Condividi tramite

Unità amministrative

Le unità amministrative in Microsoft Entra ID consentono di limitare le autorizzazioni amministrative a parti specifiche dell'organizzazione Microsoft Entra. È possibile creare, eliminare e modificare le unità amministrative in Microsoft Entra. In Microsoft Entra si gestiscono gli utenti o i gruppi membri dell'unità amministrativa. Questa funzionalità consente di suddividere l'organizzazione in unità più piccole e di assegnare amministratori specifici per gestire solo i membri all'interno di tali unità. I gruppi di ruoli di Microsoft Purview consentono di assegnare amministratori a unità amministrative specifiche. Le soluzioni Microsoft Purview che supportano l'unità amministrativa limiteranno quindi le autorizzazioni di visibilità e gestione ai membri dell'unità.

Ad esempio, è possibile usare le unità amministrative per delegare le autorizzazioni agli amministratori per ogni area geografica in un'organizzazione multi-nazionale di grandi dimensioni o per raggruppare l'accesso amministratore per reparto all'interno dell'organizzazione. È possibile creare criteri specifici dell'area o del reparto o visualizzare l'attività utente in seguito a tali criteri e all'assegnazione di unità amministrative. È anche possibile usare le unità amministrative come ambito iniziale per un criterio, in cui la selezione degli utenti idonei per il criterio dipende dall'appartenenza alle unità amministrative.

Se si usano ambiti adattivi per i criteri di conformità, vedere Funzionamento degli ambiti adattivi con Microsoft Entra unità amministrative.

Supporto delle unità amministrative in Microsoft Purview

Le seguenti soluzioni di conformità di Microsoft Purview supportano le unità amministrative:

Soluzione Supporto della configurazione
Gestione del ciclo di vita dei dati Gruppi di ruoli, criteri di conservazione e criteri di etichetta di conservazione
prevenzione della perdita di dati (DLP) Gruppi di ruoli e criteri DLP
Conformità delle comunicazioni Criteri e gruppi di ruoli
Gestione dei rischi Insider Criteri e gruppi di ruoli
Gestione record Gruppi di ruoli, criteri di conservazione, criteri di etichetta di conservazione e ambiti adattivi
Etichettatura di riservatezza Gruppi di ruoli, criteri di etichetta di riservatezza e criteri di etichettatura automatica

La configurazione per le unità amministrative passa automaticamente alle funzionalità seguenti:

Nota

Prevenzione della perdita dei dati Microsoft Purview e Insider Risk Management, visualizzare gli avvisi in Microsoft Defender XDR. Microsoft Defender XDR supporta fino a 100 unità amministrative.

Autorizzazioni per le unità amministrative

Per assegnare un membro del gruppo di ruoli a un'unità amministrativa, agli amministratori deve essere assegnato il ruolo di gestione dei ruoli. Per altre informazioni sui gruppi di ruoli e sui ruoli di Microsoft Purview, vedere Gruppi di ruoli in Microsoft Purview.

È possibile assegnare membri del gruppo di ruoli alle unità amministrative all'interno dei gruppi di ruoli predefiniti seguenti:

  • Conformità delle comunicazioni
  • Amministratori della conformità delle comunicazioni
  • Analisti della conformità delle comunicazioni
  • Ricercatori di conformità delle comunicazioni
  • Amministratore di conformità
  • Amministratori dei dati di conformità
  • Lettore globale
  • Azure Information Protection
  • Amministratori di Information Protection
  • Analista di Information Protection
  • Investigatori di Information Protection
  • Lettori di Information Protection
  • Gestione dei rischi Insider
  • Amministratori della gestione dei rischi Insider
  • Analisti gestione dei rischi Insider
  • Investigatori gestione dei rischi Insider
  • Responsabili approvazione sessione gestione rischi Insider
  • Responsabili approvazione della gestione dei rischi Insider
  • Gestione organizzazione
  • Gestione record
  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

Quando si assegnano gruppi di ruoli, è possibile selezionare singoli membri o gruppi e quindi selezionare l'opzione Assegna unità amministrative per selezionare le unità amministrative definite in Microsoft Entra ID:

Opzione Assegna unità di amministrazione quando si modificano i gruppi di ruoli.

Importante

Assegnare le unità amministrative è sempre disponibile quando sono stati creati gruppi di ruoli personalizzati. È possibile assegnare unità amministrative per qualsiasi gruppo di ruoli personalizzato.

Questi amministratori, definiti amministratori con restrizioni, possono ora selezionare una o più unità amministrative assegnate per definire automaticamente l'ambito iniziale dei criteri creati o modificati. Solo se agli amministratori non sono assegnate unità amministrative (amministratori senza restrizioni), sarà possibile assegnare criteri all'intera directory senza dover selezionare singole unità amministrative.

