Gestire i gruppi e l'appartenenza ai gruppi di Microsoft Entra

È possibile usare i gruppi di Microsoft Entra per gestire gli utenti che necessitano degli stessi accessi e autorizzazioni per le risorse, ad esempio app e servizi potenzialmente limitati. Invece di aggiungere autorizzazioni speciali ai singoli utenti, si crea un gruppo che applica le autorizzazioni speciali a ogni membro del gruppo.

Questo articolo illustra gli scenari di gruppo di base in cui un singolo gruppo viene aggiunto a una singola risorsa e gli utenti vengono aggiunti come membri a tale gruppo. Per scenari più complessi, ad esempio gruppi di appartenenze dinamici e creazione di regole, vedere la documentazione sulla gestione degli utenti di Microsoft Entra.

Prima di aggiungere gruppi e membri, è possibile ottenere informazioni sui gruppi e sui tipi di appartenenza per decidere quali opzioni usare quando si crea un gruppo.

Prerequisiti

None

Creare un gruppo di base e aggiungere membri

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

È possibile creare un gruppo di base e aggiungere i membri allo stesso tempo usando Interfaccia di amministrazione di Microsoft Entra. Per creare i gruppi, è necessario avere almeno il ruolo Amministratore gruppi o Amministratore utenti. Esaminare i ruoli appropriati di Microsoft Entra per la gestione dei gruppi

Per creare un gruppo di base e aggiungere membri:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore Gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Selezionare Nuovo gruppo.

    Screenshot della pagina “Gruppi Microsoft Entra” con l’opzione “Nuovo gruppo” evidenziata.

  4. Selezionare un tipo di gruppo. Per altre informazioni sui tipi di gruppo, vedere l’articolo Tipi di gruppo e di appartenenza.

    • Se si seleziona il tipo di gruppo di Microsoft 365, viene abilitata l'opzione Indirizzo di posta elettronica gruppo.
  5. Inserire un nome gruppo. Scegliere un nome facile da ricordare e significativo per il gruppo. Verrà eseguita una verifica per determinare se il nome è già usato da un altro gruppo. Se il nome è già in uso, per evitare duplicati, verrà richiesto di cambiare il nome del gruppo.

    • Il nome del gruppo non può iniziare con uno spazio. L'avvio del nome con uno spazio impedisce la visualizzazione del gruppo come opzione per i passaggi, ad esempio l'aggiunta di assegnazioni di ruolo ai membri del gruppo.
  6. Indirizzo di posta elettronica del gruppo: disponibile solo per i tipi di gruppo di Microsoft 365. Immettere un indirizzo di posta elettronica manualmente o usare l'indirizzo di posta elettronica compilato dal nome del gruppo specificato.

  7. Descrizione gruppo. Aggiungere una descrizione facoltativa per il gruppo.

  8. Cambiare i ruoli di Microsoft Entra può essere assegnato all'impostazione del gruppo su sì per usare questo gruppo per assegnare i ruoli di Microsoft Entra ai membri.

    • Questa opzione è disponibile solo con licenze P1 o P2.
    • È necessario avere almeno il ruolo di amministratore ruolo con privilegi.
    • L'abilitazione di questa opzione seleziona automaticamente Assegnato come tipo di appartenenza.
    • La possibilità di aggiungere ruoli durante la creazione del gruppo viene aggiunta al processo.
    • Altre informazioni sull'assegnazione dei ruoli.
  9. Selezionare un tipo di appartenenza. Per altre informazioni sui tipi di appartenenza, vedere l'articolo sui gruppi e sui tipi di appartenenza.

  10. Facoltativamente, aggiungere proprietari o membri. I membri e i proprietari possono essere aggiunti dopo la creazione del gruppo.

    1. Selezionare il collegamento in Proprietari o Membri per popolare un elenco di ogni utente nella directory.
    2. Scegliere gli utenti dall'elenco e quindi selezionare il pulsante Seleziona nella parte inferiore della finestra.

    Selezione dei membri del gruppo durante il processo di creazione del gruppo.

