Elencare le assegnazioni di ruolo di Azure usando il portale di Azure

  • Articolo

Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure. Per determinare le risorse a cui gli utenti, i gruppi, le entità servizio o le identità gestite hanno accesso, elencare le assegnazioni di ruolo. Questo articolo descrive come elencare le assegnazioni di ruolo usando il portale di Azure.

Nota

Se l'organizzazione ha funzioni di gestione esternalizzate a un provider di servizi che usa Azure Lighthouse, le assegnazioni di ruolo autorizzate da tale provider di servizi non verranno visualizzate qui. Analogamente, gli utenti nel tenant del provider di servizi non vedranno le assegnazioni di ruolo per gli utenti nel tenant di un cliente, indipendentemente dal ruolo assegnato.

Elencare le assegnazioni di ruolo per un utente o un gruppo

Un modo rapido per visualizzare i ruoli assegnati a un utente o a un gruppo in una sottoscrizione consiste nell'usare il riquadro Assegnazioni di ruolo di Azure.

  1. Nella portale di Azure selezionare Tutti i servizi dal menu portale di Azure.

  2. Selezionare Microsoft Entra ID e quindi utentio gruppi.

  3. Fare clic sull'utente o il gruppo per cui si desidera elencare le assegnazioni di ruolo.

  4. Fare clic su Assegnazioni di ruolo di Azure.

    Viene visualizzato un elenco di ruoli assegnati all'utente o al gruppo selezionato in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si dispone dell'autorizzazione per la lettura.

    Screenshot of role assignments for a user.

  5. Per modificare la sottoscrizione, fare clic sull'elenco Sottoscrizioni .

Elenco dei proprietari di una sottoscrizione

Gli utenti a cui è stato assegnato il ruolo Proprietario per una sottoscrizione possono gestire tutti gli elementi della sottoscrizione. Seguire questa procedura per elencare i proprietari di una sottoscrizione.

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi Sottoscrizioni.

  2. Fare clic sulla sottoscrizione di cui si desidera elencare i proprietari.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questa sottoscrizione.

  5. Scorrere fino alla sezione Proprietari per visualizzare tutti gli utenti a cui è stato assegnato il ruolo Proprietario per questa sottoscrizione.

    Screenshot of subscription Access control and Role assignments tab.

Elencare o gestire assegnazioni di ruolo di amministratore con privilegi

Nella scheda Assegnazioni di ruolo è possibile elencare e visualizzare il numero di assegnazioni di ruolo di amministratore con privilegi nell'ambito corrente. Per altre informazioni, vedere Ruoli di amministratore con privilegi.

  1. Nella portale di Azure fare clic su Tutti i servizi e quindi selezionare l'ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo e quindi sulla scheda Con privilegi per elencare le assegnazioni di ruolo di amministratore con privilegi in questo ambito.

    Screenshot of Access control page, Role assignments tab, and Privileged tab showing privileged role assignments.

  5. Per visualizzare il numero di assegnazioni di ruolo di amministratore con privilegi in questo ambito, vedere la scheda Con privilegi .

  6. Per gestire le assegnazioni di ruolo di amministratore con privilegi, vedere la scheda Con privilegi e fare clic su Visualizza assegnazioni.

    Nella pagina Gestisci assegnazioni di ruolo con privilegi è possibile aggiungere una condizione per vincolare l'assegnazione di ruolo con privilegi o rimuovere l'assegnazione di ruolo. Per altre informazioni, vedere Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni.

    Screenshot of Manage privileged role assignments page showing how to add conditions or remove role assignments.

Elencare le assegnazioni di ruolo in un ambito

  1. Nella portale di Azure fare clic su Tutti i servizi e quindi selezionare l'ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.

    Screenshot of Access control and Role assignments tab.

    Nella scheda Assegnazioni di ruolo è possibile visualizzare chi ha accesso a questo ambito. Si noterà che l'ambito di alcuni ruoli è Questa risorsa, mentre quello di altri è (Ereditato) da un altro ambito. L'accesso viene assegnato in modo specifico alla risorsa oppure ereditato da un'assegnazione nell'ambito padre.

Elencare le assegnazioni di ruolo per un utente in un ambito

Per elencare l'accesso per un utente, un gruppo, un'entità servizio o un'identità gestita, elencare le assegnazioni di ruolo. Seguire questa procedura per elencare le assegnazioni di ruolo per un singolo utente, gruppo, entità servizio o identità gestita in un determinato ambito.

  1. Nella portale di Azure fare clic su Tutti i servizi e quindi selezionare l'ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

    Screenshot of resource group access control and Check access tab.

  4. Nella scheda Controlla accesso fare clic sul pulsante Controlla accesso .

  5. Nel riquadro Controlla accesso fare clic su Utente, gruppo o entità servizio o Identità gestita.

  6. Nella casella di ricerca, immettere una stringa per eseguire ricerche nella directory in base ai nomi visualizzati, agli indirizzi di posta elettronica o agli identificatori di oggetto.

    Screenshot of Check access select list.

