Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID?

2025-08-15

In Microsoft Entra ID a tutti gli utenti viene concesso un set di autorizzazioni predefinite. L'accesso di un utente è costituito dal tipo di utente, dalle assegnazioni di ruolo e dalla proprietà dei singoli oggetti.

Questo articolo descrive tali autorizzazioni predefinite e contiene un confronto delle impostazioni predefinite degli utenti membro e guest. Le autorizzazioni utente predefinite possono essere modificate solo nelle impostazioni utente in Microsoft Entra ID.

Utenti guest e membro

Il set di autorizzazioni predefinite ricevuto varia a seconda che l'utente sia un membro nativo del tenant (utente membro) o provenga da un'altra directory come guest di collaborazione B2B (utente guest). Per ulteriori informazioni, consultare Cos'è la collaborazione B2B di Microsoft Entra?. Ecco le funzionalità delle autorizzazioni predefinite:

Gli utenti membri possono registrare applicazioni, gestire la propria foto del profilo e il numero di telefono cellulare, modificare la propria password e invitare gli utenti guest B2B. Tali utenti possono anche leggere tutte le informazioni della directory (con alcune eccezioni).
Gli utenti guest hanno autorizzazioni di directory limitate. Possono gestire il proprio profilo, modificare la propria password e recuperare alcune informazioni su altri utenti, gruppi e app. Tuttavia, non possono leggere tutte le informazioni sulla directory.

Ad esempio, gli utenti guest non possono enumerare l'elenco di tutti gli utenti, i gruppi e altri oggetti directory. Gli utenti guest possono essere aggiunti ai ruoli di amministratore, che concedono le autorizzazioni complete di lettura e scrittura contenute nel ruolo. Gli utenti guest possono anche invitare altri guest.

Confrontare le autorizzazioni predefinite di membri e guest

Area	Autorizzazioni utente membro	Autorizzazioni utente guest predefinite	Autorizzazioni utente guest limitate
Utenti e contatti	Enumerare l'elenco di utenti e i relativi contatti Leggere tutte le proprietà pubbliche di utenti e contatti Invita utenti guest Modificare la propria password Gestire il proprio numero di cellulare Gestire la propria foto Invalidare i propri token di aggiornamento	Leggere le proprie proprietà Leggere il nome visualizzato, l’indirizzo di posta elettronica, il nome di accesso, la foto, il nome dell'entità utente e la proprietà di tipo utente di altri utenti e contatti Modificare la propria password Cercare un altro utente in base all'ID oggetto (se consentito) Leggere le informazioni di gestione e report diretto di altri utenti	Leggere le proprie proprietà Modificare la propria password Gestire il proprio numero di cellulare
Groups	Creare di gruppi di sicurezza Creare gruppi di Microsoft 365 Enumerare l'elenco di tutti i gruppi Leggere tutte le proprietà dei gruppi Leggere le appartenenze a gruppi non nascoste Leggere le appartenenze a gruppi di Microsoft 365 nascoste per i gruppi aggiunti Gestire le proprietà, la proprietà e l'appartenenza a gruppi dell'utente Aggiungere utenti guest ai gruppi con proprietario Gestire le impostazioni di appartenenza ai gruppi Eliminare gruppi con proprietario Ripristinare i gruppi di Microsoft 365 di proprietà	Leggere le proprietà dei gruppi non nascosti, incluse l'appartenenza e la proprietà (anche gruppi non aggiunti) Leggere le appartenenze a gruppi di Microsoft 365 nascoste per i gruppi aggiunti Cercare i gruppi in base al nome visualizzato o all'ID oggetto (se consentito)	Leggere l'ID oggetto per i gruppi aggiunti Leggere l'appartenenza e la proprietà dei gruppi aggiunti in alcune app di Microsoft 365 (se consentito)
Applications	Registrare (creare) nuove applicazioni Enumerare l'elenco di tutte le applicazioni Leggere le proprietà delle applicazioni aziendali e registrate Gestire proprietà, assegnazioni e credenziali per le applicazioni con proprietario Creare o eliminare le password delle applicazioni per un utente Eliminare le applicazioni di proprietà Ripristinare le applicazioni di proprietà Esaminare le autorizzazioni concesse alle applicazioni	Leggere le proprietà delle applicazioni aziendali e registrate Esaminare le autorizzazioni concesse alle applicazioni	Leggere le proprietà delle applicazioni aziendali e registrate Esaminare le autorizzazioni concesse alle applicazioni
Devices	Enumerare l'elenco di tutti i dispositivi Leggere tutte le proprietà dei dispositivi Gestire tutte le proprietà dei dispositivi con proprietario	Nessuna autorizzazione	Nessuna autorizzazione
Organization	Leggere tutte le informazioni aziendali Leggere tutti i domini Pianificare e configurare l'autenticazione basata su certificati Leggere tutti i contratti dei partner Leggere i dettagli di base dell'organizzazione multi-tenant e i tenant attivi	Leggere il nome visualizzato dell'azienda Leggere tutti i domini Pianificare e configurare l'autenticazione basata su certificati	Leggere il nome visualizzato dell'azienda Leggere tutti i domini
Ruoli e ambiti	Leggere tutti i ruoli amministrativi e delle appartenenze Leggere tutte le proprietà e dell'appartenenza delle unità amministrative	Nessuna autorizzazione	Nessuna autorizzazione
Subscriptions	Leggere tutte le sottoscrizioni delle licenze Abilitare le appartenenze a un piano di servizio	Nessuna autorizzazione	Nessuna autorizzazione
Policies	Leggere tutte le proprietà dei criteri Gestire tutte le proprietà dei criteri con proprietario	Nessuna autorizzazione	Nessuna autorizzazione
Condizioni per l'utilizzo	Leggere i termini di utilizzo che un utente ha accettato.	Leggere i termini di utilizzo che un utente ha accettato.	Leggere i termini di utilizzo che un utente ha accettato.

