedere a cassette postali, calendari, file, siti di SharePoint e altri elementi condivisi. Questa opzione consente anche di concedere l'accesso al gruppo a utenti esterni all'organizzazione. Questa opzione è disponibile sia per gli utenti che per gli amministratori.

Visualizzare i gruppi disponibili

È possibile visualizzare tutti i gruppi selezionando Gruppi e quindi Panoramica nel riquadro sinistro nell'interfaccia di amministrazione di Microsoft Entra. Una nuova installazione di Microsoft Entra ID non includerà alcun gruppo definito.

Screenshot del riquadro Panoramica dei gruppi nell'interfaccia di amministrazione di Microsoft Entra.

Aggiungere gruppi a Microsoft Entra ID

L'interfaccia di amministrazione di Microsoft Entra è il modo più semplice per creare gruppi. È necessario selezionare il tipo di gruppo (Sicurezza o Microsoft 365), assegnare un nome di gruppo univoco, una descrizione e un tipo di appartenenza.

Screenshot della funzionalità Crea gruppo nel portale di Azure.

Il campo del tipo di appartenenza può avere uno di tre valori:

  1. Assegnato. Il gruppo conterrà utenti o gruppi specifici selezionati dall'utente.

  2. Utente dinamico. È possibile creare regole basate sulle caratteristiche per abilitare l'appartenenza dinamica basata su attributi per i gruppi. Ad esempio, se il reparto di un utente è Vendite, tale utente verrà assegnato dinamicamente al gruppo Vendite.

    È possibile usare i gruppi di sicurezza sia per i dispositivi che per gli utenti, ma i gruppi di Microsoft 365 possono essere usati solo per i gruppi di utenti. Se il reparto dell'utente dovesse cambiare, verrebbe automaticamente rimosso dal gruppo. Questa funzionalità richiede una licenza Microsoft Entra ID P1.

  3. Dispositivo dinamico. È possibile creare regole basate sulle caratteristiche per abilitare l'appartenenza dinamica basata su attributi per i gruppi. Ad esempio, se il dispositivo di un utente è associato al reparto Servizi, il dispositivo verrà assegnato dinamicamente al gruppo Servizi.

    È possibile usare i gruppi di sicurezza sia per i dispositivi che per gli utenti, ma i gruppi di Microsoft 365 possono essere usati solo per i gruppi di utenti. Se l'associazione del dispositivo a un determinato reparto dovesse cambiare, il dispositivo verrebbe automaticamente rimosso dal gruppo. Questa funzionalità richiede una licenza Microsoft Entra ID P1.

Infine, è possibile selezionare i proprietari del gruppo che possono amministrare il gruppo e i membri che appartengono al gruppo. Entrambi possono contenere altri gruppi e singoli utenti.

Creazione di gruppi tramite script

È anche possibile usare Microsoft Graph PowerShell per aggiungere un gruppo usando il comando New-MgGroup, come illustrato di seguito:

New-MgGroup -Description "Marketing" -DisplayName "Marketing" -MailNickName "Marketing" -SecurityEnabled -MailEnabled:$False

Modificare l'appartenenza per un gruppo

Dopo aver creato un gruppo, è possibile aggiungere o rimuovere utenti (o gruppi) da esso, modificando l'appartenenza al gruppo. Selezionare il gruppo e usare le opzioni nella sezione Gestisci.

Screenshot che illustra le opzioni per la gestione dei gruppi.