Configurare l'impostazione a livello di tenant

  • 4 minuti

Le impostazioni a livello di tenant sono le opzioni di configurazione che si applicano a tutte le risorse all'interno del tenant, come suggerisce il nome stesso. Queste opzioni a livello di tenant vengono impostate in posizioni specifiche per controllare l'aspetto e la configurazione del tenant e dei relativi membri. Le opzioni di menu seguenti si basano sull'interfaccia di amministrazione di Microsoft Entra.

Opzione a livello di tenant

  • Proprietà tenant

    • Identità - Pagina Panoramica - Proprietà
    • Dove si assegna il nome della directory e si impostano valori, ad esempio il contatto primario

  • Impostazioni utente

    • Identità - Utenti - Impostazioni utente
    • Dove si definiscono i diritti globali degli utenti, ad esempio la registrazione delle applicazioni

  • Impostazioni collaborazione esterna

    • Identità - Esterna - Impostazioni utente - Gestire la collaborazione esterna
    • Dove si definisce l'attività che un utente guest esterno può eseguire, ad esempio l'invito di altri utenti guest

Configurare le impostazioni utente a livello di tenant

Screenshot of the User settings screen in Microsoft Entra ID. Use it to configure what users can do.

In Microsoft Entra ID a tutti gli utenti viene concesso un set di autorizzazioni predefinite. L'accesso di un utente è costituito dal tipo di utente, dalle assegnazioni di ruolo e dalla proprietà di singoli oggetti. Le autorizzazioni utente predefinite possono essere modificate solo nelle impostazioni utente in Microsoft Entra ID.

Utenti guest e membro

Il set di autorizzazioni predefinite ricevuto varia a seconda che l'utente sia un membro nativo del tenant (utente membro) o sia stato invitato da un'altra directory come guest di collaborazione B2B (utente guest).

  • Gli utenti membro possono registrare le applicazioni, gestire il proprio numero di cellulare e la propria foto profilo, modificare la propria password e invitare guest B2B. Gli utenti possono anche leggere tutte le informazioni della directory (con alcune eccezioni).
  • Gli utenti guest hanno autorizzazioni di directory limitate. Possono gestire il proprio profilo, modificare la password e recuperare alcune informazioni su altri utenti, gruppi e app, ma non possono leggere tutte le informazioni della directory. Ad esempio, gli utenti guest non possono enumerare l'elenco di tutti gli utenti, i gruppi e altri oggetti directory. Gli utenti guest possono essere aggiunti ai ruoli di amministratore, che concedono le autorizzazioni complete di lettura e scrittura contenute nel ruolo. Gli utenti guest possono anche invitare altri guest.

Le autorizzazioni predefinite per gli utenti membri illustrate di seguito possono essere limitate nei modi seguenti:

Autorizzazione Spiegazione dell'impostazione
Gli utenti possono registrare applicazioni Per impostazione predefinita, gli utenti membri possono registrare applicazioni.
Se si imposta questa opzione su No, gli utenti non possono creare registrazioni di applicazioni. Tale possibilità può essere quindi concessa di nuovo a utenti specifici aggiungendoli al ruolo di sviluppatore di applicazioni.
Limitare l'accesso al portale di amministrazione di Microsoft Entra Se si imposta questa opzione su No, gli utenti non amministratori possono usare il portale di amministrazione di Microsoft Entra per leggere e gestire le risorse di Microsoft Entra. L'impostazione Sì impedisce a chiunque non sia amministratore di accedere ai dati di Microsoft Entra nel portale di amministrazione.
Questa impostazione non limita l'accesso ai dati di Microsoft Entra tramite PowerShell o altri client, ad esempio Visual Studio. Se l'impostazione è Sì, per concedere a uno specifico utente non amministratore la possibilità di usare il portale di amministrazione di Microsoft Entra, assegnare un ruolo amministrativo come il ruolo con autorizzazioni di lettura nella directory.
Questo ruolo consente di leggere le informazioni della directory di base, operazione che gli utenti membri possono fare per impostazione predefinita, a differenza di utenti guest ed entità servizio.

Accedere con LinkedIn

Con oltre 500 milioni membri in tutto il mondo, LinkedIn è la fonte più vasta e attendibile di identità professionali. Usare questa caratteristica per migliorare l'esperienza di accesso di siti e applicazioni.

Usare l'accesso con LinkedIn per:

  • Ridurre le complessità e ottenere un numero maggiore di accessi consentendo ai membri di accedere con LinkedIn senza dover creare un nuovo account.
  • Ridurre i costi e i tempi associati all'implementazione di account di accesso, identità, gestione dei profili e gestione delle password.
  • Personalizzare i siti e le applicazioni con i profili più recenti dei membri.

Gestire le impostazioni predefinite per la sicurezza

La gestione della sicurezza può risultare difficile per via di attacchi comuni correlati alle identità, come password spraying, attacchi replay e phishing, che diventano sempre più diffusi. Le impostazioni predefinite per la sicurezza consentono di proteggere l'organizzazione da questi attacchi con impostazioni di sicurezza preconfigurate:

  • Richiedere a tutti gli utenti di eseguire la registrazione per l'autenticazione a più fattori (MFA).
  • Richiedendo agli amministratori di eseguire l'autenticazione a più fattori.
  • Bloccando i protocolli di autenticazione legacy.
  • Richiedendo agli utenti di eseguire l'autenticazione a più fattori quando necessario.
  • Proteggendo attività con privilegi come l'accesso al portale di Azure.

Disponibilità

Microsoft sta rendendo disponibili le impostazioni predefinite per la sicurezza a tutti gli utenti. L'obiettivo consiste nel garantire che tutte le organizzazioni dispongano di un livello di sicurezza base abilitato senza costi aggiuntivi.

Configurare le opzioni utente esterno

Screenshot of the Microsoft Entra ID manage external user settings dialog.

Qui si configurano le azioni che gli utenti esterni possono intraprendere durante l'uso delle risorse cloud del tenant.

  • Accesso utente guest: agli utenti guest è possibile concedere i diritti alla posizione in cui operano quasi come utente completo, con la limitazione di poter vedere solo i propri contenuti.
  • Impostazioni per l'invito di guest: chi può invitare i guest a unirsi all'organizzazione, dai guest stessi ai soli amministratori.
  • Abilita l'iscrizione self-service per guest: consentire al guest di condividere le opzioni self-service per gli utenti.

Configurare le proprietà del tenant per la directory

Screenshot of the Microsoft Entra ID properties dialog box. Configure the definition of your tenant.

Impostare i valori di base che definiscono l'aspetto del tenant all'interno di Microsoft Entra ID.

  • Nome: nome descrittivo per il tenant, da usare nel portale di Azure
  • Paese o area geografica: posizione dell'azienda principale e dei data center di Azure in uso
  • Lingua delle notifiche: lingua usata per l'invio di notifiche e avvisi
  • ID tenant: identificatore univoco per il tenant da usare a livello di codice, in base alle esigenze
  • Contatto tecnico: contatto principale per il tenant (per impostazione predefinita, è l'utente che ha creato il tenant)
  • Contatto globale sulla privacy - Utente o alias da contattare per problemi o problemi relativi alla privacy
  • URL dell'informativa sulla privacy: collegamento a un file PDF o a una pagina Web contenente le regole sulla privacy per le soluzioni cloud