Esercizio di assegnazione dei ruoli di Microsoft Entra in Privileged Identity Management

  • 10 minuti

Con Microsoft Entra ID, un amministratore globale può rendere permanenti assegnazioni di ruolo di amministratore di Microsoft Entra. Queste assegnazioni di ruoli possono essere create usando il portale di Azure o i comandi di PowerShell.

Il servizio Microsoft Entra Privileged Identity Management (PIM) consente anche agli amministratori ruolo con privilegi di effettuare assegnazioni di ruolo di amministratore permanente. Gli amministratori ruolo con privilegi possono inoltre rendere gli utenti idonei per i ruoli di amministratore di Microsoft Entra. Un amministratore idoneo può attivare il ruolo quando serve, con autorizzazioni che scadono al termine delle operazioni.

Assegnare un ruolo

Seguire questa procedura per rendere un utente idoneo per un ruolo di amministratore di Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore tenant.

  2. Cercare e quindi selezionare Microsoft Entra Privileged Identity Management.

  3. Nella schermata Privileged Identity Management, nel menu di spostamento a sinistra selezionare Ruoli di Microsoft Entra.

  4. Nella pagina Avvio rapido, nel menu di spostamento a sinistra selezionare Ruoli.

  5. Nel menu in alto selezionare + Aggiungi assegnazioni.

    Screenshot of the Microsoft Entra roles with Add assignments menu highlighted.

  6. Nel riquadro Aggiungi assegnazioni esaminare le impostazioni nella scheda Appartenenza.

  7. Selezionare il menu Selezionare un ruolo e quindi scegliere Amministratore di conformità. Per individuare un ruolo, è possibile usare il filtro Cerca il ruolo per nome.

  8. In Selezionare un membro o più membri selezionare Nessun membro selezionato.

  9. Nel riquadro Selezionare un membro scegliere l'account amministratore e quindi fare clic su Seleziona.

    Screenshot of the select a member pane with a selected member highlighted.

  10. Nella schermata Aggiungi assegnazioni selezionare Avanti.

  11. Nella scheda Impostazioni, in Tipo di assegnazione esaminare le opzioni disponibili. Per questa attività, usare l'impostazione predefinita.

    • Le assegnazioni di tipo Idoneo richiedono al membro del ruolo di eseguire un'azione per usare il ruolo. Le azioni possono includere l'esecuzione di un controllo di autenticazione a più fattori (MFA), l'indicazione di una giustificazione aziendale o la richiesta di approvazione da responsabili approvazione designati.
    • Le assegnazioni di tipo Attivo non richiedono al membro di eseguire alcuna azione per usare il ruolo. I membri con questo tipo di assegnazione hanno i privilegi sempre assegnati al ruolo.

  12. Esaminare le impostazioni rimanenti e quindi selezionare Assegna.

Attivare i ruoli di Microsoft Entra

Quando è necessario assumere un ruolo di Microsoft Entra, è possibile richiedere l'attivazione aprendo Ruoli personali in Privileged Identity Management.

  1. Nella schermata Privileged Identity Management, nel menu di spostamento a sinistra selezionare Ruoli personali.

  2. Nel riquadro Ruoli personali esaminare l'elenco di assegnazioni idonee.

    Screenshot of the My roles with eligible role assignments highlighted. Pick the role you need.

  3. Nella riga relativa al ruolo Amministratore di conformità selezionare Attiva.

  4. Nel riquadro Attiva - Amministratore di conformità selezionare È necessaria una verifica aggiuntiva e quindi seguire le istruzioni per fornire un'ulteriore verifica di sicurezza. È necessario eseguire l'autenticazione solo una volta per sessione.

    Screenshot of a popup to activate the compliance administrator.

  5. Dopo aver completato la verifica di sicurezza, nella casella Motivo del riquadro Attiva - Amministratore di conformità immettere la giustificazione per l'attivazione del ruolo.

  6. Selezionare Attiva.

Assegnare un ruolo con ambito limitato

Per determinati ruoli, l'ambito delle autorizzazioni concesse può essere limitato a una singola unità amministrativa, entità servizio o applicazione. Questa procedura fornisce un esempio di assegnazione di un ruolo che ha come ambito un'unità amministrativa.

  1. Passare alla schermata Privileged Identity Management e nel menu di spostamento a sinistra selezionare Ruoli di Microsoft Entra.

  2. Nel riquadro Ruoli, nel menu in alto, selezionare + Aggiungi assegnazioni.

  3. Nella schermata Aggiungi assegnazioni selezionare il menu Selezionare un ruolo e quindi scegliere Amministratore utenti.

  4. Selezionare il menu Tipo di ambito ed esaminare le opzioni disponibili. Per il momento si userà il tipo di ambito Directory.

    Suggerimento

    Vedere Gestire le unità amministrative in Microsoft Entra ID per informazioni sul tipo di ambito unità amministrativa.

  5. Analogo all'assegnazione di un ruolo senza ambito limitato. Aggiungere i membri e completare le opzioni delle impostazioni. Per il momento, selezionare Annulla.

Aggiornare o rimuovere un'assegnazione di ruolo esistente

Seguire questi passaggi per aggiornare o rimuovere un'assegnazione di ruolo esistente.

  1. Nella schermata Apri Microsoft Entra Privileged Identity Management selezionare Assegnazioni nel riquadro di spostamento sinistro.

  2. Nell'elenco Assegnazioni per Amministratore di conformità esaminare le opzioni nel menu Azione.

    Screenshot of the options listed in the action column of the Compliance Administrator.

  3. Selezionare Aggiorna ed esaminare le opzioni disponibili nel riquadro Impostazioni di appartenenza. Al termine, chiudere il riquadro.

  4. Selezionare Rimuovi.

  5. Nella finestra di dialogo Rimuovi esaminare le informazioni e quindi selezionare .