Importante

Dopo aver assegnato unità amministrative ai membri dei gruppi di ruoli, questi amministratori con restrizioni non possono visualizzare e modificare i criteri esistenti. Tuttavia, questi criteri non vengono modificati operativamente e rimangono visibili e possono essere modificati da amministratori senza restrizioni.

Gli amministratori con restrizioni non possono visualizzare i dati cronologici usando funzionalità che supportano le unità amministrative, ad esempio Esplora attività e avvisi. Rimangono visibili agli amministratori senza restrizioni. In futuro, gli amministratori con restrizioni possono visualizzare questi dati correlati solo per le unità amministrative assegnate.

Prerequisiti per le unità amministrative

Prima di configurare le unità amministrative per le soluzioni di conformità Microsoft Purview, assicurarsi che l'organizzazione e gli utenti soddisfino i requisiti di sottoscrizione e licenza seguenti:

  • licenze P1 o P2 Microsoft Entra ID

  • Licenze di Microsoft Purview:

    • Microsoft 365 E5/A5/G5
    • conformità Microsoft 365 E5/A5/G5/F5 o conformità del & di sicurezza F5
    • Governance Information Protection & Microsoft 365 E5/A5/G5/F5
    • Microsoft 365 E5/A5/F5 Insider Risk Management

Configurare e usare le unità amministrative

Completare la procedura seguente per configurare e usare le unità amministrative con le soluzioni di conformità Microsoft Purview:

  1. Creare unità amministrative per limitare l'ambito delle autorizzazioni dei ruoli in Microsoft Entra ID.

  2. Aggiungere utenti e gruppi di distribuzione alle unità amministrative.

    Importante

    I membri dei gruppi di distribuzione dinamici non diventano automaticamente membri di un'unità amministrativa.

  3. Se si crea un'area geografica o unità amministrative basate su reparto, configurare le unità amministrative con regole di appartenenza dinamica.

    Nota

    Non è possibile aggiungere gruppi a un'unità amministrativa che usa regole di appartenenza dinamica. Se necessario, creare due unità amministrative, una per gli utenti e una per i gruppi.

  4. Usare uno dei gruppi di ruoli delle soluzioni di conformità Microsoft Purview che supportano le unità amministrative per assegnare unità amministrative ai membri.

Ora, quando questi amministratori con restrizioni creano o modificano criteri che supportano le unità amministrative, possono selezionare le unità amministrative in modo che solo gli utenti di tali unità amministrative siano idonei per i criteri:

  • Gli amministratori senza restrizioni non devono selezionare le unità amministrative come parte della configurazione dei criteri. Possono mantenere l'impostazione predefinita dell'intera directory o selezionare una o più unità amministrative.
  • Gli amministratori con restrizioni devono ora selezionare una o più unità amministrative come parte della configurazione dei criteri.

Più avanti nella configurazione dei criteri, gli amministratori che hanno selezionato le unità amministrative devono includere o escludere (se supportati) singoli utenti e gruppi dalle unità amministrative selezionate in precedenza per i criteri.

Per informazioni sulle unità amministrative specifiche di ogni soluzione supportata, vedere le sezioni seguenti:

Supporto delle unità amministrative per i siti di SharePoint (anteprima)

Microsoft Purview supporta ora l'aggiunta di siti di SharePoint alle unità amministrative. In questo modo è possibile personalizzare la visibilità e il controllo di gestione degli amministratori di Microsoft Purview all'interno del portale di Microsoft Purview. Questo supporto è disponibile solo per i criteri di etichettatura automatica di Microsoft Information Protection e i criteri di prevenzione della perdita dei dati Microsoft che supportano l'applicazione ai siti di SharePoint.

Nota

Si continuerà a gestire la creazione, l'eliminazione e l'appartenenza alle risorse Microsoft Entra da Microsoft Entra ID. Qualsiasi unità amministrativa creata viene visualizzata nella presentazione per Microsoft Purview.

La compilazione completa di una query può richiedere fino a cinque giorni. Le modifiche non sono immediate. Attendere che la query venga popolata completamente prima di associare un criterio a un'unità amministrativa.

Configurare le unità amministrative per i siti di SharePoint

Seguire questa procedura per configurare e usare le unità amministrative. Questi passaggi guidano la creazione di unità amministrative, come associare le risorse a tale unità amministrativa e come assegnare i membri del gruppo di ruoli di conformità di Microsoft Purview alle unità amministrative. Dopo aver creato le unità amministrative, seguire questa procedura per associare i siti di SharePoint all'unità amministrativa.

I clienti di Microsoft Purview autorizzati a questa funzionalità possono ora accedere alle unità amministrative nelle impostazioni del portale di Microsoft Purview in Ruoli e ambiti . All'interno delle unità amministrative selezionare un'unità amministrativa e modificarla per associare i siti di SharePoint all'unità amministrativa.