Limitare le autorizzazioni predefinite degli utenti membri

È possibile aggiungere restrizioni alle autorizzazioni predefinite degli utenti.

È possibile limitare le autorizzazioni predefinite per gli utenti membro nei modi seguenti:

Caution

L'impostazione Limita l'accesso al portale di amministrazione di Microsoft Entra limita l'accesso a un set di pagine dell'interfaccia di amministrazione comunemente visitate. Non è una misura di sicurezza. Per altre informazioni sull'impostazione, vedere la tabella seguente.

Permission	Spiegazione dell'impostazione
Registrare le applicazioni	L'impostazione di questa opzione su No impedisce agli utenti di creare registrazioni dell'applicazione. Tale possibilità può essere quindi concessa di nuovo a utenti specifici aggiungendoli al ruolo di sviluppatore di applicazioni.
Consenti agli utenti di connettere l'account aziendale o dell'istituto di istruzione a LinkedIn	L'impostazione di questa opzione su No impedisce agli utenti di connettere l'account aziendale o dell'istituto di istruzione con il proprio account LinkedIn. Per altre informazioni, consultare Consenso e condivisione dei dati da parte delle connessioni all'account LinkedIn.
Creare gruppi di sicurezza	L'impostazione di questa opzione su No impedisce agli utenti di creare gruppi di sicurezza. Gli utenti a cui è assegnato almeno il ruolo di amministratori utenti possono comunque creare gruppi di sicurezza. Per informazioni sulla procedura, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni del gruppo.
Creare gruppi di Microsoft 365	L'impostazione di questa opzione su No impedisce agli utenti di creare gruppi di Microsoft 365. L'impostazione di questa opzione su Alcuni consente a un set di utenti di creare gruppi di Microsoft 365. Chiunque abbia almeno il ruolo di amministratore utenti può comunque creare gruppi di Microsoft 365. Per informazioni sulla procedura, vedere Cmdlet di Microsoft Entra per la configurazione delle impostazioni del gruppo.
Limitare l'accesso al portale di amministrazione di Microsoft Entra	Qual è il risultato? L'impostazione di questa opzione su No consente agli utenti non amministratori di accedere all'interfaccia di amministrazione di Microsoft Entra. L'impostazione di questa opzione su Sì aggiunge un livello di attrito alla navigazione casuale. Questa impostazione impedisce agli utenti non amministratori di caricare un set di pagine visitate di frequente nell'interfaccia di amministrazione di Microsoft Entra e nel portale di Azure, tra cui home, panoramica del tenant e l'elenco degli utenti. Gli utenti non amministratori proprietari di gruppi non potranno usare l'interfaccia di amministrazione di Microsoft Entra o il portale di Azure per gestire queste risorse. La maggior parte delle pagine nell'interfaccia di amministrazione rimane raggiungibile se l'utente ha un collegamento diretto (diretto). Che cosa non fa? Non blocca l'accesso a livello di codice ai dati di Microsoft Entra tramite PowerShell, l'API Microsoft Graph o altri strumenti come Visual Studio. Non si applica agli utenti con un ruolo amministrativo, inclusi i ruoli personalizzati. Non impedisce l'accesso all'interfaccia di amministrazione. Molte aree sono ancora raggiungibili attraverso percorsi alternativi. Quando si usa questa impostazione? Usare questa impostazione se si vuole aggiungere un livello di attrito che impedisce agli utenti non amministratori di aprire casualmente l'interfaccia di amministrazione di Microsoft Entra. Può ridurre l'esplorazione non essenziale, ma non impedisce agli utenti di accedere o gestire le risorse con altri mezzi. Quando non è consigliabile usare questa opzione? Non fare affidamento su questa impostazione come controllo di sicurezza. Per un'applicazione più rigorosa, usare una politica di Accesso Condizionale rivolta all'API di Gestione Servizi di Windows Azure per bloccare l'accesso degli utenti non amministratori agli endpoint di gestione di Azure. Come si può concedere solo a utenti non amministratori specifici la possibilità di usare il portale di amministrazione di Microsoft Entra? Impostare l'opzione su Sì, quindi assegnare a tali utenti un ruolo, ad esempio Lettore globale o un altro ruolo che concede le autorizzazioni appropriate. Vuoi limitare l'accesso in modo più efficace? Usare l'accesso condizionale per specificare come destinazione l'API gestione dei servizi di Windows Azure. Questo offre un controllo più ampio sull'accesso a tutte le esperienze di gestione basate su Azure, inclusa l'interfaccia di amministrazione di Microsoft Entra.
Limitare gli utenti non amministratori alla creazione di tenant	Gli utenti possono creare tenant nel portale di amministrazione di Microsoft Entra ID e Microsoft Entra in Gestisci tenant. La creazione di un tenant viene registrata nel log di controllo come categoria DirectoryManagement e attività Creare un'azienda. Per impostazione predefinita, all'utente che crea un tenant di Microsoft Entra viene assegnato automaticamente il ruolo di amministratore globale . Il tenant appena creato non eredita impostazioni o configurazioni. Qual è il risultato? L'impostazione di questa opzione su Sì limita la creazione dei tenant di Microsoft Entra a chiunque abbia almeno il ruolo Autore tenant . L'impostazione di questa opzione su No consente agli utenti non amministratori di creare tenant di Microsoft Entra. La creazione del tenant continua a essere registrata nel log di controllo. Come è possibile concedere solo a utenti non amministratori specifici la possibilità di creare nuovi tenant? Impostare questa opzione su Sì, quindi assegnare loro il ruolo Autore tenant .
Limitare gli utenti a ripristinare le chiavi BitLocker per i dispositivi di proprietà	Questa impostazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra in Impostazioni dispositivo. L'impostazione di questa opzione su Sì impedisce agli utenti di ripristinare in modalità self-service le chiavi BitLocker per i dispositivi di proprietà. Gli utenti devono contattare il supporto tecnico dell'organizzazione per recuperare le chiavi BitLocker. L'impostazione di questa opzione su Nessuna consente agli utenti di ripristinare le chiavi di BitLocker.
Leggere altri utenti	Questa impostazione è disponibile solo in Microsoft Graph e PowerShell. Impostando questo flag su `$false`, nessun utente non amministratore potrà leggere le informazioni utente dalla directory. Questo flag potrebbe impedire la lettura delle informazioni utente in altri servizi Microsoft come Microsoft Teams. Questa impostazione è destinata a circostanze speciali, pertanto non è consigliabile impostare il flag su `$false`.

L'opzione Utenti non amministratori limitati dalla creazione di tenant è illustrata nello screenshot seguente.

