Office 365 Identity & Access: Gestire Utenti e Autorizzazioni

Tutorial

Office 365 Identità e Accesso: Gestione Utenti e Autorizzazioni. Questo articolo illustra come gestire account utente e autorizzazioni in Office 365 utilizzando gli strumenti di Identità e Gestione Accessi.

Cominciamo esplorando una panoramica delle soluzioni di Identità e Accesso di Office 365. In questa sezione, discutiamo come creare diversi tipi di utenti e concedere loro accesso alle risorse nella Gestione Identità e Accesso di Office 365.

In particolare, questa sezione si concentra sulla creazione di utenti interni ed esterni con Microsoft 365, il Portale Azure AD, o Azure AD PowerShell. Inoltre, dimostriamo come utilizzare questi tre strumenti per concedere agli utenti l’accesso alle risorse necessarie.

Inoltre, amministrare gli account utente e le autorizzazioni comporta il ripristino delle password degli utenti. Quindi, questo articolo discute come reimpostare le password degli utenti di Office 365 utilizzando i tre metodi.

Panoramica della gestione delle identità e degli accessi di Office 365

Lo strumento di gestione delle identità e degli accessi (IAM) di Office 365 consente agli amministratori di gestire gli account utente e le autorizzazioni. Microsoft 365 offre 2 tipi di utenti: interni ed esterni.

Gli utenti interni fanno parte dell’organizzazione, mentre gli utenti esterni appartengono a un’altra organizzazione aggiunta al tenant di Office 365 per scopi di collaborazione.

Una volta creato un utente interno o esterno, concedi loro l’accesso alle risorse tramite ruoli o gruppi. Per concedere l’accesso tramite ruoli, aggiungi l’utente al ruolo.

Quando si concedono agli utenti l’accesso alle risorse tramite l’appartenenza a un gruppo, è consigliabile aggiungere gli utenti al gruppo. Successivamente, si aggiunge il gruppo al ruolo Azure AD appropriato.

Questo approccio garantisce che gli utenti ereditino le autorizzazioni assegnate al gruppo.

Si noti che è necessario abilitare prima l’assegnazione di ruolo durante la creazione del gruppo per aggiungere i gruppi ai ruoli. Tuttavia, una volta abilitata questa impostazione, rimarrà permanente per il gruppo.

In alternativa, è possibile concedere l’accesso a un gruppo assegnabile a ruolo a un ruolo integrato e quindi aggiungere gli utenti al gruppo.

Metodo 1:

Utilizzare il Portale M365 per Gestire Account Utente e Autorizzazioni con la Gestione di Identità e Accessi di Office 365

Inoltre, forniamo indicazioni passo dopo passo sulla creazione di un gruppo Microsoft 365, sull’aggiunta di utenti al gruppo e sull’assegnazione di un utente o gruppo a un ruolo.

Opzione 2 Passaggio 1: Creare Utenti Interni di Office 365 nel Portale Microsoft 365

1. Per iniziare a gestire utenti e autorizzazioni in Microsoft 365, accedi a admin.microsoft.com con un account che abbia le autorizzazioni appropriate.

2. Successivamente, accedi alla pagina Utenti Attivi. Clicca sull’icona del menu di navigazione (se non è già espansa), e seleziona “Utenti attivi” dal nodo Utenti.

3. Sulla pagina “Utenti attivi”, clicca su “Aggiungi utenti” per avviare il flusso di creazione di nuovi utenti. Questo ti guiderà attraverso il processo di aggiunta dei dettagli necessari dell’utente e, se necessario, nell’assegnazione di licenze e ruoli.

Fase 1 Opzione 2: Creare Utenti Esterni di Office 365 nel Portale Microsoft 365

Per garantire che altri utenti possano aggiungere il calendario dell’utente esterno al proprio, è consigliabile prima aggiungere l’utente come Contatto di Posta per l’utente in Exchange Online prima di creare un utente esterno in Microsoft 365.

Nella mia esperienza, se si salta questo passaggio, altri utenti potrebbero riscontrare problemi nell’aggiungere il calendario dell’utente esterno al proprio.

Tuttavia, se gli utenti interni non hanno bisogno di aggiungere l’utente esterno ai loro calendari, è possibile saltare questo passaggio e passare alla fase 2 qui sotto:Fase 1: aggiungi un Contatto di Posta per l’utente in Exchange Online (opzionale).

Fase 1: aggiungere un contatto di posta per l’utente in Exchange Online (opzionale).

Per aprire la pagina dei contatti di Exchange Online, accedi a admin.exchange.microsoft.com utilizzando le credenziali dell’amministratore. Una volta effettuato l’accesso, vai alla pagina Destinatari -> Contatti.

Infine, clicca su “Aggiungi un contatto di posta” e completa i passaggi. Ho aggiunto il mio account Gmail per fare una demo.

Fase 2: aggiungere il contatto di posta come utente ospite.

Accedi a admin.microsoft.com e vai alla sezione “Utenti ospiti” nella scheda Utenti. Successivamente, clicca su “Aggiungi utente ospite” per avviare l’aggiunta di un nuovo utente ospite.

L’azione apre la pagina “Nuovo utente” di Azure AD in una nuova scheda del browser. Nella pagina di Azure AD, seleziona l’opzione Invita utente, aggiungi le informazioni richieste e clicca sul pulsante Invia invito.

Per attivare il loro account, l’utente esterno deve controllare la sua email da Microsoft e seguire il link fornito nel messaggio.

Opzione 1 del Passaggio 2: Concedere le autorizzazioni agli account utente tramite ruoli nel portale di Office 365.

Per assegnare ruoli agli utenti in Office 365, accedi al portale di Microsoft 365 e segui le istruzioni seguenti.

Assegna ruoli di Microsoft 365 a utenti interni ed esterni.

1. Nel menu, espandi Ruoli e clicca su Assegnazioni ruoli.

2. Successivamente, clicca sul ruolo Azure AD per assegnare un utente, ad esempio, “Amministratore del servizio di assistenza”.

3. Nella finestra del ruolo, clicca sulla scheda Assegnato. Poi, clicca su “Aggiungi utenti”. Infine, seleziona gli utenti a cui desideri assegnare il ruolo e clicca Aggiungi.

Dopo l’aggiunta, controlla la scheda “Assegnato” per confermare che siano stati aggiunti con successo.

Fase 2 Opzione 2: Concedi autorizzazioni agli account utente tramite gruppi nel portale di Microsoft 365

Per assegnare accesso agli utenti tramite gruppi, segui un processo a 2 fasi.

Inizialmente, aggiungi gli utenti al gruppo. Successivamente, assegna il gruppo a un ruolo utilizzando l’interfaccia di gestione ruoli.

Come menzionato prima, la selezione dell’opzione per assegnare ruoli ai gruppi deve essere fatta durante la creazione del gruppo. Perciò, per utilizzare i gruppi per assegnareruoli utente, crea un gruppo e abilita la funzione di assegnazione ruoli durante il processo di creazione.

1. Per far questo, nel portale Microsoft 365, espandi “Team e gruppi” quindi seleziona “Gruppi attivi”.

2. Successivamente, per aprire il workflow “Aggiungi un gruppo”, clicca su Aggiungi un gruppo.

Quando si crea un nuovo gruppo, è possibile aggiungere utenti al gruppo nella sezione “Membri” del workflow. Inoltre, è possibile selezionare la casella di spunta “consenti all’amministratore di assegnare un ruolo a questo gruppo” nella sezione “Impostazioni”.

Riferisci alla seconda schermata sottostante per la configurazione.

3. Per assegnare ruoli a un gruppo, naviga nel menu, espandi Ruoli e clicca su Assegnazioni ruoli.

4. Cliccando su Assegnazioni ruoli, seleziona il ruolo Azure AD che desideri assegnare al gruppo, ad esempio “Amministratore del helpdesk”.

5. Poi, nella scheda di scorrimento del ruolo, clicca sull’Assegnato e quindi clicca “Aggiungi gruppi”.

6. Infine, seleziona i gruppi a cui desideri assegnare il ruolo e clicca su Aggiungi.

Una volta che hai aggiunto i gruppi al ruolo, controlla la scheda “Assegnati” per confermare che siano stati aggiunti con successo.

Reimposta la password utente di Office 365 nel portale di Microsoft 365

1. Per reimpostare una password utente nel portale di Microsoft 365, espandi il menu “Utenti” nel pannello di navigazione. Successivamente, seleziona “Utenti attivi” e posiziona il cursore sull’account utente che richiede la reimpostazione della password.

2. Clicca sul simbolo a forma di chiave che appare quando passi sopra l’account. Questo avvia il processo di reimpostazione della password.

3. Infine, seleziona le opzioni desiderate nella finestra a comparsa “Reimposta password” e clicca su “Reimposta password”. Il portale di Microsoft 365 mostra un messaggio di conferma con la nuova password.

Metodo 2:

Usa il portale di Azure AD per gestire account utente e autorizzazioni con Office 365 IAM

Questo portale offre una serie di funzionalità e strumenti che consentono agli amministratori di gestire gli account utente, inclusa la configurazione delle autorizzazioni e altro ancora. Questa sezione illustra i passaggi fondamentali per la gestione degli account utente nel portale Azure AD.

Passo 1 Opzione 1: Crea utenti interni di Office 365 nel portale di Azure AD

1. Innanzitutto, accedi a portal.azure.com e vai all’opzione Utenti nel menu.

2. Quindi, clicca su “+Aggiungi” e seleziona Utente. Infine, scegli il modello Crea utente, fornisci i dettagli richiesti e clicca su Crea.

Passo 1 Opzione 2: Crea utenti esterni di Office 365 nel portale di Azure AD

In precedenza, ho consigliato di aggiungere un contatto di posta per l’utente prima di creare un utente esterno. Questo è consigliato se gli utenti interni devono aggiungere il calendario dell’utente esterno al proprio.

Per creare un contatto di posta, accedi alla pagina dei Contatti di Exchange Online su admin.exchange.microsoft.com. Dopo aver effettuato l’accesso, vai alla pagina Destinatari -> Contatti. Quindi, fai clic su “Aggiungi un contatto di posta” e completa i passaggi richiesti.

Per inviare un invito a un utente esterno in Azure AD dopo aver completato il passaggio opzionale precedente, segui questi passaggi:

1. Innanzitutto, segui la guida “Passaggio 1 di 2” fino a raggiungere il Passaggio 2.

2. Quindi, seleziona il modello Invita utente. Infine, fornisci le informazioni richieste e fai clic su Invia invito.

Dopo aver completato i passaggi precedenti, l’utente riceve una email da Microsoft.

Contiene un link per finalizzare la registrazione di Azure AD. L’utente deve fare clic sul link per completare il processo.

Passaggio 2 Opzione 1: Concedere autorizzazioni agli account utente tramite ruoli nel portale di Azure AD

1. Una volta creato un utente, utilizza il portale di Azure AD per assegnare ruoli all’utente. Fai clic su “Ruoli e amministratori” nel menu di Azure Active Directory per completare questa operazione.

2. Quindi, scegli il ruolo da assegnare all’utente. Usa la funzione di ricerca, se necessario.

3. Successivamente, fai clic su “+ Aggiungi assegnazioni” per finalizzare il processo.

Passaggio 2 Opzione 2: Concedere autorizzazioni agli account utente tramite gruppi nel portale di Azure AD.

Nel passo 3 di 1 sopra, abbiamo mostrato come assegnare permessi agli utenti tramite Azure AD ruoli. Tuttavia, un metodo potenzialmente migliore è l’assegnazione di ruoli agli utenti in base alla iscrizione in un gruppo.

Segui questi passi per completare le attività in Azure AD:

Prima di tutto, crea un gruppo e abilita l’assegnazione di ruoli AD al gruppo. In secondo luogo, aggiungi gli utenti come membri al nuovo gruppo.

Infine, assegna i ruoli che vuoi assegnare agli utenti assegnando i ruoli al gruppo Azure AD.

Ecco i passi pratici:

1. Clicca su “Gruppi” nel menu e poi su “Nuovo gruppo”.

2. Abilita “I ruoli di Azure AD sono assegnati al gruppo,” seleziona le opzioni mostrate nella screenshot sottostante e clicca “Crea” per completare la creazione del gruppo.

Successivamente, segui i passi sottostanti per aggiungere utenti al gruppo e assegnarglielo come ruolo:

3. Clicca sul gruppo nell’Nodo Gruppi, quindi clicca su “Membri” nella pagina del gruppo. Poi, clicca su “+ Aggiungi membri” per aggiungere utenti al gruppo Azure AD.

4. Per assegnare il gruppo ai ruoli di Azure Active Directory, clicca su “Ruoli e amministratori” nel menu di Azure Active Directory. Successivamente, seleziona il ruolo che desideri assegnare al gruppo. Infine, clicca su “+ Aggiungi assegnazioni”.

Resetta la password dell’utente di Office 365 nel portale di Azure AD

Gli amministratori devono essere in grado di resettare le password per gestire gli account utente e le autorizzazioni utilizzando le soluzioni di Identity e Access Management di Office 365. Pertanto, è importante sapere che le password degli utenti possono essere resettate nel portale di Azure AD.

1. Clicca sul nodo “Utenti” per resettare l’account di un utente nel portale di Azure Active Directory.

2. Utilizza la funzionalità di ricerca per selezionare l’utente. Quindi, completa il processo cliccando su “Ripristina password” situato sopra i dettagli dell’utente.

Metodo 3:

Usa PowerShell per gestire gli account utente e le autorizzazioni con Office 365 Identity and Access Management

Adesso, passiamo al terzo e ultimo metodo, che prevede l’uso di PowerShell per completare lo stesso compito.

Per prima cosa, è necessario installare i moduli PowerShell richiesti per le attività in corso.

Passo 1: Installare i Moduli Richiesti: AzureAD, ExchangePowerShell, Az.Accounts e Az.Resources

1. Apri PowerShell come amministratore. Cerca PowerShell, quindi clicca su “Esegui come amministratore.”

2. Per aprire una nuova istanza che esegue comandi dai moduli scaricati, esegui il seguente comando dopo aver aperto PowerShell come amministratore.

powershell.exe -ExecutionPolicy "RemoteSigned"

3. Quindi, per installare i moduli necessari di PowerShell, eseguire i seguenti comandi. Il primo comando installa i moduli, mentre il secondo li importa nella sessione di PowerShell corrente.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

Passaggio 2 Opzione 1: Creare utenti interni di Office 365 in PowerShell

1. Connettiti al tuo Azure AD tenant eseguendo questo comando. Ciò richiede a PowerShell di chiedere i tuoi dettagli di accesso.

Connect-AzureAD

2. Una volta connesso, eseguire i seguenti comandi per creare un nuovo utente di Office 365.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

Passaggio 2 Opzione 2: Creare utenti esterni di Office 365 in PowerShell

Come menzionato negli ultimi due metodi, un utente esterno può essere aggiunto inizialmente creando una mail contatto, che è un passo facoltativo.

Se i tuoi utenti interni hanno bisogno di aggiungere il calendario dell’utente esterno ai propri, segui i passaggi 1 e 2 per aggiungere un contatto mail usando PowerShell. In alternativa, salta al passo 3.

1. Per connetterti a Exchange Online sulla console PowerShell aperta nell’opzione 1 del passo 2, esegui il comando di seguito e inserisci le tue informazioni di accesso quando richieste da PowerShell.

Connect-ExchangeOnline

2. Aggiungi un Contatto Mail per l’utente esterno che intendi invitare usando questo comando. Modifica parte del comando a seconda delle tue necessità.

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. Successivamente, invia l’invito eseguendo il comando fornito: modifica i parametri prima di eseguire il comando.

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

Step 3 Opzione 1: Concessione di Permessi ai Account Utente tramite Ruoli in PowerShell

Esegui i seguenti comandi per assegnare un utente a un ruolo. Modifica i comandi per soddisfare i tuoi requisiti.

I have included comments in the script to explain each command.

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#passo 1: ottenere l’ID dell’ utente che vuoi aggiungere a un ruolo:

#passo 2: Ottieni l’ID del ruolo che vuoi assegnare all’utente

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#passo 3: assegna all’utente il ruolo

Passaggio 3 Opzione 2: Concessione di autorizzazioni agli account utente tramite gruppi in PowerShell

Per assegnare un ruolo a un utente tramite l’appartenenza al gruppo, esegui i comandi nello script sottostante.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#passaggio 1: Creare un gruppo assegnabile di ruoli–in Azure Active Directory–salta questo passaggio se hai già un gruppo di ruoli assegnabili esistente

#passaggio 2: ottenere l’ID dell’utente che si desidera aggiungere a un ruolo:

#passaggio 3: aggiungere l’utente al gruppo AAD

#passaggio 4: aggiungere il gruppo di Azure AD a un ruolo di Azure AD

Reimposta la password dell’utente di Office 365 in PowerShell

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/