Aggiungere e gestire gli utenti per Microsoft Intune

Microsoft Entra ID, parte di Microsoft Entra, è il servizio di identità per Microsoft Intune, ovvero gli account utente visualizzati in Intune esistono in Microsoft Entra. In qualità di amministratore con autorizzazioni di controllo degli accessi in base al ruolo sufficienti all'interno di Microsoft Entra, è possibile usare l'interfaccia di amministrazione Intune per gestire Microsoft Entra account utente. Le stesse autorizzazioni Entra consentono inoltre a un amministratore di gestire gli utenti dall'interno del interfaccia di amministrazione di Microsoft 365 o direttamente tramite il Interfaccia di amministrazione di Microsoft Entra.

Intune supporta anche l'uso di account utente sincronizzati da Active Directory a qualsiasi servizio basato sul cloud che condivide il tenant con Intune e il tenant Entra.

Dopo l'aggiunta o la sincronizzazione di un utente a Entra e l'assegnazione di una licenza a Intune, l'utente può registrare i dispositivi con Intune e iniziare ad accedere alle risorse aziendali. Intune gli amministratori possono anche assegnare Intune ruoli e autorizzazioni di controllo degli accessi in base al ruolo a gruppi discreti di utenti per consentire a tali utenti di amministrare la sottoscrizione Intune.

Il resto di questo articolo è incentrato sull'uso dell'interfaccia di amministrazione Intune per gestire gli account utente.

• Per informazioni sull'uso del Interfaccia di amministrazione di Microsoft Entra per gestire gli utenti, vedere Come creare, invitare ed eliminare utenti nella documentazione di Microsoft Entra.
• Per informazioni sull'uso del interfaccia di amministrazione di Microsoft 365 per gestire gli utenti, vedere Aggiungere utenti e Aggiungere più utenti nella documentazione di Microsoft 365.

Controlli degli accessi in base al ruolo per la gestione degli account utente

Prima di poter usare l'interfaccia di amministrazione Intune per gestire gli utenti, l'account deve disporre delle autorizzazioni di controllo degli accessi in base al ruolo all'interno di Microsoft Entra per gestire gli account utente. Microsoft Entra autorizzazioni sono necessarie perché Intune controllo degli accessi in base al ruolo è un subset di Controllo degli accessi in base al ruolo di Entra. Come subset, le autorizzazioni di controllo degli accessi in base al ruolo solo Intune non sono sufficienti per gestire gli account in Microsoft Entra. Esistono tuttavia alcuni ruoli Microsoft Entra che includono autorizzazioni all'interno di Intune.

Quando si usa il controllo degli accessi in base al ruolo, Microsoft consiglia di seguire il principio delle autorizzazioni minime usando solo gli account con le autorizzazioni minime necessarie per un'attività e limitando l'uso e l'assegnazione di ruoli amministrativi con privilegi come l'amministratore Intune.

L'Microsoft Entra ruolo predefinito controllo degli accessi in base al ruolo predefinito è il ruolo predefinito con privilegi minimi che include autorizzazioni sufficienti per aggiungere e gestire gli account utente:

• Amministratore utente: questo ruolo fornisce autorizzazioni sufficienti per aggiungere e modificare gli account utente dall'interno delle interfacce di amministrazione per Microsoft Intune, Microsoft Entra e Microsoft 365.

Consiglio

Il ruolo amministratore utente Microsoft Entra offre inoltre autorizzazioni sufficienti per assegnare licenze a Intune e altri prodotti agli utenti. Tuttavia, la gestione delle licenze è un'attività che può essere gestita solo quando si usa il interfaccia di amministrazione di Microsoft 365. Per altre informazioni, vedere Assegnare licenze Intune agli utenti.

