Panoramica del controllo degli accessi in base al ruolo in Microsoft Entra ID

Questo articolo fornisce informazioni sul Controllo degli accessi in base al ruolo di Microsoft Entra. I ruoli di Microsoft Entra consentono di concedere autorizzazioni granulari agli amministratori, rispettando il principio del privilegio minimo. I ruoli predefiniti e personalizzati di Microsoft Entra operano su concetti simili a quelli disponibili nel sistema di controllo degli accessi in base al ruolo per le risorse di Azure (ruoli di Azure). La differenza tra questi due sistemi di controllo degli accessi in base al ruolo è la seguente:

• I ruoli di Microsoft Entra controllano l'accesso alle risorse di Microsoft Entra, ad esempio utenti, gruppi e applicazioni, tramite l'API Microsoft Graph
• I ruoli di Azure controllano l'accesso alle risorse di Azure, ad esempio macchine virtuali o risorse di archiviazione tramite Gestione delle risorse di Azure

Entrambi i sistemi contengono definizioni e assegnazioni di ruoli usate in modo simile. Tuttavia, le autorizzazioni del ruolo di Microsoft Entra non possono essere usate nei ruoli personalizzati di Azure e viceversa.

Informazioni sul controllo degli accessi in base al ruolo di Microsoft Entra

Microsoft Entra ID supporta due tipi di definizioni dei ruoli:

• Ruoli predefiniti
• Ruoli personalizzati

I ruoli predefiniti sono ruoli pronti per l'uso con un set fisso di autorizzazioni. Queste definizioni dei ruoli non possono essere modificate. Esistono molti ruoli predefiniti supportati da Microsoft Entra ID e l'elenco è in crescita. Per arrotondare i bordi e soddisfare i requisiti sofisticati, Microsoft Entra ID supporta anche ruoli personalizzati. La concessione di autorizzazioni tramite ruoli di Microsoft Entra personalizzati è un processo in due passaggi che prevede la creazione di una definizione del ruolo personalizzata e la successiva assegnazione tramite un'assegnazione di ruolo. Una definizione del ruolo personalizzata è una raccolta di autorizzazioni aggiunte da un elenco preimpostato. Queste autorizzazioni corrispondono a quelle usate nei ruoli predefiniti.

Dopo aver creato la definizione del ruolo personalizzato (o usando un ruolo predefinito), è possibile assegnarla a un utente creando un'assegnazione di ruolo. Un'assegnazione di ruolo concede all'utente le autorizzazioni in una definizione del ruolo in un ambito specificato. Questo processo in due passaggi consente di creare una singola definizione del ruolo e di assegnarla più volte in ambiti diversi. Un ambito definisce il set di risorse di Microsoft Entra a cui il membro del ruolo può accedere. L'ambito più comune è l'ambito a livello di organizzazione. Un ruolo personalizzato può essere assegnato a livello di organizzazione, per concedere così al membro del ruolo le autorizzazioni del ruolo per tutte le risorse nell'organizzazione. È anche possibile assegnare un ruolo personalizzato a un ambito degli oggetti. Un ambito degli oggetti è ad esempio una singola applicazione. Lo stesso ruolo può essere assegnato a un utente per tutte le applicazioni dell'organizzazione e quindi a un altro utente con un ambito limitato all'app Contoso Expense Reports.

Procedura usata da Microsoft Entra ID per determinare se un utente dispone dell’accesso a una risorsa

Di seguito sono riportati i passaggi di alto livello usati da Microsoft Entra ID per determinare se si ha accesso a una risorsa di gestione. Usare queste informazioni per risolvere i problemi di accesso.

1. Un utente (o entità servizio) acquisisce un token per l'endpoint di Microsoft Graph.
2. L'utente effettua una chiamata API a Microsoft Entra ID tramite Microsoft Graph usando il token emesso.
3. A seconda delle circostanze, Microsoft Entra ID esegue una delle azioni seguenti:
   • Valuta le appartenenze ai ruoli dell'utente in base all'attestazione wids nel token di accesso dell'utente.
   • Recupera tutte le assegnazioni di ruolo valide per l'utente, direttamente o tramite l'appartenenza a gruppi, per la risorsa in cui viene eseguita l'azione.
4. Microsoft Entra ID determina se l'azione indicata nella chiamata API è inclusa nei ruoli di cui l'utente dispone per questa risorsa.
5. Se l'utente non ha un ruolo con l'azione nell'ambito richiesto, l'accesso non è consentito. In caso contrario, l'accesso viene concesso.

Assegnazione di ruolo

Un'assegnazione di ruolo è una risorsa Di Microsoft Entra che collega una definizione di ruolo a un'entitàdi sicurezza in un determinato ambito per concedere l'accesso alle risorse di Microsoft Entra. L'accesso viene concesso mediante la creazione di un'assegnazione di ruolo e viene revocato rimuovendo un'assegnazione di ruolo. Un'assegnazione di ruolo è costituita da tre elementi principali:

• Entità di sicurezza: identità che ottiene le autorizzazioni. Può trattarsi di un utente, un gruppo o un'entità servizio.
• Definizione del ruolo: raccolta di autorizzazioni.
• Ambito: modo per vincolare la posizione in cui sono applicabili tali autorizzazioni.

