I ruoli di Microsoft Entra controllano l'accesso alle risorse di Microsoft Entra, ad esempio utenti, gruppi e applicazioni tramite l'API Microsoft Graph
I ruoli di Azure controllano l'accesso alle risorse di Azure, ad esempio macchine virtuali o archiviazione con Gestione risorse di Azure
Entrambi i sistemi contengono definizioni di ruolo e assegnazioni di ruolo usate in modo analogo. Tuttavia, le autorizzazioni del ruolo Microsoft Entra non possono essere usate nei ruoli personalizzati di Azure e viceversa.
Comprendere il controllo degli accessi basato sui ruoli di Microsoft Entra
Microsoft Entra ID supporta due tipi di definizioni di ruoli:
I ruoli integrati sono ruoli predefiniti con un set fisso di autorizzazioni. Queste definizioni di ruolo non possono essere modificate. Esistono molti ruoli predefiniti supportati da Microsoft Entra ID e l'elenco è in crescita. Per affinare i dettagli e soddisfare i requisiti sofisticati, Microsoft Entra ID supporta anche ruoli personalizzati. La concessione dell'autorizzazione tramite ruoli Microsoft Entra personalizzati è un processo in due passaggi che prevede la creazione di una definizione di ruolo personalizzata e quindi l'assegnazione tramite un'assegnazione di ruolo. Una definizione di ruolo personalizzata è una raccolta di autorizzazioni aggiunte da un elenco preimpostato. Queste autorizzazioni sono le stesse autorizzazioni usate nei ruoli predefiniti.
Dopo aver creato la definizione di ruolo personalizzata (o usando un ruolo predefinito), è possibile assegnarla a un utente creando un'assegnazione di ruolo. Un'assegnazione di ruolo concede all'utente le autorizzazioni in una definizione di ruolo in un ambito specificato. Questo processo in due passaggi consente di creare una singola definizione di ruolo e assegnarla più volte in ambiti diversi. Un ambito definisce il set di risorse di Microsoft Entra a cui il membro del ruolo ha accesso. L'ambito più comune è a livello di organizzazione. È possibile assegnare un ruolo personalizzato a livello di intera organizzazione, il che significa che il membro del ruolo ha le autorizzazioni del ruolo su tutte le risorse dell'organizzazione. È anche possibile assegnare un ruolo personalizzato in un ambito di oggetto. Un esempio di ambito di un oggetto è una singola applicazione. Lo stesso ruolo può essere assegnato a un utente per tutte le applicazioni dell'organizzazione e poi a un altro utente con l'ambito limitato solo all'app Contoso Expense Reports.
Come Microsoft Entra ID determina se un utente ha accesso a una risorsa
Di seguito sono riportati i passaggi generali usati da Microsoft Entra ID per determinare se si ha accesso a una risorsa di gestione. Usare queste informazioni per risolvere i problemi di accesso.
Un utente (o un principale di servizio) acquisisce un token per l'accesso all'endpoint di Microsoft Graph.
L'utente effettua una chiamata API all'ID Microsoft Entra tramite Microsoft Graph usando il token rilasciato.
A seconda delle circostanze, Microsoft Entra ID esegue una delle azioni seguenti:
Valuta le appartenenze ai ruoli dell'utente in base all'attestazione nel token di accesso dell'utente.
Recupera tutte le assegnazioni di ruolo che si applicano all'utente, direttamente o tramite appartenenza al gruppo, alla risorsa in cui viene eseguita l'azione.
Microsoft Entra ID determina se l'azione nella chiamata API è inclusa nei ruoli che l'utente ha per questa risorsa.
Se l'utente non ha un ruolo con l'azione nell'ambito richiesto, l'accesso non viene concesso. In caso contrario, viene concesso l'accesso.
Assegnazione di ruolo
Un'assegnazione di ruolo è una risorsa di Microsoft Entra che collega una definizione di ruolo a un'entità di sicurezza in un determinato ambito per concedere l'accesso alle risorse di Microsoft Entra. L'accesso viene concesso creando un'assegnazione di ruolo e l'accesso viene revocato rimuovendo un'assegnazione di ruolo. Al suo interno, un'assegnazione di ruolo è costituita da tre elementi:
Entità di sicurezza: identità che ottiene le autorizzazioni. Può trattarsi di un utente, un gruppo o un'entità servizio.