Limitare le autorizzazioni predefinite degli utenti guest

È possibile limitare le autorizzazioni predefinite per gli utenti guest nei modi seguenti.

Note

L'impostazione Restrizioni dell'accesso utente guest ha sostituito l'impostazione Autorizzazioni utenti guest limitate. Per informazioni su come usare questa funzionalità, consultare Limitare le autorizzazioni di accesso guest in Microsoft Entra ID.

Permission	Spiegazione dell'impostazione
Restrizioni dell'accesso utente guest	L'impostazione di questa opzione su Gli utenti guest hanno lo stesso accesso dei membri concede tutte le autorizzazioni di utente membro agli utenti guest per impostazione predefinita. Impostando questa opzione su L'accesso degli utenti guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory viene limitato l'accesso dell'utente guest solo al proprio profilo utente per impostazione predefinita. L'accesso agli altri utenti non è più consentito, anche quando la ricerca viene effettuata usando il nome principale dell'utente, l'ID dell'oggetto o il nome visualizzato. Anche l'accesso alle informazioni sui gruppi, comprese le appartenenze ai gruppi, non è più consentito. Questa impostazione non impedisce l'accesso ai gruppi aggiunti in alcuni servizi di Microsoft 365 come Microsoft Teams. Per ulteriori informazioni, consultare Accesso guest a Microsoft Teams. Gli utenti guest possono comunque essere aggiunti ai ruoli di amministratore indipendentemente da questa impostazione di autorizzazione.
Gli utenti guest possono invitare	L'impostazione di questa opzione su Sì consente agli utenti guest di invitare altri utenti guest. Per ulteriori informazioni, consultare Configurare le impostazioni di collaborazione esterna.

Permission

Spiegazione dell'impostazione

Restrizioni dell'accesso utente guest

L'impostazione di questa opzione su Gli utenti guest hanno lo stesso accesso dei membri concede tutte le autorizzazioni di utente membro agli utenti guest per impostazione predefinita.

Impostando questa opzione su L'accesso degli utenti guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory viene limitato l'accesso dell'utente guest solo al proprio profilo utente per impostazione predefinita. L'accesso agli altri utenti non è più consentito, anche quando la ricerca viene effettuata usando il nome principale dell'utente, l'ID dell'oggetto o il nome visualizzato. Anche l'accesso alle informazioni sui gruppi, comprese le appartenenze ai gruppi, non è più consentito.

Questa impostazione non impedisce l'accesso ai gruppi aggiunti in alcuni servizi di Microsoft 365 come Microsoft Teams. Per ulteriori informazioni, consultare Accesso guest a Microsoft Teams.

Gli utenti guest possono comunque essere aggiunti ai ruoli di amministratore indipendentemente da questa impostazione di autorizzazione.

Gli utenti guest possono invitare

L'impostazione di questa opzione su Sì consente agli utenti guest di invitare altri utenti guest. Per ulteriori informazioni, consultare Configurare le impostazioni di collaborazione esterna.

Titolarità di un oggetto

Autorizzazioni di proprietario della registrazione dell'applicazione

Quando un utente registra un'applicazione, viene automaticamente aggiunto come proprietario dell'applicazione. In qualità di proprietario, può gestire i metadati dell'applicazione, ad esempio il nome e le autorizzazioni richieste all'app. Può anche gestire la configurazione specifica del tenant dell'applicazione, ad esempio le assegnazioni utente e la configurazione Single Sign-On (SSO).

Un proprietario può anche aggiungere o rimuovere altri proprietari. Diversamente dagli utenti con almeno il ruolo di Amministratore di applicazioni, i proprietari possono gestire esclusivamente le applicazioni di cui detengono la proprietà.

Autorizzazioni dei proprietari delle applicazioni aziendali

Quando un utente aggiunge una nuova applicazione aziendale, viene aggiunto automaticamente come proprietario. In qualità di proprietario, un utente può gestire la configurazione specifica del tenant dell'applicazione, come la configurazione SSO, il provisioning e le assegnazioni degli utenti.

Autorizzazioni di proprietario del gruppo

Quando un utente crea un gruppo, viene aggiunto automaticamente come proprietario di tale gruppo. In qualità di proprietario, può gestire le proprietà del gruppo (come il nome) e l'appartenenza al gruppo.

