Elencare le assegnazioni di ruolo di Azure usando il portale di Azure

Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure. Per determinare le risorse a cui gli utenti, i gruppi, le entità servizio o le identità gestite hanno accesso, elencare le assegnazioni di ruolo. Questo articolo descrive come elencare le assegnazioni di ruolo usando il portale di Azure.

Nota

Se l'organizzazione ha funzioni di gestione esternalizzate a un provider di servizi che usa Azure Lighthouse, le assegnazioni dei ruoli autorizzate da tale provider di servizi non verranno visualizzate qui. Analogamente, gli utenti nel tenant del provider di servizi non vedranno le assegnazioni di ruolo per gli utenti nel tenant di un cliente, indipendentemente dal ruolo assegnato.

Prerequisiti

Autorizzazione Microsoft.Authorization/roleAssignments/read, ad esempio Lettore

Elencare i ruoli assegnati a un utente o a un gruppo

Un modo rapido per visualizzare i ruoli assegnati a un utente o a un gruppo in una sottoscrizione consiste nell'usare il riquadro Assegnazioni di ruolo di Azure.

  1. Nel portale di Azure selezionare dal menu Tutti i servizi.

  2. Selezionare Microsoft Entra ID, poi Utenti o Gruppi.

  3. Cliccare sull'utente o sul gruppo per cui si desidera elencare le assegnazioni di ruolo.

  4. Cliccare su Assegnazioni di ruolo di Azure.

    Viene visualizzato l’elenco dei ruoli assegnati all'utente o al gruppo selezionato in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si è autorizzati a leggere.

    Screenshot dei ruoli assegnati a un utente.

  5. Per modificare la sottoscrizione, cliccare sull’elenco Sottoscrizioni.

Elenco dei proprietari di una sottoscrizione

Gli utenti a cui è stato assegnato il ruolo proprietario per una sottoscrizione possono gestire tutti gli elementi nella sottoscrizione. Seguire questa procedura per elencare i proprietari di una sottoscrizione.

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi Sottoscrizioni.

  2. Fare clic sulla sottoscrizione di cui si desidera elencare i proprietari.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questa sottoscrizione.

  5. Scorrere fino alla sezione Proprietari per visualizzare tutti gli utenti a cui è stato assegnato il ruolo Proprietario per questa sottoscrizione.

    Screenshot della scheda Controllo di accesso e Assegnazioni di ruolo della sottoscrizione.

Elencare o gestire le assegnazioni del ruolo di amministratore con privilegi

Nella scheda Assegnazioni di ruolo è possibile elencare e visualizzare il numero di assegnazioni di ruolo di amministratore con privilegi nell'ambito corrente. Per altre informazioni, vedere Ruoli di amministratore con privilegi.

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l’ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo e quindi fare clic sulla scheda con privilegi per elencare le assegnazioni di ruolo di amministratore con privilegi in questo ambito.

    Screenshot della pagina Controllo di accesso, della scheda Assegnazioni di ruolo e della scheda Con privilegi che mostra le assegnazioni di ruolo con privilegi.

  5. Per visualizzare il numero di assegnazioni di ruolo di amministratore con privilegi in questo ambito, vedere la scheda con privilegi.

  6. Per gestire le assegnazioni di ruolo con privilegi di amministratore, vedere la scheda Con privilegi e fare clic su Visualizzare le assegnazioni.

    Nella pagina Gestisci assegnazioni di ruolo con privilegi è possibile aggiungere una condizione per vincolare l'assegnazione di ruolo con privilegi o rimuovere l'assegnazione di ruolo. Per altre informazioni, vedere Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni.

    Screenshot della pagina Gestisci assegnazioni di ruolo con privilegi che mostra come aggiungere condizioni o rimuovere assegnazioni di ruolo.

Elencare le assegnazioni di ruolo in un ambito

Importante

L'integrazione dell'assegnazione di ruolo di Azure con Privileged Identity Management è attualmente disponibile in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Seguire questa procedura:

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l’ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.

    Se si dispone di una licenza Microsoft Entra ID Free o Microsoft Entra ID P1, la scheda Assegnazioni di ruolo è simile alla schermata seguente.

