Ruoli e Permessi di Azure AD: Assegnare e Gestire Ruoli per Utenti e Gruppi. Sei un amministratore IT che vuole imparare a conoscere i ruoli di Azure AD e la loro importanza nell’assegnare e gestire i permessi per utenti e gruppi?
È fondamentale imparare ogni concetto per comprendere la relazione tra ruoli di Azure AD, utenti, gruppi e permessi.
Successivamente, spieghiamo i ruoli di Azure AD, che rappresentano il livello successivo nella relazione “ruolo utente gruppo permesso”.
Per unire tutti i concetti, l’articolo discute come gli utenti e i gruppi ereditino i permessi quando i ruoli vengono loro assegnati.
Infine, fornisce istruzioni dettagliate su come assegnare i ruoli di Azure AD agli utenti o ai gruppi utilizzando metodi diversi.
Utenti di Azure AD, Gruppi e Iscrizioni ai Gruppi
Il livello di base del permesso in Azure AD si chiama “Identità”, che include tutto ciò che è autenticato. Esempi di identità sono: utenti con nomi utente, password e applicazioni o server che richiedono autenticazione.
Questo articolo si concentra sull’Identità come utente autenticato.
Una volta che un utente si autentica, riceve l’accesso alle risorse attraverso l’autorizzazione. Pertanto, gli utenti hanno bisogno di permessi per essere autorizzati ad accedere alle risorse.
Quando si crea un utente, Azure AD gli assegna automaticamente le autorizzazioni predefinite.
Tuttavia, un amministratore assegna autorizzazioni aggiuntive all’utente utilizzando un ruolo di Azure AD. In alternativa, le autorizzazioni vengono assegnate agli utenti aggiungendoli a un gruppo.
Si considera una pratica ottimale assegnare le autorizzazioni agli utenti attraverso un gruppo piuttosto che direttamente all’utente.
Ecco dove entrano in gioco i gruppi in Azure Active Directory. In Azure AD, i gruppi gestiscono gli utenti che necessitano di accesso alle stesse risorse.
Una volta creato un gruppo, tutti gli utenti aggiunti ad esso ereditano le autorizzazioni assegnate ad esso tramite i ruoli di Azure AD.
È essenziale notare che ci sono 2 tipi di gruppi per gestire le autorizzazioni in Azure AD: gruppi di sicurezza e gruppi Microsoft 365.
Utilizzate un gruppo di sicurezza per assegnare permessi e ruoli ai suoi membri. Tuttavia, durante il processo di creazione del gruppo, è necessario impostare il gruppo di sicurezza come assegnabile al ruolo per assegnare ruoli ad esso.
Una volta creato un gruppo, non è possibile modificare questa impostazione.
Al contrario, i gruppi Microsoft 365 sono progettati per scopi di collaborazione. I membri di un gruppo Microsoft 365 accedono a caselle di posta condivise, team, file e altre risorse abilitate alla collaborazione.
Ruoli e Permessi in Azure Active Directory
Il Controllo degli Accessi Basato sui Ruoli (RBAC) costituisce la base della sicurezza di Azure AD . Circa 60 ruoli predefiniti sono utilizzati per assegnare e gestire i permessi
Per trovare un elenco completo di questi ruoli e dei rispettivi permessi, consulta la sezione “Tutti i ruoli” nella pagina dei ruoli incorporati di Azure AD.
Inoltre, ogni ruolo ha un insieme predefinito di permessi. Per assegnare i permessi associati a un ruolo di Azure AD a un oggetto, come un utente o un gruppo, devi assegnare il ruolo all’oggetto.
Esegui questa assegnazione sia nella pagina “Ruoli e amministratori” nel portale di Azure Active Directory che tramite il nodo “Ruoli assegnati” di un oggetto di Azure AD.
I ruoli possono essere assegnati direttamente a utenti o gruppi. Tuttavia, i gruppi dinamici consentono l’assegnazione automatica dei ruoli in base a condizioni definite.
Relazioni tra i ruoli di Azure AD e i permessi dei gruppi
I gruppi gestiscono più utenti che necessitano di accesso alle stesse risorse di Azure AD. Tuttavia, i gruppi hanno funzionalità che vanno oltre questo.
Ad esempio, i gruppi vengono utilizzati per assegnare licenze e distribuire app ai loro membri. Inoltre, questi gruppi delegano ruoli di amministratore, ad eccezione dell’Azure AD Global Administrator.
