Condividi tramite


Assegnare ruoli di Microsoft Entra in ambiti diversi

In Microsoft Entra ID, in genere si assegnano i ruoli di Microsoft Entra in modo che si applichino all'intero tenant. Tuttavia, è anche possibile assegnare ruoli Microsoft Entra per risorse diverse, ad esempio unità amministrative o registrazioni dell'applicazione. Ad esempio, è possibile assegnare il ruolo helpdesk Amministrazione istrator in modo che si applichi solo a una determinata unità amministrativa e non all'intero tenant. Le risorse a cui si applica un'assegnazione di ruolo sono dette anche ambito. Questo articolo descrive come assegnare i ruoli di Microsoft Entra in ambiti di registrazione tenant, unità amministrativa e applicazione. Per altre informazioni sull'ambito, vedere Panoramica del controllo degli accessi in base al ruolo in Microsoft Entra ID.

Prerequisiti

  • Ruolo con privilegi Amministrazione istrator.
  • Microsoft Graph PowerShell SDK installato quando si usa PowerShell.
  • Amministrazione consenso quando si usa Graph Explorer per l'API Microsoft Graph.

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Assegnare ruoli con ambito al tenant

Questa sezione descrive come assegnare ruoli nell'ambito del tenant.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

    Pagina Ruoli e amministratori in Microsoft Entra ID.

  3. Selezionare un ruolo per visualizzarne le assegnazioni. Per trovare il ruolo necessario, usare Aggiungi filtri per filtrare i ruoli.

  4. Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti da assegnare a questo ruolo.

    Riquadro Aggiungi assegnazioni per il ruolo selezionato.

  5. Selezionare Aggiungi per assegnare il ruolo.

PowerShell

Seguire questa procedura per assegnare i ruoli di Microsoft Entra tramite PowerShell.

  1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. In una finestra di PowerShell usare Connessione-MgGraph per accedere al tenant.

    Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Usare Get-MgUser per ottenere l'utente.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  5. Impostare il tenant come ambito dell'assegnazione di ruolo.

    $directoryScope = '/'
    
  6. Usare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

API di Microsoft Graph

Seguire queste istruzioni per assegnare un ruolo usando l'API Microsoft Graph in Graph Explorer.

  1. Accedere a Graph Explorer.

  2. Usare l'API Elenca utenti per ottenere l'utente.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Usare l'API List unifiedRoleDefinitions per ottenere il ruolo da assegnare.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
    
  4. Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/"
    }
    

Assegnare ruoli con ambito a un'unità amministrativa

Questa sezione descrive come assegnare ruoli a un ambito di unità amministrativa.

Interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Ruoli identità>e amministratori> Amministrazione unità.

  3. Selezionare un'unità amministrativa.

    Amministrazione istrative unità in Microsoft Entra ID.

  4. Selezionare Ruoli e amministratori dal menu di spostamento a sinistra per visualizzare l'elenco di tutti i ruoli disponibili per l'assegnazione tramite un'unità amministrativa.

    Menu Ruoli e amministratori in Unità amministrative in Microsoft Entra ID.

  5. Selezionare il ruolo desiderato.

  6. Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti o i gruppi a cui si vuole assegnare questo ruolo.

  7. Selezionare Aggiungi per assegnare il ruolo con ambito sull'unità amministrativa.

Nota

Qui non verrà visualizzato l'intero elenco dei ruoli predefiniti o personalizzati di Microsoft Entra. Si tratta di un comportamento previsto. Vengono illustrati i ruoli con autorizzazioni correlate agli oggetti supportati all'interno dell'unità amministrativa. Per visualizzare l'elenco degli oggetti supportati all'interno di un'unità amministrativa, vedere unità Amministrazione istrative in Microsoft Entra ID.

PowerShell

Seguire questa procedura per assegnare i ruoli di Microsoft Entra nell'ambito dell'unità amministrativa tramite PowerShell.

  1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. In una finestra di PowerShell usare Connessione-MgGraph per accedere al tenant.

    Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Usare Get-MgUser per ottenere l'utente.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'User Administrator'"
    
  5. Usare Get-MgDirectory Amministrazione istrativeUnit per ottenere l'unità amministrativa a cui si vuole definire l'ambito dell'assegnazione di ruolo.

    $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
    $directoryScope = '/administrativeUnits/' + $adminUnit.Id
    
  6. Usare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

API di Microsoft Graph

Seguire queste istruzioni per assegnare un ruolo nell'ambito dell'unità amministrativa usando l'API Microsoft Graph in Graph Explorer.