È possibile creare assegnazioni di ruolo ed elencare le assegnazioni di ruolo usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph. L'interfaccia della riga di comando di Azure non è supportata per le assegnazioni di ruolo di Microsoft Entra.

Il diagramma seguente mostra un esempio di assegnazione di ruolo. In questo esempio, a Chris è stato assegnato il ruolo Amministratore registrazione app personalizzato, nell'ambito della registrazione dell'app Contoso Widget Builder. L'assegnazione concede a Chris le autorizzazioni del ruolo Amministratore registrazione app solo per questa registrazione specifica dell'app.

Entità di sicurezza principale

Un'entità di sicurezza rappresenta un utente, un gruppo o un'entità servizio assegnata alle risorse di Microsoft Entra. Un utente è un individuo che dispone di un profilo utente in Microsoft Entra ID. Un gruppo è un nuovo gruppo di Microsoft 365 o di sicurezza impostato come gruppo assegnabile a ruoli. Un'entità servizio è un'identità creata per l'uso con applicazioni, servizi ospitati e strumenti automatizzati per l'accesso alle risorse di Microsoft Entra.

Definizione del ruolo

Una definizione del ruolo o ruolo è una raccolta di autorizzazioni Una definizione del ruolo elenca le operazioni che possono essere eseguite sulle risorse di Microsoft Entra, come ad esempio creazione, lettura, aggiornamento ed eliminazione. Esistono due tipi di ruoli in Microsoft Entra ID:

• Ruoli predefiniti creati da Microsoft che non possono essere modificati.
• Ruoli personalizzati creati e gestiti dall'organizzazione.

Ambito

Un ambito è un modo per limitare le azioni consentite a un determinato set di risorse come parte di un'assegnazione di ruolo. Ad esempio, se si vuole assegnare un ruolo personalizzato a uno sviluppatore, ma solo per gestire una registrazione specifica dell'applicazione, è possibile includerla come ambito nell'assegnazione di ruolo.

Quando si assegna un ruolo, specificare uno dei tipi di ambito seguenti:

• Tenant
• unità Amministrazione istrativa
• Risorsa Microsoft Entra

Se si specifica una risorsa di Microsoft Entra come ambito, può essere una delle seguenti:

• Gruppi di Microsoft Entra
• Applicazioni aziendali
• Registrazioni delle applicazioni

Quando un ruolo viene assegnato a un ambito contenitore, ad esempio il tenant o un'unità Amministrazione istrative, concede le autorizzazioni sugli oggetti che contengono ma non sul contenitore stesso. Al contrario, quando un ruolo viene assegnato a un ambito di risorsa, concede le autorizzazioni sulla risorsa stessa, ma non si estende oltre (in particolare, non si estende ai membri di un gruppo Microsoft Entra).

Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra in ambiti diversi.

Opzioni di assegnazione del ruolo

Microsoft Entra ID offre più opzioni per l'assegnazione dei ruoli:

• È possibile assegnare ruoli direttamente agli utenti, ovvero il modo predefinito di assegnare i ruoli. Sia i ruoli predefiniti che quelli personalizzati di Microsoft Entra possono essere assegnati agli utenti, in base ai requisiti di accesso. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra agli utenti.
• Con Microsoft Entra ID P1, è possibile creare gruppi assegnabili ai ruoli, nonché assegnare ruoli a tali gruppi. L'assegnazione di ruoli a un gruppo anziché a singoli individui consente di aggiungere o rimuovere facilmente utenti da un ruolo e di creare autorizzazioni coerenti per tutti i membri del gruppo. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra ai gruppi.
• Con Microsoft Entra ID P2, è possibile usare Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) per fornire l'accesso just-in-time ai ruoli. Questa funzionalità consente di concedere un accesso a un limitato nel tempo agli utenti che lo richiedono, anziché concedere l’accesso permanente. Inoltre, offre capacità di reporting e auditing dettagliate. Per altre informazioni, vedere Assegnare i ruoli di Microsoft Entra in Privileged Identity Management.

Requisiti di licenza

L'uso dei ruoli predefiniti in Microsoft Entra ID è gratuito. L'uso di ruoli personalizzati richiede una licenza Microsoft Entra ID P1 per ogni utente a cui viene assegnato un ruolo personalizzato. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuito e Premium.

Passaggi successivi

• Informazioni sui ruoli di Microsoft Entra
• Assegnare i ruoli di Microsoft Entra agli utenti
• Creare e assegnare un ruolo personalizzato in Microsoft Entra ID
• Assegnare i ruoli di Microsoft Entra agli utenti
• Creare e assegnare un ruolo personalizzato in Microsoft Entra ID