Trova un elenco dei ruoli amministrativi che puoi delegare utilizzando i gruppi.
Inoltre, utilizza i gruppi per assegnare autorizzazioni ai siti SharePoint o app SaaS esterne.
Ricorda che l’assegnazione dei ruoli ai gruppi richiede una licenza Azure AD Premium P1. Inoltre, per svolgere il compito è necessario avere il ruolo “Amministratore di ruolo Privileged“.
Inoltre, Azure fornisce gruppi dinamici che vengono utilizzati per assegnazioni di ruolo.
I gruppi dinamici assegnano automaticamente l’appartenenza a gruppi agli utenti che soddisfano i criteri di query definiti per il gruppo. Questo processo automatizzato risparmia notevolmente tempo amministrativo alle grandi organizzazioni rispetto alle assegnazioni manuali dei gruppi.
Come assegnare ruoli di Azure AD agli utenti e ai gruppi
Segui uno dei metodi di seguito per assegnare ruoli di Azure AD agli utenti o ai gruppi.
Prima di tutto, accedi al portale di Azure via portal.azure.com. Cerca e apri “Azure Active Directory.”
Metodo 1 di 3: Assegnare ruoli agli utenti o ai gruppi dall’interfaccia “Ruoli e amministratori”
Il modo più conveniente per assegnare ruoli di Azure AD è tramite l’interfaccia “Ruoli e amministratori” nel portale di Azure Active Directory.
Segui questi passaggi:
1. Nel menu di Azure Active Directory, fare clic su “Ruoli e amministratori”.
2. Successivamente, una volta aperta la pagina “Ruoli e amministratori”, fare clic sul ruolo di Azure AD che si desidera assegnare e concedere autorizzazioni all’Active Directory e ai gruppi. Per trovare più rapidamente un ruolo, cercarlo.
3. Fare clic su “Aggiungi assegnazioni” sulla pagina delle assegnazioni del ruolo. Questa pagina elenca anche tutti gli utenti e i gruppi attualmente assegnati a questo ruolo.
4. Una volta aperta la pagina “Aggiungi assegnazioni”, fare clic sul collegamento “Nessun membro selezionato”. Infine, su “Seleziona un membro”, scegliere tutti gli utenti e i gruppi a cui si desidera assegnare il ruolo e fare clic su Seleziona.
Si noti che il volantino visualizza solo i gruppi che possono essere assegnati al ruolo.
Utilizzare la funzionalità di ricerca per trovare utenti e gruppi ed evitare di scorrere.
Metodo 2 di 3: Assegnare i ruoli di Azure AD dall’interfaccia utenti
Un altro metodo per assegnare i ruoli di Azure AD agli utenti è aprire la pagina del portale di Azure Active Directory dell’utente. Ecco i passaggi:
1. Fare clic sul menu “Utenti” nel portale di Azure Active Directory. Quindi, selezionare un utente facendo clic su di esso.
2. Una volta aperto l’utente, fare clic su “Ruoli assegnati”. Quindi, fare clic su “+ Aggiungi assegnazione”.
3. Successivamente, seleziona il ruolo Azure AD da cui desideri che l’utente erediti i permessi dal menu a discesa “Seleziona ruolo”. Dopo aver selezionato il ruolo, fai clic su Avanti.
4. Infine, se hai la licenza di Gestione delle identità privilegiate (PIM), nell’ultima pagina verrà visualizzata l’opzione “Tipo di assegnazione”. L’opzione “Durata massima ammissibile per l’assegnazione” è disponibile anche per PIM.
Seleziona le tue impostazioni e fai clic su Assegna.
Metodo 2 di 3: Assegnare i ruoli Azure AD dall’interfaccia dei gruppi
Per assegnare i ruoli Azure AD ai gruppi assegnabili ai ruoli, segui i passaggi seguenti:
1. Fai clic su “Gruppi” sul portale di Azure Active Directory.
2. Azure AD elenca tutti i gruppi. Tuttavia, è possibile assegnare ruoli solo ai gruppi per i quali questa funzionalità è abilitata.
Pertanto, per visualizzare i gruppi abilitati per l’assegnazione dei ruoli, fai clic su “Gestisci visualizzazione” e seleziona “Modifica colonne”.
3. Seleziona la casella di controllo “Assegnazioni di ruolo consentite” nel riquadro delle colonne e fai clic su Salva. Puoi anche deselezionare “ID oggetto”, “Tipo di appartenenza”, “Email” e “Origine” per ridurre il numero di colonne.