  1. Accedere a Graph Explorer.

  2. Usare l'API Elenca utenti per ottenere l'utente.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Usare l'API List unifiedRoleDefinitions per ottenere il ruolo da assegnare.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
    
  4. Usare l'API List administrativeUnits per ottenere l'unità amministrativa a cui si vuole definire l'ambito dell'assegnazione di ruolo.

    GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
    
  5. Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>"
    }
    

Nota

Qui directoryScopeId viene specificato come /administrativeUnits/foo, anziché /foo. È per impostazione predefinita. L'ambito /administrativeUnits/foo indica che l'entità può gestire i membri dell'unità amministrativa (in base al ruolo assegnato), non l'unità amministrativa stessa. L'ambito di /foo indica che l'entità può gestire l'oggetto Microsoft Entra stesso. Nella sezione successiva si noterà che l'ambito è /foo perché un ruolo con ambito su una registrazione dell'app concede il privilegio di gestire l'oggetto stesso.

Assegnare ruoli con ambito a una registrazione dell'app

Questa sezione descrive come assegnare ruoli a un ambito di registrazione dell'applicazione.

Interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Applicazioni> di identità>Registrazioni app.

  3. Selezionare un'applicazione. È possibile usare la casella di ricerca per trovare l'app desiderata.

    Registrazioni app in Microsoft Entra ID.

  4. Selezionare Ruoli e amministratori dal menu di spostamento a sinistra per visualizzare l'elenco di tutti i ruoli disponibili per l'assegnazione tramite la registrazione dell'app.

    Ruoli per le registrazioni di un'app in Microsoft Entra ID.

  5. Selezionare il ruolo desiderato.

  6. Selezionare Aggiungi assegnazioni e quindi selezionare gli utenti o i gruppi a cui si vuole assegnare questo ruolo.

    Aggiungere un'assegnazione di ruolo con ambito alle registrazioni di un'app in Microsoft Entra ID.

  7. Selezionare Aggiungi per assegnare il ruolo con ambito alla registrazione dell'app.

    Aggiunta dell'assegnazione di ruolo con ambito a registrazioni di app in Microsoft Entra ID.

    Ruolo assegnato all'utente con ambito per le registrazioni di un'app in Microsoft Entra ID.

Nota

Qui non verrà visualizzato l'intero elenco dei ruoli predefiniti o personalizzati di Microsoft Entra. Si tratta di un comportamento previsto. Vengono mostrati i ruoli con autorizzazioni correlate alla gestione solo delle registrazioni delle app.

PowerShell

Seguire questa procedura per assegnare i ruoli di Microsoft Entra nell'ambito dell'applicazione tramite PowerShell.

  1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. In una finestra di PowerShell usare Connessione-MgGraph per accedere al tenant.

    Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Usare Get-MgUser per ottenere l'utente.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Usare Get-MgRoleManagementDirectoryRoleDefinition per ottenere il ruolo da assegnare.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'Application Administrator'"
    
  5. Usare Get-MgApplication per ottenere la registrazione dell'app a cui si vuole definire l'ambito dell'assegnazione di ruolo.

    $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
    $directoryScope = '/' + $appRegistration.Id
    
  6. Usare New-MgRoleManagementDirectoryRoleAssignment per assegnare il ruolo.

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id 
    

API di Microsoft Graph

Seguire queste istruzioni per assegnare un ruolo nell'ambito dell'applicazione usando l'API Microsoft Graph in Graph Explorer.

  1. Accedere a Graph Explorer.

  2. Usare l'API Elenca utenti per ottenere l'utente.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Usare l'API List unifiedRoleDefinitions per ottenere il ruolo da assegnare.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
    
  4. Usare l'API Elenca applicazioni per ottenere l'unità amministrativa a cui si vuole definire l'ambito dell'assegnazione di ruolo.

    GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
    
  5. Usare l'API Create unifiedRoleAssignment per assegnare il ruolo.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/<provide objectId of the app registration obtained above>"
    }
    

Nota

Qui directoryScopeId è specificato come /foo, a differenza della sezione precedente. È per impostazione predefinita. L'ambito di /foo indica che l'entità può gestire l'oggetto Microsoft Entra. L'ambito /administrativeUnits/foo indica che l'entità può gestire i membri dell'unità amministrativa (in base al ruolo assegnato), non l'unità amministrativa stessa.

Passaggi successivi