    Screenshot della scheda Controllo di accesso e Assegnazioni di ruolo.

    Se si dispone di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance, la scheda Assegnazioni di ruolo è simile allo screenshot seguente per gli ambiti di gruppo di gestione, sottoscrizione e gruppo di risorse. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant o l'interfaccia potrebbe avere un aspetto diverso.

    Screenshot delle schede Controllo di accesso e Assegnazioni attive e Assegnazioni idonee.

    Viene visualizzata una colonna di Stato con uno degli stati seguenti:

    Stato Descrizione
    Permanente attivo Un'assegnazione di ruolo in cui un utente può sempre usare il ruolo senza eseguire alcuna azione.
    Limite di tempo attivo Un'assegnazione di ruolo in cui un utente può usare il ruolo senza eseguire alcuna azione solo tra date di inizio e di fine.
    Idoneo permanente Un'assegnazione di ruolo in cui un utente è sempre idoneo ad attivare il ruolo.
    Limite di tempo idoneo Un'assegnazione di ruolo in cui un utente è idoneo per attivare il ruolo solo tra una data di inizio e una data di fine.

    È possibile impostare la data di inizio in futuro.

    Per elencare l'ora di inizio e l'ora di fine per le assegnazioni di ruolo, fare clic su Modifica colonne e quindi selezionare Ora di inizio e Ora di fine.

    Screenshot del riquadro Colonne che mostra le caselle di controllo Ora di inizio e Ora di fine.

    Si noterà che l'ambito di alcuni ruoli è Questa risorsa, mentre quello di altri è (Ereditato) da un altro ambito. L'accesso viene assegnato in modo specifico alla risorsa oppure ereditato da un'assegnazione nell'ambito padre.

Elencare le assegnazioni di ruolo per un utente in un ambito

Per elencare l'accesso per un utente, gruppo, entità servizio o identità gestita, vengono elencate le assegnazioni di ruolo. Seguire questa procedura per elencare le assegnazioni di ruolo per un singolo utente, gruppo, entità servizio o identità gestita in un determinato ambito.

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l’ambito. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

    Screenshot del controllo di accesso del gruppo di risorse e della scheda Controlla accesso.

  4. Nella scheda Verifica l'accesso fare clic sul pulsante Controlla l’accesso personale.

  5. Nel riquadro Controllare l'accesso fare clic su Utente, gruppo o entità servizio o Identità gestita.

  6. Nella casella di ricerca, immettere una stringa per eseguire ricerche nella directory in base ai nomi visualizzati, agli indirizzi di posta elettronica o agli identificatori di oggetto.

    Screenshot dell’elenco di selezione per la verifica dell'accesso.

  7. Fare clic sull'entità di sicurezza per aprire il riquadro Assegnazioni.

    In questo riquadro è possibile visualizzare l'accesso per l'entità di sicurezza selezionata in questo ambito, oltre a quello ereditato da un altro ambito. Le assegnazioni in corrispondenza degli ambiti figlio non sono elencate. Vengono visualizzate le assegnazioni seguenti:

    • Assegnazioni di ruolo aggiunte con il controllo degli accessi in base al ruolo di Azure.
    • Assegnazioni di rifiuto aggiunte tramite Azure Blueprints o app gestite di Azure.
    • Assegnazioni classiche di amministratore del servizio e coamministratore per le distribuzioni classiche.

    Screenshot del riquadro assegnazioni.

Elencare le assegnazioni di ruolo per un’identità gestita

È possibile elencare le assegnazioni di ruolo per le identità gestite assegnate dal sistema e assegnate dall'utente in un determinato ambito usando il pannello di controllo di accesso (IAM), come descritto in precedenza. Questa sezione descrive come elencare le assegnazioni di ruolo solo per l'identità gestita.

Identità gestita assegnata dal sistema

  1. Per abilitare l'identità gestita assegnata dal sistema nel portale di Azure.

  2. Nel menu a sinistra fare clic su Identity.

    Screenshot dell'identità gestita assegnata dal sistema.

  3. In Autorizzazioni selezionare Assegnazioni di ruolo di Azure.

    Viene visualizzato un elenco di ruoli assegnati all'identità gestita assegnata dal sistema selezionata in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si è autorizzati a leggere.

    Screenshot delle assegnazioni di ruolo per un'identità gestita assegnata dal sistema.

  4. Per modificare la sottoscrizione, fare clic sull'elenco Sottoscrizione.

    Identità gestita assegnata dall'utente

    1. Nel portale di Azure aprire un'identità gestita assegnata dall'utente.

    2. Cliccare su Assegnazioni di ruolo di Azure.

      Viene visualizzato un elenco di ruoli assegnati all'identità gestita assegnata dall’utente selezionata in vari ambiti, ad esempio gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Questo elenco include tutte le assegnazioni di ruolo che si è autorizzati a leggere.

      Screenshot delle assegnazioni di ruolo per un'identità gestita assegnata dall’utente.

    3. Per modificare la sottoscrizione, fare clic sull'elenco Sottoscrizione.

Elencare il numero di assegnazioni di ruolo

È possibile avere fino a 4000 assegnazioni di ruolo in ogni sottoscrizione. Questo limite include le assegnazioni di ruolo negli ambiti di sottoscrizione, gruppo di risorse e risorsa. Le Assegnazioni di ruolo idonee e le assegnazioni di ruolo pianificate in futuro non vengono conteggiate per questo limite. Per tenere traccia di questo limite, la scheda Assegnazioni di ruolo include un grafico che elenca il numero di assegnazioni di ruolo per la sottoscrizione corrente.

Screenshot della scheda Controllo di accesso e numero di assegnazioni di ruolo.

Se si avvicina al numero massimo e si tenta di aggiungere altre assegnazioni di ruolo, verrà visualizzato un avviso nel riquadro Aggiungi assegnazione di ruolo. Per informazioni su come ridurre il numero di assegnazioni di ruolo, vedere Risolvere i limiti del controllo degli accessi in base al ruolo di Azure.

Screenshot del controllo di accesso e dell'avviso Aggiungi assegnazione di ruolo.

Scarica assegnazioni di ruolo

È possibile scaricare le assegnazioni di ruolo in un ambito in formato CSV o JSON. Questo può essere utile se è necessario esaminare l'elenco in un foglio di calcolo o eseguire un inventario durante la migrazione di una sottoscrizione.

Quando si scaricano le assegnazioni di ruolo, tenere presente i criteri seguenti:

  • Se non si dispone delle autorizzazioni per leggere la directory, ad esempio il ruolo con autorizzazioni di lettura nella directory, le colonne DisplayName, SignInName e ObjectType saranno vuote.
  • Le assegnazioni di ruolo le cui entità di sicurezza sono state eliminate non sono incluse.
  • L'accesso concesso agli amministratori classici non è incluso.

Seguire questa procedura per scaricare le assegnazioni di ruolo in un ambito.

  1. Nel portale di Azure fare clic su Tutti i servizi e quindi selezionare l'ambito in cui scaricare le assegnazioni di ruolo. È possibile ad esempio selezionare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa.

  2. Fare clic sulla risorsa specifica.

  3. Fare clic su Controllo di accesso (IAM).

  4. Fare clic su Scaricare le assegnazioni di ruolo per aprire il riquadro Scarica assegnazioni di ruolo.

    Screenshot di Controllo di accesso e Download delle assegnazioni di ruolo.

  5. Usare le caselle di controllo per selezionare le assegnazioni di ruolo da includere nel file scaricato.

    • Ereditato: includere le assegnazioni di ruolo ereditate per l'ambito corrente.
    • All'ambito corrente: includere le assegnazioni di ruolo per l'ambito corrente.
    • Children: includere le assegnazioni di ruolo a livelli inferiori rispetto all'ambito corrente. Questa casella di controllo è disabilitata per l'ambito del gruppo di gestione.
  6. Selezionare il formato di file, che può essere delimitato da virgole (CSV) o JSON (JavaScript Object Notation).

  7. Specificare il nome del file.

  8. Fare clic su Avvia per avviare il download.

    Di seguito sono riportati esempi dell'output per ogni formato di file.

    Screenshot delle assegnazioni di ruolo di download come CSV.

    Screenshot delle assegnazioni di ruolo scaricate come in formato JSON.