Aggiungere utenti a Intune

È possibile usare l'interfaccia di amministrazione Intune per aggiungere manualmente nuovi account utente al Microsoft Entra ID in cui saranno quindi disponibili per la sottoscrizione. È possibile aggiungere utenti singolarmente e usare anche un'operazione in blocco per aggiungere più utenti contemporaneamente quando sono definiti in un file CSV.

Aggiungere singoli utenti

I passaggi procedurali seguenti possono essere usati per aggiungere singoli utenti alla sottoscrizione di Intune. Per una revisione più completa della creazione di nuovi account utente, vedere Come creare, invitare ed eliminare utenti nella documentazione di Microsoft Entra.

1. Nell'interfaccia di amministrazione Intune passare a Utenti>Tutti gli utenti> selezionare Nuovo utente>Crea nuovo utente.

2. Nella scheda Informazioni di base configurare i dettagli utente seguenti:

   • Nome entità utente: il nome dell'entità utente (UPN) viene archiviato in Microsoft Entra ID e viene usato per accedere ai servizi, inclusi Microsoft Entra, Microsoft 365 e Microsoft Intune.
   • Nome alternativo della posta elettronica: per immettere un nome alternativo di posta elettronica diverso dal nome dell'entità utente, deselezionare l'opzione Deriva dal nome dell'entità utente e quindi immettere il nome alternativo della posta elettronica.
   • Nome visualizzato : modalità di visualizzazione del nome dell'utente. Ad esempio, Chris Green o Chris A. Green.
   • Password : aggiungere una password per il nuovo utente o scegliere di generarla automaticamente. Tutti i nuovi utenti sono invitati a creare una nuova password al primo accesso.
   • Account abilitato : quando un account non è abilitato, all'utente viene impedito l'accesso. Questa impostazione può essere aggiornata dopo la creazione dell'account.

È possibile selezionare Rivedi e crea per creare il nuovo account utente usando solo le informazioni di base oppure selezionare Avanti: Proprietà per completare configurazioni aggiuntive ma facoltative.

3. Nella scheda Proprietà configurare i dettagli seguenti, tutti facoltativi. I valori non specificati rimangono vuoti quando l'account viene creato e possono essere modificati in un secondo momento.

   • Identità:
     • Nome
     • Cognome
     • Tipo di utente : scegliere Membro o Guest. Entrambi i tipi di utente sono interni all'organizzazione. I membri sono in genere dipendenti a tempo pieno nell'organizzazione. Gli utenti guest hanno un account nel tenant, ma dispongono di privilegi a livello di guest.
     • Informazioni di autorizzazione : quando si usa l'autenticazione basata su certificati per gli utenti, è possibile usare questo campo per aggiungere fino a cinque ID utente certificato. Per altre informazioni, vedere Mapping all'attributo certificateUserIds in Microsoft Entra ID.
   • Informazioni sul processo: specificare informazioni correlate al processo, ad esempio il titolo del processo, il reparto o il responsabile dell'utente.
   • Informazioni di contatto: aggiungere le informazioni di contatto per l'utente.
   • Controllo genitori: per organizzazioni come i distretti scolastici K-12, potrebbe essere necessario fornire la fascia di età dell'utente. I minori hanno 12 anni e meno, Non adulti hanno 13-18 anni e gli adulti hanno 18 anni e più. La combinazione di fascia di età e consenso fornita dalle opzioni padre determina la classificazione della fascia di età legale. La classificazione gruppo di età legale potrebbe limitare l'accesso e l'autorità dell'utente.
   • Impostazioni: è possibile usare il percorso di utilizzo per identificare la posizione globale di un utente.

   Selezionare Rivedi e crea o continuare con Avanti: Assegnazioni.

4. Nella scheda Assegnazioni è possibile assegnare l'utente a una singola unità amministrativa e fino a 20 gruppi o ruoli Microsoft Entra al momento della creazione dell'account. È anche possibile configurare assegnazioni dopo la creazione dell'utente.