Per completare la procedura seguente per configurare i siti di SharePoint all'interno delle unità amministrative per l'uso in Microsoft Purview, è necessario assegnare il ruolo di gestione estensioni dell'unità di amministrazione . Questo ruolo viene assegnato da un amministratore con diritti di gestione dei ruoli in Microsoft Purview, usando un gruppo di ruoli predefinito con questo ruolo o usando un gruppo di ruoli personalizzato.

  1. Passare al portale di Microsoft Purview.
  2. Selezionare se.ttings e selezionare Ruoli e ambiti.
  3. Selezionare Unità amministrative.
  4. Selezionare un'unità amministrativa esistente dall'elenco
  5. Selezionare Modifica.
  6. Creare una query per associare i siti di SharePoint all'unità amministrativa.
  7. Usare uno dei gruppi di ruoli delle soluzioni di conformità Microsoft Purview che supportano le unità amministrative per assegnare unità amministrative ai membri.

Le query per associare i siti di SharePoint alle unità amministrative supportano le proprietà del sito per URL sito, nome sito e RefinableString00-RefinableString99. Queste query si applicano sia ai siti di SharePoint che agli account di OneDrive, ad eccezione dei siti di SharePoint del canale condiviso. I nomi delle proprietà per i siti sono basati sulle proprietà gestite dal sito di SharePoint. Per altre informazioni sull'associazione di proprietà personalizzate alle proprietà gestite (RefinableString00-RefinableString99), vedere Uso delle proprietà personalizzate del sito di SharePoint per applicare la conservazione di Microsoft 365 con ambiti di criteri adattivi.

Verificare la query

Per testare la query usando la ricerca di SharePoint, seguire questa procedura:

  1. Usando un account con il ruolo di amministratore di SharePoint, passare a https://<your_tenant>.sharepoint.com/search.
  2. Usare la barra di ricerca per immettere la query visualizzata nel riepilogo delle query per i siti di SharePoint nell'unità amministrativa.
  3. Verificare che i risultati della ricerca corrispondano agli URL del sito previsti per l'unità amministrativa. In caso contrario, controllare la query e gli URL con l'amministratore pertinente per SharePoint.

Ora, quando gli amministratori con restrizioni creano o modificano criteri che supportano le unità amministrative, possono selezionare le unità amministrative in modo che solo i siti, gli utenti o i gruppi di SharePoint in tali unità amministrative siano idonei per i criteri:

  • Gli amministratori senza restrizioni non devono selezionare le unità amministrative come parte della configurazione dei criteri. Possono mantenere l'impostazione predefinita dell'intera directory o selezionare una o più unità amministrative.
  • Gli amministratori con restrizioni devono ora selezionare una o più unità amministrative come parte della configurazione dei criteri.

Gli amministratori che selezionano le unità amministrative non possono includere o escludere singoli siti di SharePoint. I siti di SharePoint supportano l'applicazione per tutti i siti associati all'unità amministrativa.

Importante

È possibile modificare una query di SharePoint per un'unità amministrativa in modo da non generare appartenenze al sito se si desidera rimuovere i siti associati da un'unità amministrativa. È possibile fare in modo che il risultato della query non sia un sito per cancellare l'appartenenza al sito.

Visualizzare i dettagli sull'appartenenza al sito di SharePoint dell'unità amministrativa in Purview

Dopo aver creato una query di SharePoint per un'unità amministrativa in Microsoft Purview, è possibile visualizzare i membri del sito dell'unità amministrativa. L'appartenenza a utenti e gruppi di un'unità amministrativa è visibile solo dal portale di Microsoft Entra ID.

Completare la procedura seguente per accedere alla pagina dei dettagli dei membri per visualizzare i membri del sito di SharePoint di un'unità amministrativa in Microsoft Purview:

  1. Passare al portale di Microsoft Purview all'indirizzo purview.microsoft.com
  2. Selezionare impostazioni e ruoli e ambiti.
  3. Selezionare Unità amministrative
  4. Selezionare un'unità amministrativa esistente dall'elenco.
  5. Selezionare i dettagli dei membri
  6. Viene visualizzato un elenco di membri del sito di SharePoint.
  7. La colonna Stato nell'elenco mostra Aggiunta per i siti aggiunti all'unità amministrativa o Rimossa se il sito era in precedenza nell'unità amministrativa ma viene rimosso una volta che non è più una corrispondenza per la query di SharePoint.
  8. Usare la funzione Export per scaricare un elenco dei siti visualizzati in un file CSV.

Nota

L'aggiornamento dei siti aggiunti o rimossi potrebbe richiedere fino a 5 giorni.

Per informazioni sulle unità amministrative e sul sito di SharePoint (anteprima) nelle soluzioni Microsoft Purview, vedere: