Configurare la gestione dei gruppi self-service in Microsoft Entra ID
È possibile consentire agli utenti di creare e gestire i propri gruppi di sicurezza o i gruppi di Microsoft 365 in Microsoft Entra ID. Il proprietario del gruppo può approvare o negare le richieste di appartenenza e delegare il controllo dell'appartenenza al gruppo. Le funzionalità di gestione dei gruppi self-service non sono disponibili per i gruppi di sicurezza abilitati alla posta elettronica o per le liste di distribuzione.
Appartenenza al gruppo self-service
È possibile consentire agli utenti di creare gruppi di sicurezza, usati per gestire l'accesso alle risorse condivise. Gli utenti possono creare gruppi di sicurezza nella portale di Azure usando PowerShell di Azure Active Directory (Azure AD) o dal Pannello di accesso Gruppi di App personali.
Importante
Azure AD PowerShell è pianificato per la deprecazione il 30 marzo 2024. Per altre informazioni, leggere l'aggiornamento deprecato. È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Microsoft Graph PowerShell consente l'accesso a tutte le API Microsoft Graph ed è disponibile in PowerShell 7. Per risposte alle query di migrazione comuni, vedere Domande frequenti sulla migrazione.
Solo i proprietari del gruppo possono aggiornare l'appartenenza, ma è possibile fornire ai proprietari del gruppo la possibilità di approvare o negare le richieste di appartenenza dai gruppi myApps Pannello di accesso. I gruppi di sicurezza creati da self-service tramite i gruppi di app personali Pannello di accesso sono disponibili per l'aggiunta a tutti gli utenti, sia approvati dal proprietario che approvati automaticamente. Nella Pannello di accesso Gruppi di app personali è possibile modificare le opzioni di appartenenza quando si crea il gruppo.
I gruppi di Microsoft 365 offrono opportunità di collaborazione per gli utenti. È possibile creare gruppi in qualsiasi applicazione di Microsoft 365, ad esempio SharePoint, Microsoft Teams e Planner. È anche possibile creare gruppi di Microsoft 365 in portale di Azure usando Microsoft Graph PowerShell o dall'Pannello di accesso Gruppi di App personali. Per altre informazioni sulla differenza tra i gruppi di sicurezza e i gruppi di Microsoft 365, vedere Informazioni sui gruppi.
| Gruppi creati in | Comportamento predefinito del gruppo di sicurezza | Comportamento predefinito del gruppo di Microsoft 365 |
|---|---|---|
| Microsoft Graph PowerShell | Solo i proprietari possono aggiungere membri. Visibile ma non disponibile per l'aggiunta a gruppi di app personali Pannello di accesso. |
Aprire per partecipare a tutti gli utenti. |
| Azure portal | Solo i proprietari possono aggiungere membri. Visibile ma non disponibile per l'aggiunta a Gruppi di app personali Pannello di accesso. Il proprietario non viene assegnato automaticamente alla creazione del gruppo. |
Aprire per partecipare a tutti gli utenti. |
| Pannello di accesso gruppi di app personali | Aprire per partecipare a tutti gli utenti. Le opzioni di appartenenza possono essere modificate al momento della creazione del gruppo. |
Aprire per partecipare a tutti gli utenti. Le opzioni di appartenenza possono essere modificate al momento della creazione del gruppo. |
Scenari di gestione dei gruppi self-service
Due scenari consentono di spiegare la gestione dei gruppi self-service.
Gestione del gruppo delegata
In questo scenario di esempio, un amministratore gestisce l'accesso a un'applicazione SaaS (Software as a Service) usata dall'azienda. La gestione dei diritti di accesso è complessa, quindi l'amministratore chiede al proprietario dell'azienda di creare un nuovo gruppo. L'amministratore assegna l'accesso per l'applicazione al nuovo gruppo e aggiunge al gruppo tutte le persone che già accedono all'applicazione. Il titolare dell'organizzazione può quindi aggiungere altri utenti, per i quali il provisioning nell'applicazione viene effettuato automaticamente.
Il titolare dell'organizzazione non deve attendere che l'amministratore gestisca l'accesso degli utenti. Se l'amministratore concede la stessa autorizzazione a un manager in un gruppo aziendale diverso, tale persona può anche gestire l'accesso per i propri membri del gruppo. Il proprietario dell'azienda e il manager non possono visualizzare o gestire le appartenenze ai gruppi dell'altro. L'amministratore può comunque visualizzare tutti gli utenti che hanno accesso all'applicazione e bloccare i diritti di accesso, se necessario.
Gestione di gruppi self-service
In questo scenario di esempio, due utenti hanno siti di SharePoint Online configurati in modo indipendente. Vogliono concedere l'accesso ai propri siti da parte dei team dell'altro. Per eseguire questa attività, è possibile creare un gruppo in Microsoft Entra ID. In SharePoint Online ognuno di essi seleziona tale gruppo per fornire l'accesso ai propri siti.
Quando un utente vuole accedere, lo richiede ai gruppi di app personali Pannello di accesso. Dopo l'approvazione, ottengono automaticamente l'accesso a entrambi i siti di SharePoint Online. Se successivamente uno degli utenti decide che tutte le persone che accedono al sito devono poter accedere anche a una determinata applicazione SaaS, l'amministratore dell'applicazione SaaS può aggiungere i diritti di accesso per l'applicazione al sito di SharePoint Online. Da quel punto in poi, tutte le richieste approvate forniscono l'accesso ai due siti di SharePoint Online e anche all'applicazione SaaS.
