Configurare la gestione dei gruppi self-service in Azure Active Directory
È possibile abilitare gli utenti per creare e gestire i propri gruppi di sicurezza o i gruppi di Microsoft 365 in Azure Active Directory (Azure AD), parte di Microsoft Entra. Il proprietario del gruppo può approvare o negare le richieste di appartenenza e può delegare il controllo dell'appartenenza al gruppo. Le funzionalità di gestione dei gruppi self-service non sono disponibili per gruppi di sicurezza abilitati alla posta elettronica o elenchi di distribuzione.
Appartenenza al gruppo self-service
È possibile consentire agli utenti di creare gruppi di sicurezza usati per gestire l'accesso alle risorse condivise. I gruppi di sicurezza possono essere creati dagli utenti nei portali di Azure, usando Azure AD PowerShell o dal pannello Accesso ai gruppi di MyApps. Solo i proprietari del gruppo possono aggiornare l'appartenenza, ma è possibile fornire ai proprietari del gruppo la possibilità di approvare o negare le richieste di appartenenza dal pannello Accesso ai gruppi di MyApps. I gruppi di sicurezza creati dal self-service tramite il pannello Di accesso ai gruppi di MyApps sono disponibili per partecipare a tutti gli utenti, sia approvati dal proprietario che dall'autorizzazione automatica. Nel pannello MyApps Groups Access è possibile modificare le opzioni di appartenenza quando si crea il gruppo.
I gruppi di Microsoft 365, che offrono opportunità di collaborazione per gli utenti, possono essere creati in una delle applicazioni Microsoft 365, ad esempio SharePoint, Microsoft Teams e Planner. I gruppi di Microsoft 365 possono essere creati anche nei portali di Azure, usando Azure AD PowerShell o dal pannello Accesso ai gruppi di App personali. Per altre informazioni sulla differenza tra gruppi di sicurezza e gruppi di Microsoft 365, vedere Informazioni sui gruppi
| Gruppi creati in | Comportamento predefinito del gruppo di sicurezza | Comportamento predefinito del gruppo di Microsoft 365 |
|---|---|---|
| Azure AD PowerShell | Solo i proprietari possono aggiungere membri Visibile ma non disponibile per partecipare al pannello Di accesso ai gruppi di MyApp |
Aprire per partecipare a tutti gli utenti |
| Azure portal | Solo i proprietari possono aggiungere membri Visibile ma non disponibile per l'aggiunta nel pannello Di accesso ai gruppi di MyApps Il proprietario non viene assegnato automaticamente alla creazione del gruppo |
Aprire per partecipare a tutti gli utenti |
| Pannello Di accesso ai gruppi di MyApps | Aprire per partecipare a tutti gli utenti Le opzioni di appartenenza possono essere modificate al momento della creazione del gruppo |
Aprire per partecipare a tutti gli utenti Le opzioni di appartenenza possono essere modificate al momento della creazione del gruppo |
Scenari di gestione dei gruppi self-service
- Gestione dei gruppi delegati Un esempio è un amministratore che gestisce l'accesso a un'applicazione Software as a Service (SaaS) usata dall'azienda. In questo caso la gestione dei diritti di accesso diventa più onerosa e pertanto l'amministratore chiede al titolare dell'organizzazione di creare un nuovo gruppo. L'amministratore assegna l'accesso per l'applicazione al nuovo gruppo e aggiunge al gruppo tutti gli utenti che accedono già all'applicazione. Il titolare dell'organizzazione può quindi aggiungere altri utenti, per i quali il provisioning nell'applicazione viene effettuato automaticamente. Il titolare dell'organizzazione non deve attendere che l'amministratore gestisca l'accesso degli utenti. Se l'amministratore concede la stessa autorizzazione a un manager in un gruppo aziendale diverso, tale persona può anche gestire l'accesso per i propri membri del gruppo. Né il proprietario dell'azienda né il responsabile possono visualizzare o gestire l'appartenenza a un gruppo. L'amministratore può comunque visualizzare tutti gli utenti che hanno accesso all'applicazione e, se necessario, revocare i diritti di accesso.
- Gestione dei gruppi self-service Un esempio di questo scenario è costituito da due utenti che hanno entrambi i siti di SharePoint Online configurati in modo indipendente. Vogliono concedere agli altri team l'accesso ai loro siti. A questo scopo, possono creare un gruppo in Azure AD che può essere selezionato da ognuno in SharePoint Online per consentire l'accesso al proprio sito. Quando un utente vuole accedere, lo richiede ai gruppi MyApps Pannello di accesso e dopo l'approvazione ottiene automaticamente l'accesso a entrambi i siti di SharePoint Online. Se successivamente uno degli utenti decide che tutte le persone che accedono al sito devono poter accedere anche a una determinata applicazione SaaS, L'amministratore dell'applicazione SaaS può aggiungere diritti di accesso per l'applicazione al sito di SharePoint Online. Da allora, tutte le richieste approvate forniscono l'accesso ai due siti di SharePoint Online e anche a questa applicazione SaaS.
Rendere disponibile un gruppo per gli utenti in modalità self-service
Accedere alla portale di Azure con un account assegnato al ruolo Amministratore globale o Amministratore gruppi per la directory.
Passare aGruppi diAzure Active Directory> e quindi selezionare Impostazioni generali.
Impostare Proprietari può gestire le richieste di appartenenza ai gruppi nel Pannello di accesso su Sì.
Impostare Limita la possibilità dell'utente di accedere alle funzionalità dei gruppi nell'Pannello di accesso su No.
Impostare Gli utenti possono creare gruppi di sicurezza nei portali di Azure, nell'API o in PowerShell su Sì o No.
Per altre informazioni su questa impostazione, vedere la sezione Successiva Impostazioni gruppo.
Impostare Gli utenti possono creare gruppi di Microsoft 365 nei portali di Azure, nell'API o in PowerShell su Sì o No.
Per altre informazioni su questa impostazione, vedere la sezione Successiva Impostazioni gruppo.
È anche possibile usare proprietari che possono assegnare membri come proprietari di gruppi nel portale di Azure per ottenere un controllo di accesso più granulare sulla gestione dei gruppi self-service per gli utenti.
Quando gli utenti possono creare gruppi, tutti gli utenti dell'organizzazione possono creare nuovi gruppi e quindi possono, come proprietario predefinito, aggiungere membri a questi gruppi. Non è possibile specificare singoli utenti che possono creare gruppi personalizzati. È possibile specificare singoli utenti solo per rendere un altro membro del gruppo un proprietario del gruppo.
Nota
Per gli utenti è necessaria una licenza Azure Active Directory Premium (P1 o P2) per richiedere agli utenti di partecipare a un gruppo di sicurezza o a Un gruppo di microsoft 365 e per consentire ai proprietari di approvare o negare le richieste di appartenenza. Senza una licenza Azure Active Directory Premium, gli utenti possono comunque gestire i gruppi nel pannello Accesso ai gruppi myapp, ma non possono creare un gruppo che richiede l'approvazione del proprietario e non possono richiedere di partecipare a un gruppo.
Impostazioni dei gruppi
Le impostazioni del gruppo consentono di controllare chi può creare gruppi di sicurezza e Microsoft 365.
La tabella seguente consente di decidere quali valori scegliere.
| Impostazione | Valore | Effetto sul tenant |
|---|---|---|
| Gli utenti possono creare gruppi di sicurezza nei portali di Azure, nell'API o in PowerShell | Sì | Tutti gli utenti dell'organizzazione di Azure AD possono creare nuovi gruppi di sicurezza e aggiungere membri a questi gruppi nei portali di Azure, nell'API o in PowerShell. Questi nuovi gruppi saranno visibili anche nel pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi. |
| No | Gli utenti non possono creare gruppi di sicurezza e non possono modificare i gruppi esistenti per i quali sono proprietari. Possono tuttavia gestire l'appartenenza a tali gruppi e approvare le richieste di partecipazione provenienti da altri utenti. | |
| Gli utenti possono creare gruppi di Microsoft 365 nei portali di Azure, nell'API o in PowerShell | Sì | Tutti gli utenti dell'organizzazione di Azure AD possono creare nuovi gruppi di Microsoft 365 e aggiungere membri a questi gruppi nei portali di Azure, nell'API o in PowerShell. Questi nuovi gruppi saranno visibili anche nel pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi. |
| No | Gli utenti non possono creare gruppi di Microsoft 365 e non possono modificare i gruppi esistenti per i quali sono proprietari. Possono tuttavia gestire l'appartenenza a tali gruppi e approvare le richieste di partecipazione provenienti da altri utenti. |
Ecco alcuni dettagli aggiuntivi su queste impostazioni di gruppo.
- Queste impostazioni possono richiedere fino a 15 minuti per avere effetto.
- Se si desidera abilitare alcuni utenti, ma non tutti, per creare gruppi, è possibile assegnare tali utenti a un ruolo che può creare gruppi, ad esempio Amministratore gruppi.
- Queste impostazioni sono per gli utenti e non influiscono sulle entità servizio. Ad esempio, se si dispone di un'entità servizio con autorizzazioni per creare gruppi, anche se si impostano queste impostazioni su No, l'entità servizio sarà comunque in grado di creare gruppi.
Passaggi successivi
Questi articoli forniscono informazioni aggiuntive su Azure Active Directory.