Condividi tramite

Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID?

  • Articolo

In Microsoft Entra ID a tutti gli utenti viene concesso un set di autorizzazioni predefinite. L'accesso di un utente è costituito dal tipo di utente, dalle assegnazioni di ruolo e dalla proprietà di singoli oggetti.

Questo articolo descrive tali autorizzazioni predefinite e confronta le impostazioni predefinite degli utenti membro e guest. Le autorizzazioni utente predefinite possono essere modificate solo nelle impostazioni utente in Microsoft Entra ID.

Utenti guest e membro

Il set di autorizzazioni predefinite varia a seconda che l'utente sia un membro nativo del tenant (utente membro) o provenga da un'altra directory, come guest di collaborazione Business to Business (B2B) (utente guest). Per altre informazioni sull’aggiunta di utenti guest, vedere Cos'è la collaborazione B2B di Microsoft Entra?. Ecco le funzionalità delle autorizzazioni predefinite:

  • Gli utenti membro possono registrare le applicazioni, gestire il proprio numero di cellulare e la propria foto profilo, modificare la propria password e invitare guest B2B. Questi utenti possono leggere tutte le informazioni della directory (con alcune eccezioni).

  • Gli utenti guest hanno autorizzazioni di directory limitate. Possono gestire il proprio profilo, modificare la propria password e recuperare alcune informazioni su altri utenti, gruppi e app. Tuttavia, non possono leggere tutte le informazioni della directory.

    Ad esempio, gli utenti guest non possono enumerare l'elenco di tutti gli utenti, i gruppi e altri oggetti directory. I guest possono essere aggiunti ai ruoli di amministratore, che concedono le autorizzazioni complete di lettura e scrittura. Gli utenti guest possono anche invitare altri guest.

Confrontare le autorizzazioni predefinite di membri e guest

Area Autorizzazioni utente membro Autorizzazioni utente guest predefinite Autorizzazioni utente guest limitate
Utenti e contatti
  • Enumerare l'elenco di tutti gli utenti e i relativi contatti
  • Leggere tutte le proprietà pubbliche di utenti e contatti
  • Invitare utenti guest
  • Modificare la propria password
  • Gestire il proprio numero di telefono cellulare
  • Gestire la propria foto
  • Invalidare i propri token di aggiornamento
  • Leggere le proprie proprietà
  • Leggere il nome visualizzato, l’indirizzo di posta elettronica, il nome di accesso, la foto, il nome dell'entità utente e la proprietà di tipo utente di altri utenti e contatti
  • Modificare la propria password
  • Cercare un altro utente in base all'ID oggetto (se consentito)
  • Leggere le informazioni di gestione e report diretto di altri utenti
  • Leggere le proprie proprietà
  • Modificare la propria password
  • Gestire il proprio numero di telefono cellulare
Gruppi
  • Creare di gruppi di sicurezza
  • Creare gruppi di Microsoft 365
  • Enumerare l'elenco di tutti i gruppi
  • Leggere tutte le proprietà dei gruppi
  • Leggere l’appartenenza a gruppi non nascosti
  • Leggere l’appartenenza a gruppi di Microsoft Office 365 nascoste per i gruppi sottoscritti
  • Gestire proprietà, titolarità e appartenenza a gruppi dell'utente
  • Aggiungere utenti guest ai gruppi con proprietario
  • Gestire le impostazioni di appartenenza ai gruppi
  • Eliminare gruppi con proprietario
  • Ripristinare i gruppi di Microsoft 365 di proprietà
  • Leggere le proprietà dei gruppi non nascosti, inclusi l'appartenenza e la proprietà (anche gruppi non sottoscritti)
  • Leggere l’appartenenza a gruppi di Microsoft Office 365 nascoste per i gruppi sottoscritti
  • Cercare i gruppi in base al nome visualizzato o all'ID oggetto (se consentito)
  • Leggere l'ID oggetto per i gruppi sottoscritti
  • Leggere l'appartenenza e la titolarità dei gruppi sottoscritti in alcune app di Microsoft 365 (se consentite)
Applicazioni
  • Registrare (creare) nuove applicazioni
  • Enumerare l'elenco di tutte le applicazioni
  • Leggere le proprietà delle applicazioni aziendali e registrate
  • Gestire proprietà, assegnazioni e credenziali per le applicazioni con proprietario
  • Creare o eliminare password di applicazione per gli utenti
  • Eliminare le applicazioni di proprietà
  • Ripristinare le applicazioni di proprietà
  • Elencare le autorizzazioni concesse alle applicazioni
  • Leggere le proprietà delle applicazioni aziendali e registrate
  • Elencare le autorizzazioni concesse alle applicazioni
  • Leggere le proprietà delle applicazioni aziendali e registrate
  • Elencare le autorizzazioni concesse alle applicazioni
Dispositivi
  • Enumerare l'elenco di tutti i dispositivi
  • Leggere tutte le proprietà dei dispositivi
  • Gestire tutte le proprietà dei dispositivi con proprietario
 Nessuna autorizzazione Nessuna autorizzazione
Organizzazione
  • Leggere tutte le informazioni aziendali
  • Leggere tutti i domini
  • Leggere la configurazione e l'autenticazione basata su certificati
  • Leggere tutti i contratti dei partner
  • Leggere i dettagli di base e i tenant attivi dell'organizzazione multi-tenant
  • Leggere il nome visualizzato dell'azienda
  • Leggere tutti i domini
  • Leggere la configurazione e l'autenticazione basata su certificati
  • Leggere il nome visualizzato dell'azienda
  • Leggere tutti i domini
Ruoli e ambiti
  • Leggere tutti i ruoli amministrativi e delle appartenenze
  • Leggere tutte le proprietà e dell'appartenenza delle unità amministrative
 Nessuna autorizzazione Nessuna autorizzazione
Sottoscrizioni
  • Leggere tutte le sottoscrizioni delle licenze
  • Abilitare l’appartenenza del piano di servizio
 Nessuna autorizzazione Nessuna autorizzazione
Criteri
  • Leggere tutte le proprietà dei criteri
  • Gestire tutte le proprietà dei criteri con proprietario
 Nessuna autorizzazione Nessuna autorizzazione

Limitare le autorizzazioni predefinite degli utenti membri

È possibile aggiungere restrizioni alle autorizzazioni predefinite degli utenti.

È possibile limitare le autorizzazioni predefinite per gli utenti membro nei modi seguenti:

Attenzione

L'uso dell'opzione Limita l'accesso al portale di amministrazione di Microsoft Entra NON è una misura di sicurezza. Per altre informazioni sulla funzionalità, vedere la tabella seguente.

Autorizzazione Spiegazione dell'impostazione
Registrare le applicazioni Se si imposta questa opzione su No, gli utenti non possono creare registrazioni di applicazioni. È possibile concedere di nuovo la possibilità a utenti specifici, aggiungendoli al ruolo di sviluppatore di applicazioni.
Consentire agli utenti di connettere l'account aziendale o dell'istituto di istruzione a LinkedIn L'impostazione di questa opzione su No impedisce agli utenti di connettere l'account aziendale o dell'istituto di istruzione con il proprio account LinkedIn. Per altre informazioni, vedere Consenso e condivisione dei dati delle connessioni all'account LinkedIn.
Creare di gruppi di sicurezza Impostando questa opzione su No, gli utenti non possono creare gruppi di sicurezza. Gli utenti cui è stato assegnato almeno il ruolo di amministratore utente possono comunque creare gruppi di sicurezza. Per scoprire come farlo, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni del gruppo.
Creare gruppi di Microsoft 365 Impostando questa opzione su No, gli utenti non possono creare gruppi di Microsoft 365. Impostando questa opzione su In parte, un set selezionato di utenti può creare gruppi di Microsoft 365. Chiunque abbia almeno il ruolo amministratore utenti assegnato può creare gruppi di Microsoft 365. Per scoprire come farlo, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni del gruppo.
Limitare l'accesso al portale di amministrazione di Microsoft Entra Che cosa fa questa opzione?
No consente ai non amministratori di esplorare il portale di amministrazione di Microsoft Entra.
impedisce ai non amministratori di esplorare il portale di amministrazione di Microsoft Entra. I non amministratori che sono proprietari di gruppi o applicazioni non possono usare il portale di Azure per gestire le risorse con proprietario.

Cosa non fa questa funzione?
Non limita l'accesso ai dati di Microsoft Entra tramite PowerShell, Microsoft GraphAPI o altri client, ad esempio Visual Studio.
Non limita l'accesso finché a un utente viene assegnato un ruolo personalizzato (o a qualsiasi ruolo).

Quando è consigliabile usare questa opzione?
Usare questa opzione per impedire agli utenti di configurare in modo errato le risorse di cui sono proprietari.

Quando non è consigliabile usare questa opzione?
Non usare questa opzione come misura di sicurezza. Creare invece un criterio di accesso condizionale destinato all'API Gestione dei servizi di Windows Azure che blocca l'accesso non amministratore alle API Gestione dei servizi di Windows Azure.

Come si può concedere solo a utenti non amministratori specifici la possibilità di usare il portale di amministrazione di Microsoft Entra?
Impostare questa opzione su , quindi assegnare un ruolo da lettore globale.

Limitare l'accesso al portale di amministrazione di Microsoft Entra
Un criterio di accesso condizionale destinato all'API Gestione dei servizi di Windows Azure è destinato all'accesso a tutta la gestione di Azure.
Limitare gli utenti non amministratori alla creazione di tenant Gli utenti possono creare tenant nel portale di amministrazione Microsoft Entra ID e Microsoft Entra in Gestisci tenant. La creazione di un tenant viene registrata nel log di controllo come categoria DirectoryManagement e attività Crea azienda. Chiunque crei un tenant diventa l'amministratore globale di tale tenant. Il tenant appena creato non eredita impostazioni o configurazioni.

Che cosa fa questa opzione?
Impostare questa opzione su limita la creazione dei tenant di Microsoft Entra a chiunque abbia almeno il ruolo di Autore tenant. Impostare questa opzione su No consente agli utenti non amministratori di creare tenant di Microsoft Entra. La creazione del tenant continua a essere registrata nel log di controllo.

Come si può concedere solo a utenti non amministratori specifici la possibilità di creare nuovi tenant?
Impostare questa opzione su Sì, quindi assegnare il ruolo di Autore tenant.
Limitare gli utenti a ripristinare le chiavi BitLocker per i dispositivi di proprietà Questa impostazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra in Impostazioni dispositivo. Impostare questa opzione su impedisce agli utenti di ripristinare in modalità self-service le chiavi BitLocker per i dispositivi di proprietà. Gli utenti devono contattare il supporto tecnico dell'organizzazione per recuperare le chiavi BitLocker. Impostare questa opzione su No consente agli utenti di ripristinare le chiavi BitLocker.
Leggere altri utenti Questa impostazione è disponibile solo in Microsoft Graph e PowerShell. Impostando questo flag su $false, nessun utente non amministratore potrà leggere le informazioni utente dalla directory. Questo flag potrebbe impedire la lettura delle informazioni utente in altri servizi Microsoft come Microsoft Teams.

Questa impostazione è destinata a circostanze speciali, pertanto non è consigliabile impostare il flag su $false.

L'opzione Utenti non amministratori limitati dalla creazione di tenant è illustrata nella schermata seguente.

Screenshot che mostra l'opzione Limitare i non amministratore dalla creazione di tenant.

Limitare le autorizzazioni predefinite degli utenti guest

È possibile limitare le autorizzazioni predefinite per gli utenti guest nei modi seguenti.