Rendere disponibile un gruppo per gli utenti in modalità self-service
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.
Selezionare Microsoft Entra ID.
Selezionare Tutti i gruppi> e quindi impostazioni Generali.
Nota
Questa impostazione limita solo l'accesso alle informazioni sui gruppi in Gruppi personali. Non limita l'accesso alle informazioni sui gruppi tramite altri metodi, ad esempio le chiamate all'API Microsoft Graph o l'interfaccia di amministrazione di Microsoft Entra.
Nota
A giugno 2024, l'impostazione Limita l'accesso degli utenti a Gruppi personali verrà modificata in Limitare la possibilità agli utenti di visualizzare e modificare i gruppi di sicurezza in Gruppi personali. Se l'impostazione è attualmente impostata su Sì, gli utenti potranno accedere ai gruppi personali nel mese di giugno 2024 ma non potranno visualizzare i gruppi di sicurezza.
Impostare Proprietari in grado di gestire le richieste di appartenenza ai gruppi nel Pannello di accesso su Sì.
Impostare Limita la capacità utente di accedere alle funzionalità dei gruppi nel Pannello di accesso su No.
Impostare Gli utenti possono creare gruppi di sicurezza in portale di Azure, API o PowerShell su Sì o No.
Per altre informazioni su questa impostazione, vedere Impostazioni di gruppo.
Impostare Gli utenti possono creare gruppi di Microsoft 365 in portale di Azure, API o PowerShell su Sì o No.
Per altre informazioni su questa impostazione, vedere Impostazioni di gruppo.
È anche possibile usare Proprietari che possono assegnare membri come proprietari di gruppi nel portale di Azure per ottenere un controllo di accesso più granulare sulla gestione dei gruppi self-service per gli utenti.
Quando gli utenti possono creare gruppi, tutti gli utenti dell'organizzazione possono creare nuovi gruppi. Come proprietario predefinito, possono quindi aggiungere membri a questi gruppi. Non è possibile specificare singoli utenti che possono creare i propri gruppi. È possibile specificare singoli utenti solo per rendere un altro membro del gruppo proprietario di un gruppo.
Nota
Per gli utenti è necessaria una licenza Microsoft Entra ID P1 o P2 per richiedere agli utenti di partecipare a un gruppo di sicurezza o a un gruppo di Microsoft 365 e per consentire ai proprietari di approvare o negare le richieste di appartenenza. Senza una licenza Microsoft Entra ID P1 o P2, gli utenti possono comunque gestire i propri gruppi nel Pannello di accesso Gruppi di app personali. Ma non possono creare un gruppo che richiede l'approvazione del proprietario e non possono richiedere l'aggiunta a un gruppo.
Impostazioni dei gruppi
Le impostazioni di gruppo consentono di controllare chi può creare gruppi di sicurezza e Microsoft 365.
La tabella seguente consente di decidere quali valori scegliere.
| Impostazione | Valore | Effetto sul tenant |
|---|---|---|
| Gli utenti possono creare gruppi di sicurezza nella portale di Azure, nell'API o in PowerShell. | Sì | Tutti gli utenti dell'organizzazione Microsoft Entra possono creare nuovi gruppi di sicurezza e aggiungere membri a questi gruppi nella portale di Azure, nell'API o in PowerShell. Questi nuovi gruppi vengono visualizzati anche nella Pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi. |
| No | Gli utenti non possono creare gruppi di sicurezza. Possono comunque gestire l'appartenenza ai gruppi per i quali sono proprietari e approvare le richieste da parte di altri utenti di partecipare ai gruppi. | |
| Gli utenti possono creare gruppi di Microsoft 365 nel portale di Azure, nell'API o in PowerShell. | Sì | Tutti gli utenti dell'organizzazione Microsoft Entra possono creare nuovi gruppi di Microsoft 365 e aggiungere membri a questi gruppi nel portale di Azure, nell'API o in PowerShell. Questi nuovi gruppi vengono visualizzati anche nella Pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi. |
| No | Gli utenti non possono creare gruppi M365. Possono comunque gestire l'appartenenza ai gruppi per i quali sono proprietari e approvare le richieste da parte di altri utenti di partecipare ai gruppi. |
Ecco alcuni dettagli su queste impostazioni di gruppo:
- L'applicazione di queste impostazioni può richiedere fino a 15 minuti.
- Se si vogliono abilitare alcuni utenti, ma non tutti, per creare gruppi, è possibile assegnare agli utenti un ruolo in grado di creare gruppi, ad esempio Gruppi Amministrazione istrator.
- Queste impostazioni sono destinate agli utenti e non influiscono sulle entità servizio. Ad esempio, se si dispone di un'entità servizio con autorizzazioni per creare gruppi, anche se si impostano queste impostazioni su No, l'entità servizio può comunque creare gruppi.
Configurare le impostazioni del gruppo usando Microsoft Graph
Per configurare l'impostazione Utenti possono creare gruppi di sicurezza in portale di Azure, API o PowerShell usando Microsoft Graph, configurare l'oggetto EnableGroupCreation nell'oggetto groupSettings . Per altre informazioni, vedere Panoramica delle impostazioni del gruppo.
Per configurare l'impostazione Users can create security groups in portale di Azure s, API o PowerShell using Microsoft Graph, aggiornare la allowedToCreateSecurityGroups proprietà di defaultUserRolePermissions nell'oggetto authorizationPolicy.
Passaggi successivi
Per altre informazioni sull'ID Microsoft Entra, vedere: