Assegnare ruoli di Azure usando il portale di Azure

Per assegnare ruoli di Azure, è necessario disporre di:

• Autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio Amministratore del controllo degli accessi in base al ruolo o Amministratore accesso utenti

Quando si assegnano ruoli, è necessario specificare un ambito. L'ambito è il set di risorse a cui si applica l'accesso. In Azure è possibile specificare un ambito su quattro livelli, dal più ampio al più ristretto: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Per altre informazioni, vedere Comprendere l'ambito.

1. Accedere al portale di Azure.

2. Nella casella Cerca della parte superiore cercare l'ambito a cui si vuole concedere l'accesso. È possibile ad esempio cercare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa specifica.

3. Fare clic sulla risorsa specifica per tale ambito.

   L'immagine seguente mostra un gruppo di risorse di esempio.

   

Controllo di accesso (IAM) è la pagina che viene usata in genere per assegnare ruoli e concedere l'accesso alle risorse di Azure. anche nota come Gestione delle identità e degli accessi (IAM) e visualizzata in diverse posizioni nel portale di Azure.

1. Fare clic su Controllo di accesso (IAM).

   L'immagine seguente mostra un esempio della pagina Controllo di accesso (IAM) per un gruppo di risorse.

   

2. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.

3. Fare clic su Aggiungi>Aggiungi assegnazione di ruolo.

   Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.

   

   Verrà visualizzata la pagina Aggiungi assegnazione di ruolo.

Per selezionare un ruolo, seguire questa procedura:

1. Nella scheda Ruolo, selezionare un ruolo da usare.

   È possibile cercare un ruolo in base al nome o alla descrizione. È anche possibile filtrare i ruoli in base al tipo e alla categoria.

   

2. Se si vuole assegnare un ruolo di amministratore con privilegi, selezionare la scheda Ruoli di amministratore con privilegi per selezionare il ruolo.

   Per le procedure consigliate quando si usano le assegnazioni di ruolo con privilegi di amministratore, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

   

3. Nella colonna Dettagli, fare clic su Visualizza per visualizzare ulteriori dettagli del ruolo.

   

4. Fare clic su Avanti.

Per selezionare chi deve accedere, seguire questa procedura:

1. Nella scheda Membri selezionare Utente, gruppo o entità servizio per assegnare il ruolo selezionato a uno o più utenti, gruppi o entità servizio (applicazioni) di Microsoft Entra.

   

2. Fare clic su Seleziona membri.

3. Trovare e selezionare gli utenti, i gruppi o le entità servizio.

   Nella casella Seleziona è possibile digitare il nome visualizzato o l'indirizzo di posta elettronica per eseguire una ricerca nella directory.

   

4. Fare clic su Seleziona per aggiungere utenti, gruppi o entità servizio all'elenco Membri.

5. Per assegnare il ruolo selezionato a una o più identità gestite, selezionare Identità gestita.

6. Fare clic su Seleziona membri.

7. Nel riquadro Selezionare le identità gestite, selezionare il tipo di identità gestita, assegnata dall'utente o assegnata dal sistema.

8. Trovare e selezionare le identità gestite.

   Per le identità gestite assegnate dal sistema, è possibile selezionare identità gestite dall'istanza del servizio di Azure.

   

9. Fare clic su Seleziona per aggiungere le identità gestite all'elenco Membri.

10. Nella casella Descrizione immettere una descrizione facoltativa per questa assegnazione di ruolo.

    In un secondo momento è possibile visualizzare questa descrizione nell'elenco delle assegnazioni di ruolo.

11. Fare clic su Avanti.

Se si seleziona un ruolo che supporta le condizioni, viene visualizzata una scheda Condizioni in cui è possibile aggiungere una condizione all'assegnazione del ruolo. Una condizione è un controllo aggiuntivo che è possibile aggiungere facoltativamente all'assegnazione di ruolo per fornire un controllo di accesso più accurato.

L'aspetto della scheda Condizioni sarà diverso in base al ruolo selezionato.

Condizione del delegato

Se è stato selezionato uno dei ruoli con privilegi seguenti, seguire la procedura descritta in questa sezione.

• Proprietario
• Amministratore controllo degli accessi in base al ruolo
• Amministratore accessi utente

1. Nella scheda Condizioni sotto Operazioni consentite all'utente selezionare l'opzione Consenti all'utente di assegnare solo i ruoli selezionati alle entità di sicurezza selezionate (meno privilegi).

   

2. Fare clic su Seleziona ruoli ed entità servizio per aggiungere una condizione che vincola i ruoli e le entità di sicurezza a cui l'utente può assegnare ruoli.

3. Seguire la procedura descritta in Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni.

Condizione di archiviazione

Se è stato selezionato uno dei ruoli di archiviazione seguenti, seguire la procedura descritta in questa sezione.