  11. Seleziona Crea. Il gruppo viene creato e pronto per gestire altre impostazioni.

    Disattivare il messaggio di posta elettronica di benvenuto del gruppo

    Una notifica di benvenuto viene inviata a tutti gli utenti quando vengono aggiunti a un nuovo gruppo di Microsoft 365, indipendentemente dal tipo di appartenenza. Quando gli attributi di un utente o un dispositivo cambiano, tutte le regole dinamiche del gruppo dell'organizzazione vengono elaborate per rilevare eventuali modifiche nell'appartenenza. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.

Aggiungere membri o proprietari di un gruppo

I membri e i proprietari possono essere aggiunti da gruppi esistenti. Il processo è lo stesso per i membri e i proprietari. Per aggiungere membri e proprietari, è necessario il ruolo Amministratore gruppi o Amministratore utenti.

È necessario aggiungere più membri contemporaneamente? Informazioni sull'opzione aggiungi membri in blocco.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore Gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Membri o Proprietari.

    Screenshot della pagina Panoramica del gruppo con le opzioni di menu Membri e proprietari evidenziate.

  5. Selezionare + Aggiungi (membri o proprietari).

  6. Scorrere l'elenco o digitare un nome nella casella di ricerca. È possibile scegliere più nomi. Quando si è pronti, selezionare il pulsante Seleziona.

    La pagina Panoramica gruppo viene aggiornata per indicare il numero di membri aggiunti al gruppo.

Rimuovere membri o proprietari di un gruppo

I membri e i proprietari possono essere rimossi dai gruppi esistenti. Il processo è lo stesso per i membri e i proprietari. Per rimuovere membri e proprietari, è necessario il ruolo Amministratore gruppi o Amministratore utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore Gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Membri o Proprietari.

  5. Selezionare la casella accanto a un nome dall'elenco e selezionare il pulsante Rimuovi.

    Screenshot dei membri del gruppo con un nome selezionato e il pulsante Rimuovi evidenziato.

Modificare le impostazioni del gruppo

È possibile modificare il nome, la descrizione o il tipo di appartenenza di un gruppo. Per modificare le impostazioni di un gruppo, è necessario il ruolo Amministratore gruppi o Amministratore utenti.

Per modificare le impostazioni del gruppo:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore Gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Scorrere l'elenco o digitare un nome di gruppo nella casella di ricerca. Selezionare il gruppo da gestire.

  4. Selezionare Proprietà sul lato sinistro.

  5. Aggiornare le informazioni in Impostazioni generali in base alle esigenze, tra cui:

    • Nome gruppo. Modificare il nome del gruppo esistente.

    • Descrizione gruppo. Modificare la descrizione del gruppo esistente.

    • Tipo gruppo. Non è possibile modificare il tipo di gruppo dopo che è stato creato. Per modificare Tipo gruppo, è necessario eliminare il gruppo e crearne uno nuovo.

    • Tipo di appartenenza. Modificare il tipo di appartenenza. Se è possibile assegnare i ruoli di Microsoft Entra all'opzione di gruppo, non è possibile modificare il tipo di appartenenza. Per altre informazioni sui tipi di appartenenza disponibili, vedi l'articolo sui gruppi e sui tipi di appartenenza.

    • ID oggetto. Non è possibile modificare l'ID oggetto, ma è possibile copiarlo per usarlo nei comandi di PowerShell per il gruppo. Per altre informazioni sull'uso dei cmdlet di PowerShell, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni di gruppo.

Aggiungere un gruppo a un altro gruppo

Per il tipo di gruppo di sicurezza, è possibile aggiungere un gruppo esistente a un altro gruppo (noto anche come gruppi annidati). A seconda dei tipi di appartenenza al gruppo, è possibile aggiungere un gruppo come membro di un altro gruppo, proprio come un utente, che applica impostazioni come autorizzazioni di accesso e ruoli ai gruppi annidati. Tuttavia, per i gruppi annidati, Entra non applica l'appartenenza assegnata alle risorse e alle applicazioni condivise.

Per modificare l'appartenenza ai gruppi, è necessario il ruolo Amministratore gruppi o Amministratore utenti. Per altre informazioni sui gruppi di sicurezza, vedere Cosa sapere prima di creare un gruppo.

Attualmente non sono supportate le operazioni seguenti:

  • Aggiunta di gruppi a un gruppo sincronizzato con Active Directory locale.
  • Aggiunta di gruppi di sicurezza a gruppi di Office 365.
  • Aggiunta di gruppi di Office 365 a gruppi di sicurezza o ad altri gruppi di Office 365.
  • Appartenenza assegnata a risorse condivise e app per i gruppi di sicurezza annidati.
  • Applicazione di licenze a gruppi annidati.
  • Aggiunta di gruppi di distribuzione in scenari di annidamento.
  • Aggiunta di gruppi di sicurezza come membri dei gruppi di sicurezza abilitati alla posta elettronica.
  • Aggiunta di gruppi come membri di un gruppo assegnabile a ruoli.
  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore Gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Nella pagina Tutti i gruppi cercare e selezionare il gruppo che deve diventare membro di un altro gruppo.

    Nota

    È possibile aggiungere il gruppo come membro di un solo gruppo alla volta. I caratteri jolly non sono supportati nella casella di ricerca Seleziona gruppo.

  4. Nella pagina Panoramica del gruppo selezionare Appartenenze a gruppi dal menu laterale.

  5. Selezionare + Aggiungi appartenenze.

  6. Individuare il gruppo di cui si vuole che il gruppo sia membro e scegliere Seleziona.

    Per questo esercizio si aggiunge "Criteri MDM - West" al gruppo "MDM policy - All org". Il gruppo "MDM - policy - West" avrà lo stesso accesso del gruppo "MDM policy - All org".

    Screenshot della creazione di un gruppo come membro di un altro gruppo con appartenenza al gruppo dal menu laterale e l'opzione 'Aggiungi appartenenza' evidenziata.

    Rivedere la pagina “MDM policy - West - Appartenenze a gruppi” per visualizzare la relazione tra il gruppo e i membri.

    Per una visualizzazione più dettagliata della relazione tra gruppo e membri, selezionare il nome del gruppo (MDM policy - All org) e osservare i dettagli della pagina “MDM policy - West”.

Rimuovere un gruppo da un altro gruppo

Per il tipo di gruppo di sicurezza, è possibile aggiungere un gruppo esistente a un altro gruppo (noto anche come gruppi annidati). A seconda dei tipi di appartenenza al gruppo, è possibile aggiungere un gruppo come membro di un altro gruppo, proprio come un utente, che applica impostazioni come autorizzazioni di accesso e ruoli ai gruppi annidati. Tuttavia, per i gruppi annidati, Entra non applica l'appartenenza assegnata alle risorse e alle applicazioni condivise.

Per modificare l'appartenenza ai gruppi, è necessario il ruolo Amministratore gruppi o Amministratore utenti. Per altre informazioni sui gruppi di sicurezza, vedere Cosa sapere prima di creare un gruppo.

È possibile rimuovere un gruppo di sicurezza esistente da un altro gruppo di sicurezza; Tuttavia, la rimozione del gruppo rimuove anche qualsiasi accesso ereditato per i relativi membri.

  1. Nella pagina Tutti i gruppi cercare e selezionare il gruppo da rimuovere come membro di un altro gruppo.

  2. Nella pagina Panoramica gruppo, selezionare Appartenenze a gruppi.

  3. Selezionare il gruppo padre nella pagina Appartenenza a gruppi.

  4. Selezionare Rimuovi.

    Per questo esercizio verrà rimosso "Criteri MDM - West" dal gruppo "MDM policy - All org".

    Screenshot della pagina

Eliminare un gruppo

È possibile eliminare un gruppo per diversi motivi, ma i più comuni sono i seguenti:

  • Scegliere l'opzione Tipo di gruppo non corretta.
  • È stato creato il gruppo sbagliato oppure è stato duplicato un gruppo per errore.
  • Il gruppo non è più necessario.
  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore Gruppi.

  2. Passare a Identità>Gruppi>Tutti i gruppi.

  3. Cercare e selezionare la macchina virtuale da eliminare.

  4. Selezionare Elimina.