Queste colonne sono selezionate per impostazione predefinita. Tuttavia, la colonna “Assegnazioni di ruolo consentite” non è selezionata per impostazione predefinita.
4. Dopo aver abilitato la visualizzazione della pagina per verificare se un gruppo è assegnabile a un ruolo, seleziona il gruppo corretto.
Ricorda che se apri un gruppo a cui questa funzionalità non è stata abilitata durante la sua creazione, non visualizzerà i ruoli di Azure AD.
5. Una volta aperto il gruppo, fai clic su “Ruoli assegnati” nel menu, quindi fai clic su “Aggiungi assegnazioni”.
6. Scegli un ruolo dal menu a discesa “Seleziona ruolo” e fai clic su Avanti. Infine, seleziona le opzioni di assegnazione del ruolo e fai clic su Assegna.
Assegnare ruoli di Azure AD tramite gruppi dinamici
Inoltre, Azure AD consente l’uso di gruppi dinamici per assegnare automaticamente ruoli di Azure AD agli utenti.
Ecco i passaggi per creare un gruppo dinamico di Azure AD che assegna automaticamente ruoli ai suoi membri.
1. Nella pagina Gruppi del portale di Azure Active Directory, fai clic su “Nuovo gruppo”.
2. Quando si apre la pagina “Nuovo gruppo”, nominare il gruppo e selezionare il tipo di assegnazione dinamica dal menu a discesa “Tipo di appartenenza”. Selezionando “Utente dinamico” o “Dispositivo dinamico” verrà visualizzato il collegamento “Aggiungi query dinamica”.
Assicurarsi di attivare l’interruttore “I ruoli di Azure AD possono essere assegnati”.
3. Fare clic sul collegamento “Aggiungi query dinamica” per creare una query dinamica che aggiunge automaticamente gli utenti al gruppo.
4. Una volta aperta la pagina “Regole di appartenenza dinamiche”, fare clic su “Modifica”, quindi creare la propria query. Scopri come creare query dinamiche per l’appartenenza ai gruppi.
5. Nella finestra a comparsa “Sintassi della regola di modifica”, inserire la propria regola e fare clic su OK. Quindi, sulla pagina della query di appartenenza dinamica, fare clic su Salva.
I built a simple rule that adds users to my group by user’s department.
6. Infine, rivedere le impostazioni sulla pagina ‘Nuovo gruppo’ e fare clic su Crea.
Per verificare che la propria regola dinamica funzioni, aprire il gruppo e fare clic sul menu ‘Membri’. Se la regola è corretta e alcuni utenti soddisfano i criteri, dovrebbero essere aggiunti dinamicamente come membri del gruppo.
Dopo aver creato il gruppo dinamico, assegna i ruoli di Azure AD al gruppo. Dopo questi passaggi, tutti gli utenti aggiunti dinamicamente al gruppo erediteranno automaticamente le autorizzazioni dei ruoli assegnati al gruppo.
Ruoli e autorizzazioni di Azure AD: Assegna e gestisci ruoli per utenti e gruppi Conclusione
In conclusione, questo articolo ha esplorato gli aspetti essenziali dei ruoli e delle autorizzazioni di Azure AD. In particolare, si è concentrato su come assegnare e gestire i ruoli per gli utenti e gruppi.
Abbiamo spiegato i concetti di utenti, gruppi e appartenenze ai gruppi di Azure AD, evidenziando il loro significato nelle assegnazioni di ruolo. Abbiamo anche esaminato il framework dei ruoli e delle autorizzazioni in Azure Active Directory.
L’articolo sottolinea le relazioni tra i ruoli di Azure AD e le autorizzazioni dei gruppi.
Inoltre, ha presentato 3 metodi per assegnare i ruoli di Azure AD agli utenti e ai gruppi. Il metodo 1 prevedeva l’utilizzo dell’interfaccia “Ruoli e amministratori”, mentre il metodo 2 ha coperto l’assegnazione dei ruoli dalle interfacce utente e gruppo.
Abbiamo anche considerato l’utilizzo dell’appartenenza a gruppi dinamici come terzo metodo per assegnare ruoli di Azure AD agli utenti.
Comprendendo questi metodi e sfruttando la potenza di Azure AD, gli amministratori assegnano e gestiscono efficacemente i ruoli per garantire un corretto accesso e autorizzazioni per utenti e gruppi all’interno delle proprie organizzazioni.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/