Aggiungere un account amministratore

  • 10 minuti

Esercizio - Aggiungere un account amministratore

In Microsoft Entra per ID esterno, un tenant esterno rappresenta la directory degli account consumer e guest. Con un ruolo di amministratore, gli account aziendali e guest possono gestire il tenant.

Annotazioni

Per creare un account amministratore, è necessario avere almeno il ruolo Amministratore Utenti della directory.

Questo ruolo è un ruolo con privilegi. Leggere le procedure consigliate per l'uso dei ruoli con privilegi.

Si desidera fornire un feedback? Saremmo felici di sapere come procede il progetto del modello di verifica. Ci piacerebbe sapere cosa ne pensi!

Avvertimento

Quando si creano account amministratore, è consigliabile assegnare agli utenti il ruolo con privilegi minimi necessario, assicurandosi di avere solo le autorizzazioni necessarie per completare le attività.

  1. Per aggiungere un account amministratore, accedere all'interfaccia di amministrazione di Microsoft Entra almeno con autorizzazioni di amministratore ruolo con privilegi e passare a Identità>Utenti>Tutti gli utenti. Selezionare quindi Nuovo utente>Crea nuovo utente.

    Screenshot del pannello Utenti con un pulsante denominato

  2. Nella pagina Crea nuovo utente immettere le informazioni seguenti:

    • In Informazioni di base immettere le informazioni per l'amministratore:
      1. Nome principale utente (obbligatorio): nome utente del nuovo utente. Ad esempio: emily@woodgrovelive.com.
      2. Nome visualizzato : nome del nuovo utente. Ad esempio, Pupetta Costa.
    • In Password copiare la password generata automaticamente nella casella password. È necessario fornire questa password all'amministratore per accedere la prima volta.

    Screenshot del pannello Crea nuovo utente in cui vengono popolati i campi obbligatori Nome dell'entità utente, Nome alternativo di posta elettronica, Nome visualizzato e Password.

  3. In Proprietà è anche possibile immettere un nome e un cognome insieme ad altre proprietà.

    Screenshot del pannello Crea nuovo utente in cui è selezionata una delle schede denominate

  4. Per aggiungere autorizzazioni amministrative per l'utente, aggiungerle a uno o più ruoli di amministratore in Microsoft Entra ID. In Assegnazioni selezionare Aggiungi ruolo. Trovare quindi il ruolo da assegnare all'utente e scegliere Seleziona.

    Avvertimento

    Quando si creano account amministratore, è consigliabile assegnare agli utenti il ruolo con privilegi minimi necessario, assicurandosi di avere solo le autorizzazioni necessarie per completare le attività.

    Screenshot del pannello Crea nuovo utente, in cui è selezionata la scheda successiva del riquadro di navigazione della procedura guidata intitolata Assegnazioni. Viene visualizzato un pulsante denominato Aggiungi ruolo evidenziato. Nel riquadro Ruoli della directory aperto a destra, è evidenziato il ruolo Amministratore della sicurezza.

  5. Per creare l'account, selezionare Crea.

    Screenshot del pannello Crea nuovo utente in cui è selezionata la scheda finale nella navigazione della procedura guidata intitolata Rivedi e crea. Viene visualizzata una panoramica degli Elementi di base, delle Proprietà e delle Assegnazioni configurati e assegnati per questo utente.

    Molto bene! L'amministratore è stato creato e aggiunto al tenant esterno.

1. Creare un utente

Per creare un utente, sostituire i valori seguenti nella richiesta di Microsoft Graph:

  • displayName con il nome visualizzato dell'utente.
  • mailNickname con un alias di posta per l'utente. È necessario specificare questa proprietà al momento della creazione dell'utente.
  • userPrincipalName con il nome principale (UPN) dell'utente. Il formato generale è alias@domain, in cui il dominio deve essere presente nella raccolta di domini verificati del tenant.
  • password con una password temporanea che verrà condivisa con l'utente. Durante il primo accesso, all'utente verrà chiesto di modificare la password.
Esempio

L'esempio seguente illustra come creare un nuovo account utente per Adele Vance.

POST https://graph.microsoft.com/v1.0/applications
{
    "accountEnabled": true,
    "displayName": "Adele Vance",
    "mailNickname": "AdeleV",
    "userPrincipalName": "AdeleV@wggdemo.onmicrosoft.com",
    "passwordProfile": {
        "forceChangePasswordNextSignIn": true,
        "password": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u"
    }
}
1.1 Copiare l'ID utente

Dalla risposta copiare il valore dell'ID. Per esempio:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
    ...
}

2. Assegnare un ruolo di amministratore

Dopo aver creato il nuovo utente, creare un'assegnazione di ruolo (unificata). Nella richiesta di Microsoft Graph seguente sostituire:

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "{user-id}",
    "roleDefinitionId": "{role-id}",
    "directoryScopeId": "/"
}
Esempio

Nell'esempio seguente viene assegnato il ruolo Di amministratore della sicurezza a Adele Vance

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "194ae4cb-b126-40b2-bd5b-6091b380977d",
    "directoryScopeId": "/"
}

Inviare commenti e suggerimenti