Assegnare ruoli di Azure usando il portale di Azure

Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione usato per gestire l'accesso alle risorse di Azure. Per concedere l'accesso, assegnare ruoli a utenti, gruppi, entità servizio o identità gestite in un ambito specifico. Questo articolo descrive come assegnare ruoli usando il portale di Azure.

Se è necessario assegnare ruoli di amministratore in Microsoft Entra ID, vedere Assegnare ruoli di Microsoft Entra agli utenti.

Prerequisiti

Per assegnare ruoli di Azure, è necessario disporre di:

• Microsoft.Authorization/roleAssignments/write autorizzazioni, ad esempio Amministratore controllo degli accessi in base al ruolo o Amministratore accesso utenti

Passaggio 1: identificare l'ambito necessario

Quando si assegnano i ruoli, è necessario specificare un ambito. Un ambito è il set di risorse a cui si applica l'accesso. In Azure è possibile specificare un ambito a quattro livelli da ampio a stretto: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Per altre informazioni, vedere Comprendere l'ambito.

1. Accedi al portale di Azure.

2. Nella casella di ricerca nella parte superiore cercare l'ambito a cui si vuole concedere l'accesso. È possibile ad esempio cercare Gruppi di gestione, Sottoscrizioni, Gruppi di risorse o una risorsa specifica.

3. Fare clic sulla risorsa specifica per tale ambito.

   L'immagine seguente mostra un gruppo di risorse di esempio.

   

Passaggio 2: aprire la pagina Aggiungi assegnazione di ruolo

Controllo di accesso (IAM) è la pagina che viene usata in genere per assegnare ruoli e concedere l'accesso alle risorse di Azure. anche nota come Gestione delle identità e degli accessi (IAM) e visualizzata in diverse posizioni nel portale di Azure.

1. Fare clic su Controllo di accesso (IAM).

   L'immagine seguente mostra un esempio della pagina Controllo di accesso (IAM) per un gruppo di risorse.

   

2. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo nell'ambito.

3. Fare clic su Aggiungi>Aggiungi assegnazione di ruolo.

   Se non si dispone delle autorizzazioni per assegnare ruoli, l'opzione Aggiungi assegnazione di ruolo verrà disabilitata.

   

   Viene visualizzata la pagina Aggiungi assegnazione di ruolo.

Passaggio 3: selezionare il ruolo appropriato

Per selezionare un ruolo, seguire questa procedura:

1. Nella scheda Ruolo, selezionare un ruolo da usare.

   È possibile cercare un ruolo in base al nome o alla descrizione. È anche possibile filtrare i ruoli in base al tipo e alla categoria.

   

   Nota: se non si è certi del ruolo da assegnare, è ora possibile usare Copilot per selezionare il ruolo appropriato. (Anteprima limitata. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant o l'interfaccia potrebbe avere un aspetto diverso.

2. (Facoltativo) Nella scheda Ruolo fare clic sul pulsante Copilot per selezionare il ruolo . Verrà visualizzata la finestra di dialogo Copilot.

   

   Nella finestra di dialogo è possibile aggiungere richieste descrittive per indicare a Copilot i requisiti per il ruolo e cosa è necessario che un utente sia autorizzato a eseguire, ad esempio, "Aiutami a selezionare un ruolo per distribuire e gestire le funzioni di Azure" o "Quale ruolo usare se si vuole che un utente possa gestire e visualizzare un'area di lavoro?" L'uso di frasi come "Aiutami a selezionare..." o "Quale ruolo usare per..." aiuta Copilot a comprendere più chiaramente la finalità per ottenere risultati migliori.

   In base alla natura del prompt, Copilot suggerisce un ruolo o più ruoli in base ai requisiti forniti. Copilot chiede di confermare selezionando le autorizzazioni. Copilot consiglia quindi un ruolo in base ai criteri forniti. È possibile selezionare il ruolo oppure chiedere a Copilot di consigliare altri ruoli. Se si seleziona Seleziona ruolo, si torna alla pagina Aggiungi assegnazione di ruolo in cui è possibile selezionare il ruolo consigliato e visualizzarne i dettagli.

3. Se si vuole assegnare un ruolo di amministratore con privilegi, selezionare la scheda Ruoli di amministratore con privilegi per selezionare il ruolo.

   Per le procedure consigliate quando si usano le assegnazioni di ruolo con privilegi di amministratore, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

   

4. Nella colonna Dettagli fare clic su Visualizza per ottenere altri dettagli su un ruolo.

   

5. Fare clic su Avanti.

Passaggio 4: selezionare gli utenti che devono accedere

Per selezionare chi deve accedere, seguire questa procedura:

1. Nella scheda Membri selezionare Utente, gruppo o entità servizio per assegnare il ruolo selezionato a uno o più utenti, gruppi o entità servizio (applicazioni) di Microsoft Entra.

   

2. Fare clic su Seleziona membri.

3. Trovare e selezionare gli utenti, i gruppi o le entità servizio.

   Nella casella Seleziona è possibile digitare il nome visualizzato o l'indirizzo di posta elettronica per eseguire una ricerca nella directory.

   

4. Fare clic su Seleziona per aggiungere utenti, gruppi o entità servizio all'elenco Membri.

5. Per assegnare il ruolo selezionato a una o più identità gestite, selezionare Identità gestita.

6. Fare clic su Seleziona membri.

7. Nel riquadro Selezionare le identità gestite, selezionare il tipo di identità gestita, assegnata dall'utente o assegnata dal sistema.

8. Trovare e selezionare le identità gestite.

   Per le identità gestite assegnate dal sistema, è possibile selezionare identità gestite mediante l'istanza del servizio di Azure.

   

9. Fare clic su Seleziona per aggiungere le identità gestite all'elenco Membri.

10. Nella casella Descrizione immettere una descrizione facoltativa per questa assegnazione di ruolo.

    In un secondo momento è possibile visualizzare questa descrizione nell'elenco delle assegnazioni di ruolo.

11. Fare clic su Avanti.

Passaggio 5 (facoltativo): aggiungere una condizione

Se si seleziona un ruolo che supporta le condizioni, viene visualizzata una scheda Condizioni in cui è possibile aggiungere una condizione all'assegnazione di ruolo. Una condizione è un controllo aggiuntivo che è possibile aggiungere facoltativamente all'assegnazione di ruolo per fornire un controllo di accesso più accurato.

L'aspetto della scheda Condizioni sarà diverso in base al ruolo selezionato.

Condizione del delegato

Se è stato selezionato uno dei ruoli con privilegi seguenti, seguire la procedura descritta in questa sezione.

• Owner
• Amministratore controllo degli accessi in base al ruolo
• Amministratore accessi utente

1. Nella scheda Condizioni in Operazioni che l'utente può eseguire selezionare l'opzione Consenti all'utente di assegnare solo i ruoli selezionati alle entità selezionate (meno privilegi).

   

2. Fare clic su Seleziona ruoli e entità per aggiungere una condizione che vincola i ruoli e le entità a cui l'utente può assegnare ruoli.

3. Seguire la procedura descritta in Delegare la gestione delle assegnazioni di ruolo di Azure ad altri utenti con condizioni.

Condizione di archiviazione

Se è stato selezionato uno dei ruoli di archiviazione seguenti, seguire la procedura descritta in questa sezione.

• Collaboratore ai dati di Storage Blob
• Proprietario dei dati del BLOB di archiviazione
• Lettore dei dati del BLOB di archiviazione
• Collaboratore ai dati della coda di archiviazione
• Ruolo con autorizzazioni di elaborazione per i messaggi sui dati della coda di archiviazione
• Mittente dei messaggi sui dati della coda di archiviazione
• Ruolo con autorizzazioni di lettura per i dati della coda di archiviazione

1. Fare clic su Aggiungi condizione se si desidera perfezionare ulteriormente le assegnazioni di ruolo in base agli attributi di archiviazione.

   

2. Seguire la procedura descritta in Aggiungere o modificare le condizioni di assegnazione di ruolo di Azure.

Passaggio 6: selezionare il tipo di assegnazione

Se si dispone di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance, verrà visualizzata una scheda Tipo di assegnazione per gli ambiti gruppo di gestione, sottoscrizione e gruppo di risorse. Usare le assegnazioni idonee per fornire l'accesso JUST-In-Time a un ruolo. Gli utenti con assegnazioni idonee e/o con vincoli di tempo devono disporre di una licenza valida.

Se non si vuole usare la funzionalità PIM, selezionare il tipo di assegnazione Disponibile e le opzioni di durata dell'assegnazione Permanente. Queste impostazioni creano un'assegnazione di ruolo in cui l'entità di sicurezza ha sempre le autorizzazioni nel ruolo.

Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel proprio tenant o l'interfaccia in uso potrebbe avere un aspetto diverso. Per ulteriori informazioni, vedere Assegnazioni di ruolo idonee e con vincoli temporali in Azure Role-Based Access Control.

1. Nella scheda Tipo di assegnazione selezionare il tipo di assegnazione.

   • Idoneo: l'utente deve eseguire una o più azioni per usare il ruolo, ad esempio eseguire un controllo di autenticazione a più fattori, fornire una giustificazione aziendale o richiedere l'approvazione da responsabili approvazione designati. Non è possibile creare assegnazioni di ruolo idonee per applicazioni, entità servizio o identità gestite perché non possono eseguire i passaggi di attivazione.
   • Attivo : l'utente non deve eseguire alcuna azione per usare il ruolo.

   

2. A seconda delle impostazioni, per Durata assegnazione selezionare Permanente o Limite di tempo.

   Selezionare Permanente se si desidera che il membro sia sempre autorizzato ad attivare o usare il ruolo. Selezionare Limitata per specificare le date di inizio e di fine. Questa opzione potrebbe essere disabilitata se la creazione di assegnazioni permanenti non è consentita dai criteri PIM.

3. Se l'opzione Limitata è selezionata, impostare Data e ora di inizio e Data e ora di inizio per specificare quando l'utente può attivare o usare il ruolo.

   È possibile impostare la data di inizio in futuro. La durata massima consentita dipende dai criteri di Privileged Identity Management (PIM).

4. (Facoltativo) Usare Configura criteri PIM per configurare le opzioni di scadenza, i requisiti di attivazione dei ruoli (approvazione, autenticazione a più fattori o contesto di autenticazione dell'accesso condizionale) e altre impostazioni.

   Quando si seleziona il collegamento Aggiorna criteri PIM, viene visualizzata una pagina PIM. Selezionare Impostazioni per configurare i criteri PIM per i ruoli. Per altre informazioni, vedere Configurare le impostazioni dei ruoli delle risorse di Azure in Privileged Identity Management.

5. Fare clic su Avanti.

Passaggio 7: Assegnare il ruolo

1. Nella scheda Rivedi e assegna esaminare le impostazioni di assegnazione di ruolo.

   

2. Fare clic su Rivedi e assegna per assegnare il ruolo.

   Dopo qualche istante, all'entità di sicurezza verrà assegnato il ruolo per l'ambito selezionato.

   

3. Se non viene visualizzata la descrizione per l'assegnazione di ruolo, fare clic su Modifica colonne per aggiungere la colonna Descrizione .

Modificare l'assegnazione

Se si dispone di una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance, è possibile modificare le impostazioni del tipo di assegnazione di ruolo. Per ulteriori informazioni, vedere Assegnazioni di ruolo idonee e con vincoli temporali in Azure Role-Based Access Control.

1. Nella pagina Controllo di accesso (IAM) fare clic sulla scheda Assegnazioni di ruolo per visualizzare le assegnazioni di ruolo in questo ambito.

2. Trovare l'assegnazione di ruolo da modificare.

3. Nella colonna Stato fare clic sul collegamento, ad esempio Limite di tempo idoneo o Permanente attivo.

   Viene visualizzato il riquadro Modifica assegnazione in cui è possibile aggiornare le impostazioni del tipo di assegnazione di ruolo. L'apertura del riquadro potrebbe richiedere alcuni istanti.

   

4. Al termine fare clic su Salva.

   L'elaborazione degli aggiornamenti potrebbe richiedere tempo e riflettersi nel portale.

Contenuti correlati

• Assegnare un utente come amministratore di una sottoscrizione di Azure
• Rimuovere le assegnazioni di ruolo di Azure
• Risolvere i problemi relativi al controllo degli accessi in base al ruolo di Azure