Microsoft Entra – Gestione dei Microsoft 365 groups
Come molti di voi sapranno, in Microsoft Entra ID in maniera predefinita tutti gli utenti possono creare gruppi di Microsoft 365. Questo è l’approccio consigliato perché consente agli utenti di iniziare a collaborare senza richiedere assistenza da parte dell’IT.
Capita spesso però che gli utenti creino gruppi di Microsoft 365 e i rispettivi Microsoft Teams (oltre ai siti di SharePoint condivisi) in maniera indiscriminata e spesso in maniera non conforme agli standard aziendali. Senza contare il fatto che al momento della creazione di un gruppo di Microsoft 365 vengono create risorse nei seguenti servizi:
- Outlook
- SharePoint
- Viva Engage
- Microsoft Teams
- Planner
- Power BI (versione classica)
Disabilitando la possibilità per tutti gli utenti di creare gruppi Microsoft 365, i gruppi potranno essere creati solo dai Global Administrator, Exchange Administrator, Directory Writers, SharePoint Administrator, Teams Service Administrator e User Administrator dai portali di amministrazione del rispettivo servizio o dal portale Microsoft Entra admin center.
Nel caso si voglia delegare la creazione dei gruppi Microsoft 365 ad un altro gruppo di Entra ID, che non sia tra quelli che ho indicato prima, allora è possibile farlo utilizzando PowerShell e la procedura indicata alla pagina Gestire chi può creare gruppi in Microsoft 365 | Microsoft Learn. È bene sottolineare però che chi gestirà la creazione dei gruppi dovrà avere licenze Azure AD Premium P1 o P2.
Figura 1: Disabilitazione della creazione dei gruppi Microsoft 365 concessa a tutti gli utenti
Requisiti di licenza
Per gestire chi crea gruppi, le persone seguenti hanno bisogno di licenze P1 o P2 di Microsoft Entra ID o licenze EDU di Microsoft Entra Basic assegnate:
- L’amministratore che configura queste impostazioni di creazione del gruppo
- Membri del gruppo autorizzati a creare gruppi
Figura 2: Requisiti di licenza
Creazione di ruoli personalizzati in Microsoft Entra ID
In Microsoft Entra ID è possibile creare dei ruoli personalizzati, per poter concedere un accesso più granulare e limitato rispetto a quelli che sono i ruoli predefiniti disponibili. Trovate una lista dei ruoli predefiniti di Entra ID al link https://docs.microsoft.com/en-us/azure/active-directory/roles/permissions-reference#available-roles
Nel riquadro di gestione del tenant di Entra ID cliccate su Roles & admins per verificare i ruoli predefiniti presenti.
Come si può notare dalla figura sotto, esiste il ruolo Groups Administrator. Gli utenti con questo ruolo possono creare o gestire gruppi e le relative impostazioni, ad esempio i criteri di denominazione e scadenza. È importante comprendere che l’assegnazione di un utente a questo ruolo offre la possibilità di gestire tutti i gruppi nell’organizzazione per diversi carichi di lavoro, ad esempio Teams, SharePoint, Yammer, oltre a Outlook. Inoltre, l’utente sarà in grado di gestire le diverse impostazioni dei gruppi nei vari portali di amministrazione, come l’interfaccia di amministrazione di Microsoft e il portale di Azure, oltre a quelli specifici del carico di lavoro, come le interfacce di amministrazione di Teams e SharePoint.
Figura 3: Ruolo predefinito di Groups Administrator
Potete quindi assegnare questo ruolo ad un utente o ad un gruppo di utenti a cui verrà delegata la possibilità di gestire i gruppi.
Figura 4: Assegnazione del ruolo ad un utente a cui sarà consentito gestire i gruppi di Entra ID
Figura 5: Assegnazione del ruolo completata
Creazione di un ruolo personalizzato in Microsoft Entra ID per la gestione dei Microsoft 365 groups
Come ho già scritto, i ruoli personalizzati consentono di delegare in modo preciso un sottoinsieme delle autorizzazioni disponibili tra i ruoli predefiniti, garantendo una maggiore flessibilità nella gestione delle autorizzazioni all’interno di un’organizzazione.
Le autorizzazioni possono essere usate nelle definizioni di ruolo personalizzate in Microsoft Entra ID per concedere l’accesso con granularità fine, ad esempio:
- Gestire le proprietà del gruppo, come nome e descrizione
- Gestire membri e proprietari
- Creare o eliminare gruppi
- Leggere i log di audit
- Gestire un tipo di gruppo specifico
Alla pagina Autorizzazioni di Gestione gruppo per i ruoli personalizzati di Microsoft Entra – Microsoft Entra ID | Microsoft Learn troverete maggiori dettagli sulle autorizzazioni disponibili.
Figura 6: Creazione di un nuovo ruolo personalizzato in Microsoft Entra ID
Come si può vedere dalla figura sotto, io ho deciso di permettere solo alcune operazioni sui Microsoft 365 groups (group.unified). Mi è bastato effettuare un filtro per poter visualizzare solo le autorizzazioni disponibili per i Microsoft 365 groups.
Figura 7: Permessi del nuovo ruolo personalizzato in Microsoft Entra ID
Figura 8: Pagina riassuntiva del wizard per la creazione del nuovo ruolo personalizzato in Microsoft Entra ID
Figura 9: Nuovo ruolo personalizzato creato in Microsoft Entra ID
Figura 10: Assegnazione di un utente al nuovo ruolo personalizzato in Microsoft Entra ID
Conclusioni
La creazione di ruoli personalizzati in Microsoft Entra ID offre un controllo granulare sulle autorizzazioni, permettendo di delegare specifiche responsabilità in base alle esigenze organizzative. Tuttavia, è fondamentale considerare che la gestione della creazione dei gruppi in Microsoft 365 può essere regolata separatamente. Per impostazione predefinita, tutti gli utenti possono creare gruppi di Microsoft 365, ma è possibile limitare questa funzione a determinati utenti o gruppi di sicurezza. Questo approccio consente di mantenere un equilibrio tra autonomia degli utenti e governance aziendale, garantendo che la creazione dei gruppi sia conforme alle politiche interne.
Per implementare tali restrizioni, è necessario disporre delle licenze appropriate, come le licenze P1 o P2 di Microsoft Entra ID.
È importante notare che alcuni ruoli amministrativi mantengono la capacità di creare gruppi anche quando sono impostate restrizioni. Pertanto, una pianificazione attenta e una comprensione delle implicazioni delle impostazioni di creazione dei gruppi sono essenziali per una gestione efficace dell’ambiente Microsoft 365.