Assegnare ruoli di amministratore agli utenti in Microsoft 365

  • 7 minuti

In Microsoft 365, i ruoli di amministratore vengono utilizzati per assegnare funzioni amministrative specifiche agli utenti. Ogni ruolo di amministratore corrisponde a funzioni aziendali comuni e conferisce alle persone le autorizzazioni per svolgere attività specifiche nell'admin center di Microsoft 365. I ruoli di amministratore possono essere gestiti in Microsoft 365 utilizzando il Microsoft 365 admin center o Windows PowerShell.

I singoli amministratori dei servizi possono amministrare i loro servizi al livello più alto, mentre il ruolo di amministratore globale include semplicemente tutti i ruoli di amministratore dei servizi. Questa relazione è illustrata nel seguente diagramma.

Nota

Tutti i ruoli di amministratore dei servizi sono inclusi nel ruolo di amministratore globale, non solo i quattro ruoli di amministratore dei servizi mostrati qui. Il diagramma seguente illustra la relazione tra i ruoli di amministratore dei servizi e il ruolo di amministratore globale.

diagramma mostra come il ruolo di amministratore globale includa tutti i ruoli di amministratore dei servizi

Assegnare ruoli di amministratore in Microsoft 365

I ruoli di amministratore di Microsoft 365 non si escludono a vicenda, ma possono essere combinati. A un utente possono essere assegnati uno o più ruoli di amministratore, ad esempio i ruoli di amministratore di Exchange, amministratore di SharePoint e amministratore di Gestione utenti.

Amministrazione ruoli sono basati su gruppi contenuti in Microsoft Entra ID. Anche se questi gruppi non possono essere visualizzati tramite la console di Microsoft Entra ID, i ruoli di amministratore possono essere assegnati nel interfaccia di amministrazione di Microsoft 365 o Windows PowerShell.

Per assegnare i ruoli di amministratore in Microsoft 365 admin center, è necessario accedere con un account amministratore globale e seguire i seguenti passaggi:

  1. Nell'interfaccia di amministrazione selezionare Utenti e quindi Utenti attivi.
  2. Nella pagina Utenti attivi selezionare l'utente per cui modificare il ruolo amministratore. Viene visualizzata la pagina delle proprietà per l'utente.
  3. Accanto a Ruoli, selezionare Modifica.
  4. Nella pagina Modifica ruoli utente, scegliere una delle seguenti opzioni:
    • Utente (nessun accesso amministratore)
    • Amministratore globale
    • Amministratore personalizzato (per visualizzare un elenco di ruoli di amministratore)
  5. Nel campo Indirizzo di posta elettronica alternativo è possibile digitare un indirizzo di posta elettronica non connesso a Microsoft 365. Questo indirizzo di posta elettronica viene usato per le notifiche importanti, inclusa la reimpostazione della password di amministratore.
  6. Per chiudere la pagina Modifica ruoli utente, selezionare Salva.

Assegnare ruoli di amministratore in Windows PowerShell

Azure Active Directory PowerShell per Graph (Azure AD PowerShell) è il modulo usato comunemente dai professionisti IT per gestire i Microsoft Entra ID, incluse le assegnazioni di ruolo di amministratore e la manutenzione. È necessario installare il modulo AzureAD e quindi connettersi ad esso.

Per assegnare un ruolo di amministratore a un utente sono necessari due dati:

  • L'ID dell'oggetto dell'utente.
  • L'ID oggetto del ruolo.

Una volta ottenute queste informazioni, è possibile utilizzare il cmdlet Add-AzureADDirectoryRoleMember per assegnare un utente a un ruolo di amministratore.

Add-AzureADDirectoryRoleMember -ObjectID <ObjectID of the role> -RefObjectId <ObjectID of the user>

È necessario utilizzare il cmdlet Get-AzureADUser per visualizzare l'ObjectID dell'utente a cui si desidera assegnare il ruolo. Ad esempio, per recuperare l'ObjectID di Patti Fernandez, eseguire il comando seguente:

Get-AzureADUser -ObjectID "PattF@contoso.com"

Per recuperare l'ObjectID del ruolo, è importante notare che Azure AD PowerShell visualizza solo i ruoli di amministratore che sono "abilitati". In altre parole, il ruolo deve essere contrassegnato come abilitato (se non ha utenti assegnati), oppure deve avere almeno un utente attivo. Per visualizzare i ruoli abilitati, eseguire il cmdlet Get-AzureADDirectoryrole.

Se il ruolo che si desidera assegnare compare in questo elenco, è possibile aggiungere il ruolo abilitato a un account utente. Tuttavia, se il ruolo non è abilitato (non appare nell'elenco), è necessario abilitarlo prima di assegnarlo a un utente. Ciascuno di questi scenari è trattato nelle sezioni seguenti.

Aggiungere un ruolo di amministratore abilitato a un utente

Supponiamo di voler assegnare a Patti Fernandez il ruolo di Amministratore Helpdesk. Quando è stato eseguito il cmdlet Get-AzureADDirectoryRole, supponiamo che il ruolo sia apparso nell'elenco dei ruoli abilitati.

È possibile copiare l'ObjectID di questo ruolo e incollarlo nel comando Add-AzureADDirectoryRoleMember. Supponiamo che l'ObjectID del ruolo Amministratore Helpdesk in questo scenario fittizio sia 729827c3-9c14-49f7-bb1b-9608-f156-bbb8.

Allo stesso modo, è possibile copiare e incollare l'ObjectId dell'account utente di Patti Fernandez dopo aver eseguito il comando Get-AzureADUser. In questo esempio, l'ObjectID dell'account utente di Patti è a4a9ed46-369c-4b69-9e47-d2ac6029485d.

Si deve quindi immettere il seguente comando e incollare ciascuno degli ObjectId per assegnare a Patti il ruolo di Amministratore Helpdesk:

Add-AzureADDirectoryRoleMember -ObjectID

Abilitare un account di amministratore e poi aggiungerlo a un utente

In questo scenario, supponiamo che il ruolo Amministratore Helpdesk non sia apparso nell'elenco dei ruoli abilitati quando si è eseguito il cmdlet Get-AzureADDirectoryRole. In questo caso, è necessario eseguire la seguente serie di comandi PowerShell per abilitare il ruolo di amministratore Helpdesk:

# Run the following four steps to enable the Helpdesk Administrator role.

# Step 1 - Run the Get-AzureADDirectoryRoleTemplate command to display the list of templates for all Azure AD roles. You'll enable the Helpdesk Administrator role from the Helpdesk Administrator role template.
Get-AzureADDirectoryRoleTemplate

ObjectId                            DisplayName              Description
--------                            -----------              -----------
f023fd81-a637-4b56-95fd-791ac0226033 Global Administrator    Can manage all aspects of Azure AD and Microsoft services that use Azure AD identities.
b0f54661-2d74-4c50-afa3-1ec803f12efe Billing Administrator  Can perform common billing related tasks like payment information.
75941009-915a-4869-abe7-691bff18279e Guest user              Default role for guest users. Can read a limited set of directory information.
d65e02d2-0214-4674-8e5d-766fb330e2c0 User Administrator      Can manage all aspects of users and groups, including resetting passwords for limited admins.
d405c6df-0af8-4e3b-95e4-4d06e542189e Exchange Administrator  Can manage all aspect of the Exchange product.
95e79109-95c0-4d8e-aee3-d01accf2d47b Helpdesk Administrator  Can reset passwords for non-administrators and Helpdesk Administrators.
and so on...

# Step 2 - Retrieve the Role Template object for the Helpdesk Administrator role in the $HelpdeskRole variable.
$HelpdeskRole = Get-AzureADDirectoryRoleTemplate | Where-Object {$_.DisplayName -eq "Helpdesk Administrator"}

# Step 3 - Display the contents of the $HelpdeskRole variable to verify you found the correct role template.
$HelpdeskRole

ObjectId                            DisplayName              Description
--------                            -----------              -----------
95e79109-95c0-4d8e-aee3-d01accf2d47b Helpdesk Administrator  Can reset passwords for non-administrators and Helpdesk Administrators.

# Step 4 - Enable the directory role that's based on the Helpdesk Administrator role template that's in the $HelpdeskRole variable.
Enable-AzureADDirectoryRole -RoleTemplateId $HelpdeskRole.ObjectId

ObjectId                            DisplayName              Description
--------                            -----------              -----------
03618579-3c16-4765-9539-86d9163ee3d9 Helpdesk Administrator  Can reset passwords for non-administrators and Helpdesk Administrators.

Quando si esegue il comando Enable-AzureADDirectoryRole al punto 4, si abilita il ruolo e si visualizza il suo ObjectID. L'ObjectID verrà copiato e incollato nel comando Add-AzureADDirectoryRoleMember. In questo esempio, l'ObjectID del ruolo appena abilitato è 03618579-3c16-4765-9539-86d9163ee3d9.

Allo stesso modo, è possibile copiare e incollare l'ObjectId dell'account utente di Patti Fernandez dopo aver eseguito il comando Get-AzureADUser. In questo esempio, l'ObjectID dell'account utente di Patti è a4a9ed46-369c-4b69-9e47-d2ac6029485d.

Quindi, per assegnare a Patti il ruolo di Amministratore Helpdesk, si deve immettere il seguente comando e incollare ciascuno degli ID oggetto:


Add-AzureADDirectoryRoleMember -ObjectID "03618579-3c16-4765-9539-86d9163ee3d9" -RefObjectId "a4a9ed46-369c-4b69-9e47-d2ac6029485d"