Informazioni sui ruoli in Microsoft Entra ID
Microsoft Entra include circa 60 ruoli predefiniti, che prevedono un set fisso di autorizzazioni. Per integrare i ruoli predefiniti, Microsoft Entra supporta anche i ruoli personalizzati. Usare i ruoli personalizzati per selezionare le autorizzazioni adatte alle proprie esigenze. Ad esempio, è possibile crearne uno per gestire risorse specifiche di Microsoft Entra, ad esempio applicazioni o entità servizio.
Questo articolo illustra i ruoli di Microsoft Entra e come possono essere usati.
Differenze tra i ruoli di Microsoft Entra e altri ruoli di Microsoft 365
In Microsoft 365 sono disponibili molti servizi diversi, ad esempio Microsoft Entra ID e Intune. Alcuni di questi servizi hanno sistemi di controllo degli accessi in base al ruolo, in particolare:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Portale di Microsoft 365 Defender
- Portale di conformità
- Gestione dei costi e fatturazione
Altri servizi, come Teams, SharePoint e Managed Desktop, non includono sistemi di controllo degli accessi in base al ruolo separati, Usano i ruoli Microsoft Entra per l'accesso amministrativo. Azure ha un proprio sistema di controllo degli accessi in base al ruolo per le risorse di Azure, ad esempio le macchine virtuali, e questo sistema non corrisponde ai ruoli di Microsoft Entra.
Per sistema di controllo degli accessi in base al ruolo separato si intende che le definizioni e le assegnazioni di ruoli vengono archiviate in archivi dati differenti. Analogamente, le verifiche dell'accesso vengono eseguite in un Policy Decision Point differente. Per altre informazioni, vedere Ruoli per i servizi di Microsoft 365 in Ruoli di Microsoft Entra ID e Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.
Perché alcuni ruoli di Microsoft Entra sono per altri servizi
Microsoft 365 include diversi sistemi di controllo degli accessi in base al ruolo sviluppati indipendentemente nel corso del tempo, ognuno con uno specifico portale di servizi. Per semplificare la gestione dell'identità in Microsoft 365 dall'interfaccia di amministrazione di Microsoft Entra, sono stati aggiunti alcuni ruoli predefiniti specifici del servizio, ognuno dei quali concede l'accesso amministrativo a un servizio Microsoft 365. Un esempio di questa aggiunta è il ruolo exchange Amministrazione istrator nell'ID Microsoft Entra. Questo ruolo è equivalente al gruppo di ruoli Gestione organizzazione del sistema di controllo degli accessi in base al ruolo di Exchange e consente di gestire tutti gli aspetti di Exchange. Analogamente, sono stati aggiunti i ruoli di amministratore di Intune, di Teams, di SharePoint e così via. I ruoli specifici del servizio sono una categoria di ruoli predefiniti di Microsoft Entra nella sezione seguente.
Categorie di ruoli di Microsoft Entra
I ruoli predefiniti di Microsoft Entra possono essere usati in risorse diverse e rientrano nelle tre categorie ampie seguenti.
- Ruoli specifici di Microsoft Entra: concedono le autorizzazioni per gestire le risorse solo all'interno di Microsoft Entra. Ad esempio, i ruoli Amministratore utenti, Amministratore applicazione e Amministratore gruppi concedono tutti le autorizzazioni per gestire le risorse esistenti in Microsoft Entra.
- Ruoli specifici del servizio: per i principali servizi di Microsoft 365 (non Azure AD) esistono ruoli predefiniti specifici del servizio che concedono le autorizzazioni per gestire tutte le funzionalità all'interno di tale servizio. Ad esempio, i ruoli Amministratore di Exchange, Amministratore di Intune, Amministratore di SharePoint e Amministratore di Teams possono gestire le funzionalità con i rispettivi servizi. Exchange Amministrazione istrator può gestire le cassette postali, Intune Amministrazione istrator può gestire i criteri dei dispositivi, SharePoint Amministrazione istrator può gestire le raccolte siti, Teams Amministrazione istrator può gestire le qualità delle chiamate e così via.
- Ruoli tra servizi: esistono alcuni ruoli che si estendono sui servizi. Sono disponibili due ruoli globali, ovvero Amministratore globale e Ruolo con autorizzazioni di lettura globali. Questi due ruoli vengono rispettati in tutti i servizi di Microsoft 365. Inoltre, esistono alcuni ruoli legati alla sicurezza, come Amministratore della sicurezza e Ruolo con autorizzazioni di lettura per la sicurezza, che concedono l'accesso a molti servizi di sicurezza all'interno di Microsoft 365. Ad esempio, il ruolo Amministratore della sicurezza di Microsoft Entra ID consente di gestire il portale di Microsoft 365 Defender, Advanced Threat Protection di Microsoft Defender e Microsoft Defender for Cloud Apps. Analogamente, nel ruolo Compliance Amministrazione istrator è possibile gestire le impostazioni correlate alla conformità nel portale di conformità, Exchange e così via.
La tabella seguente illustra queste categorie di ruoli. Le categorie sono denominate arbitrariamente e non sono destinate a implicare altre funzionalità oltre alle autorizzazioni del ruolo Microsoft Entra documentate.
| Categoria | Ruolo |
|---|---|
| Ruoli specifici di Microsoft Entra ID | Amministratore di applicazioni Sviluppatore di applicazioni Amministratore dell'autenticazione Amministratore dei set di chiavi IEF B2C Amministratore dei criteri IEF B2C Amministratore applicazione cloud Amministratore dispositivo cloud Amministratore accesso condizionale Amministratori di dispositivi Ruolo con autorizzazioni di lettura nella directory Account di sincronizzazione della directory Ruolo con autorizzazioni di scrittura nella directory ID esterno - Amministratore dei flussi utente ID esterno - Amministratore degli attributi dei flussi utente Amministratore dei provider di identità esterni Amministratore di gruppi Mittente dell'invito guest Amministratore supporto tecnico Amministratore delle identità ibride Amministratore licenze Supporto partner - Livello 1 Supporto partner - Livello 2 Amministratore password Amministratore autenticazione con privilegi Amministratore ruolo con privilegi Amministratore che legge i report Amministratore utenti |
| Ruoli tra servizi | Amministratore globale Amministratore di conformità Amministratore dei dati sulla conformità Lettore globale Amministratore della sicurezza Operatore per la sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Amministratore servizio di supporto |
| Ruoli specifici del servizio | Amministratore di Azure DevOps Amministratore di Azure Information Protection Amministratore fatturazione Amministratore del servizio CRM Responsabile approvazione accesso a Customer Lockbox Amministratore Desktop Analytics Amministratore del servizio Exchange Amministratore Insights Insights Business Leader Amministratore del servizio Intune Amministratore di Kaizala Amministratore del servizio Lync Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi Ruolo con autorizzazioni di lettura per il Centro messaggi Amministratore di Commerce moderno Amministratore di rete Amministratore delle app di Office Amministratore del servizio Power BI Amministratore di Power Platform Amministratore stampante Tecnico della stampante Amministratore della ricerca Editor della ricerca Amministratore del servizio SharePoint Amministratore delle comunicazioni di Teams Tecnico supporto comunicazioni Teams Specialista supporto comunicazioni Teams Amministratore di dispositivi di Teams Amministratore di Teams |