Assegnare ruoli di amministratore agli utenti in Microsoft 365
In Microsoft 365, i ruoli di amministratore vengono utilizzati per assegnare funzioni amministrative specifiche agli utenti. Ogni ruolo di amministratore corrisponde a funzioni aziendali comuni e conferisce alle persone le autorizzazioni per svolgere attività specifiche nell'admin center di Microsoft 365. I ruoli di amministratore possono essere gestiti in Microsoft 365 utilizzando il Microsoft 365 admin center o Windows PowerShell.
I singoli amministratori dei servizi possono amministrare i loro servizi al livello più alto, mentre il ruolo di amministratore globale include semplicemente tutti i ruoli di amministratore dei servizi. Questa relazione è illustrata nel seguente diagramma.
Nota
Tutti i ruoli di amministratore dei servizi sono inclusi nel ruolo di amministratore globale, non solo i quattro ruoli di amministratore dei servizi mostrati qui. Il diagramma seguente illustra la relazione tra i ruoli di amministratore dei servizi e il ruolo di amministratore globale.
Assegnare ruoli di amministratore in Microsoft 365
I ruoli di amministratore di Microsoft 365 non si escludono a vicenda, ma possono essere combinati. A un utente possono essere assegnati uno o più ruoli di amministratore, ad esempio i ruoli di amministratore di Exchange, amministratore di SharePoint e amministratore di Gestione utenti.
Amministrazione ruoli sono basati su gruppi contenuti in Microsoft Entra ID. Anche se questi gruppi non possono essere visualizzati tramite la console di Microsoft Entra ID, i ruoli di amministratore possono essere assegnati nel interfaccia di amministrazione di Microsoft 365 o Windows PowerShell.
Per assegnare i ruoli di amministratore in Microsoft 365 admin center, è necessario accedere con un account amministratore globale e seguire i seguenti passaggi:
- Nell'interfaccia di amministrazione selezionare Utenti e quindi Utenti attivi.
- Nella pagina Utenti attivi selezionare l'utente per cui modificare il ruolo amministratore. Viene visualizzata la pagina delle proprietà per l'utente.
- Accanto a Ruoli, selezionare Modifica.
- Nella pagina Modifica ruoli utente, scegliere una delle seguenti opzioni:
- Utente (nessun accesso amministratore)
- Amministratore globale
- Amministratore personalizzato (per visualizzare un elenco di ruoli di amministratore)
- Nel campo Indirizzo di posta elettronica alternativo è possibile digitare un indirizzo di posta elettronica non connesso a Microsoft 365. Questo indirizzo di posta elettronica viene usato per le notifiche importanti, inclusa la reimpostazione della password di amministratore.
- Per chiudere la pagina Modifica ruoli utente, selezionare Salva.
Assegnare ruoli di amministratore in Windows PowerShell
Azure Active Directory PowerShell per Graph (Azure AD PowerShell) è il modulo usato comunemente dai professionisti IT per gestire i Microsoft Entra ID, incluse le assegnazioni di ruolo di amministratore e la manutenzione. È necessario installare il modulo AzureAD e quindi connettersi ad esso.
Per assegnare un ruolo di amministratore a un utente sono necessari due dati:
- L'ID dell'oggetto dell'utente.
- L'ID oggetto del ruolo.
Una volta ottenute queste informazioni, è possibile utilizzare il cmdlet Add-AzureADDirectoryRoleMember per assegnare un utente a un ruolo di amministratore.
Add-AzureADDirectoryRoleMember -ObjectID <ObjectID of the role> -RefObjectId <ObjectID of the user>
È necessario utilizzare il cmdlet Get-AzureADUser per visualizzare l'ObjectID dell'utente a cui si desidera assegnare il ruolo. Ad esempio, per recuperare l'ObjectID di Patti Fernandez, eseguire il comando seguente:
Get-AzureADUser -ObjectID "PattF@contoso.com"
Per recuperare l'ObjectID del ruolo, è importante notare che Azure AD PowerShell visualizza solo i ruoli di amministratore che sono "abilitati". In altre parole, il ruolo deve essere contrassegnato come abilitato (se non ha utenti assegnati), oppure deve avere almeno un utente attivo. Per visualizzare i ruoli abilitati, eseguire il cmdlet Get-AzureADDirectoryrole.
Se il ruolo che si desidera assegnare compare in questo elenco, è possibile aggiungere il ruolo abilitato a un account utente. Tuttavia, se il ruolo non è abilitato (non appare nell'elenco), è necessario abilitarlo prima di assegnarlo a un utente. Ciascuno di questi scenari è trattato nelle sezioni seguenti.
Aggiungere un ruolo di amministratore abilitato a un utente
Supponiamo di voler assegnare a Patti Fernandez il ruolo di Amministratore Helpdesk. Quando è stato eseguito il cmdlet Get-AzureADDirectoryRole, supponiamo che il ruolo sia apparso nell'elenco dei ruoli abilitati.
È possibile copiare l'ObjectID di questo ruolo e incollarlo nel comando Add-AzureADDirectoryRoleMember. Supponiamo che l'ObjectID del ruolo Amministratore Helpdesk in questo scenario fittizio sia 729827c3-9c14-49f7-bb1b-9608-f156-bbb8.
Allo stesso modo, è possibile copiare e incollare l'ObjectId dell'account utente di Patti Fernandez dopo aver eseguito il comando Get-AzureADUser. In questo esempio, l'ObjectID dell'account utente di Patti è a4a9ed46-369c-4b69-9e47-d2ac6029485d.
Si deve quindi immettere il seguente comando e incollare ciascuno degli ObjectId per assegnare a Patti il ruolo di Amministratore Helpdesk:
Add-AzureADDirectoryRoleMember -ObjectID
Abilitare un account di amministratore e poi aggiungerlo a un utente
In questo scenario, supponiamo che il ruolo Amministratore Helpdesk non sia apparso nell'elenco dei ruoli abilitati quando si è eseguito il cmdlet Get-AzureADDirectoryRole. In questo caso, è necessario eseguire la seguente serie di comandi PowerShell per abilitare il ruolo di amministratore Helpdesk:
# Run the following four steps to enable the Helpdesk Administrator role.
# Step 1 - Run the Get-AzureADDirectoryRoleTemplate command to display the list of templates for all Azure AD roles. You'll enable the Helpdesk Administrator role from the Helpdesk Administrator role template.
Get-AzureADDirectoryRoleTemplate
ObjectId DisplayName Description
-------- ----------- -----------
f023fd81-a637-4b56-95fd-791ac0226033 Global Administrator Can manage all aspects of Azure AD and Microsoft services that use Azure AD identities.
b0f54661-2d74-4c50-afa3-1ec803f12efe Billing Administrator Can perform common billing related tasks like payment information.
75941009-915a-4869-abe7-691bff18279e Guest user Default role for guest users. Can read a limited set of directory information.
d65e02d2-0214-4674-8e5d-766fb330e2c0 User Administrator Can manage all aspects of users and groups, including resetting passwords for limited admins.
d405c6df-0af8-4e3b-95e4-4d06e542189e Exchange Administrator Can manage all aspect of the Exchange product.
95e79109-95c0-4d8e-aee3-d01accf2d47b Helpdesk Administrator Can reset passwords for non-administrators and Helpdesk Administrators.
and so on...
# Step 2 - Retrieve the Role Template object for the Helpdesk Administrator role in the $HelpdeskRole variable.
$HelpdeskRole = Get-AzureADDirectoryRoleTemplate | Where-Object {$_.DisplayName -eq "Helpdesk Administrator"}
# Step 3 - Display the contents of the $HelpdeskRole variable to verify you found the correct role template.
$HelpdeskRole
ObjectId DisplayName Description
-------- ----------- -----------
95e79109-95c0-4d8e-aee3-d01accf2d47b Helpdesk Administrator Can reset passwords for non-administrators and Helpdesk Administrators.
# Step 4 - Enable the directory role that's based on the Helpdesk Administrator role template that's in the $HelpdeskRole variable.
Enable-AzureADDirectoryRole -RoleTemplateId $HelpdeskRole.ObjectId
ObjectId DisplayName Description
-------- ----------- -----------
03618579-3c16-4765-9539-86d9163ee3d9 Helpdesk Administrator Can reset passwords for non-administrators and Helpdesk Administrators.
Quando si esegue il comando Enable-AzureADDirectoryRole al punto 4, si abilita il ruolo e si visualizza il suo ObjectID. L'ObjectID verrà copiato e incollato nel comando Add-AzureADDirectoryRoleMember. In questo esempio, l'ObjectID del ruolo appena abilitato è 03618579-3c16-4765-9539-86d9163ee3d9.
Allo stesso modo, è possibile copiare e incollare l'ObjectId dell'account utente di Patti Fernandez dopo aver eseguito il comando Get-AzureADUser. In questo esempio, l'ObjectID dell'account utente di Patti è a4a9ed46-369c-4b69-9e47-d2ac6029485d.
Quindi, per assegnare a Patti il ruolo di Amministratore Helpdesk, si deve immettere il seguente comando e incollare ciascuno degli ID oggetto:
Add-AzureADDirectoryRoleMember -ObjectID "03618579-3c16-4765-9539-86d9163ee3d9" -RefObjectId "a4a9ed46-369c-4b69-9e47-d2ac6029485d"