• Collaboratore ai dati del BLOB di archiviazione
• Proprietario dei dati del BLOB di archiviazione
• Lettore dei dati del BLOB di archiviazione
• Collaboratore ai dati della coda di archiviazione
• Ruolo con autorizzazioni di elaborazione per i messaggi sui dati della coda di archiviazione
• Mittente dei messaggi sui dati della coda di archiviazione
• Ruolo con autorizzazioni di lettura per i dati della coda di archiviazione

1. Fare clic su Aggiungi una condizione per affinare ulteriormente le assegnazioni di ruolo in base agli attributi di archiviazione.

   

2. Seguire la procedura descritta in Aggiungere o modificare le condizioni di assegnazione di ruolo di Azure.

Se si dispone di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance, verrà visualizzata una scheda Tipo di assegnazione per gli ambiti gruppo di gestione, sottoscrizione e gruppo di risorse. Usare le assegnazioni idonee per fornire l'accesso JUST-In-Time a un ruolo. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant o l'interfaccia potrebbe avere un aspetto diverso. Per altre informazioni, vedere Integrazione con Privileged Identity Management (anteprima).

Se non si vuole usare la funzionalità PIM, selezionare il tipo di assegnazione Disponibile e le opzioni di durata dell'assegnazione Permanente. Queste impostazioni creano un'assegnazione di ruolo in cui l'entità di sicurezza ha sempre le autorizzazioni nel ruolo.

1. Nella scheda Tipo di assegnazione selezionare il tipo di assegnazione.

   • Idoneo: l'utente deve eseguire una o più azioni per usare il ruolo, ad esempio eseguire un controllo di autenticazione a più fattori, fornire una giustificazione aziendale o richiedere l'approvazione da responsabili approvazione designati. Non è possibile creare assegnazioni di ruolo idonee per applicazioni, entità servizio o identità gestite perché non possono eseguire i passaggi di attivazione.
   • Attivo: l'utente non deve eseguire alcuna azione per usare il ruolo.

   

2. A seconda delle impostazioni, per Durata assegnazione, selezionare Permanente o Limitata.

   Selezionare Permanente se si desidera che il membro sia sempre autorizzato ad attivare o usare il ruolo. Selezionare Limitata per specificare le date di inizio e di fine. Questa opzione potrebbe essere disabilitata se la creazione di assegnazioni permanenti non è consentita dai criteri PIM.

3. Se l'opzione Limitata è selezionata, impostare Data e ora di inizio e Data e ora di inizio per specificare quando l'utente può attivare o usare il ruolo.

   È possibile impostare la data di inizio in futuro. La durata massima consentita dipende dai criteri di Privileged Identity Management (PIM).

4. (Facoltativo) Usare Configura criteri PIM per configurare le opzioni di scadenza, i requisiti di attivazione dei ruoli (approvazione, autenticazione a più fattori o contesto di autenticazione dell'accesso condizionale) e altre impostazioni.

   Quando si seleziona il collegamento Aggiorna criteri PIM, viene visualizzata una pagina PIM. Selezionare Impostazioni per configurare i criteri PIM per i ruoli. Per altre informazioni, vedere Configurare le impostazioni del ruolo delle risorse di Azure in Privileged Identity Management.

5. Fare clic su Avanti.

Seguire questa procedura:

1. Nella scheda Rivedi e assegna esaminare le impostazioni di assegnazione di ruolo.

   

2. Fare clic su Rivedi e assegna per assegnare il ruolo.

   Dopo qualche istante, all'entità di sicurezza verrà assegnato il ruolo per l'ambito selezionato.

   

3. Se non viene visualizzata la descrizione per l'assegnazione di ruolo, fare clic su Modifica colonne per aggiungere la colonna Descrizione .

Se si dispone di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance, è possibile modificare le impostazioni del tipo di assegnazione di ruolo. Per altre informazioni, vedere Integrazione con Privileged Identity Management (anteprima).

1. Nella pagina Controllo di accesso (IAM), fare clic sulla scheda Assegnazioni di ruolo per visualizzare le assegnazioni di ruolo in questo ambito.

2. Trovare l'assegnazione di ruolo da modificare.

3. Nella colonna Stato, fare clic sul collegamento, ad esempio Idoneo per limitazione o Permanente attivo.

   Viene visualizzato il riquadro Modifica assegnazione in cui è possibile aggiornare le impostazioni del tipo di assegnazione di ruolo. L'apertura del riquadro potrebbe richiedere alcuni istanti.

   

4. Al termine fare clic su Salva.

   L'elaborazione degli aggiornamenti potrebbe richiedere tempo e riflettersi nel portale.