Gestire i gruppi e l'appartenenza a gruppi di Azure Active Directory

  • Articolo
  • 7 minuti per la lettura

I gruppi di Azure Active Directory (Azure AD) vengono usati per gestire gli utenti che necessitano degli stessi accessi e autorizzazioni per le risorse, ad esempio app e servizi potenzialmente limitati. Anziché aggiungere autorizzazioni speciali ai singoli utenti, si crea un gruppo che applica le autorizzazioni speciali a ogni membro del gruppo.

Questo articolo illustra gli scenari di gruppo di base in cui un singolo gruppo viene aggiunto a una singola risorsa e gli utenti vengono aggiunti come membri a tale gruppo. Per scenari più complessi, ad esempio appartenenze dinamiche e creazione di regole, vedere la documentazione sulla gestione degli utenti di Azure Active Directory.

Prima di aggiungere gruppi e membri, informazioni sui gruppi e sui tipi di appartenenza per decidere quali opzioni usare quando si crea un gruppo.

Creare un gruppo di base e aggiungere membri

È possibile creare un gruppo di base e aggiungere i membri contemporaneamente usando il portale di Azure Active Directory (Azure AD). I ruoli di Azure AD che possono gestire i gruppi includono Amministratore gruppi, Amministratore utenti, Amministratore ruolo con privilegi o Amministratore globale. Esaminare i ruoli appropriati di Azure AD per la gestione dei gruppi

Per creare un gruppo di base e aggiungere membri:

  1. Accedere al portale di Azure.

  2. Passare aGruppi> di Azure Active Directory>Nuovo gruppo.

    Screenshot della pagina

  3. Selezionare un tipo di gruppo. Per altre informazioni sui tipi di gruppo, vedere l'articolo informazioni sui gruppi e sui tipi di appartenenza .

    • Se si seleziona il tipo di gruppo Di Microsoft 365 , è possibile abilitare l'opzione Indirizzo di posta elettronica gruppo .

  4. Immettere un nome gruppo. Scegliere un nome che si ricorderà e che ha senso per il gruppo. Verrà eseguito un controllo per determinare se il nome è già in uso. Se il nome è già in uso, verrà chiesto di modificare il nome del gruppo.

  5. Indirizzo di posta elettronica del gruppo: disponibile solo per i tipi di gruppo di Microsoft 365. Immettere un indirizzo di posta elettronica manualmente o usare l'indirizzo di posta elettronica compilato dal nome del gruppo specificato.

  6. Descrizione del gruppo. Aggiungere una descrizione facoltativa per il gruppo.

  7. Cambiare i ruoli di Azure AD può essere assegnato all'impostazione del gruppo su sì per usare questo gruppo per assegnare ruoli di Azure AD ai membri.

    • Questa opzione è disponibile solo con licenze Premium P1 o P2.
    • È necessario avere il ruolo Amministratore ruolo con privilegi o Amministratore globale .
    • L'abilitazione di questa opzione seleziona automaticamente Assegna come tipo di appartenenza.
    • La possibilità di aggiungere ruoli durante la creazione del gruppo viene aggiunta al processo.
    • Altre informazioni sui gruppi assegnabili da ruolo.

  8. Selezionare un tipo di appartenenza. Per altre informazioni sui tipi di appartenenza, vedere l'articolo informazioni sui gruppi e sui tipi di appartenenza .

  9. Facoltativamente aggiungere proprietari o membri. I membri e i proprietari possono essere aggiunti dopo aver creato il gruppo.

    1. Selezionare il collegamento in Proprietari o membri per popolare un elenco di ogni utente nella directory.
    2. Scegliere gli utenti dall'elenco e quindi selezionare il pulsante Seleziona nella parte inferiore della finestra.

    Screenshot della selezione dei membri per il gruppo durante il processo di creazione del gruppo.

