Gestire gli account amministratore in Azure Active Directory B2C

In Azure Active Directory B2C (Azure AD B2C), un tenant rappresenta la directory degli account consumer, aziendali e guest. Con un ruolo di amministratore, gli account aziendali e guest possono gestire il tenant.

In questo articolo vengono illustrate le operazioni seguenti:

• Aggiungere un amministratore (account aziendale)
• Invitare un amministratore (account guest)
• Aggiungere un'assegnazione di ruolo a un account utente
• Rimuovere un'assegnazione di ruolo da un account utente
• Eliminare un account amministratore
• Proteggere gli account amministrativi

Prerequisiti

• Se non è ancora stato creato un tenant Azure AD B2C, crearlo ora. Usare un tenant Azure AD B2C esistente.
• Informazioni sugli account utente in Azure AD B2C.
• Informazioni sui ruoli utente per controllare l'accesso alle risorse.

Aggiungere un amministratore (account aziendale)

Per creare un nuovo account amministrativo, seguire questa procedura:

1. Accedere al portale di Azure con autorizzazioni di Amministrazione istrator globale o ruolo con privilegi Amministrazione istrator.

2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.

3. In Servizi di Azure selezionare Azure AD B2C. In alternativa, usare la casella di ricerca per trovare e selezionare Azure AD B2C.

4. In Gestione, selezionare Utenti.

5. Selezionare Nuovo utente.

6. Selezionare Crea utente (è possibile creare più utenti contemporaneamente selezionando Voglio creare utenti in blocco).

7. Nella pagina Utente immettere le informazioni per l'utente:

   • Nome utente. Obbligatorio. Nome utente del nuovo utente. Ad esempio, mary@contoso.com. La parte del dominio del nome utente deve usare il nome di dominio predefinito iniziale, <il nome> tenant.onmicrosoft.com o il dominio personalizzato, ad contoso.comesempio .
   • Nome. Obbligatorio. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
   • Gruppi. Facoltativo. È possibile aggiungere l'utente a uno o più gruppi esistenti. È anche possibile aggiungere l'utente a gruppi in un secondo momento.
   • Ruolo directory: se sono necessarie autorizzazioni amministrative di Microsoft Entra per l'utente, è possibile aggiungerle a un ruolo Microsoft Entra. È possibile assegnare all'utente un amministratore globale o uno o più dei ruoli di amministratore limitati in Microsoft Entra ID. Per altre informazioni sull'assegnazione dei ruoli, vedere Usare i ruoli per controllare l'accesso alle risorse.
   • Informazioni sul processo: è possibile aggiungere altre informazioni sull'utente qui o farlo in un secondo momento.

8. Copiare la password generata automaticamente nella casella Password. È necessario fornire questa password all'utente per la procedura di accesso iniziale.

9. Seleziona Crea.

L'utente viene creato e aggiunto al tenant di Azure AD B2C. È preferibile avere almeno un account aziendale nativo per il tenant di Azure AD B2C a cui è stato assegnato il ruolo Global Amministrazione istrator. Questo account può essere considerato un account break-glass o account di accesso di emergenza.

Invitare un amministratore (account guest)

È anche possibile invitare un nuovo utente guest a gestire il tenant. L'account guest è l'opzione preferita quando l'organizzazione ha anche l'ID Microsoft Entra perché il ciclo di vita di questa identità può essere gestito esternamente.

Per invitare un utente, seguire questa procedura:

1. Accedere al portale di Azure con autorizzazioni di Amministrazione istrator globale o ruolo con privilegi Amministrazione istrator.

2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.

3. In Servizi di Azure selezionare Azure AD B2C. In alternativa, usare la casella di ricerca per trovare e selezionare Azure AD B2C.

4. In Gestione, selezionare Utenti.

5. Selezionare Nuovo account guest.

6. Nella pagina Utente immettere le informazioni per l'utente:

   • Nome. Obbligatorio. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
   • Indirizzo di posta elettronica. Obbligatorio. L'indirizzo di posta elettronica dell'utente che si vuole invitare, che deve essere un account Microsoft. Ad esempio, mary@contoso.com.
   • Messaggio personale: aggiungi un messaggio personale che verrà incluso nel messaggio di posta elettronica di invito.
   • Gruppi. Facoltativo. È possibile aggiungere l'utente a uno o più gruppi esistenti. È anche possibile aggiungere l'utente a gruppi in un secondo momento.
   • Ruolo directory: se sono necessarie autorizzazioni amministrative di Microsoft Entra per l'utente, è possibile aggiungerle a un ruolo Microsoft Entra. È possibile assegnare all'utente un amministratore globale o uno o più dei ruoli di amministratore limitati in Microsoft Entra ID. Per altre informazioni sull'assegnazione dei ruoli, vedere Usare i ruoli per controllare l'accesso alle risorse.
   • Informazioni sul processo: è possibile aggiungere altre informazioni sull'utente qui o farlo in un secondo momento.