Un proprietario può anche aggiungere o rimuovere altri proprietari. A differenza di quelli assegnati almeno al ruolo Amministratore gruppi , i proprietari possono gestire solo i gruppi di cui sono proprietari e possono aggiungere o rimuovere membri del gruppo solo se il tipo di appartenenza del gruppo è Assegnato.

Per assegnare un proprietario del gruppo, vedere Gestione dei proprietari di un gruppo.

Per usare Privileged Access Management (PIM) per rendere un gruppo idoneo per un'assegnazione di ruolo, vedere Usare i gruppi di Microsoft Entra per gestire le assegnazioni di ruolo.

Autorizzazioni di proprietà

Le tabelle seguenti descrivono le autorizzazioni specifiche in Microsoft Entra ID che gli utenti membri hanno sugli oggetti di cui sono i proprietari. Gli utenti dispongono di queste autorizzazioni solo per gli oggetti di cui sono proprietari.

Registrazioni delle applicazioni di proprietà

Gli utenti possono eseguire le azioni seguenti sulle registrazioni delle applicazioni di proprietà:

Action	Description
microsoft.directory/applications/audience/update	Aggiornare la proprietà `applications.audience` in Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Aggiornare la proprietà `applications.authentication` in Microsoft Entra ID.
microsoft.directory/applications/basic/update	Aggiornare le proprietà di base sulle applicazioni in Microsoft Entra ID.
microsoft.directory/applications/credentials/update	Aggiornare la proprietà `applications.credentials` in Microsoft Entra ID.
microsoft.directory/applications/delete	Eliminare applicazioni in Microsoft Entra ID.
microsoft.directory/applications/owners/update	Aggiornare la proprietà `applications.owners` in Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Aggiornare la proprietà `applications.permissions` in Microsoft Entra ID.
microsoft.directory/applications/policies/update	Aggiornare la proprietà `applications.policies` in Microsoft Entra ID.
microsoft.directory/applications/restore	Ripristinare applicazioni in Microsoft Entra ID.

Applicazioni aziendali di proprietà

Gli utenti possono eseguire le azioni seguenti sulle applicazioni aziendali di proprietà. Un'applicazione aziendale è costituita da un'entità servizio, uno o più criteri dell'applicazione e talvolta un oggetto applicazione nello stesso tenant dell'entità servizio.

Action	Description
microsoft.directory/auditLogs/allProperties/read	Leggere tutte le proprietà (incluse le proprietà con privilegi) nei log di controllo in Microsoft Entra ID.
microsoft.directory/policies/basic/update	Aggiornare le proprietà di base sui criteri in Microsoft Entra ID.
microsoft.directory/policies/delete	Eliminare i criteri in Microsoft Entra ID.
microsoft.directory/policies/owners/update	Aggiornare la proprietà `policies.owners` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornare la proprietà `servicePrincipals.appRoleAssignedTo` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Aggiornare la proprietà `users.appRoleAssignments` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Aggiornare la proprietà `servicePrincipals.audience` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Aggiornare la proprietà `servicePrincipals.authentication` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Aggiornare le proprietà di base sulle entità servizio in Microsoft Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Aggiornare la proprietà `servicePrincipals.credentials` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete	Eliminare le entità servizio in Microsoft Entra ID.
microsoft.directory/servicePrincipals/owners/update	Aggiornare la proprietà `servicePrincipals.owners` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Aggiornare la proprietà `servicePrincipals.permissions` in Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update	Aggiornare la proprietà `servicePrincipals.policies` in Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Leggere tutte le proprietà nei report di accesso, (incluse le proprietà con privilegi) in Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/read	Leggere le impostazioni di provisioning associate all'entità servizio

Dispositivi di proprietà

Gli utenti possono eseguire le azioni seguenti nei dispositivi di proprietà:

Action	Description
microsoft.directory/devices/bitLockerRecoveryKeys/read	Leggere la `devices.bitLockerRecoveryKeys` proprietà in Microsoft Entra ID.
microsoft.directory/devices/disable	Disabilitare dispositivi in Microsoft Entra ID.

Gruppi di proprietà

Gli utenti possono eseguire le azioni seguenti sui gruppi di proprietà.