Condividi tramite


Aggiungere e gestire gli account amministrativi

Si applica a: cerchio bianco con un simbolo X grigio. I tenant lavoratori cerchio verde con un segno di spunta bianco. I tenant esterni (altre informazioni)

Gli account amministratore sono utenti nel tenant esterno di Microsoft Entra a cui sono stati assegnati ruoli di amministratore. È possibile aggiungere un account amministratore al tenant creando o invitando un utente tramite l'interfaccia di amministrazione di Microsoft Entra o Microsoft Graph e assegnandole un ruolo di amministratore. Se non si assegna un ruolo di amministratore, l'utente dispone delle autorizzazioni utente predefinite.

Questo articolo è incentrato sulla gestione degli account amministratore tramite l'interfaccia di amministrazione di Microsoft Entra. Per aggiungere o eliminare utenti, è necessario disporre almeno delle autorizzazioni di amministratore utente .

Vedi anche Gestire gli account utente per i consumer e i clienti aziendali per informazioni sugli utenti finali dell'app. Questi utenti in genere non hanno ruoli di amministratore assegnati in modo da mantenere le autorizzazioni utente predefinite.

Prerequisiti

  • Se il tenant esterno di Microsoft Entra non è già stato creato, crearne uno ora.
  • Comprendere gli account utente in Microsoft Entra External ID.
  • Comprendere i ruoli utente per controllare l'accesso alle risorse.

Aggiungere un account amministratore

Usare la procedura seguente per creare un nuovo account utente e concedere autorizzazioni di amministratore all'account aggiungendo un ruolo Microsoft Entra. Di seguito sono descritti solo i passaggi necessari. Per una descrizione completa di tutte le proprietà, vedere l'articolo Microsoft Entra ID How to create users (Come creare utenti).

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del ruolo con privilegi.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Entra ID>Utenti.

  4. Selezionare Nuovo utente>Crea nuovo utente.

  5. Nella scheda Informazioni di base immettere le informazioni per l'amministratore in Identità:

    • Nome principale utente: immettere un nome utente univoco e selezionare un dominio dal menu dopo il simbolo @.
    • Nome visualizzato: immettere il nome dell'utente, ad esempio Chris Green o Chris A. Green.
    • Password: copiare la password generata automaticamente o deselezionare l'opzione Genera automaticamente la password e immettere una password diversa. È necessario assegnare questa password all'amministratore per accedere per la prima volta.
  6. Selezionare la scheda Assegnazioni e seguire questa procedura per assegnare un ruolo all'utente. L'aggiunta di un gruppo è facoltativa.

    • Selezionare + Aggiungi ruolo.
    • Dal menu visualizzato scegliere fino a 20 ruoli dall'elenco. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Selezionare il pulsante Seleziona .
  7. Selezionare il pulsante Rivedi e crea .

L'amministratore viene creato e aggiunto al tenant esterno.

Invitare un amministratore (account guest)

È anche possibile invitare un nuovo utente guest a gestire il tenant. Per invitare un nuovo utente guest con autorizzazioni di amministratore, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del ruolo con privilegi.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Entra ID>Utenti.

  4. Selezionare Nuovo utente>Invita utente esterno (anteprima).

  5. Nella scheda Informazioni di base immettere le informazioni per l'utente:

    • Posta elettronica. Obbligatorio. Indirizzo di posta elettronica dell'utente da invitare.
    • Nome visualizzato. Nome e cognome del nuovo utente. Ad esempio, Mary Parker.
    • In Messaggio di invito:
      • Selezionare la casella di controllo Invia messaggio di invito se si desidera inviare l'e-mail di invito all'utente. In caso contrario, deselezionare la casella di controllo.
      • In Messaggio aggiungere un messaggio personale da includere nel messaggio di posta elettronica di invito.
      • Per inviare una copia del messaggio di posta elettronica di invito a qualcuno, aggiungere il loro indirizzo di posta elettronica nella casella di testo Cc Destinatario .
      • L'URL di reindirizzamento , per impostazione predefinita, rimanda a MyApplications, dove l'utente viene reindirizzato quando riscatta l'invito. È possibile modificarlo in un URL diverso.
  6. Selezionare la scheda Assegnazioni e seguire questa procedura per assegnare un ruolo all'utente. L'aggiunta di un gruppo è facoltativa.

    • Selezionare + Aggiungi ruolo.
    • Dal menu visualizzato scegliere fino a 20 ruoli dall'elenco. È possibile assegnare l'utente a uno o più ruoli di amministratore in Microsoft Entra ID.
    • Selezionare il pulsante Seleziona .
  7. Selezionare il pulsante Rivedi e invita .

All'utente viene inviato un messaggio di posta elettronica di invito. L'utente deve accettare l'invito per poter eseguire l’accesso.

Modificare o aggiungere un'assegnazione di ruolo

È possibile assegnare un ruolo quando si crea un utente o si invita un utente guest. È possibile aggiungere un ruolo, modificare il ruolo o rimuovere un ruolo per un utente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del ruolo con privilegi.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Entra ID>Utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare Aggiungi assegnazioni, selezionare il ruolo da assegnare (ad esempio, Amministratore applicazione) e quindi scegliere Aggiungi.

Rimuovere un'assegnazione di ruolo

Se è necessario rimuovere un'assegnazione di ruolo da un utente, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del ruolo con privilegi.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Entra ID>Utenti.
  4. Selezionare l'utente per cui si desidera modificare i ruoli. Selezionare quindi Ruoli assegnati.
  5. Selezionare il ruolo che si vuole rimuovere, ad esempio Amministratore applicazione e quindi selezionare Rimuovi assegnazione.

Rivedere le assegnazioni dei ruoli dell'account amministratore

Come parte di un processo di controllo, in genere si esaminano gli utenti assegnati a ruoli specifici nella directory dei clienti. Usare la procedura seguente per controllare a quali utenti sono attualmente assegnati ruoli con privilegi.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del ruolo con privilegi.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Entra ID>Ruoli e amministratori.
  4. Selezionare un ruolo, ad esempio Amministratore utenti. Nella pagina Assegnazioni sono elencati gli utenti con tale ruolo.

Eliminare un account amministratore

Per eliminare un utente esistente, è necessario avere almeno l'assegnazione di ruolo Amministratore utenti . Gli amministratori di autenticazione con privilegi possono eliminare qualsiasi utente, inclusi gli altri amministratori. Gli amministratori utenti possono eliminare qualsiasi utente non amministratore.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione con privilegi.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Passare a Entra ID>Utenti.
  4. Selezionare l'utente da eliminare.
  5. Selezionare Elimina e quindi per confermare l'eliminazione.

L'utente viene eliminato e non viene più visualizzato nella pagina Tutti gli utenti . L'utente può essere visualizzato nella pagina Utenti eliminati per i prossimi 30 giorni e può essere ripristinato durante tale periodo. Per altre informazioni sul ripristino di un utente, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.

Proteggere gli account amministrativi

È consigliabile proteggere tutti gli account amministratore con l'autenticazione a più fattori (MFA) per una maggiore sicurezza. L'autenticazione a più fattori è un processo di verifica dell'identità durante l'accesso che richiede all'utente un passcode monouso.

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo di amministratore globale . Si tratta di account con privilegi elevati non assegnati a utenti specifici. Gli account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo le raccomandazioni relative all'account di accesso di emergenza.