7. Seleziona Crea.

All'utente viene inviato un messaggio di posta elettronica di invito. L'utente deve accettare l'invito per poter accedere.

Inviare di nuovo il messaggio di posta elettronica di invito

Se l'utente guest non ha ricevuto il messaggio di posta elettronica di invito o l'invito è scaduto, è possibile inviare nuovamente l'invito. In alternativa al messaggio di posta elettronica di invito, è possibile assegnare a un guest un collegamento diretto per accettare l'invito. Per inviare nuovamente l'invito e ottenere il collegamento diretto:

1. Accedi al portale di Azure.

2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.

3. In Servizi di Azure selezionare Azure AD B2C. In alternativa, usare la casella di ricerca per trovare e selezionare Azure AD B2C.

4. In Gestione, selezionare Utenti.

5. Cercare e selezionare l'utente a cui inviare nuovamente l'invito.

6. Nell'utente | Nella pagina Profilo, in Identità, selezionare (Gestisci).Profile page, under Identity, select (Manage).

7. Per Invia di nuovo l'invito?, selezionare Sì. Quando si vuole inviare di nuovo un invito, selezionare Sì.

8. Azure AD B2C invia l'invito. È anche possibile copiare l'URL di invito e specificarlo direttamente al guest.

   

Aggiungere un'assegnazione di ruolo

È possibile assegnare un ruolo quando si crea un utente o si invita un utente guest. È possibile aggiungere un ruolo, modificare il ruolo o rimuovere un ruolo per un utente:

1. Accedere al portale di Azure con autorizzazioni di Amministrazione istrator globale o ruolo con privilegi Amministrazione istrator.
2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
3. In Servizi di Azure selezionare Azure AD B2C. In alternativa, usare la casella di ricerca per trovare e selezionare Azure AD B2C.
4. In Gestione, selezionare Utenti.
5. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
6. Selezionare Aggiungi assegnazioni, selezionare il ruolo da assegnare (ad esempio, Amministratore applicazione) e quindi scegliere Aggiungi.

Rimuovere un'assegnazione di ruolo

Se è necessario rimuovere un'assegnazione di ruolo da un utente, seguire questa procedura:

1. Selezionare Azure AD B2C, utenti e quindi cercare e selezionare l'utente.
2. Selezionare Ruoli assegnati. Selezionare il ruolo da rimuovere, ad esempio Amministratore dell'applicazione, quindi selezionare Rimuovi assegnazione.

Esaminare le assegnazioni di ruolo dell'account amministratore

Come parte di un processo di controllo, in genere si esaminano gli utenti assegnati a ruoli specifici nella directory di Azure AD B2C. Usare la procedura seguente per controllare quali utenti sono attualmente assegnati ruoli con privilegi.

1. Accedere al portale di Azure con autorizzazioni di Amministrazione istrator globale o ruolo con privilegi Amministrazione istrator.
2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
3. In Servizi di Azure selezionare Azure AD B2C. In alternativa, usare la casella di ricerca per trovare e selezionare Azure AD B2C.
4. In Gestisci selezionare Ruoli e amministratori.
5. Selezionare un ruolo, ad esempio Amministratore globale. Ruolo | Nella pagina Assegnazioni sono elencati gli utenti con tale ruolo.

Eliminare un account amministratore

Per eliminare un utente esistente, è necessario avere un'assegnazione di ruolo di amministratore globale. Gli amministratori globali possono eliminare qualsiasi utente, inclusi altri amministratori. Gli amministratori utenti possono eliminare qualsiasi utente non amministratore.

1. Nella directory di Azure AD B2C selezionare Utenti e quindi selezionare l'utente da eliminare.
2. Selezionare Elimina e quindi Sì per confermare l'eliminazione.

L'utente viene eliminato e non è più visualizzato nella pagina Utenti - Tutti gli utenti. L'utente può essere visualizzato nella pagina Utenti eliminati per i 30 giorni successivi e durante tale periodo può essere ripristinato. Per altre informazioni sul ripristino di un utente, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.

Proteggere gli account amministrativi

È consigliabile proteggere tutti gli account amministratore con l'autenticazione a più fattori (MFA) per una maggiore sicurezza. L'autenticazione a più fattori è un processo di verifica dell'identità durante l'accesso che richiede all'utente una forma più di identificazione, ad esempio un codice di verifica nel dispositivo mobile o una richiesta nell'app Microsoft Authenticator.

Se non si usa l'accesso condizionale, è possibile abilitare le impostazioni predefinite per la sicurezza di Microsoft Entra per forzare l'uso di MFA per tutti gli account amministrativi.

Passaggi successivi

• Gestire gli account di accesso di emergenza in Azure Active Directory B2C