Risolvere i problemi di creazione ed eliminazione degli utenti in Microsoft Entra ID

Articolo
11/19/2024

Questo articolo illustra i metodi in Microsoft Entra ID che è possibile usare per:

Crea un utente.
Eliminare un utente.
Creare utenti in blocco.

Prerequisiti

Una delle assegnazioni di ruolo seguenti:
- Amministratore globale
- Amministratore utenti

Metodi per la creazione e l'eliminazione dell'utente

Microsoft Entra ID include molti metodi per la creazione e l'eliminazione di utenti, ad esempio:

Questi metodi fanno riferimento agli utenti creati direttamente in Microsoft Entra ID. L'articolo non tratta gli utenti creati altrove e quindi sincronizzati con microsoft Entra ID o scenari business-to-business.

Creare un utente

Selezionare un metodo per creare un utente in Microsoft Entra ID.

Per aggiungere un nuovo utente nel portale di Azure:

Nella portale di Azure accedere come amministratore globale o come amministratore utenti.
Cerca e seleziona Microsoft Entra ID.
Selezionare Utenti e quindi Nuovo utente.
Nella pagina Utente immettere il nome dell'utente, il nome utente, i gruppi, il ruolo directory e le informazioni sul processo.
Copiare la password generata automaticamente nella casella Password. È necessario fornire questa password all'utente per la procedura di accesso iniziale.
Seleziona Crea.

Per altre informazioni, vedere Aggiungere o eliminare utenti - Microsoft Entra ID.

Per aggiungere un utente in Microsoft Graph, usare l'API Crea utente:

POST https://graph.microsoft.com/v1.0/users 
Content-type: application/json { 
  "accountEnabled": true, 
  "displayName": "<New User>", 
  "mailNickname": "<Newuser>", 
  "userPrincipalName": "<NewUser@contoso.onmicrosoft.com>", 
  "passwordProfile" : { 
    "forceChangePasswordNextSignIn": true, 
    "password": "xWwvJ]6NMw+bWH-d" 
  }
}

Per aggiungere un utente in Azure PowerShell, eseguire il cmdlet New-AzureADUser :

Note

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-AzureADUser -AccountEnabled $true `
    -DisplayName "<New User>" `
    -MailNickName "<Newuser>" `
    -PasswordProfile $PasswordProfile `
    -UserPrincipalName "<NewUser@contoso.onmicrosoft.com>"

Per aggiungere un utente nell'interfaccia della riga di comando di Azure, eseguire il comando az ad user create :

az ad user create --display-name "<New User>" \
    --password "xWwvJ]6NMw+bWH-d" \
    --user-principal-name "<NewUser@contoso.onmicrosoft.com>" \
    [--force-change-password-next-login {false, true}] \
    [--immutable-id "<base64-string-representation-of-object-guid>"] \
    [--mail-nickname "<Newuser>"]

Eliminare un utente

Selezionare un metodo per eliminare un utente in Microsoft Entra ID.

Per eliminare un utente nel portale di Azure:

Nella portale di Azure accedere come amministratore globale o come amministratore utenti.
Cerca e seleziona Microsoft Entra ID.
Seleziona Utenti.
Cercare e selezionare l'utente che si vuole eliminare dal tenant di Microsoft Entra (ad esempio, Mary Parker).
Selezionare Elimina utente.

L'utente viene eliminato e non è più visualizzato nella pagina Utenti - Tutti gli utenti. È possibile visualizzare l'utente nella pagina Utenti eliminati per i 30 giorni successivi. È anche possibile ripristinare l'utente eliminato durante tale periodo. Per altre informazioni sul ripristino di un utente, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.

Dopo aver eliminato un utente, tutte le licenze utilizzate dall'utente vengono rese disponibili per altri utenti.

Per eliminare un utente in Microsoft Graph, usare l'API Elimina un utente:

DELETE https://graph.microsoft.com/v1.0/users/{user-id-or-user-principal-name}

Ad esempio, se si vuole eliminare un utente con il nome dell'entità di sicurezza , NewUser@contoso.onmicrosoft.comusare il comando seguente:

DELETE https://graph.microsoft.com/v1.0/users/NewUser@contoso.onmicrosoft.com

Per eliminare un utente in Azure PowerShell, eseguire il cmdlet Remove-AzureADUser :

Remove-AzureADUser -ObjectId "<NewUser@contoso.onmicrosoft.com>"

Per eliminare un utente nell'interfaccia della riga di comando di Azure, eseguire il comando az ad user delete :

az ad user delete --id "<NewUser@contoso.onmicrosoft.com>"

Creare utenti in blocco

Per altre informazioni sulla creazione o l'eliminazione di utenti in blocco, vedere Creare utenti in blocco in Microsoft Entra ID.

Autorizzazioni necessarie per gestire gli utenti con un'entità servizio

Se si vuole automatizzare la creazione e l'eliminazione degli utenti di Microsoft Entra in Microsoft Graph, l'applicazione necessita delle autorizzazioni seguenti:

Per altre informazioni su chi può gestire ogni aspetto della gestione degli utenti, vedere Ruoli con privilegi minimi per attività in Microsoft Entra ID- Utenti.

Messaggi di errore e azioni correttive

La tabella seguente contiene un elenco di messaggi di errore comuni quando si tenta di creare o eliminare un utente in Microsoft Entra ID e descrive le azioni di correzione appropriate per tali utenti. I messaggi di errore vengono visualizzati per l'API REST Microsoft Graph, Azure PowerShell o l'interfaccia della riga di comando di Azure. Analogamente, ma i messaggi di errore più brevi vengono visualizzati nella portale di Azure e le azioni correttive sono identiche.

Messaggio d'errore	Azione
Esiste già un altro oggetto con lo stesso valore per la proprietà userPrincipalName.	Rendere univoco il nome dell'entità utente (UPN). Questo errore si verifica quando l'amministratore tenta di creare un utente con un nome utente esistente nell'ID di Microsoft Entra. Per altre informazioni, vedere Criteri relativi ai nomi utente.
Privilegi insufficienti per completare l'operazione.	Trovare un amministratore globale o un amministratore utenti per aggiungere o eliminare l'utente. Questo errore si verifica quando l'entità di sicurezza tenta di creare o eliminare utenti, ma non dispone delle autorizzazioni necessarie. Un amministratore globale può creare o eliminare qualsiasi utente, inclusi gli altri amministratori. Un amministratore utente può creare utenti ed eliminare tutti gli utenti non amministratori, gli amministratori del supporto tecnico e altri amministratori utente.
La proprietà userPrincipalName non è valida.	Per un elenco di caratteri consentiti e non consentiti, vedere Criteri dei nomi utente. Questo errore si verifica quando si crea un nuovo utente con caratteri inaccettabili nell'UPN. Le proprietà di nome utente e indirizzo di posta elettronica non possono contenere caratteri accentati.
La password specificata non è conforme ai requisiti di complessità delle password. Specificare una password diversa.	Evitare di usare una password che: Non segue i criteri password di Microsoft Entra. È presente nell'elenco delle password vietate personalizzate. Contiene il nome utente dell'utente.
La parte di dominio della proprietà userPrincipalName non è valida. È necessario usare uno dei nomi di dominio verificati nell'organizzazione.	Assicurarsi che il dominio usato per creare l'utente si trovi nell'elenco dei domini verificati nell'interfaccia di amministrazione di Microsoft Entra. Lo stato del dominio deve essere Verificato. Se lo stato del dominio è stato verificato, controllare se il dominio è federato (presenterà un segno di spunta) o gestito (non presenterà un segno di spunta). È possibile creare utenti in ID di Microsoft Entra solo per i domini gestiti. Per i domini federati, è necessario creare l'utente nel provider di identità (IdP) e quindi eseguire la sincronizzazione con ID di Microsoft Entra. Non è possibile assegnare un dominio federato a un utente.

Quote di directory

Per l'edizione gratuita di Microsoft Entra ID, è possibile creare un massimo di 50.000 risorse di Microsoft Entra in un singolo tenant per impostazione predefinita. Se si usa almeno un dominio verificato, la quota predefinita del servizio Microsoft Entra per l'organizzazione viene estesa a 300.000 risorse di Microsoft Entra. Per le organizzazioni create dall'iscrizione self-service, la quota del servizio Microsoft Entra rimane di 50.000 risorse di Microsoft Entra. Questo limite si applica anche se è stata effettuata un'acquisizione dell'amministratore interno e l'organizzazione è stata convertita in un tenant gestito con uno o più domini verificati. Questo limite di servizio non è correlato al limite del piano tariffario di 500.000 risorse nella pagina dei prezzi di Microsoft Entra. Per superare la quota predefinita, è necessario contattare supporto tecnico Microsoft.

Per altre informazioni, vedere Limiti e restrizioni del servizio Microsoft Entra.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.

Condividi tramite