Analizzare le autorizzazioni dei ruoli di Azure
Che cos'è un'autorizzazione? La definizione del dizionario dell'autorizzazione è il consenso o permesso per eseguire un'azione specifica. In Microsoft Entra ID sono disponibili le autorizzazioni per ognuna delle operazioni che è possibile eseguire. L'autorizzazione può variare dalla visualizzazione delle impostazioni alla possibilità di modificare un'impostazione. È anche possibile concedere l'autorizzazione per aggiungere o rimuovere utenti e per altre operazioni. Ci sono due posizioni principali in cui è possibile assegnare l'autorizzazione: a livello di utente o di gruppo. Tutte le autorizzazioni tuttavia passano in definitiva all'utente. Quando si gestiscono gli utenti, sono presenti utenti membro e utenti guest. Le autorizzazioni predefinite per l'utente guest sono leggermente inferiori di quelle per l'utente membro.
Esempi di autorizzazioni predefinite per gli utenti
| Utenti membro | Utenti guest |
|---|---|
| Enumerare l'elenco di utenti e i relativi contatti | Lettura delle proprietà personali |
| Invitare gli utenti guest | Invitare gli utenti guest |
| Creare gruppi di sicurezza e gruppi di Microsoft 365 | Cerca gruppi non nascosti in base al nome |
| Registrare nuove applicazioni | Lettura delle proprietà delle applicazioni aziendali e registrate |
Nota
Questo è solo un piccolo subset, per mostrare le differenze. Per un elenco completo, vedere l'articolo relativo alle autorizzazioni utente predefinite
Controllo delle autorizzazioni: aggiungere e limitare
| Impostazioni utente | Ruoli e amministratori |
|---|---|
|
|
È possibile usare Impostazioni utente nel menu Gestisci di Microsoft Entra ID per limitare o controllare le autorizzazioni predefinite degli utenti predefiniti. In alternativa, è possibile usare Ruoli e amministratori per aggiungere nuove autorizzazioni a utenti e gruppi. Usare sempre il concetto di privilegi minimi e assicurarsi che gli utenti dispongano solo dei diritti necessari. In Impostazioni utente è possibile limitare la capacità dell'utente di:
- Registrare le applicazioni
- Accedere al portale di Azure
- Bloccare le connessioni LinkedIn
- Gestire le impostazioni per la collaborazione esterna
Aggiungendo ruoli a un determinato account utente o gruppo, è possibile aggiungere autorizzazioni per gli utenti membro, gli utenti guest e le entità servizio. L'aggiunta di ruoli concede le autorizzazioni per eseguire attività specifiche. Le azioni sono limitate, in base alla regola dei privilegi minimi.
Esplorazione delle autorizzazioni disponibili
Si vogliono concedere solo le autorizzazioni necessarie a un utente. È quindi importante conoscere tutte le autorizzazioni che vengono concesse quando si assegna un ruolo. È possibile visualizzare l'elenco delle autorizzazioni nel lettore di definizioni di attributi. Per aprirlo, avviare Microsoft Entra ID, quindi aprire la schermata Ruoli e amministratori. Selezionare quindi un ruolo e aprire la relativa pagina di descrizione dal menu con i puntini di sospensione (...). A seconda del ruolo scelto, verrà visualizzato un numero elevato o ridotto di autorizzazioni. Due set di autorizzazioni:
- Autorizzazioni del ruolo
- Autorizzazioni di lettura di base per guest ed entità servizio