Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure

Articolo
12/12/2024

In qualità di amministratore globale in Microsoft Entra ID, potrebbe non avere accesso a tutte le sottoscrizioni e i gruppi di gestione nel tenant. Questo articolo descrive i modi in cui è possibile elevare i privilegi di accesso a tutte le sottoscrizioni e tutti i gruppi di gestione.

Nota

Per informazioni sulla visualizzazione o l'eliminazione di dati personali, vedere Richieste generali dell'interessato per il GDPR, richieste dell'interessato di Azure per il GDPR o richieste dell'interessato windows per il GDPR, a seconda dell'area e delle esigenze specifiche. Per altre informazioni sul Regolamento generale sulla protezione dei dati (GDPR), vedere la sezione del GDPR del Centro protezione di Microsoft e la sezione del GDPR del Service Trust Portal.

Motivi per cui può essere necessario elevare i privilegi di accesso

Se si è un amministratore globale, potrebbero verificarsi momenti in cui si desidera eseguire le azioni seguenti:

Ottenere nuovamente l'accesso a una sottoscrizione o a un gruppo di gestione di Azure quando un utente ha perso l'accesso
Concedere a un altro utente o a se stesso l'accesso a una sottoscrizione o a un gruppo di gestione di Azure
Visualizzare tutte le sottoscrizioni o tutti i gruppi di gestione di Azure in un'organizzazione
Concedere a un'app di automazione (come un'app di fatturazione o di controllo) l'accesso a tutte le sottoscrizioni o a tutti i gruppi di gestione di Azure

Come funziona l'elevazione dei privilegi di accesso?

Le risorse di Microsoft Entra ID e Azure sono protette in modo indipendente le une dalle altre. Questo significa che le assegnazioni di ruolo di Microsoft Entra non concedono l'accesso alle risorse di Azure e le assegnazioni di ruolo di Azure non concedono l'accesso a Microsoft Entra ID. Tuttavia, se si è un amministratore globale in Microsoft Entra ID, è possibile assegnare a se stessi l'accesso a tutte le sottoscrizioni e i gruppi di gestione di Azure nel tenant. Usare questa funzionalità se non si ha accesso alle risorse della sottoscrizione di Azure, come le macchine virtuali o gli account di archiviazione, e si vuole usare il privilegio di amministratore globale per ottenere l'accesso a queste risorse.

Quando si eleva l'accesso, viene assegnato il ruolo Amministratore accesso utenti in Azure nell'ambito radice (/). In questo modo è possibile visualizzare tutte le risorse e assegnare l'accesso in qualsiasi sottoscrizione o gruppo di gestione nel tenant. Le assegnazioni di ruolo Amministratore accessi utente possono essere rimosse usando Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

L'accesso con privilegi elevati dovrebbe essere rimosso una volta apportate le modifiche necessarie nell'ambito radice.

Elevare i privilegi di accesso

Eseguire i passaggi nell'ambito radice

Passaggio 1: Elevare l'accesso per un amministratore globale

Seguire questa procedura per eseguire con privilegi elevati l'accesso per un amministratore globale usando il portale di Azure.

Accedere al portale di Azure come amministratore globale.

Se si usa Microsoft Entra Privileged Identity Management, attivare l'assegnazione di ruolo Amministratore globale.
Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).
In Gestione degli accessi per le risorse di Azure impostare l'interruttore su Sì.

Quando si imposta l'interruttore su Sì, viene assegnato il ruolo Amministratore accesso utenti in Controllo degli accessi in base al ruolo di Azure nell'ambito radice (/). In questo modo si concede l'autorizzazione per assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati a questo tenant di Microsoft Entra. Questo interruttore è disponibile solo per gli utenti a cui è stato assegnato il ruolo di amministratore globale in Microsoft Entra ID.

Quando si imposta l'interruttore su No, il ruolo Amministratore Accesso utenti nel controllo degli accessi in base al ruolo Azure viene rimosso dall'account utente. Non è più possibile assegnare ruoli in tutte le sottoscrizioni e i gruppi di gestione di Azure associati a questo tenant di Microsoft Entra. È possibile visualizzare e gestire solo le sottoscrizioni e i gruppi di gestione di Azure ai quali si ha accesso.

Nota

Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.
Selezionare Salva per salvare l'impostazione.

Questa impostazione non è una proprietà globale e si applica solo all'utente attualmente connesso. Non è possibile elevare i privilegi di accesso per tutti i membri del ruolo Amministratore globale.
Disconnettersi e accedere nuovamente per aggiornare l'accesso.

A questo punto si dovrebbe avere accesso a tutte le sottoscrizioni e i gruppi di gestione nel tenant. Quando si visualizza la pagina Controllo di accesso (IAM), si noterà che è stato assegnato il ruolo Amministratore accesso utenti nell'ambito radice.
Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando il portale di Azure. Se si usa Privileged Identity Management, vedere Individuare le risorse di Azure per gestire o assegnare i ruoli delle risorse di Azure.
Per rimuovere l'accesso con privilegi elevati, seguire questa sezione.

Passaggio 2: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti nell'ambito radice (/), seguire questa procedura.

Accedere con lo stesso utente usato per elevare i privilegi di accesso.
Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).
Impostare l'interruttore Gestione degli accessi per le risorse di Azure di nuovo su No. Poiché si tratta di un'impostazione per utente, è necessario essere connessi con lo stesso utente usato per elevare i privilegi di accesso.

Se si tenta di rimuovere l'assegnazione di ruolo Amministratore accesso utenti nella pagina Controllo di accesso (IAM), verrà visualizzato il messaggio seguente. Per rimuovere l'assegnazione di ruolo, è necessario impostare l'interruttore su No o usare Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.
Disconnettersi come amministratore globale.

Se si usa Privileged Identity Management, disattivare l'assegnazione di ruolo Amministratore globale.

Nota

Se si usa Privileged Identity Management, la disattivazione dell'assegnazione di ruolo non comporta l'attivazione dell'interruttore Gestione degli accessi per le risorse di Azure su No. Per mantenere l'accesso con privilegi minimi, è consigliabile impostare questa opzione su No prima di disattivare l'assegnazione di ruolo.

Passaggio 1: Elevare l'accesso per un amministratore globale

Usare l'API REST o portale di Azure per elevare l'accesso per un amministratore globale.

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo Amministratore accesso utenti per un utente nell'ambito radice (/), usare il comando Get-AzRoleAssignment .

Get-AzRoleAssignment | where {$_.RoleDefinitionName -eq "User Access Administrator" `
  -and $_.SignInName -eq "<username@example.com>" -and $_.Scope -eq "/"}

RoleAssignmentId   : /providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111
Scope              : /
DisplayName        : username
SignInName         : username@example.com
RoleDefinitionName : User Access Administrator
RoleDefinitionId   : 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
ObjectId           : 22222222-2222-2222-2222-222222222222
ObjectType         : User
CanDelegate        : False

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.

Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro amministratore globale con accesso con privilegi elevati nell'ambito radice.

Usare il comando Remove-AzRoleAssignment per rimuovere l'assegnazione del ruolo Amministratore Accesso utenti.

Remove-AzRoleAssignment -SignInName <username@example.com> `
  -RoleDefinitionName "User Access Administrator" -Scope "/"

Passaggio 1: Elevare l'accesso per un amministratore globale

Usare la procedura di base seguente per elevare l'accesso per un amministratore globale usando l'interfaccia della riga di comando di Azure.

Usare il comando az rest per chiamare l'endpoint elevateAccess , che concede il ruolo Amministratore accesso utenti nell'ambito radice (/).
```
az rest --method post --url "/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
```
Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.
Eseguire i passaggi in una sezione successiva per rimuovere l'accesso con privilegi elevati.

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, per elencare l'assegnazione di ruolo Amministratore accesso utenti per un utente nell'ambito radice (/), usare il comando az role assignment list .

az role assignment list --role "User Access Administrator" --scope "/"

[
  {
    "canDelegate": null,
    "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
    "name": "11111111-1111-1111-1111-111111111111",
    "principalId": "22222222-2222-2222-2222-222222222222",
    "principalName": "username@example.com",
    "principalType": "User",
    "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "roleDefinitionName": "User Access Administrator",
    "scope": "/",
    "type": "Microsoft.Authorization/roleAssignments"
  }
]

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Per rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi o un altro utente nell'ambito radice (/), seguire questa procedura.

Accedere come utente autorizzato a rimuovere l'accesso con privilegi elevati. Può trattarsi dello stesso utente usato per elevare l'accesso o un altro amministratore globale con accesso con privilegi elevati nell'ambito radice.
Usare il comando az role assignment delete per rimuovere l'assegnazione di ruolo Amministratore accesso utenti.
```
az role assignment delete --assignee username@example.com --role "User Access Administrator" --scope "/"
```

Prerequisiti

È necessario usare le versioni seguenti:

2015-07-01 o versioni successive per elencare e rimuovere le assegnazioni di ruolo
2016-07-01 o versione successiva per elevare l'accesso
2018-07-01-preview o versioni successive per elencare le assegnazioni di rifiuto

Per altre informazioni, vedere Versioni dell'API REST di Controllo degli accessi in base al ruolo di Azure.

Passaggio 1: Elevare l'accesso per un amministratore globale

Usare la procedura di base seguente per eseguire con privilegi elevati l'accesso per l'amministratore globale usando l'API REST.

Usando REST, chiamare elevateAccess, che concede il ruolo Amministratore accesso utenti nell'ambito radice (/).
```
POST https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01
```
Apportare le modifiche necessarie per consentire l'accesso con privilegi elevati.

Per informazioni sull'assegnazione dei ruoli, vedere Assegnare ruoli di Azure usando l'API REST.
Eseguire i passaggi in una sezione successiva per rimuovere l'accesso con privilegi elevati.

Passaggio 2: Elencare le assegnazioni di ruolo nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, è possibile elencare tutte le assegnazioni di ruolo per un utente nell'ambito radice (/).

Chiamare assegnazioni di ruolo: elenco per ambito dove {objectIdOfUser} è l'ID oggetto dell'utente le cui assegnazioni di ruolo si desidera recuperare.

GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectIdOfUser}'

Passaggio 3: Elencare le assegnazioni di rifiuto nell'ambito radice (/)

Dopo aver eseguito l'accesso con privilegi elevati, è possibile elencare tutte le assegnazioni di rifiuto per un utente nell'ambito radice (/).

Chiamare Assegnazioni di rifiuto - Elenco per ambito dove {objectIdOfUser} è l'ID oggetto dell'utente le cui assegnazioni di rifiuto si desidera recuperare.

GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter=gdprExportPrincipalId+eq+'{objectIdOfUser}'

Passaggio 4: Rimuovere l'accesso con privilegi elevati

Quando si chiama elevateAccess, si crea un'assegnazione di ruolo per se stessi, quindi per revocare tali privilegi è necessario rimuovere l'assegnazione di ruolo Amministratore accesso utenti per se stessi nell'ambito radice (/).

Chiamare definizioni di ruolo: ottenere dove roleName è uguale a Amministratore accesso utenti per determinare l'ID nome del ruolo Amministratore accesso utenti.

GET https://management.azure.com/providers/Microsoft.Authorization/roleDefinitions?api-version=2022-04-01&$filter=roleName+eq+'User Access Administrator'

{
  "value": [
    {
      "properties": {
  "roleName": "User Access Administrator",
  "type": "BuiltInRole",
  "description": "Lets you manage user access to Azure resources.",
  "assignableScopes": [
    "/"
  ],
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.Authorization/*",
        "Microsoft.Support/*"
      ],
      "notActions": []
    }
  ],
  "createdOn": "0001-01-01T08:00:00.0000000Z",
  "updatedOn": "2016-05-31T23:14:04.6964687Z",
  "createdBy": null,
  "updatedBy": null
      },
      "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
      "type": "Microsoft.Authorization/roleDefinitions",
      "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9"
    }
  ],
  "nextLink": null
}

Salvare l'ID dal parametro name, in questo caso 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9.

È anche necessario elencare l'assegnazione di ruolo per l'amministratore tenant nell'ambito del tenant. Elencare tutte le assegnazioni nell'ambito del tenant per principalId dell'amministratore del tenant che ha effettuato la chiamata per l'accesso con privilegi elevati. Sono incluse tutte le assegnazioni nel tenant per il parametro objectId.
```
GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId+eq+'{objectid}'
```
Nota

Un amministratore tenant non deve avere molte assegnazioni. Se la query precedente restituisce troppe assegnazioni, è anche possibile eseguire una query per tutte le assegnazioni solo nell'ambito del tenant, quindi filtrare i risultati: GET https://management.azure.com/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=atScope()

Le chiamate precedenti restituiscono un elenco di assegnazioni di ruolo. Individuare l'assegnazione di ruolo in cui l'ambito è "/", roleDefinitionId termina con l'ID del nome del ruolo presente nel passaggio 1 e principalId corrisponde a objectId dell'amministratore del tenant.

Esempio di assegnazione di ruolo:

{
  "value": [
    {
      "properties": {
        "roleDefinitionId": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
        "principalId": "{objectID}",
        "scope": "/",
        "createdOn": "2016-08-17T19:21:16.3422480Z",
        "updatedOn": "2016-08-17T19:21:16.3422480Z",
        "createdBy": "22222222-2222-2222-2222-222222222222",
        "updatedBy": "22222222-2222-2222-2222-222222222222"
      },
      "id": "/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111",
      "type": "Microsoft.Authorization/roleAssignments",
      "name": "11111111-1111-1111-1111-111111111111"
    }
  ],
  "nextLink": null
}

Anche in questo caso, salvare l'ID dal name parametro , in questo caso 11111111-1111-1111-1111-1111111111111.

Usare infine l'ID di assegnazione di ruolo per rimuovere l'assegnazione aggiunta da elevateAccess:

DELETE https://management.azure.com/providers/Microsoft.Authorization/roleAssignments/11111111-1111-1111-1111-111111111111?api-version=2022-04-01

Visualizzare gli utenti con accesso con privilegi elevati

Se si dispone di utenti con accesso con privilegi elevati, i banner vengono visualizzati in due posizioni del portale di Azure. Questa sezione descrive come determinare se si dispone di utenti con accesso con privilegi elevati nel tenant. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant.

Opzione 1

Nella portale di Azure passare a Microsoft Entra ID>Gestisci>proprietà.
In Gestione degli accessi per le risorse di Azure cercare il banner seguente.

You have X users with elevated access. Microsoft Security recommends deleting access for users who have unnecessary elevated access. Manage elevated access users
Selezionare il collegamento Gestisci utenti con accesso con privilegi elevati per visualizzare un elenco di utenti con accesso con privilegi elevati.

Opzione 2

Nella portale di Azure passare a una sottoscrizione.
Seleziona Controllo di accesso (IAM).
Nella parte superiore della pagina cercare il banner seguente.

Action required: X users have elevated access in your tenant. You should take immediate action and remove all role assignments with elevated access. View role assignments
Selezionare il collegamento Visualizza assegnazioni di ruolo per visualizzare un elenco di utenti con accesso con privilegi elevati.

Rimuovere l'accesso con privilegi elevati per gli utenti

Se si dispone di utenti con accesso con privilegi elevati, è necessario intervenire immediatamente e rimuovere tale accesso. Per rimuovere queste assegnazioni di ruolo, è necessario disporre anche di accesso con privilegi elevati. Questa sezione descrive come rimuovere l'accesso con privilegi elevati per gli utenti nel tenant usando il portale di Azure. Questa funzionalità viene distribuita in fasi, quindi potrebbe non essere ancora disponibile nel tenant.

Accedere al portale di Azure come amministratore globale.
Passare a Microsoft Entra ID>Manage Properties (Gestisci>proprietà).
In Gestione degli accessi per le risorse di Azure impostare l'interruttore su Sì come descritto in precedenza nel passaggio 1: Elevare l'accesso per un amministratore globale.
Selezionare il collegamento Gestisci utenti con accesso con privilegi elevati.

Viene visualizzato il riquadro Utenti con accesso con privilegi elevati con un elenco di utenti con accesso con privilegi elevati nel tenant.
Per rimuovere l'accesso con privilegi elevati per gli utenti, aggiungere un segno di spunta accanto all'utente e selezionare Rimuovi.

Visualizzare voci di log di accesso elevate nei log attività della directory

Quando l'accesso è elevato, viene aggiunta una voce ai log. In qualità di amministratore globale in Microsoft Entra ID, è possibile controllare quando l'accesso è stato elevato e chi l'ha fatto. Le voci del log di accesso con privilegi elevati non vengono visualizzate nei log attività standard, ma vengono invece visualizzate nei log attività della directory. Questa sezione descrive diversi modi in cui è possibile visualizzare le voci di log di accesso elevate.

Visualizzare voci di log di accesso elevate usando il portale di Azure

Accedere al portale di Azure come amministratore globale.
Passare a Monitoraggio>log attività.
Modificare l'elenco attività in Attività directory.
Cercare l'operazione seguente, che indica l'azione di accesso con privilegi elevati.

Assigns the caller to User Access Administrator role

Visualizzare voci di log di accesso elevate con l'interfaccia della riga di comando di Azure

Usare il comando az login per accedere come amministratore globale.
Usare il comando az rest per effettuare la chiamata seguente in cui sarà necessario filtrare in base a una data, come illustrato con il timestamp di esempio e specificare un nome file in cui archiviare i log.

Chiama url un'API per recuperare i log in Microsoft.Insights. L'output verrà salvato nel file.
```
az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt
```

Nel file di output cercare elevateAccess.

Il log sarà simile al seguente, dove è possibile visualizzare il timestamp di quando si è verificata l'azione e chi lo ha chiamato.

  "submissionTimestamp": "2021-08-27T15:42:00.1527942Z",
  "subscriptionId": "",
  "tenantId": "33333333-3333-3333-3333-333333333333"
},
{
  "authorization": {
    "action": "Microsoft.Authorization/elevateAccess/action",
    "scope": "/providers/Microsoft.Authorization"
  },
  "caller": "user@example.com",
  "category": {
    "localizedValue": "Administrative",
    "value": "Administrative"
  },

Delegare l'accesso a un gruppo per visualizzare voci di log di accesso elevate tramite l'interfaccia della riga di comando di Azure

Se si vuole essere in grado di ottenere periodicamente le voci di log di accesso elevate, è possibile delegare l'accesso a un gruppo e quindi usare l'interfaccia della riga di comando di Azure.

Passare a Gruppi ID>Entra Di Microsoft.
Creare un nuovo gruppo di sicurezza e prendere nota dell'ID oggetto gruppo.
Usare il comando az login per accedere come amministratore globale.
Usare il comando az role assignment create per assegnare il ruolo Lettore al gruppo che può leggere solo i log a livello di tenant, disponibili in Microsoft/Insights.
```
az role assignment create --assignee "{groupId}" --role "Reader" --scope "/providers/Microsoft.Insights"
```
Aggiungere un utente che leggerà i log al gruppo creato in precedenza.

Un utente nel gruppo può ora eseguire periodicamente il comando az rest per visualizzare le voci del log di accesso elevate.

az rest --url "https://management.azure.com/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '2021-09-10T20:00:00Z'" > output.txt

Condividi tramite

Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure

Motivi per cui può essere necessario elevare i privilegi di accesso

Come funziona l'elevazione dei privilegi di accesso?

Eseguire i passaggi nell'ambito radice

Passaggio 1: Elevare l'accesso per un amministratore globale

Passaggio 2: Rimuovere l'accesso con privilegi elevati

Passaggio 1: Elevare l'accesso per un amministratore globale

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Passaggio 1: Elevare l'accesso per un amministratore globale

Passaggio 2: Elencare l'assegnazione di ruolo nell'ambito radice (/)

Passaggio 3: Rimuovere l'accesso con privilegi elevati

Prerequisiti

Passaggio 1: Elevare l'accesso per un amministratore globale

Passaggio 2: Elencare le assegnazioni di ruolo nell'ambito radice (/)

Passaggio 3: Elencare le assegnazioni di rifiuto nell'ambito radice (/)

Passaggio 4: Rimuovere l'accesso con privilegi elevati

Visualizzare gli utenti con accesso con privilegi elevati

Opzione 1

Opzione 2

Rimuovere l'accesso con privilegi elevati per gli utenti

Visualizzare voci di log di accesso elevate nei log attività della directory

Visualizzare voci di log di accesso elevate usando il portale di Azure

Visualizzare voci di log di accesso elevate con l'interfaccia della riga di comando di Azure

Delegare l'accesso a un gruppo per visualizzare voci di log di accesso elevate tramite l'interfaccia della riga di comando di Azure

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive