Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID?
In Microsoft Entra ID a tutti gli utenti viene concesso un set di autorizzazioni predefinite. L'accesso di un utente è costituito dal tipo di utente, dalle assegnazioni di ruolo e dalla proprietà di singoli oggetti.
Questo articolo descrive tali autorizzazioni predefinite e contiene un confronto delle impostazioni predefinite degli utenti membro e guest. Le autorizzazioni utente predefinite possono essere modificate solo nelle impostazioni utente in Microsoft Entra ID.
Utenti guest e membro
Il set di autorizzazioni predefinite ricevuto varia a seconda che l'utente sia un membro nativo del tenant (utente membro) o provenga da un'altra directory come guest di collaborazione B2B (utente guest). Per ulteriori informazioni, consultare Cos'è la collaborazione B2B di Microsoft Entra?. Ecco le funzionalità delle autorizzazioni predefinite:
Gli utenti membro possono registrare le applicazioni, gestire il proprio numero di cellulare e la propria foto profilo, modificare la propria password e invitare guest B2B. Tali utenti possono anche leggere tutte le informazioni della directory (con alcune eccezioni).
Gli utenti guest hanno autorizzazioni di directory limitate. Possono gestire il proprio profilo, modificare la propria password e recuperare alcune informazioni su altri utenti, gruppi e app. Tuttavia, non possono leggere tutte le informazioni sulla directory.
Ad esempio, gli utenti guest non possono enumerare l'elenco di tutti gli utenti, i gruppi e altri oggetti directory. Gli utenti guest possono essere aggiunti ai ruoli di amministratore, che concedono le autorizzazioni complete di lettura e scrittura contenute nel ruolo. Gli utenti guest possono anche invitare altri guest.
Confrontare le autorizzazioni predefinite di membri e guest
Area | Autorizzazioni utente membro | Autorizzazioni utente guest predefinite | Autorizzazioni utente guest limitate |
---|---|---|---|
Utenti e contatti |
|
|
|
Gruppi |
|
|
|
Applicazioni |
|
|
|
Dispositivi |
|
Nessuna autorizzazione | Nessuna autorizzazione |
Organizzazione |
|
|
|
Ruoli e ambiti |
|
Nessuna autorizzazione | Nessuna autorizzazione |
Sottoscrizioni |
|
Nessuna autorizzazione | Nessuna autorizzazione |
Criteri |
|
Nessuna autorizzazione | Nessuna autorizzazione |
Limitare le autorizzazioni predefinite degli utenti membri
È possibile aggiungere restrizioni alle autorizzazioni predefinite degli utenti.
È possibile limitare le autorizzazioni predefinite per gli utenti membro nei modi seguenti:
Attenzione
L'uso dell'opzione Limita l'accesso al portale di amministrazione di Microsoft EntraNON è una misura di sicurezza. Per altre informazioni sulla funzionalità, vedere la tabella seguente.
Autorizzazione | Spiegazione dell'impostazione |
---|---|
Registrare le applicazioni | Se si imposta questa opzione su No, gli utenti non possono creare registrazioni di applicazioni. Tale possibilità può essere quindi concessa di nuovo a utenti specifici aggiungendoli al ruolo di sviluppatore di applicazioni. |
Consenti agli utenti di connettere l'account aziendale o dell'istituto di istruzione a LinkedIn | L'impostazione di questa opzione su No impedisce agli utenti di connettere l'account aziendale o dell'istituto di istruzione con il proprio account LinkedIn. Per altre informazioni, consultare Consenso e condivisione dei dati da parte delle connessioni all'account LinkedIn. |
Creare gruppi di sicurezza | Impostando questa opzione su No, gli utenti non possono creare gruppi di sicurezza. Gli utenti a cui è assegnato almeno il ruolo di amministratori utenti possono comunque creare gruppi di sicurezza. Per informazioni sulla procedura, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni del gruppo. |
Creare gruppi di Microsoft 365 | Impostando questa opzione su No, gli utenti non possono creare gruppi di Microsoft 365. Impostando questa opzione su Alcuni, un gruppo selezionato di utenti può creare gruppi di Microsoft 365. Chiunque abbia almeno il ruolo di amministratore utenti può comunque creare gruppi di Microsoft 365. Per informazioni sulla procedura, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni del gruppo. |
Limitare l'accesso al portale di amministrazione di Microsoft Entra |
Qual è il risultato? No consente ai non amministratori di esplorare il portale di amministrazione di Microsoft Entra. Sì impedisce a chiunque non sia amministratore di esplorale il portale di amministrazione di Microsoft Entra. I non amministratori che sono proprietari di gruppi o applicazioni non possono usare il portale di Azure per gestire le risorse di proprietà.
Che cosa non fa?
Quando si usa questa impostazione?
Quando non è consigliabile usare questa opzione?
Come si può concedere solo a utenti non amministratori specifici la possibilità di usare il portale di amministrazione di Microsoft Entra?
Limitare l'accesso al portale di amministrazione di Microsoft Entra |
Limitare gli utenti non amministratori alla creazione di tenant | Gli utenti possono creare tenant nel portale di amministrazione di Microsoft Entra ID e Microsoft Entra in Gestisci tenant. La creazione di un tenant viene registrata nel log di controllo come categoria DirectoryManagement e attività Creare un'azienda. Chiunque crei un tenant diventa l'amministratore globale di tale tenant. Il tenant appena creato non eredita impostazioni o configurazioni.
Qual è il risultato?
Come è possibile concedere solo a utenti non amministratori specifici la possibilità di creare nuovi tenant? |
Limitare gli utenti a ripristinare le chiavi BitLocker per i dispositivi di proprietà | Questa impostazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra in Impostazioni dispositivo. Impostando questa opzione su Sì, viene impedito agli utenti di ripristinare autonomamente le chiavi BitLocker per i dispositivi di proprietà. Gli utenti devono contattare il supporto tecnico dell'organizzazione per recuperare le chiavi BitLocker. L'impostazione di questa opzione su Nessuna consente agli utenti di ripristinare le chiavi di BitLocker. |
Leggere altri utenti | Questa impostazione è disponibile solo in Microsoft Graph e PowerShell. Impostando questo flag su $false , nessun utente non amministratore potrà leggere le informazioni utente dalla directory. Questo flag potrebbe impedire la lettura delle informazioni utente in altri servizi Microsoft come Microsoft Teams.Questa impostazione è destinata a circostanze speciali, pertanto non è consigliabile impostare il flag su |
L'opzione Utenti non amministratori limitati dalla creazione di tenant è illustrata nello screenshot seguente.
Limitare le autorizzazioni predefinite degli utenti guest
È possibile limitare le autorizzazioni predefinite per gli utenti guest nei modi seguenti.
Nota
L'impostazione Restrizioni dell'accesso utente guest ha sostituito l'impostazione Autorizzazioni utenti guest limitate. Per informazioni su come usare questa funzionalità, consultare Limitare le autorizzazioni di accesso guest in Microsoft Entra ID.
