Indietro

Prossima

Progettare e implementare ruoli per la gestione delle app

Completato

Questa unità descrive come usare le autorizzazioni concesse da ruoli personalizzati in Microsoft Entra ID per soddisfare le esigenze di gestione delle applicazioni. In Microsoft Entra ID è possibile delegare le autorizzazioni per la creazione e la gestione delle applicazioni tramite:

• Limitazione degli utenti che possono creare applicazioni e gestire le applicazioni create.
• Assegnazione di uno o più proprietari a un'applicazione. L'assegnazione dei proprietari è un semplice metodo per consentire a un utente di gestire tutti gli aspetti della configurazione di Microsoft Entra ID per un'applicazione specifica.
• Assegnazione di un ruolo amministrativo predefinito che concede l'accesso per gestire la configurazione in Microsoft Entra ID per tutte le applicazioni. I ruoli predefiniti sono il metodo consigliato per concedere a esperti IT l'accesso in modo da gestire le autorizzazioni di configurazione delle applicazioni generali senza consentire l'accesso per la gestione di altre parti di Microsoft Entra ID non correlate alla configurazione delle applicazioni.
• Creazione di un ruolo personalizzato che definisce autorizzazioni specifiche e assegnazione di questo ruolo a un utente nell'ambito di una singola applicazione come proprietario limitato oppure nell'ambito di directory (tutte le applicazioni) come amministratore con limitazioni.

È importante valutare la possibilità di concedere l'accesso usando uno dei metodi descritti sopra per due motivi. Innanzitutto, la delega della possibilità di eseguire attività amministrative riduce il carico per l'amministratore globale. In secondo luogo, l'uso di autorizzazioni limitate migliora la postura di sicurezza e riduce il rischio di accesso non autorizzato.

Limitare gli utenti che possono creare applicazioni

In Microsoft Entra ID tutti gli utenti possono eseguire registrazioni di applicazioni e gestire tutti gli aspetti delle applicazioni che creano. Tutti hanno anche la possibilità di dare il consenso a che le app accedano ai dati aziendali per conto loro. È possibile scegliere di concedere tali autorizzazioni in modo selettivo impostando i parametri globali su "No" e aggiungendo gli utenti selezionati al ruolo di sviluppatore di applicazioni.

Per disabilitare la funzionalità predefinita che consente di creare registrazioni delle applicazioni o di dare il consenso alle applicazioni

1. Accedere all'organizzazione Microsoft Entra con un account idoneo per il ruolo di amministratore globale nell'organizzazione Microsoft Entra.

2. Impostare uno o entrambe le opzioni seguenti:

   • Nella pagina Impostazioni utente per l'organizzazione impostare l'opzione Gli utenti possono registrare applicazioni su No. Questa impostazione disabilita la funzionalità predefinita che consente agli utenti di creare registrazioni di applicazioni.
   • Nelle Impostazioni utente per le applicazioni aziendali configurare se gli utenti possono aggiungere app della raccolta all'app personale o se le app Office 365 vengono visualizzate nel portale di Office.
   • Nelle impostazioni utente per le applicazioni aziendali impostare l'opzione Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto su No. Questa impostazione disabilita la funzionalità predefinita che consente agli utenti di dare il consenso a che le app accedano ai dati per conto loro.

Concedere singole autorizzazioni per la creazione di applicazioni e il consenso alle applicazioni quando la funzionalità predefinita è disabilitata

Assegnare il ruolo di sviluppatore di applicazioni per consentire la creazione di registrazioni di applicazioni quando l'opzione Gli utenti possono registrare applicazioni è impostata su No. Questo ruolo concede anche l'autorizzazione per dare il consenso all'accesso per proprio conto quando l'opzione Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto è impostata su No. In base al comportamento del sistema, quando un utente crea la registrazione di una nuova applicazione, viene automaticamente aggiunto come primo proprietario. Le autorizzazioni di proprietà consentono all'utente di gestire tutti gli aspetti della registrazione di un'applicazione o di un'applicazione aziendale di cui è proprietario.

Assegnare proprietari dell'applicazione

L'assegnazione di proprietari è un semplice metodo per consentire la gestione di tutti gli aspetti della configurazione di Microsoft Entra ID per la registrazione di un'applicazione o un'applicazione aziendale specifica. In base al comportamento del sistema, quando un utente crea la registrazione di una nuova applicazione, viene automaticamente aggiunto come primo proprietario. Le autorizzazioni di proprietà consentono all'utente di gestire tutti gli aspetti della registrazione di un'applicazione o di un'applicazione aziendale di cui è proprietario. È possibile rimuovere il proprietario originale e aggiungere altri proprietari.

Proprietari di applicazioni aziendali

In qualità di proprietario, un utente può gestire la configurazione specifica dell'organizzazione dell'applicazione aziendale, ad esempio la configurazione SSO, il provisioning e le assegnazioni degli utenti. Un proprietario può anche aggiungere o rimuovere altri proprietari. Diversamente dagli amministratori globali, i proprietari possono gestire solo le applicazioni aziendali di cui sono proprietari.

In alcuni casi, le applicazioni aziendali create dalla raccolta di applicazioni includono sia un'applicazione aziendale sia la registrazione di un'applicazione. In questo caso, l'aggiunta di un proprietario all'applicazione aziendale comporta automaticamente l'aggiunta del proprietario alla registrazione dell'applicazione specifica come proprietario.

Per assegnare un proprietario a un'applicazione aziendale

1. Accedere all'organizzazione di Microsoft Entra con un account idoneo come amministratore applicazione o amministratore applicazione cloud per l'organizzazione.
2. Nella pagina Registrazioni app per l'organizzazione selezionare un'app per aprire la pagina Panoramica dell'app.
3. Selezionare Proprietari per visualizzare l'elenco dei proprietari dell'app.
4. Selezionare Aggiungi per selezionare uno o più proprietari da aggiungere all'app.

Importante

Gli utenti e le entità servizio possono essere proprietari di registrazioni di applicazioni. Solo gli utenti possono essere proprietari di applicazioni aziendali. I gruppi non possono essere assegnati come proprietari di alcuna delle due.

I proprietari possono aggiungere credenziali a un'applicazione e usare tali credenziali per rappresentare l'identità dell'applicazione. L’applicazione dispone di più autorizzazioni rispetto al proprietario e questo costituisce un'elevazione dei privilegi rispetto a quello cui il proprietario ha accesso come utente o entità servizio. A seconda delle autorizzazioni dell'applicazione, il proprietario di un'applicazione può creare o aggiornare utenti o altri oggetti mentre rappresenta l'applicazione.

Assegnare ruoli di amministratore applicazione predefiniti

Microsoft Entra ID include un set di ruoli di amministratore predefiniti per concedere l'accesso per la gestione della configurazione in Microsoft Entra ID per tutte le applicazioni. Questi ruoli sono il metodo consigliato per concedere a esperti IT l'accesso in modo da gestire le autorizzazioni di configurazione delle applicazioni generali senza consentire l'accesso per la gestione di altre parti di Microsoft Entra ID non correlate alla configurazione delle applicazioni.

• Amministratore di applicazioni: gli utenti in questo ruolo possono creare e gestire tutti gli aspetti di applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Questo ruolo concede anche la possibilità di dare il consenso alle autorizzazioni delegate e alle autorizzazioni delle applicazioni, con l'esclusione di Microsoft Graph. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

• Amministratore applicazione cloud: gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

  Importante

  Gli amministratori applicazione e gli amministratori applicazione cloud possono aggiungere credenziali a un'applicazione e usare tali credenziali per rappresentare l'identità dell'applicazione. L’applicazione dispone di autorizzazioni che costituiscono un'elevazione dei privilegi rispetto alle autorizzazioni del ruolo di amministratore. A seconda delle autorizzazioni dell'applicazione, un amministratore in uno di questi ruoli può creare o aggiornare utenti o altri oggetti mentre rappresenta l'applicazione. Nessuno dei ruoli consente di gestire le impostazioni di accesso condizionale.

Creare e assegnare un ruolo personalizzato

La creazione e l'assegnazione di ruoli personalizzati sono due passaggi separati:

• Creare una definizione di ruolo personalizzata e aggiungervi le autorizzazioni da un elenco preimpostato. Queste autorizzazioni corrispondono a quelle usate nei ruoli predefiniti.
• Creare un'assegnazione di ruolo per assegnare il ruolo personalizzato.

Questa separazione consente di creare un'unica definizione di ruolo e quindi assegnarla molte volte in ambiti diversi. È possibile assegnare un ruolo personalizzato a livello di organizzazione o nell'ambito di un singolo oggetto Microsoft Entra. Un esempio di ambito degli oggetti è la registrazione di una singola app. Quando un amministratore usa ambiti diversi, tuttavia, è possibile assegnare la stessa definizione di ruolo a una persona per tutte le registrazioni di app nell'organizzazione e quindi a un altro utente per una sola app o per registrazioni di app specifiche.

Suggerimenti per la creazione e l'uso di ruoli personalizzati per delegare la gestione delle applicazioni:

• I ruoli personalizzati concedono l'accesso solo nella schermata di registrazione delle app più recenti dell'interfaccia di amministrazione di Microsoft Entra. Non concedono l'accesso nella schermata delle registrazioni di app legacy.
• I ruoli personalizzati non concedono l'accesso al portale Microsoft Entra ID quando l'impostazione utente Limita l'accesso all'amministrazione di Microsoft Entra ID portale è impostata su Sì.
• Per le registrazioni di app cui l'utente ha accesso, le assegnazioni di ruolo vengono visualizzate solo nella scheda Tutte le applicazioni nella pagina Registrazioni app. Non vengono visualizzate nella scheda Applicazioni di cui si è proprietari.

Continua