Definizione del ruolo: raccolta di autorizzazioni.
Ambito: un modo per vincolare la posizione in cui tali autorizzazioni sono applicabili.
Il diagramma seguente mostra un esempio di assegnazione di ruolo. In questo esempio, a Chris è stato assegnato il ruolo personalizzato di Amministratore della registrazione delle app nel contesto della registrazione dell'app Contoso Widget Builder. L'assegnazione concede a Chris le autorizzazioni del ruolo Amministratore registrazione app solo per questa registrazione specifica dell'app.
Entità di sicurezza
Un'entità di sicurezza rappresenta un utente, un gruppo o un'entità servizio assegnata alle risorse di Microsoft Entra. Un utente è un utente che ha un profilo utente in Microsoft Entra ID. Un gruppo è un nuovo gruppo Microsoft 365 o di sicurezza impostato come gruppo assegnabile al ruolo . Un'entità servizio è un'identità creata per l'uso con applicazioni, servizi ospitati e strumenti automatizzati per accedere alle risorse di Microsoft Entra.
Definizione del ruolo
Una definizione di ruolo, o ruolo, è una raccolta di permessi. Una definizione di ruolo elenca le operazioni che possono essere eseguite sulle risorse di Microsoft Entra, ad esempio creare, leggere, aggiornare ed eliminare. Esistono due tipi di ruoli in Microsoft Entra ID:
Ruoli predefiniti creati da Microsoft che non possono essere modificati.
Ruoli personalizzati creati e gestiti dall'organizzazione.
Ambito
Un ambito è un modo per limitare le azioni consentite a un determinato set di risorse come parte di un'assegnazione di ruolo. Ad esempio, se si vuole assegnare un ruolo personalizzato a uno sviluppatore, ma solo per gestire una registrazione specifica dell'applicazione, è possibile includere la registrazione dell'applicazione specifica come ambito nell'assegnazione di ruolo.
Quando si assegna un ruolo, specificare uno dei tipi di ambito seguenti:
Se si specifica una risorsa Microsoft Entra come ambito, può essere una delle seguenti:
Gruppi di Microsoft Entra
Applicazioni aziendali
Registrazioni dell'applicazione
Quando un ruolo viene assegnato nel contesto di un contenitore, come un Tenant o un'unità amministrativa, concede le autorizzazioni sugli oggetti che vi sono contenuti ma non sul contenitore stesso. Al contrario, quando un ruolo viene assegnato a un ambito di risorsa, concede le autorizzazioni sulla risorsa stessa, ma non si estende oltre (in particolare, non si estende ai membri di un gruppo Microsoft Entra).
Microsoft Entra ID offre più opzioni per l'assegnazione dei ruoli:
È possibile assegnare ruoli direttamente agli utenti, ovvero il modo predefinito per assegnare i ruoli. I ruoli predefiniti e personalizzati di Microsoft Entra possono essere assegnati agli utenti, in base ai requisiti di accesso. Per altre informazioni, vedere Assegnare i ruoli di Microsoft Entra.
Con Microsoft Entra ID P1, è possibile creare gruppi assegnabili a ruoli e assegnare ruoli a questi gruppi. L'assegnazione di ruoli a un gruppo anziché a singoli utenti consente di aggiungere o rimuovere facilmente gli utenti da un ruolo e di creare autorizzazioni coerenti per tutti i membri del gruppo. Per ulteriori informazioni, consultare Assegnare ruoli di Microsoft Entra.
Con Microsoft Entra ID P2, è possibile usare Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) per fornire l'accesso just-in-time ai ruoli. Questa funzionalità consente di concedere l'accesso limitato al tempo a un ruolo agli utenti che lo richiedono, anziché concedere l'accesso permanente. Offre anche funzionalità dettagliate di creazione di report e controllo. Per ulteriori informazioni, vedere Assegnare ruoli Microsoft Entra in Privileged Identity Management.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.
Scopri come assegnare i ruoli di Microsoft Entra a utenti e gruppi nei tenant, nelle registrazioni dell'applicazione e negli ambiti delle unità amministrative usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph.
Informazioni su come creare un ruolo personalizzato in Microsoft Entra ID usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph
Informazioni su come elencare le definizioni di ruolo predefinite e personalizzate di Microsoft Entra e le relative autorizzazioni usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph.
Informazioni su come elencare le assegnazioni di ruolo di Microsoft Entra usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph.