Assegnare ruoli di Microsoft Entra in ambiti diversi
In Microsoft Entra ID, in genere si assegnano i ruoli di Microsoft Entra in modo che si applichino all'intero tenant. Tuttavia, è anche possibile assegnare ruoli Microsoft Entra per risorse diverse, ad esempio unità amministrative o registrazioni dell'applicazione. Ad esempio, è possibile assegnare il ruolo helpdesk Amministrazione istrator in modo che si applichi solo a una determinata unità amministrativa e non all'intero tenant. Le risorse a cui si applica un'assegnazione di ruolo sono dette anche ambito. Questo articolo descrive come assegnare i ruoli di Microsoft Entra in ambiti di registrazione tenant, unità amministrativa e applicazione. Per altre informazioni sull'ambito, vedere Panoramica del controllo degli accessi in base al ruolo in Microsoft Entra ID.
Prerequisiti
- Amministratore ruolo con privilegi o amministratore globale.
- Microsoft Graph PowerShell SDK installato quando si usa PowerShell.
- Amministrazione consenso quando si usa Graph Explorer per l'API Microsoft Graph.
Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Assegnare ruoli con ambito al tenant
Questa sezione descrive come assegnare ruoli nell'ambito del tenant.
Interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli di identità>e ruoli amministratori e amministratori.>
Selezionare un ruolo per visualizzarne le assegnazioni. Per trovare il ruolo necessario, usare Aggiungi filtri per filtrare i ruoli.
Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti da assegnare a questo ruolo.
Selezionare Aggiungi per assegnare il ruolo.
PowerShell
Seguire questa procedura per assegnare i ruoli di Microsoft Entra tramite PowerShell.
Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Install-Module Microsoft.Graph -Scope CurrentUserIn una finestra di PowerShell usare Connessione-MgGraph per accedere al tenant.
Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Usare Get-MgUser per ottenere l'utente.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"Impostare il tenant come ambito dell'assegnazione di ruolo.
$directoryScope = '/'Usare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
API di Microsoft Graph
Seguire queste istruzioni per assegnare un ruolo usando l'API Microsoft Graph in Graph Explorer.
Accedere a Graph Explorer.
Usare l'API Elenca utenti per ottenere l'utente.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Usare l'API List unifiedRoleDefinitions per ottenere il ruolo da assegnare.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/" }
Assegnare ruoli con ambito a un'unità amministrativa
Questa sezione descrive come assegnare ruoli a un ambito di unità amministrativa.
Interfaccia di amministrazione di Microsoft Entra
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Ruoli identità>e amministratori> Amministrazione unità.
Selezionare un'unità amministrativa.
Selezionare Ruoli e amministratori dal menu di spostamento a sinistra per visualizzare l'elenco di tutti i ruoli disponibili per l'assegnazione tramite un'unità amministrativa.
Selezionare il ruolo desiderato.
Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti o i gruppi a cui si vuole assegnare questo ruolo.
Selezionare Aggiungi per assegnare il ruolo con ambito sull'unità amministrativa.
Nota
Qui non verrà visualizzato l'intero elenco dei ruoli predefiniti o personalizzati di Microsoft Entra. Si tratta di un comportamento previsto. Vengono illustrati i ruoli con autorizzazioni correlate agli oggetti supportati all'interno dell'unità amministrativa. Per visualizzare l'elenco degli oggetti supportati all'interno di un'unità amministrativa, vedere unità Amministrazione istrative in Microsoft Entra ID.
PowerShell
Seguire questa procedura per assegnare i ruoli di Microsoft Entra nell'ambito dell'unità amministrativa tramite PowerShell.
Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Install-Module Microsoft.Graph -Scope CurrentUserIn una finestra di PowerShell usare Connessione-MgGraph per accedere al tenant.
Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Usare Get-MgUser per ottenere l'utente.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'User Administrator'"Usare Get-MgDirectory Amministrazione istrativeUnit per ottenere l'unità amministrativa a cui si vuole definire l'ambito dell'assegnazione di ruolo.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'" $directoryScope = '/administrativeUnits/' + $adminUnit.IdUsare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
API di Microsoft Graph
Seguire queste istruzioni per assegnare un ruolo nell'ambito dell'unità amministrativa usando l'API Microsoft Graph in Graph Explorer.
Accedere a Graph Explorer.
Usare l'API Elenca utenti per ottenere l'utente.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Usare l'API List unifiedRoleDefinitions per ottenere il ruolo da assegnare.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'Usare l'API List administrativeUnits per ottenere l'unità amministrativa a cui si vuole definire l'ambito dell'assegnazione di ruolo.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>" }
Nota
Qui directoryScopeId viene specificato come /administrativeUnits/foo, anziché /foo. È per impostazione predefinita. L'ambito /administrativeUnits/foo indica che l'entità può gestire i membri dell'unità amministrativa (in base al ruolo assegnato), non l'unità amministrativa stessa. L'ambito di /foo indica che l'entità può gestire l'oggetto Microsoft Entra stesso. Nella sezione successiva si noterà che l'ambito è /foo perché un ruolo con ambito su una registrazione dell'app concede il privilegio di gestire l'oggetto stesso.
Assegnare ruoli con ambito a una registrazione dell'app
Questa sezione descrive come assegnare ruoli a un ambito di registrazione dell'applicazione.
Interfaccia di amministrazione di Microsoft Entra
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Applicazioni> di identità>Registrazioni app.
Selezionare un'applicazione. È possibile usare la casella di ricerca per trovare l'app desiderata.
Selezionare Ruoli e amministratori dal menu di spostamento a sinistra per visualizzare l'elenco di tutti i ruoli disponibili per l'assegnazione tramite la registrazione dell'app.
Selezionare il ruolo desiderato.
Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti o i gruppi a cui si vuole assegnare questo ruolo.
Selezionare Aggiungi per assegnare il ruolo con ambito alla registrazione dell'app.
Nota
Qui non verrà visualizzato l'intero elenco dei ruoli predefiniti o personalizzati di Microsoft Entra. Si tratta di un comportamento previsto. Vengono mostrati i ruoli con autorizzazioni correlate alla gestione solo delle registrazioni delle app.
PowerShell
Seguire questa procedura per assegnare i ruoli di Microsoft Entra nell'ambito dell'applicazione tramite PowerShell.
Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Install-Module Microsoft.Graph -Scope CurrentUserIn una finestra di PowerShell usare Connessione-MgGraph per accedere al tenant.
Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Usare Get-MgUser per ottenere l'utente.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'Application Administrator'"Usare Get-MgApplication per ottenere la registrazione dell'app a cui si vuole definire l'ambito dell'assegnazione di ruolo.
$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'" $directoryScope = '/' + $appRegistration.IdUsare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
API di Microsoft Graph
Seguire queste istruzioni per assegnare un ruolo nell'ambito dell'applicazione usando l'API Microsoft Graph in Graph Explorer.
Accedere a Graph Explorer.
Usare l'API Elenca utenti per ottenere l'utente.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Usare l'API List unifiedRoleDefinitions per ottenere il ruolo da assegnare.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'Usare l'API Elenca applicazioni per ottenere l'unità amministrativa a cui si vuole definire l'ambito dell'assegnazione di ruolo.
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/<provide objectId of the app registration obtained above>" }
Nota
Qui directoryScopeId è specificato come /foo, a differenza della sezione precedente. È per impostazione predefinita. L'ambito di /foo indica che l'entità può gestire l'oggetto Microsoft Entra. L'ambito /administrativeUnits/foo indica che l'entità può gestire i membri dell'unità amministrativa (in base al ruolo assegnato), non l'unità amministrativa stessa.