  7. Fare clic sull'entità di sicurezza per aprire il riquadro Assegnazioni.

    In questo riquadro è possibile visualizzare l'accesso per l'entità di sicurezza selezionata in questo ambito, oltre a quello ereditato da un altro ambito. Le assegnazioni in corrispondenza degli ambiti figlio non sono elencate. Vengono visualizzate le assegnazioni seguenti:

    • Assegnazioni di ruolo aggiunte con il controllo degli accessi in base al ruolo di Azure.
    • Assegnazioni di rifiuto aggiunte tramite Azure Blueprints o app gestite di Azure.
    • Assegnazioni classiche di amministratore del servizio e coamministratore per le distribuzioni classiche.

    Screenshot of assignments pane.

Elencare le assegnazioni di ruolo per un'identità gestita

È possibile elencare le assegnazioni di ruolo per le identità gestite assegnate dal sistema e assegnate dall'utente in un determinato ambito usando il pannello Controllo di accesso (IAM) come descritto in precedenza. Questa sezione descrive come elencare le assegnazioni di ruolo solo per l'identità gestita.

Identità gestita assegnata dal sistema

  1. Nella portale di Azure aprire un'identità gestita assegnata dal sistema.

  2. Nel menu a sinistra fare clic su Identità.

    Screenshot of system-assigned managed identity.

  3. In Autorizzazioni selezionare Assegnazioni di ruolo di Azure.

    Viene visualizzato un elenco di ruoli assegnati all'identità gestita assegnata dal sistema selezionata in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si dispone dell'autorizzazione per la lettura.

    Screenshot of role assignments for a system-assigned managed identity.

  4. Per modificare la sottoscrizione, fare clic sull'elenco Sottoscrizioni .

Identità gestita assegnata dall'utente

  1. Nella portale di Azure aprire un'identità gestita assegnata dall'utente.

  2. Fare clic su Assegnazioni di ruolo di Azure.

    Viene visualizzato un elenco di ruoli assegnati all'identità gestita assegnata dall'utente selezionata in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si dispone dell'autorizzazione per la lettura.

    Screenshot of role assignments for a user-assigned managed identity.

  3. Per modificare la sottoscrizione, fare clic sull'elenco Sottoscrizioni .

Elencare il numero di assegnazioni di ruolo

In ogni sottoscrizione possono essere presenti fino a 4000 assegnazioni di ruolo. Questo limite include le assegnazioni di ruolo negli ambiti di sottoscrizione, gruppo di risorse e risorsa. Per tenere traccia di questo limite, la scheda Assegnazioni di ruolo include un grafico che elenca il numero di assegnazioni di ruolo per la sottoscrizione corrente.

Screenshot of Access control and number of role assignments chart.

Se si avvicina al numero massimo e si tenta di aggiungere altre assegnazioni di ruolo, verrà visualizzato un avviso nel riquadro Aggiungi assegnazione di ruolo. Per informazioni su come ridurre il numero di assegnazioni di ruolo, vedere Risolvere i limiti del controllo degli accessi in base al ruolo di Azure.

Screenshot of Access control and Add role assignment warning.

Scarica assegnazioni di ruolo

È possibile scaricare le assegnazioni di ruolo in un ambito in formato CSV o JSON. Questo può essere utile se è necessario esaminare l'elenco in un foglio di calcolo o eseguire un inventario durante la migrazione di una sottoscrizione.

Quando si scaricano le assegnazioni di ruolo, tenere presente i criteri seguenti:

  • Se non si dispone delle autorizzazioni per leggere la directory, ad esempio il ruolo Lettori directory, le colonne DisplayName, SignInName e ObjectType saranno vuote.
  • Le assegnazioni di ruolo le cui entità di sicurezza sono state eliminate non sono incluse.
  • L'accesso concesso agli amministratori classici non è incluso.

Seguire questa procedura per scaricare le assegnazioni di ruolo in un ambito.

  1. Nella portale di Azure fare clic su Tutti i servizi e quindi selezionare l'ambito in cui si desidera scaricare le assegnazioni di ruolo. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic su Scarica assegnazioni di ruolo per aprire il riquadro Scarica assegnazioni di ruolo.

    Screenshot of Access control and Download role assignments.

  5. Usare le caselle di controllo per selezionare le assegnazioni di ruolo da includere nel file scaricato.

    • Ereditato: includere le assegnazioni di ruolo ereditate per l'ambito corrente.
    • Nell'ambito corrente: includere le assegnazioni di ruolo per l'ambito corrente.
    • Elementi figlio : includere assegnazioni di ruolo a livelli inferiori all'ambito corrente. Questa casella di controllo è disabilitata per l'ambito del gruppo di gestione.

  6. Selezionare il formato di file, che può essere delimitato da virgole (CSV) o JSON (JavaScript Object Notation).

  7. Specificare il nome del file.

  8. Fare clic su Start per avviare il download.

    Di seguito sono riportati esempi dell'output per ogni formato di file.

    Screenshot of download role assignments as CSV.

    Screenshot of the downloaded role assignments as in JSON format.

Passaggi successivi