Nota

L'impostazione Restrizioni di accesso utente guest ha sostituito l'impostazione Autorizzazioni utenti guest limitate. Per linee guida sull’utilizzo di questa funzionalità, vedere Limitare le autorizzazioni di accesso degli utenti guest in Microsoft Entra ID.

Autorizzazione Spiegazione dell'impostazione
Restrizioni dell'accesso utente guest L'impostazione di questa opzione su Gli utenti guest hanno lo stesso accesso dei membri concede tutte le autorizzazioni di utente membro agli utenti guest per impostazione predefinita.

Impostare questa opzione su L'accesso utente guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory limita l’accesso guest al profilo utente per impostazione predefinita. L'accesso ad altri utenti non è più consentito, anche quando si esegue la ricerca in base al nome dell'entità utente, all'ID oggetto o al nome visualizzato. L'accesso alle informazioni sui gruppi, incluse le appartenenze ai gruppi, non è più consentito.

Questa impostazione non impedisce l'accesso ai gruppi sottoscritti in alcuni servizi di Microsoft 365 come Microsoft Teams. Per ulteriori informazioni, vedere Accesso guest a Microsoft Teams.

Gli utenti guest possono comunque essere aggiunti ai ruoli di amministratore indipendentemente da questa impostazione di autorizzazione.
Gli utenti guest possono invitare Impostare questa opzione su consente agli utenti guest di invitare altri utenti guest. Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.

Titolarità di un oggetto

Autorizzazioni di proprietario della registrazione dell'applicazione

Quando un utente registra un'applicazione, viene aggiunto automaticamente come proprietario dell'applicazione. In qualità di proprietario può gestire i metadati dell'applicazione, ad esempio il nome e le autorizzazioni richieste all'app. Può anche gestire la configurazione specifica del tenant dell'applicazione, ad esempio le assegnazioni utente e la configurazione Single Sign-On.

Un proprietario può anche aggiungere o rimuovere altri proprietari. A differenza degli utenti assegnati almeno al ruolo di Amministratore di applicazioni, i proprietari possono gestire solo le applicazioni di cui sono proprietari.

Autorizzazioni delle applicazioni aziendali dei proprietari

Quando un utente aggiunge una nuova applicazione aziendale, viene aggiunto automaticamente come proprietario. In qualità di proprietario, un utente può gestire la configurazione specifica del tenant dell'applicazione, come la configurazione SSO, il provisioning e le assegnazioni degli utenti.

Un proprietario può anche aggiungere o rimuovere altri proprietari. A differenza degli utenti assegnati almeno al ruolo di Amministratore di applicazioni, i proprietari possono gestire solo le applicazioni di cui sono proprietari.

Autorizzazioni di proprietario del gruppo

Quando un utente crea un gruppo, viene aggiunto automaticamente come proprietario di tale gruppo. In qualità di proprietario, può gestire le proprietà del gruppo (come il nome), e gestire l'appartenenza al gruppo.

Un proprietario può anche aggiungere o rimuovere altri proprietari. A differenza degli utenti assegnati almeno al ruolo di Amministratore di gruppi, i proprietari possono gestire solo i gruppi di cui sono proprietari e possono aggiungere o rimuovere membri del gruppo solo se il tipo di appartenenza del gruppo è Assegnato.

Per assegnare un proprietario del gruppo, vedere Gestione dei proprietari di un gruppo.

Per usare Privileged Access Management (PIM) per rendere un gruppo idoneo per un'assegnazione di ruolo, vedere Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo.

Autorizzazioni di titolarità

Le tabelle seguenti descrivono le autorizzazioni specifiche in Microsoft Entra ID di cui dispongono gli utenti membri sugli oggetti di proprietà. Gli utenti dispongono di queste autorizzazioni solo per gli oggetti di cui sono proprietari.

