Come creare, invitare ed eliminare utenti

Microsoft Entra ID consente di creare diversi tipi di utenti nel tenant, il che offre maggiore flessibilità nella gestione degli utenti dell'organizzazione.

Questo articolo illustra come creare un nuovo utente, invitare un guest esterno ed eliminare un utente nel tenant della forza lavoro. Include anche informazioni sulla creazione di utenti in un tenant esterno per gli scenari di Microsoft Entra per ID esterno.

Nota

Per informazioni sulla visualizzazione e sull'eliminazione di dati personali, vedere le indicazioni di Microsoft sul sito relativo alle Richieste degli interessati Windows ai sensi del GDPR. Per informazioni generali sul GDPR, vedere la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.

Tipi di utenti

Prima di creare o invitare un nuovo utente, occorre dedicare del tempo a esaminare i tipi di utenti, i relativi metodi di autenticazione e il relativo accesso all'interno del tenant personale di Microsoft Entra. Ad esempio, è necessario creare un guest interno, un utente interno o un guest esterno? Il nuovo utente ha bisogno di privilegi come guest o come membro?

Utenti nei tenant del personale

Un tenant personale di Microsoft Entra ha i tipi di utente seguenti:

  • Membro interno: questi utenti sono generalmente dipendenti a tempo pieno nell'organizzazione.
  • Guest interno: questi utenti hanno un account nel tenant, ma hanno privilegi a livello di guest. È possibile che siano state create all'interno del tenant prima della disponibilità di collaborazione B2B.
  • Membro esterno: questi utenti eseguono l'autenticazione usando un account esterno, ma hanno accesso come membri al tenant. Questi tipi di utenti sono comuni nelle organizzazioni multi-tenant.
  • Guest esterno: questi utenti sono veri guest del tenant che eseguono l'autenticazione usando un metodo esterno e che dispongono di privilegi a livello di guest.

Per altre informazioni sulle differenze tra guest interni ed esterni e membri, vedere proprietà di collaborazione B2B.

I metodi di autenticazione variano in base al tipo di utente creato. I guest interni e i membri dispongono di credenziali nel tenant di Microsoft Entra che possono essere gestiti dagli amministratori. Questi utenti possono anche reimpostare la propria password. I membri esterni eseguono l'autenticazione al tenant di Microsoft Entra di casa e il tenant di Microsoft Entra autentica l'utente tramite un accesso federato con il tenant di Microsoft Entra del membro esterno. Se i membri esterni dimenticano la password, l'amministratore nel tenant di Microsoft Entra può reimpostare la password. Gli utenti guest esterni configurano la propria password usando il collegamento ricevuto tramite posta elettronica al momento della creazione del proprio account.

La revisione delle autorizzazioni utente predefinite può anche contribuire a determinare il tipo di utente che è necessario creare. Per altre informazioni, vedere Impostare autorizzazioni utente predefinite.

Utenti in tenant esterni

Un tenant di Microsoft Entra in una configurazione esterna viene usato esclusivamente per gli scenari di Microsoft Entra per ID esterno. Un tenant esterno può includere i tipi di utente seguenti:

  • Utenti interni: utenti che eseguono l'autenticazione internamente e sono tipicamente amministratori con assegnati ruoli Microsoft Entra nel tenant esterno.
  • Utenti esterni: utenti consumer e clienti aziendali delle app registrate nel tenant esterno. Hanno un account locale con privilegi utente predefiniti, ma eseguono l'autenticazione esternamente. Vedere come creare un nuovo utente esterno.
  • Utenti esterni: utenti che eseguono l'accesso con le proprie credenziali esterne e sono tipicamente amministratori con ruoli Microsoft Entraassegnati nel tenant esterno.

Per altre informazioni, vedere Autorizzazioni utente predefinite per tenant esterni.

Prerequisiti

Il ruolo con privilegi minimi necessario varia in base al tipo di utente che si sta aggiungendo e se sia necessario assegnare ruoli Microsoft Entra contemporaneamente. Quando possibile, è consigliabile usare il ruolo con privilegi minimi.

Attività Ruolo
Creare un nuovo utente Amministratore utenti
Invitare un guest esterno Mittente dell'invito guest
Assegnare ruoli di Microsoft Entra agli utenti Amministratore ruolo con privilegi

Creare un nuovo utente

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Passare a Identità>Utenti>Tutti gli utenti.

    Screenshot della pagina Tutti gli utenti in Microsoft Entra ID.

  3. Selezionare Nuovo utente>Crea nuovo utente.

    Screenshot del menu Crea nuovo utente in Microsoft Entra ID.

  4. Completare le schede rimanenti nella pagina Nuovo utente.

    Nozioni di base

    La scheda Informazioni di base contiene i campi principali necessari per creare un nuovo utente. Prima di iniziare, esaminare le indicazioni sulle proprietà del nome utente.

    • Nome dell'entità utente: immettere un nome utente univoco e selezionare un dominio dal menu dopo il simbolo @. Se si necessita di creare un nuovo dominio, selezionare Dominio non elencato. Per altre informazioni, vedere Aggiungere il nome di dominio personalizzato.
    • Nome alternativo di posta elettronica: se è necessario immettere un nome alternativo di posta elettronica diverso dal nome dell'entità utente immesso, deselezionare l'opzione Deriva dal nome dell’entità utente, quindi immettere il nome alternativo di posta elettronica.
    • Nome visualizzato: immettere il nome dell'utente, come Chris Green o Chris A. Green
    • Password: specificare una password da usare per l'utente durante l'accesso iniziale. Deselezionare l'opzione Genera automaticamente la password per immettere una password diversa.
    • Account abilitato: questa opzione è selezionata per impostazione predefinita. Deselezionarla per impedire al nuovo utente di poter accedere. È possibile modificare questa impostazione dopo la creazione dell'utente. Questa impostazione è stata denominata Blocca accesso nel processo utente di creazione legacy.

    Selezionare il pulsante Rivedi e crea per creare il nuovo utente o Avanti: Proprietà per completare la sezione successiva.

    Screenshot della scheda Crea dati principali nuovo utente.

    Selezionare il pulsante Rivedi e crea per creare il nuovo utente o Avanti: Proprietà per completare la sezione successiva.

    Proprietà

    Esistono sei categorie di proprietà utente che è possibile fornire. Queste proprietà possono essere aggiunte o aggiornate dopo la creazione dell'utente. Per gestire questi dettagli, passare a Identità>Utenti>Tutti gli utenti e selezionare un utente da aggiornare.

    • Identità: immettere il nome e il cognome dell'utente. Impostare il Tipo di utente come Membro o Guest.
    • Informazioni sui processi: aggiungere eventuali informazioni correlate ai processi, ad esempio il titolo, il reparto o il responsabile del lavoro.
    • Informazioni sul contatto: aggiungere eventuali informazioni di contatto pertinenti per l'utente.
    • Controlli genitori: per organizzazioni come i distretti scolastici K-12, potrebbe essere necessario fornire il gruppo di età dell'utente. I minori hanno meno di 12 anni, i non adulti hanno tra i 13 e i 18 anni e gli adulti hanno più di 18 anni. La combinazione di fascia d'età e il consenso forniti dalle opzioni genitori determinano la classificazione del gruppo di età legale. La classificazione per fascia di età legale può limitare l'accesso e l'autorità dell'utente.
    • Impostazioni: specificare la posizione globale dell'utente.

    Selezionare il pulsante Rivedi e crea per creare il nuovo utente o Avanti: Assegnazioni per completare la sezione successiva.

    Assegnazioni

    È possibile assegnare l'utente a un'unità amministrativa, a un gruppo o a un ruolo Microsoft Entra al momento della creazione dell'account. È possibile assegnare l'utente a un massimo di 20 gruppi o ruoli. È possibile assegnare l'utente a una sola unità amministrativa. Le assegnazioni possono essere aggiunte dopo la creazione dell'utente.

    Per assegnare un gruppo al nuovo utente:

    1. Selezionare + Aggiungi gruppo.
    2. Dal menu visualizzato, scegliere fino a 20 gruppi dall'elenco e selezionare il pulsante Seleziona.
    3. Selezionare il pulsante Rivedi e crea.

    Screenshot del processo di assegnazione del gruppo aggiunto.

    Per assegnare un ruolo al nuovo utente:

    1. Selezionare + Aggiungi ruolo.
    2. Dal menu visualizzato, scegliere fino a 20 ruoli dall'elenco e selezionare il pulsante Seleziona.
    3. Selezionare il pulsante Rivedi e crea.

    Per aggiungere un'unità amministrativa al nuovo utente:

    1. Selezionare + Aggiungi unità amministrativa.
    2. Dal menu visualizzato, scegliere un'unità amministrativa dall'elenco e selezionare il pulsante Seleziona.
    3. Selezionare il pulsante Rivedi e crea.

    Rivedi e crea

    La scheda finale mostra diversi dettagli chiave del processo di creazione dell'utente. Rivedere i dettagli e selezionare il pulsante Crea se non sono stati rilevati errori.

Creare un nuovo utente esterno

Importante

Questi passaggi si applicano solo a tenant esterni Microsoft Entra per ID esterno.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Assicurarsi di aver eseguito l'accesso al tenant esterno. Selezionare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Selezionare Nuovo utente>Crea nuovo utente esterno.

    Screenshot del menu Crea nuovo utente esterno in Microsoft Entra ID.

  5. Nella pagina Crea nuovo utente, completare la scheda Informazioni di base come descritto in precedenza in questo articolo, ma con queste varianti:

    • Anziché un nome dell'entità utente e un nome alternativo di posta elettronica, specificare l'email dell'utente per l'accesso. Accanto a Identità, in Metodo di accesso, scegliere Email. In Valore, immettere l'indirizzo email dell'utente.
    • Per aggiungere più email per l'utente, selezionare il pulsante Aggiungi.
  6. (Facoltativo) Selezionare Avanti: Proprietà. Completare la scheda Proprietà come descritto in precedenza in questo articolo, ma prendere nota delle varianti seguenti:

    • Nella sezione Identità, l'impostazione Tipo utente non influisce sugli utenti esterni e può rimanere all'impostazione predefinita Membro.
    • Il campo Informazioni di autorizzazione non è disponibile per gli utenti esterni.
    • In Informazioni sul processo, le informazioni relative ai dipendenti e ai manager non sono disponibili per gli utenti esterni.
  7. (Facoltativo) Selezionare Avanti: Assegnazioni. Completare la scheda Assegnazioni come descritto in precedenza in questo articolo, ma notare che le opzioni Aggiungi unità amministrativa e Aggiungi ruolo non sono disponibili per gli utenti esterni.

  8. Selezionare il pulsante Rivedi e crea per creare il nuovo utente.

Invitare un utente esterno

Il processo generale per l'invito di un utente guest esterno è simile, ad eccezione di alcuni dettagli nella scheda Informazioni di base e nel processo di invito tramite email. Non è possibile assegnare utenti esterni alle unità amministrative.

Nota

Questa funzionalità si applica sia alla forza lavoro che a tenant esterni, ma è attualmente in anteprima per tenant esterni.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare Nuovo utente>Invita utente esterno.

    Screenshot dell'opzione di menu Invitare utente esterno.

  4. Completare le schede rimanenti nella pagina Nuovo utente (come mostrato di seguito).

    Dati principali per utenti esterni

    In questa sezione, il guest viene invitato al tenant usando l'indirizzo email. Se è necessario creare un utente guest con un account di dominio, usare il processo di creazione del nuovo utente, ma modificare il tipo di utente in Guest.

    • Email: immettere l'indirizzo di posta elettronica per l'utente guest che si sta invitando.
    • Nome visualizzato: specificare il nome visualizzato.
    • Messaggio di invito: selezionare la casella di controllo Invia messaggio di invito per personalizzare un breve messaggio al guest. Se necessario, specificare un destinatario Cc.

    Screenshot della scheda Dati principali di Invitare utente esterno.

    Inviti dell'utente guest

    Quando si invita un utente guest esterno inviando un invito tramite email, è possibile controllare lo stato dell'invito dai dettagli dell'utente.

    1. Passare a Identità>Utenti>Tutti gli utenti.
    2. Selezionare l'utente guest invitato.
    3. Nella sezione Feed personale, individuare il riquadro Collaborazione B2B.
      • Se lo stato dell'invito è PendingAcceptance, selezionare il collegamento Invia di nuovo l'invito per inviare un'altra email.
      • È anche possibile selezionare le Proprietà per l'utente e visualizzare lo Stato invito.

    Screenshot dei dettagli dell'utente con le opzioni di stato dell'invito evidenziate.

    Aggiungere altri utenti

    Potrebbero esserci scenari in cui si preferisce creare manualmente gli account consumer nella directory Azure Active Directory B2C (Azure AD B2C). Per altre informazioni sulla creazione di account consumer, vedere Creare ed eliminare utenti consumer in Azure AD B2C.

    Se l'ambiente usa sia Microsoft Entra ID (cloud) che Windows Server Active Directory (locale), è possibile aggiungere nuovi utenti sincronizzando i dati degli account utente esistenti. Per altre informazioni sugli ambienti ibridi e sugli utenti, vedere Integrare le directory locali con Microsoft Entra ID.

Eliminare un utente

È possibile eliminare un utente esistente usando l'interfaccia di amministrazione di Microsoft Entra.

  1. È necessario disporre almeno dell'assegnazione del ruolo di Amministratore utente per eliminare utenti nell'organizzazione.

  2. Coloro che dispongono del ruolo di amministratore dell'autenticazione privilegiata possono eliminare qualsiasi utente, inclusi altri amministratori.

  3. Gli Amministratori utenti possono eliminare tutti gli utenti non amministratori, gli Amministratori di supporto tecnico e altri Amministratori utenti.

  4. Per altre informazioni, vedere Autorizzazioni del ruolo di amministratore in Microsoft Entra ID.

    Per eliminare un utente, attenersi alla procedura seguente:

    1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
    2. Passare a Identità>Utenti>Tutti gli utenti.
    3. Cercare e selezionare l'utente da eliminare.
    4. Selezionare Elimina utente.

    Screenshot della pagina Tutti gli utenti con un utente selezionato e il pulsante Elimina evidenziato.

    L'utente viene eliminato e non è più visualizzato nella pagina Tutti gli utenti. L'utente può essere visualizzato nella pagina Utenti eliminati per i 30 giorni successivi e può essere ripristinato per la durata di tale periodo. Per altre informazioni sul ripristino di un utente, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.

    Quando un utente viene eliminato, tutte le licenze utilizzate dall'utente vengono rese disponibili per altri utenti.

    Nota

    Per aggiornare l'identità, le informazioni di contatto o le informazioni professionali per utenti la cui origine dell'autorità è Windows Server Active Directory, è necessario usare Windows Server Active Directory. Dopo aver completato l'aggiornamento, è necessario attendere il ciclo di sincronizzazione successivo prima di poter visualizzare le modifiche.