Descrivere i ruoli di Microsoft Entra e il controllo degli accessi in base al ruolo

  • 7 minuti

I ruoli di Microsoft Entra controllano le autorizzazioni per gestire le risorse Microsoft Entra. È ad esempio possibile consentire la creazione degli account utente o la visualizzazione delle informazioni sulla fatturazione. Microsoft Entra ID supporta ruoli predefiniti e personalizzati.

La gestione dell'accesso tramite i ruoli è nota come controllo degli accessi in base al ruolo. I ruoli predefiniti e personalizzati di Microsoft Entra sono una forma di controllo degli accessi in base al ruolo con cui i ruoli di Microsoft Entra controllano l'accesso alle risorse Microsoft Entra. Questa operazione viene definita controllo degli accessi in base al ruolo di Microsoft Entra.

Ruoli predefiniti

Microsoft Entra ID include molti ruoli predefiniti, ovvero ruoli con un set fisso di autorizzazioni. Di seguito sono riportati alcuni dei ruoli predefiniti più comuni:

  • Amministratore aziendale: gli utenti con questo ruolo sono autorizzati ad accedere a tutte le funzionalità amministrative di Microsoft Entra. La persona che si registra per il tenant di Microsoft Entra diventa un amministratore globale.
  • Amministratore utenti : gli utenti con questo ruolo possono creare e gestire tutti gli aspetti degli utenti e dei gruppi. Possono anche gestire i ticket di supporto e monitorare l'integrità del servizio.
  • Amministratore fatturazione: gli utenti con questo ruolo effettuano acquisti, gestiscono sottoscrizioni e ticket di supporto e monitorano l'integrità dei servizi.

Tutti i ruoli predefiniti sono aggregazioni preconfigurate di autorizzazioni progettate per attività specifiche. Non è possibile modificare il set fisso di autorizzazioni incluso nei ruoli predefiniti.

Ruoli personalizzati

Anche se esistono molti ruoli di amministratore predefiniti in Microsoft Entra, i ruoli personalizzati offrono flessibilità quando si concede l'accesso. Una definizione del ruolo personalizzata è una raccolta di autorizzazioni scelte da un elenco preimpostato. L'elenco di autorizzazioni tra cui scegliere include le stesse autorizzazioni usate dai ruoli predefiniti. La differenza è che è possibile scegliere le autorizzazioni da includere in un ruolo personalizzato.

La concessione di un'autorizzazione tramite i ruoli personalizzati di Microsoft Entra è un processo in due passaggi. Il primo passaggio consiste nel creare una definizione del ruolo personalizzata, costituita da una raccolta di autorizzazioni aggiunte da un elenco predefinito. Dopo la creazione della definizione del ruolo personalizzata, il secondo passaggio consiste nell'assegnare tale ruolo a utenti o gruppi creando un'assegnazione di ruolo.

Un'assegnazione di ruolo concede all'utente le autorizzazioni contenute in una definizione di ruolo per un ambito specificato. Un ambito definisce il set di risorse di Microsoft Entra a cui il membro del ruolo può accedere. Un ruolo personalizzato può essere assegnato a livello di organizzazione, per concedere così al membro del ruolo le autorizzazioni del ruolo stesso per tutte le risorse nell'organizzazione. È anche possibile assegnare un ruolo personalizzato a un ambito degli oggetti. Un ambito degli oggetti è ad esempio una singola applicazione. Lo stesso ruolo può essere assegnato a un utente per tutte le applicazioni dell'organizzazione e quindi a un altro utente con un ambito limitato all'app Contoso Expense Reports.

I ruoli personalizzati richiedono una licenza P1 o P2 di Microsoft Entra ID.

Concedere solo l'accesso necessario per gli utenti

È una procedura consigliata e più sicura per concedere agli utenti i privilegi minimi per svolgere il proprio lavoro. Ciò significa che se la mansione di un utente consiste soprattutto nel gestire gli utenti, è opportuno assegnare il ruolo di amministratore utenti e non di amministratore globale. Assegnando privilegi minimi è possibile limitare i danni che possono derivare da un account compromesso.