   Consiglio

   Alcune opzioni potrebbero non essere disponibili per la configurazione in base al livello di privilegi degli account in Microsoft Entra. Ad esempio, se viene assegnato solo il ruolo Amministratore utenti, è possibile assegnare gli utenti ai gruppi, ma non è possibile assegnare un'unità amministrativa o assegnare all'utente un ruolo Microsoft Entra. Per informazioni sulle autorizzazioni fornite da ruoli diversi, vedere Microsoft Entra ruoli predefiniti.

   Per assegnare un gruppo al nuovo utente:

   1. Selezionare + Aggiungi gruppo.
   2. Dal menu visualizzato scegliere fino a 20 gruppi dall'elenco e selezionare il pulsante Seleziona .
   3. Selezionare il pulsante Rivedi + crea .

   Per assegnare un ruolo Microsoft Entra al nuovo utente:
   Quando un utente richiede le autorizzazioni all'interno di Entra, è possibile usare questa opzione per assegnare un ruolo appropriato. Per assegnare ruoli Entra ad altri account, l'account deve avere autorizzazioni uguali a Microsoft Entra Privileged Role Administrator.

   Consiglio

   La maggior parte degli utenti aggiunti a Intune non richiede un'assegnazione di ruolo Microsoft Entra. Invece, per gli utenti che gestiscono solo Intune, pianificare l'assegnazione di un ruolo di controllo degli accessi in base al ruolo Intune dopo la creazione dell'account.

   1. Selezionare + Aggiungi ruolo.
   2. Dal menu visualizzato scegliere fino a 20 ruoli dall'elenco e selezionare il pulsante Seleziona .
   3. Selezionare il pulsante Rivedi e crea .

   Per aggiungere un'unità amministrativa al nuovo utente:
   La maggior parte degli utenti aggiunti a Intune non richiede mai unità amministrative, che in Microsoft Entra ID è un modo efficace per delegare il controllo amministrativo su subset di utenti, gruppi o dispositivi all'interno dell'organizzazione.

   Al contrario, all'interno di Intune è possibile usare tag di ambito e gruppi di ambito.

   Per assegnare un'unità amministrativa a un utente, l'account deve avere autorizzazioni uguali all'amministratore del ruolo con privilegi di ingresso.

   1. Selezionare + Aggiungi unità amministrativa.
   2. Dal menu visualizzato selezionare un'unità amministrativa e quindi il pulsante Seleziona .
   3. Selezionare Rivedi e crea.

5. Nella scheda Rivedi e crea esaminare i dettagli per assicurarsi che le informazioni siano corrette e che i dettagli superati la convalida. Esaminare i dettagli e selezionare il pulsante Crea se tutto ha un aspetto ottimale.

Nota

È anche possibile invitare utenti guest al tenant Intune. Per altre informazioni, vedere Aggiungere Microsoft Entra utenti di collaborazione B2B nel Interfaccia di amministrazione di Microsoft Entra.

Aggiungere più utenti

È possibile aggiungere Intune utenti in blocco caricando un file CSV contenente l'elenco completo degli utenti. Il file CSV è un elenco di valori delimitati da virgole che può essere modificato nel Blocco note o in Excel.

Per aggiungere più utenti a Intune:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Passare a Utenti>Tutti gli utenti>Operazioni> bulkcreate in blocco. Viene visualizzato il riquadro Creazione bulk utenti , che offre un'opzione per scaricare un modello CVS che è possibile usare.
3. Quando il modello CVS è pronto, usare la funzionalità di esplorazione per individuare e caricare il file. Selezionare Invia per iniziare l'importazione.

Per altre informazioni sull'uso di un file CSV per aggiungere utenti Intune, vedere Creare utenti in blocco in Microsoft Entra ID.

Nota

È anche possibile invitare più utenti guest al tenant Intune. Per altre informazioni, vedere Esercitazione: Invitare in blocco Microsoft Entra utenti di collaborazione B2B.

Sincronizzare Active Directory e aggiungere utenti a Intune

È possibile configurare la sincronizzazione della directory per importare gli account utente dal Active Directory locale a Microsoft Entra che include Intune utenti. La connessione del servizio Active Directory locale a tutti i servizi basati su Entra ID semplifica la gestione dell'identità utente. È anche possibile configurare le funzionalità di Accesso Single Sign-On per rendere l'esperienza di autenticazione per gli utenti familiare e semplice. Quando si collega lo stesso tenant Entra con più servizi, gli account utente sincronizzati in precedenza sono disponibili per tutti i servizi basati sul cloud.

Assicurarsi che gli amministratori di Active Directory abbiano accesso alla sottoscrizione Entra e che siano sottoposti a training per completare le attività comuni di Active Directory e Microsoft Entra.

Come sincronizzare gli utenti locali con Microsoft Entra ID

• Per spostare gli utenti esistenti da Active Directory locale a Entra ID, è possibile configurare l'identità ibrida. Le identità ibride sono presenti in entrambi i servizi, ovvero Active Directory locale e Microsoft Entra ID.
• È anche possibile esportare gli utenti di Active Directory usando l'interfaccia utente o tramite script. Una ricerca su Internet consente di trovare l'opzione migliore per l'organizzazione.
• Per sincronizzare gli account utente con Entra ID, usare la procedura guidata Microsoft Entra Connect. La procedura guidata Microsoft Entra Connect offre un'esperienza semplificata e guidata per la connessione dell'infrastruttura di identità locale al cloud. Scegliere la topologia e le esigenze (directory singole o multiple, sincronizzazione dell'hash delle password, autenticazione pass-through o federazione). La procedura guidata distribuisce e configura tutti i componenti necessari per rendere operativa la connessione. Inclusi: servizi di sincronizzazione, Active Directory Federation Services (AD FS) e il modulo PowerShell di Microsoft Graph.

Consiglio

Microsoft Entra Connect include le funzionalità rilasciate in precedenza come Dirsync e Azure AD Sync. Altre informazioni sull'integrazione della directory. Per informazioni sulla sincronizzazione degli account utente da una directory locale a Entra ID, vedere Analogie tra Active Directory e Microsoft Entra ID.

Eliminare utenti

Dopo che un utente lascia l'organizzazione, è possibile usare l'interfaccia di amministrazione Intune per eliminarli da Microsoft Entra, rimuovendoli anche da Intune. È anche possibile eliminare più utenti usando operazioni bulk.

Per eliminare gli utenti da Entra, l'account amministrativo deve avere autorizzazioni uguali al ruolo di amministratore utente Microsoft Entra.

Per eliminare un singolo utente da Intune:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Passare a Utenti>Tutti gli utenti.
3. Selezionare l'utente da eliminare.
4. Selezionare Elimina.

Per eliminare più utenti da Intune:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Passare a Utenti>Tutti gli utenti>Operazioni> bulkEliminazione in blocco. Viene visualizzato il riquadro Elimina utenti in blocco che fornisce un'opzione per scaricare un modello CVS che è possibile usare.
3. Quando il modello CVS è pronto, usare la funzionalità di esplorazione per individuare e caricare il file. Selezionare Invia per iniziare l'eliminazione.

Per informazioni correlate, vedere Eliminazione bulk di utenti in Microsoft Entra ID.

Consiglio

Gli utenti con autorizzazioni sufficienti per gestire gli account utente possono non essere in grado di eliminare alcuni account. I motivi per cui non è possibile eliminare un account specifico possono includere:

• Account sincronizzati da un Active Directory locale.
• Account a cui è assegnato un ruolo Entra con privilegi più elevati rispetto all'account.
• Account che non rientrano nel gruppo di ambito Intune corrente quando si usa l'interfaccia di amministrazione Intune.

Contenuto correlato

• Aggiungere gruppi per organizzare utenti e dispositivi
• Assegnare licenze agli utenti a Intune