Registrazioni dell'applicazione di proprietà

Gli utenti possono eseguire le azioni seguenti sulle registrazioni delle applicazioni di proprietà:

Azione Descrizione
microsoft.directory/applications/audience/update Aggiornare la proprietà applications.audience in Microsoft Entra ID.
microsoft.directory/applications/authentication/update Aggiornare la proprietà applications.authentication in Microsoft Entra ID.
microsoft.directory/applications/basic/update Aggiornare le proprietà di base sulle applicazioni in Microsoft Entra ID.
microsoft.directory/applications/credentials/update Aggiornare la proprietà applications.credentials in Microsoft Entra ID.
microsoft.directory/applications/delete Eliminare applicazioni in Microsoft Entra ID.
microsoft.directory/applications/owners/update Aggiornare la proprietà applications.owners in Microsoft Entra ID.
microsoft.directory/applications/permissions/update Aggiornare la proprietà applications.permissions in Microsoft Entra ID.
microsoft.directory/applications/policies/update Aggiornare la proprietà applications.policies in Microsoft Entra ID.
microsoft.directory/applications/restore Ripristinare applicazioni in Microsoft Entra ID.

Applicazioni aziendali di proprietà

Gli utenti possono eseguire le azioni seguenti sulle applicazioni aziendali di proprietà. Un'applicazione aziendale è costituita da un'entità servizio, uno o più criteri dell'applicazione e talvolta un oggetto applicativo nello stesso tenant dell'entità servizio.

Azione Descrizione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) nei log di controllo in Microsoft Entra ID.
microsoft.directory/policies/basic/update Aggiornare le proprietà di base sui criteri in Microsoft Entra ID.
microsoft.directory/policies/delete Eliminare i criteri in Microsoft Entra ID.
microsoft.directory/policies/owners/update Aggiornare la proprietà policies.owners in Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare la proprietà servicePrincipals.appRoleAssignedTo in Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update Aggiornare la proprietà users.appRoleAssignments in Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update Aggiornare la proprietà servicePrincipals.audience in Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update Aggiornare la proprietà servicePrincipals.authentication in Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base sulle entità servizio in Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update Aggiornare la proprietà servicePrincipals.credentials in Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete Eliminare entità servizio in Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update Aggiornare la proprietà servicePrincipals.owners in Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update Aggiornare la proprietà servicePrincipals.permissions in Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update Aggiornare la proprietà servicePrincipals.policies in Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) nei report di accesso in Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio

Dispositivi di proprietà

Gli utenti possono eseguire le azioni seguenti nei dispositivi di proprietà:

Azione Descrizione
microsoft.directory/devices/bitLockerRecoveryKeys/read Leggere la devices.bitLockerRecoveryKeys proprietà in Microsoft Entra ID.
microsoft.directory/devices/disable Disabilitare dispositivi in Microsoft Entra ID.

Gruppi di proprietà

Gli utenti possono eseguire le azioni seguenti sui gruppi di proprietà.

Nota

I proprietari dei gruppi di appartenenza dinamica devono avere il ruolo Amministratore gruppi, Amministratore di Intune o Amministratore utenti per modificare le regole per i gruppi di appartenenza dinamici. Per altre informazioni, vedere Creare o aggiornare un gruppo di appartenenza dinamica in Microsoft Entra ID.

Azione Descrizione
microsoft.directory/groups/appRoleAssignments/update Aggiornare la proprietà groups.appRoleAssignments in Microsoft Entra ID.
microsoft.directory/groups/basic/update Aggiornare le proprietà di base sui gruppi in Microsoft Entra ID.
microsoft.directory/groups/delete Eliminare i gruppi in Microsoft Entra ID.
microsoft.directory/groups/members/update Aggiornare la proprietà groups.members in Microsoft Entra ID.
microsoft.directory/groups/owners/update Aggiornare la proprietà groups.owners in Microsoft Entra ID.
microsoft.directory/groups/restore Ripristinare i gruppi in Microsoft Entra ID.
microsoft.directory/groups/settings/update Aggiornare la proprietà groups.settings in Microsoft Entra ID.

Passaggi successivi