Creare, configurare e gestire gruppi

  • 3 minuti

Un gruppo Microsoft Entra consente di organizzare gli utenti, semplificando la gestione delle autorizzazioni. L'uso dei gruppi consente al proprietario della risorsa (o al proprietario della directory Microsoft Entra), di assegnare un set di autorizzazioni di accesso a tutti i membri del gruppo, invece di dover fornire i diritti uno alla volta. I gruppi consentono di definire un limite di sicurezza e quindi aggiungere e rimuovere utenti specifici per concedere o negare l'accesso con una quantità minima di lavoro. Ancora meglio, Microsoft Entra ID supporta la possibilità di definire l'appartenenza in base alle regole, ad esempio il reparto in cui lavora un utente o il titolo di lavoro di cui dispone.

Microsoft Entra ID consente di definire due tipi diversi di gruppi.

  • Gruppi di sicurezza : il tipo più comune di gruppi e viene usato per gestire l'accesso alle risorse condivise. I membri di un gruppo di sicurezza possono includere utenti, dispositivi ed entità servizio. Ad esempio, è possibile creare un gruppo di sicurezza per criteri di sicurezza specifici. In questo modo, è possibile assegnare un set di autorizzazioni a tutti i membri contemporaneamente, invece di dover aggiungere autorizzazioni a ogni membro singolarmente. Questa opzione richiede un amministratore di Microsoft Entra.
  • Gruppi di Microsoft 365 : offrono opportunità di collaborazione concedendo ai membri l'accesso a una cassetta postale condivisa, un calendario, file, un sito di SharePoint e altro ancora. Questa opzione consente anche agli utenti esterni all'organizzazione di accedere al gruppo. Questa opzione è disponibile per utenti e amministratori.

Visualizzare i gruppi disponibili

È possibile visualizzare tutti i gruppi tramite l'elemento Gruppi in Identità nell'interfaccia di amministrazione di Microsoft Entra. Una nuova distribuzione di Microsoft Entra ID non ha gruppi definiti.

Screenshot della pagina di Microsoft Entra ID

La seconda caratteristica di un gruppo di cui è necessario essere a conoscenza è il tipo di appartenenza. Specifica il modo in cui i singoli membri vengono aggiunti al gruppo. I tre tipi sono:

  • Assegnato : i membri vengono aggiunti e gestiti manualmente.
  • Utente dinamico - gli utenti vengono aggiunti e rimossi automaticamente in base a regole che valutano attributi dell'utente, come reparto, titolo di lavoro o posizione.
  • Dispositivo dinamico : i dispositivi vengono aggiunti e rimossi automaticamente in base alle regole che valutano gli attributi del dispositivo. Si applica solo ai gruppi di sicurezza; I gruppi di Microsoft 365 supportano utenti dinamici, ma non dispositivi dinamici.

Gruppi dinamici

Con l'appartenenza dinamica, Microsoft Entra ID aggiunge o rimuove automaticamente utenti o dispositivi da un gruppo in base alle regole definite. Quando gli attributi di un membro cambiano, ad esempio un utente passa a un reparto diverso, tutte le regole di appartenenza dinamica nel tenant vengono rivalutate e l'utente viene aggiunto o rimosso di conseguenza dai gruppi.

L'appartenenza dinamica richiede una licenza Microsoft Entra ID P1 (o Intune per Education per le regole basate su dispositivo).

Screenshot del generatore di regole per l'iscrizione ai gruppi dinamici. Configurare una regola che includa membri da un'ubicazione specifica.

Ad esempio, è possibile creare una regola che aggiunge automaticamente tutti gli utenti il cui attributo Department è uguale a "Marketing" a un gruppo di sicurezza Marketing, mantenendo l'appartenenza corrente senza aggiornamenti manuali.