Configurare la gestione dei gruppi self-service in Microsoft Entra ID
È possibile consentire agli utenti di creare e gestire i propri gruppi di sicurezza o i gruppi di Microsoft 365 in Microsoft Entra ID, parte di Microsoft Entra. Il proprietario del gruppo può approvare o negare le richieste di appartenenza e può delegare il controllo dell'appartenenza al gruppo. Le funzionalità di gestione dei gruppi self-service non sono disponibili per i gruppi di sicurezza abilitati alla posta elettronica o per le liste di distribuzione.
Appartenenza al gruppo self-service
È possibile consentire agli utenti di creare gruppi di sicurezza, usati per gestire l'accesso alle risorse condivise. I gruppi di sicurezza possono essere creati dagli utenti in portale di Azure, usando Azure AD PowerShell o dal pannello Accesso ai gruppi di app personali.
Importante
Azure AD PowerShell è pianificato per la deprecazione il 30 marzo 2024. Per altri dettagli sui piani di deprecazione, vedere l'aggiornamento della deprecazione. È consigliabile continuare la migrazione a Microsoft Graph PowerShell, che è il modulo consigliato per interagire con Microsoft Entra ID. Inoltre, Microsoft Graph PowerShell consente di accedere a tutte le API Microsoft Graph ed è disponibile in PowerShell 7. Per altre informazioni, vedere Eseguire l'aggiornamento da Azure AD PowerShell a Microsoft Graph PowerShell.
Solo i proprietari del gruppo possono aggiornare l'appartenenza, ma è possibile fornire ai proprietari del gruppo la possibilità di approvare o negare le richieste di appartenenza dal pannello Di accesso ai gruppi di App personali. I gruppi di sicurezza creati da self-service tramite il pannello di accesso Gruppi di app personali sono disponibili per l'aggiunta a tutti gli utenti, sia approvati dal proprietario che approvati automaticamente. Nel pannello Accesso ai gruppi di App personali è possibile modificare le opzioni di appartenenza quando si crea il gruppo.
I gruppi di Microsoft 365, che offrono opportunità di collaborazione per gli utenti, possono essere creati in qualsiasi applicazione di Microsoft 365, ad esempio SharePoint, Microsoft Teams e Planner. I gruppi di Microsoft 365 possono essere creati anche in portale di Azure, usando PowerShell di Microsoft Graph o dal pannello Accesso ai gruppi di App personali. Per altre informazioni sulla differenza tra i gruppi di sicurezza e i gruppi di Microsoft 365, vedere Informazioni sui gruppi
| Gruppi creati in | Comportamento predefinito del gruppo di sicurezza | Comportamento predefinito del gruppo di Microsoft 365 |
|---|---|---|
| Microsoft Graph PowerShell | Solo i proprietari possono aggiungere membri Visibile ma non disponibile per l'aggiunta nel pannello di accesso ai gruppi di app personali |
Apri per partecipare a tutti gli utenti |
| Azure portal | Solo i proprietari possono aggiungere membri Visibile ma non disponibile per l'aggiunta nel pannello di accesso ai gruppi di App personali Il proprietario non viene assegnato automaticamente durante la creazione del gruppo |
Apri per partecipare a tutti gli utenti |
| Pannello Accesso ai gruppi di App personali | Apri per partecipare a tutti gli utenti Le opzioni di appartenenza possono essere modificate quando viene creato il gruppo |
Apri per partecipare a tutti gli utenti Le opzioni di appartenenza possono essere modificate quando viene creato il gruppo |
Scenari di gestione dei gruppi self-service
- Gestione del gruppo delegato Un esempio è un amministratore che gestisce l'accesso a un'applicazione SaaS (Software as a Service) usata dall'azienda. In questo caso la gestione dei diritti di accesso diventa più onerosa e pertanto l'amministratore chiede al titolare dell'organizzazione di creare un nuovo gruppo. L'amministratore assegna l'accesso per l'applicazione al nuovo gruppo e aggiunge al gruppo tutte le persone che già accedono all'applicazione. Il titolare dell'organizzazione può quindi aggiungere altri utenti, per i quali il provisioning nell'applicazione viene effettuato automaticamente. Il titolare dell'organizzazione non deve attendere che l'amministratore gestisca l'accesso degli utenti. Se l'amministratore concede la stessa autorizzazione a un manager in un gruppo aziendale diverso, tale persona può anche gestire l'accesso per i propri membri del gruppo. Né il proprietario dell'azienda né il manager possono visualizzare o gestire le appartenenze ai gruppi dell'altro. L'amministratore può comunque visualizzare tutti gli utenti che hanno accesso all'applicazione e, se necessario, revocare i diritti di accesso.
- Gestione self-service dei gruppi Un esempio di questo scenario è costituito da due utenti che hanno entrambi siti di SharePoint Online configurati in modo indipendente Vogliono concedere l'accesso ai propri siti da parte dei team dell'altro. A tale scopo, possono creare un gruppo in Microsoft Entra ID e in SharePoint Online ognuno di essi seleziona tale gruppo per fornire l'accesso ai propri siti. Quando un utente vuole accedere, lo richiede dal Pannello di accesso Gruppi di app personali e, dopo l'approvazione, ottiene automaticamente l'accesso a entrambi i siti di SharePoint Online. Se successivamente uno degli utenti decide che tutte le persone che accedono al sito devono poter accedere anche a una determinata applicazione SaaS, l'amministratore dell'applicazione SaaS può aggiungere i diritti di accesso per l'applicazione al sito di SharePoint Online. Da quel punto in poi, tutte le richieste approvate forniscono l'accesso ai due siti di SharePoint Online e anche a questa applicazione SaaS.
Rendere disponibile un gruppo per gli utenti in modalità self-service
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.
Selezionare Microsoft Entra ID.
Selezionare Tutti i gruppi> e quindi impostazioni Generali.
Nota
Questa impostazione limita solo l'accesso alle informazioni sui gruppi in Gruppi personali. Non limita l'accesso alle informazioni sui gruppi tramite altri metodi, ad esempio le chiamate all'API Microsoft Graph o l'interfaccia di amministrazione di Microsoft Entra.
Nota
A giugno 2024, l'impostazione Limita l'accesso degli utenti a Gruppi personali verrà modificata in Limitare la possibilità agli utenti di visualizzare e modificare i gruppi di sicurezza in Gruppi personali. Se l'impostazione è attualmente impostata su "Sì", gli utenti finali potranno accedere ai gruppi personali nel mese di giugno 2024, ma non potranno visualizzare i gruppi di sicurezza.
Impostare Proprietari in grado di gestire le richieste di appartenenza ai gruppi nel Pannello di accesso su Sì.
Impostare Limita la capacità utente di accedere alle funzionalità dei gruppi nel Pannello di accesso su No.
Impostare Gli utenti possono creare gruppi di sicurezza in portale di Azure, API o PowerShell su Sì o No.
Per altre informazioni su questa impostazione, vedere la sezione Successiva Group settings .For more information about this setting, see the next section Group settings.
Impostare Gli utenti possono creare gruppi di Microsoft 365 in portale di Azure, API o PowerShell su Sì o No.
Per altre informazioni su questa impostazione, vedere la sezione Successiva Group settings .For more information about this setting, see the next section Group settings.
È anche possibile usare Proprietari che possono assegnare membri come proprietari di gruppi nel portale di Azure per ottenere un controllo di accesso più granulare sulla gestione dei gruppi self-service per gli utenti.
Quando gli utenti possono creare gruppi, tutti gli utenti dell'organizzazione possono creare nuovi gruppi e quindi possono, come proprietario predefinito, aggiungere membri a questi gruppi. Non è possibile specificare singoli utenti che possono creare i propri gruppi. È possibile specificare singoli utenti solo per rendere un altro membro del gruppo proprietario di un gruppo.
Nota
Per gli utenti è necessaria una licenza Microsoft Entra ID P1 o P2 per richiedere agli utenti di partecipare a un gruppo di sicurezza o a un gruppo di Microsoft 365 e per consentire ai proprietari di approvare o negare le richieste di appartenenza. Senza una licenza Microsoft Entra ID P1 o P2, gli utenti possono comunque gestire i gruppi nel pannello Accesso ai gruppi di app personali, ma non possono creare un gruppo che richiede l'approvazione del proprietario e non possono richiedere l'aggiunta a un gruppo.
Impostazioni dei gruppi
Le impostazioni di gruppo consentono di controllare chi può creare gruppi di sicurezza e Microsoft 365.
La tabella seguente consente di decidere quali valori scegliere.
| Impostazione | valore | Effetto sul tenant |
|---|---|---|
| Gli utenti possono creare gruppi di sicurezza in portale di Azure, API o PowerShell | Sì | Tutti gli utenti dell'organizzazione Microsoft Entra possono creare nuovi gruppi di sicurezza e aggiungere membri a questi gruppi in portale di Azure, API o PowerShell. Questi nuovi gruppi saranno visibili anche nel pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi. |
| No | Gli utenti non possono creare gruppi di sicurezza e non possono modificare i gruppi esistenti per i quali sono proprietari. Possono tuttavia gestire l'appartenenza a tali gruppi e approvare le richieste di partecipazione provenienti da altri utenti. | |
| Gli utenti possono creare gruppi di Microsoft 365 in portale di Azure, API o PowerShell | Sì | Tutti gli utenti dell'organizzazione Microsoft Entra possono creare nuovi gruppi di Microsoft 365 e aggiungere membri a questi gruppi in portale di Azure, API o PowerShell. Questi nuovi gruppi saranno visibili anche nel pannello di accesso per tutti gli altri utenti. Se consentito dall'impostazione dei criteri per il gruppo, gli altri utenti potranno creare richieste di partecipazione a questi gruppi. |
| No | Gli utenti non possono creare gruppi di Microsoft 365 e non possono modificare i gruppi esistenti per i quali sono proprietari. Possono tuttavia gestire l'appartenenza a tali gruppi e approvare le richieste di partecipazione provenienti da altri utenti. |
Ecco alcuni dettagli aggiuntivi su queste impostazioni di gruppo.
- L'applicazione di queste impostazioni può richiedere fino a 15 minuti.
- Se si vogliono abilitare alcuni utenti, ma non tutti, per creare gruppi, è possibile assegnare agli utenti un ruolo in grado di creare gruppi, ad esempio Gruppi Amministrazione istrator.
- Queste impostazioni sono destinate agli utenti e non influiscono sulle entità servizio. Ad esempio, se si dispone di un'entità servizio con autorizzazioni per creare gruppi, anche se si impostano queste impostazioni su No, l'entità servizio sarà comunque in grado di creare gruppi.
Configurare le impostazioni del gruppo con Microsoft Graph
Per configurare l'impostazione Users can create security groups in portale di Azure s, API o PowerShell using Microsoft Graph,configure the EnableGroupCreation object in the group Impostazioni object. Per altre informazioni, vedere Panoramica delle impostazioni del gruppo.
Per configurare l'impostazione Users can create security groups in portale di Azure s, API o PowerShell using Microsoft Graph, aggiornare la proprietà allowedToCreateSecurityGroups di defaultUserRolePermissions nell'oggetto authorizationPolicy.
Passaggi successivi
Questi articoli forniscono informazioni aggiuntive sull'ID Microsoft Entra.
Commenti e suggerimenti
Invia e visualizza il feedback per