Categorie di ruoli di Microsoft Entra

Microsoft Entra è un servizio disponibile se si sottoscrive una delle offerte aziendali di Microsoft Online, ad esempio Microsoft 365 e Azure.

I servizi di Microsoft 365 disponibili includono Microsoft Entra, Exchange, SharePoint, Microsoft Defender, Teams, Intune e altri ancora.

Nel corso del tempo, alcuni servizi di Microsoft 365, ad esempio Exchange e Intune, hanno sviluppato sistemi di controllo degli accessi in base al ruolo specifici, analogamente al modo in cui il servizio Microsoft Entra ha ruoli di Microsoft Entra per controllare l'accesso alle risorse di Microsoft Entra. Altri servizi, ad esempio Teams e SharePoint, non hanno sistemi di controllo degli accessi in base al ruolo separati, ma usano i ruoli di Microsoft Entra per l'accesso amministrativo.

Per semplificare la gestione delle identità nei servizi di Microsoft 365, in Microsoft Entra ID sono stati aggiunti alcuni ruoli predefiniti specifici del servizio, ognuno dei quali concede l'accesso amministrativo a un servizio di Microsoft 365. Ciò significa che i ruoli predefiniti di Microsoft Entra presentano alcune differenze in base alla posizione in cui possono essere usati. Esistono tre categorie generiche.

  • Ruoli specifici di Microsoft Entra: concedono le autorizzazioni per gestire le risorse solo all'interno di Microsoft Entra. Ad esempio, i ruoli Amministratore utenti, Amministratore applicazione e Amministratore gruppi concedono tutti le autorizzazioni per gestire le risorse esistenti in Microsoft Entra.

  • Ruoli specifici del servizio: per i principali servizi di Microsoft 365, Microsoft Entra ID include ruoli predefiniti specifici del servizio che concedono le autorizzazioni per gestire le funzionalità all'interno di tale servizio. Ad esempio, Microsoft Entra ID include ruoli predefiniti per Amministratore di Exchange, Amministratore di Intune, Amministratore di SharePoint e Amministratore di Teams che possono gestire le funzionalità con i rispettivi servizi.

  • Ruoli tra servizi: alcuni ruoli di Microsoft Entra ID si applicano a più servizi. Ad esempio, Microsoft Entra ID include ruoli correlati alla sicurezza, come Amministratore della protezione, che concedono l'accesso a più servizi di sicurezza in Microsoft 365. Analogamente, il ruolo Amministratore di conformità garantisce l'accesso alla gestione delle impostazioni relative alla conformità nel Centro conformità di Microsoft 365, in Exchange e così via.

Diagram of Microsoft Entra role categories.

Differenze tra il Controllo degli accessi in base al ruolo di Microsoft Entra e il Controllo degli accessi in base al ruolo di Azure

Come descritto in precedenza, i ruoli predefiniti e personalizzati di Microsoft Entra sono una forma di controllo degli accessi in base al ruolo con cui viene controllato l'accesso alle risorse Microsoft Entra. Questa operazione viene definita controllo degli accessi in base al ruolo di Microsoft Entra. Analogamente al ruoli di Microsoft Entra che possono controllare l'accesso alle risorse di Microsoft Entra, i ruoli di Azure possono controllare l'accesso alle risorse di Azure. Questo approccio è definito Controllo degli accessi in base al ruolo di Azure. Anche se il concetto di controllo degli accessi in base al ruolo si applica sia al Controllo degli accessi in base al ruolo di Microsoft Entra che al Controllo degli accessi in base al ruolo di Azure, gli elementi controllati sono diversi.

  • Controllo degli accessi in base al ruolo di Microsoft Entra: i ruoli di Microsoft Entra controllano l'accesso alle risorse Microsoft Entra, ad esempio utenti, gruppi e applicazioni.
  • Controllo degli accessi in base al ruolo di Azure: i ruoli di Azure controllano l'accesso a risorse di Azure come macchine virtuali o archiviazione tramite Gestione risorse di Azure.

Esistono archivi dati diversi in cui vengono archiviate le definizioni dei ruoli e le assegnazioni di ruolo. Analogamente, le verifiche dell'accesso vengono eseguite in un Policy Decision Point differente.