  10. Selezionare Crea. Il gruppo viene creato e pronto per la gestione di altre impostazioni.

Disattivare il messaggio di benvenuto del gruppo

Una notifica di benvenuto viene inviata a tutti gli utenti quando vengono aggiunti a un nuovo gruppo di Microsoft 365, indipendentemente dal tipo di appartenenza. Quando un attributo di un utente o un dispositivo cambia, tutte le regole di gruppo dinamiche nell'organizzazione vengono elaborate per le potenziali modifiche di appartenenza. Anche gli utenti aggiunti ricevono la notifica di benvenuto. È possibile disattivare questo comportamento in Exchange PowerShell.

Aggiungere o rimuovere membri e proprietari

I membri e i proprietari possono essere aggiunti a e rimossi dai gruppi di Azure AD esistenti. Il processo è lo stesso per i membri e i proprietari. È necessario il ruolo Amministratore gruppi o Amministratore utenti per aggiungere e rimuovere membri e proprietari.

È necessario aggiungere più membri alla volta? Informazioni sull'opzione aggiungi membri in blocco .

Aggiungere membri o proprietari di un gruppo:

  1. Accedere al portale di Azure.

  2. Passare aGruppi diAzure Active Directory>.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Membri o Proprietari.

    Screenshot della pagina

  5. Selezionare + Aggiungi (membri o proprietari).

  6. Scorrere l'elenco o immettere un nome nella casella di ricerca. È possibile scegliere più nomi alla volta. Quando si è pronti, selezionare il pulsante Seleziona .

    La pagina Panoramica gruppo viene aggiornata per indicare il numero di membri aggiunti al gruppo.

Rimuovere membri o proprietari di un gruppo:

  1. Passare aGruppi diAzure Active Directory>.

  2. Selezionare il gruppo da gestire.

  3. Selezionare Membri o Proprietari.

  4. Selezionare la casella accanto a un nome dall'elenco e selezionare il pulsante Rimuovi .

    Screenshot dei membri del gruppo con un nome selezionato e il pulsante Rimuovi evidenziato.

Modificare le impostazioni del gruppo

Usando Azure AD, è possibile modificare il nome, la descrizione o il tipo di appartenenza di un gruppo. È necessario il ruolo Amministratore gruppi o Amministratore utenti per modificare le impostazioni di un gruppo.

Per modificare le impostazioni del gruppo:

  1. Accedere al portale di Azure.

  2. Passare aGruppi diAzure Active Directory>. Verrà visualizzata la pagina Gruppi - Tutti i gruppi con tutti i gruppi attivi.

  3. Scorrere l'elenco o immettere un nome di gruppo nella casella di ricerca. Selezionare il gruppo da gestire.

  4. Selezionare Proprietà dal menu laterale.

    Screenshot della pagina

  5. Aggiornare le informazioni in Impostazioni generali in base alle esigenze, tra cui:

    • Nome del gruppo. Modificare il nome del gruppo esistente.

    • Descrizione del gruppo. Modificare la descrizione del gruppo esistente.

    • Tipo di gruppo. Non è possibile modificare il tipo di gruppo dopo che è stato creato. Per modificare Tipo gruppo, è necessario eliminare il gruppo e crearne uno nuovo.

    • Tipo di appartenenza. Modificare il tipo di appartenenza. Se sono stati abilitati i ruoli di Azure AD possono essere assegnati all'opzione di gruppo , non è possibile modificare il tipo di appartenenza. Per altre informazioni sui tipi di appartenenza disponibili, vedere l'articolo informazioni sui gruppi e sui tipi di appartenenza .

    • ID oggetto. Non è possibile modificare l'ID oggetto, ma è possibile copiarlo per usarlo nei comandi di PowerShell per il gruppo. Per altre informazioni sull'uso dei cmdlet di PowerShell, vedere Cmdlet di Azure Active Directory per la configurazione delle impostazioni di gruppo.

Aggiungere o rimuovere un gruppo da un altro gruppo

È possibile aggiungere un gruppo di sicurezza esistente a un altro gruppo di sicurezza (noto anche come gruppi annidati). A seconda dei tipi di gruppo, è possibile aggiungere un gruppo come membro di un altro gruppo, proprio come un utente, che applica impostazioni come ruoli e accesso ai gruppi annidati. È necessario il ruolo Amministratore gruppi o Amministratore utenti per modificare l'appartenenza al gruppo.

Attualmente non è supportato:

  • Aggiunta di gruppi a un gruppo sincronizzato con Active Directory locale.
  • Aggiunta di gruppi di sicurezza ai gruppi di Microsoft 365.
  • Aggiunta di gruppi di Microsoft 365 ai gruppi di sicurezza o ad altri gruppi di Microsoft 365.
  • Assegnazione di app a gruppi annidati.
  • Applicazione di licenze a gruppi annidati.
  • Aggiunta di gruppi di distribuzione negli scenari di annidamento.
  • Aggiunta di gruppi di sicurezza come membri dei gruppi di sicurezza abilitati alla posta elettronica.
  • Aggiunta di gruppi come membri di un gruppo assegnabile al ruolo.

Aggiungere un gruppo a un altro gruppo

  1. Accedere al portale di Azure.

  2. Passare aGruppi diAzure Active Directory>.

  3. Nella pagina Gruppi - Tutti i gruppi cercare e selezionare il gruppo che si vuole diventare membro di un altro gruppo.

    Nota

    È possibile aggiungere il gruppo solo come membro a un altro gruppo alla volta. I caratteri jolly non sono supportati nella casella di ricerca Seleziona gruppo .

  4. Nella pagina Panoramica del gruppo selezionare Appartenenze di gruppo dal menu laterale.

  5. Selezionare + Aggiungi appartenenze.

  6. Individuare il gruppo di cui si vuole che il gruppo sia membro e scegliere Seleziona.

    Per questo esercizio si aggiunge "Criteri MDM - West" al gruppo "Criteri MDM - All org". Il gruppo "MDM - policy - West" avrà lo stesso accesso del gruppo "MDM policy - All org".

    Screenshot della creazione di un gruppo del membro di un altro gruppo con 'Appartenenza gruppo' dal menu laterale e l'opzione 'Aggiungi appartenenza' evidenziata.

È ora possibile esaminare la pagina "Criteri MDM - West - Group memberships" per visualizzare la relazione di gruppo e membro.

Per una visualizzazione più dettagliata della relazione di gruppo e membro, selezionare il nome del gruppo padre (criteri MDM - All org) e esaminare i dettagli della pagina "Criteri MDM - West".

Rimuovere un gruppo da un altro gruppo

È possibile rimuovere un gruppo di sicurezza esistente da un altro gruppo di sicurezza; tuttavia, la rimozione del gruppo rimuove anche qualsiasi accesso ereditato per i suoi membri.

  1. Nella pagina Gruppi - Tutti i gruppi cercare e selezionare il gruppo da rimuovere come membro di un altro gruppo.

  2. Nella pagina Panoramica del gruppo selezionare Appartenenze a gruppi.

  3. Selezionare il gruppo padre nella pagina Appartenenza al gruppo.

  4. Selezionare Rimuovi.

    Per questo esercizio, verrà ora rimosso il gruppo "Criteri MDM - West" dal gruppo "Criteri MDM - All org".

    Screenshot della pagina

Eliminare un gruppo

È possibile eliminare un gruppo di Azure AD per qualsiasi numero di motivi, ma in genere sarà perché:

  • Scegliere l'opzione Tipo di gruppo non corretto.

  • Creare un gruppo duplicato per errore.

  • Il gruppo non è più necessario.

Per eliminare un gruppo, sarà necessario il ruolo Amministratore gruppi o Amministratore utenti .

  1. Accedere al portale di Azure.

  2. Passare aGruppi diAzure Active Directory>.

  3. Cercare e selezionare il gruppo da eliminare.

  4. Selezionare Elimina.

    Il gruppo viene eliminato dal tenant di Azure Active Directory.

Passaggi successivi