Autorizzazione | Spiegazione dell'impostazione |
---|---|
Restrizioni dell'accesso utente guest | L'impostazione di questa opzione su Gli utenti guest hanno lo stesso accesso dei membri concede tutte le autorizzazioni di utente membro agli utenti guest per impostazione predefinita. Impostando questa opzione su L'accesso degli utenti guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory viene limitato l'accesso dell'utente guest solo al proprio profilo utente per impostazione predefinita. L'accesso agli altri utenti non è più consentito, anche quando la ricerca viene effettuata usando il nome principale dell'utente, l'ID dell'oggetto o il nome visualizzato. Anche l'accesso alle informazioni sui gruppi, comprese le appartenenze ai gruppi, non è più consentito. Questa impostazione non impedisce l'accesso ai gruppi aggiunti in alcuni servizi di Microsoft 365 come Microsoft Teams. Per ulteriori informazioni, consultare Accesso guest a Microsoft Teams. Gli utenti guest possono comunque essere aggiunti ai ruoli di amministratore indipendentemente da questa impostazione di autorizzazione. |
Gli utenti guest possono invitare | Impostando questa opzione su Sì, gli utenti guest possono invitare altri utenti guest. Per ulteriori informazioni, consultare Configurare le impostazioni di collaborazione esterna. |
Titolarità di un oggetto
Autorizzazioni di proprietario della registrazione dell'applicazione
Quando un utente registra un'applicazione, viene automaticamente aggiunto come proprietario dell'applicazione. In qualità di proprietario, può gestire i metadati dell'applicazione, ad esempio il nome e le autorizzazioni richieste all'app. Può anche gestire la configurazione specifica del tenant dell'applicazione, ad esempio le assegnazioni utente e la configurazione Single Sign-On (SSO).
Un proprietario può anche aggiungere o rimuovere altri proprietari. Diversamente dagli utenti con almeno il ruolo di Amministratore di applicazioni, i proprietari possono gestire esclusivamente le applicazioni di cui detengono la proprietà.
Autorizzazioni dei proprietari delle applicazioni aziendali
Quando un utente aggiunge una nuova applicazione aziendale, viene aggiunto automaticamente come proprietario. In qualità di proprietario, un utente può gestire la configurazione specifica del tenant dell'applicazione, come la configurazione SSO, il provisioning e le assegnazioni degli utenti.
Un proprietario può anche aggiungere o rimuovere altri proprietari. Diversamente dagli utenti con almeno il ruolo di Amministratore di applicazioni, i proprietari possono gestire esclusivamente le applicazioni di cui detengono la proprietà.
Autorizzazioni di proprietario del gruppo
Quando un utente crea un gruppo, viene aggiunto automaticamente come proprietario di tale gruppo. In qualità di proprietario, può gestire le proprietà del gruppo (come il nome) e l'appartenenza al gruppo.
Un proprietario può anche aggiungere o rimuovere altri proprietari. A differenza degli utenti assegnati almeno al ruolo di Amministratore di gruppi, i proprietari possono gestire solo i gruppi di cui sono proprietari e possono aggiungere o rimuovere membri del gruppo solo se il tipo di appartenenza del gruppo è impostato su Assegnato.
Per assegnare un proprietario del gruppo, vedere Gestione dei proprietari di un gruppo.
Per usare Privileged Access Management (PIM) per rendere un gruppo idoneo per un'assegnazione di ruolo, vedere Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo.
Autorizzazioni di proprietà
Le tabelle seguenti descrivono le autorizzazioni specifiche in Microsoft Entra ID che gli utenti membri hanno sugli oggetti di cui sono i proprietari. Gli utenti dispongono di queste autorizzazioni solo per gli oggetti di cui sono proprietari.
Registrazioni delle applicazioni di proprietà
Gli utenti possono eseguire le azioni seguenti sulle registrazioni delle applicazioni di proprietà:
Azione | Descrizione |
---|---|
microsoft.directory/applications/audience/update | Aggiornare la proprietà applications.audience in Microsoft Entra ID. |
microsoft.directory/applications/authentication/update | Aggiornare la proprietà applications.authentication in Microsoft Entra ID. |
microsoft.directory/applications/basic/update | Aggiornare le proprietà di base sulle applicazioni in Microsoft Entra ID. |
microsoft.directory/applications/credentials/update | Aggiornare la proprietà applications.credentials in Microsoft Entra ID. |
microsoft.directory/applications/delete | Eliminare applicazioni in Microsoft Entra ID. |
microsoft.directory/applications/owners/update | Aggiornare la proprietà applications.owners in Microsoft Entra ID. |
microsoft.directory/applications/permissions/update | Aggiornare la proprietà applications.permissions in Microsoft Entra ID. |
microsoft.directory/applications/policies/update | Aggiornare la proprietà applications.policies in Microsoft Entra ID. |
microsoft.directory/applications/restore | Ripristinare applicazioni in Microsoft Entra ID. |
Applicazioni aziendali di proprietà
Gli utenti possono eseguire le azioni seguenti sulle applicazioni aziendali di proprietà. Un'applicazione aziendale è costituita da un'entità servizio, uno o più criteri dell'applicazione e talvolta un oggetto applicazione nello stesso tenant dell'entità servizio.
Azione | Descrizione |
---|---|
microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) nei log di controllo in Microsoft Entra ID. |
microsoft.directory/policies/basic/update | Aggiornare le proprietà di base sui criteri in Microsoft Entra ID. |
microsoft.directory/policies/delete | Eliminare i criteri in Microsoft Entra ID. |
microsoft.directory/policies/owners/update | Aggiornare la proprietà policies.owners in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare la proprietà servicePrincipals.appRoleAssignedTo in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/appRoleAssignments/update | Aggiornare la proprietà users.appRoleAssignments in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/audience/update | Aggiornare la proprietà servicePrincipals.audience in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/authentication/update | Aggiornare la proprietà servicePrincipals.authentication in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/basic/update | Aggiornare le proprietà di base sulle entità servizio in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/credentials/update | Aggiornare la proprietà servicePrincipals.credentials in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/delete | Eliminare le entità servizio in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/owners/update | Aggiornare la proprietà servicePrincipals.owners in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/permissions/update | Aggiornare la proprietà servicePrincipals.permissions in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/policies/update | Aggiornare la proprietà servicePrincipals.policies in Microsoft Entra ID. |
microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, (incluse le proprietà con privilegi) in Microsoft Entra ID. |
microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni |
microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni |
microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
Dispositivi di proprietà
Gli utenti possono eseguire le azioni seguenti nei dispositivi di proprietà:
Azione | Descrizione |
---|---|
microsoft.directory/devices/bitLockerRecoveryKeys/read | Leggere la devices.bitLockerRecoveryKeys proprietà in Microsoft Entra ID. |
microsoft.directory/devices/disable | Disabilitare dispositivi in Microsoft Entra ID. |
Gruppi di proprietà
Gli utenti possono eseguire le azioni seguenti sui gruppi di proprietà.
Nota
I proprietari dei gruppi di appartenenza dinamica devono avere il ruolo Amministratore gruppi, Amministratore di Intune o Amministratore utenti per modificare le regole per i gruppi di appartenenza dinamica. Per altre informazioni, vedere Creare o aggiornare un gruppo di appartenenza dinamica in Microsoft Entra ID.
Azione | Descrizione |
---|---|
microsoft.directory/groups/appRoleAssignments/update | Aggiornare la proprietà groups.appRoleAssignments in Microsoft Entra ID. |
microsoft.directory/groups/basic/update | Aggiornare le proprietà di base sui gruppi in Microsoft Entra ID. |
microsoft.directory/groups/delete | Eliminare i gruppi in Microsoft Entra ID. |
microsoft.directory/groups/members/update | Aggiornare la proprietà groups.members in Microsoft Entra ID. |
microsoft.directory/groups/owners/update | Aggiornare la proprietà groups.owners in Microsoft Entra ID. |
microsoft.directory/groups/restore | Ripristinare i gruppi in Microsoft Entra ID. |
microsoft.directory/groups/settings/update | Aggiornare la proprietà groups.settings in Microsoft Entra ID. |
Passaggi successivi
Per altre informazioni sull'impostazione Restrizioni di accesso all'utente guest, vedere Limitare le autorizzazioni di accesso all'utente guest in Microsoft Entra ID.
Per altre informazioni su come assegnare a un utente ruoli di amministratore in Microsoft Entra ID, consultare Assegnare a un utente ruoli di amministratore in Microsoft Entra ID.
Per altre informazioni sul controllo dell'accesso alle risorse in Microsoft Azure, vedere Informazioni sull'accesso alle risorse in Azure.