Assegnare ruoli amministratore specifici

Se non vuoi concedere a un utente l'accesso completo alla Console di amministrazione Google, puoi consentirgli di eseguire solo un sottoinsieme di attività amministrative. Per farlo, devi assegnare un ruolo amministrativo. Puoi assegnare più ruoli di amministratore a uno stesso utente.

Puoi anche assegnare un ruolo di amministratore a un gruppo o a un account di servizio anziché a un utente. Ad esempio, puoi utilizzare la funzione di amministratore di un account di servizio per creare e aggiornare i gruppi e l'appartenenza ai gruppi per applicazioni esterne alla Console di amministrazione, utilizzando l'API Cloud Identity Groups. 

Come funzionano i ruoli di amministratore

Nella Console di amministrazione, gli amministratori possono solo visualizzare informazioni ed eseguire attività consentite dai privilegi del loro ruolo. Ad esempio, se assegni a qualcuno il ruolo di amministratore Gestione utenti predefinito, questo utente potrà visualizzare e modificare solo determinate impostazioni utente per persone che non sono amministratori.

Come funzionano i limiti per l'assegnazione dei ruoli

Puoi impostare qualsiasi ruolo da applicare a tutte le unità organizzative. Per questi ruoli, puoi creare fino a 1000 assegnazioni totali, indipendentemente dal numero di ruoli. Ad esempio, potresti assegnare un ruolo a 300 utenti e un altro a 700 utenti.

Puoi invece applicare alcuni ruoli alle unità organizzative. Per questi ruoli puoi effettuare fino a 1000 assegnazioni totali per ogni unità organizzativa, indipendentemente dal numero di ruoli. Per verificare se puoi applicare un ruolo alle unità organizzative, vai alla pagina delle assegnazioni dei ruoli dell'utente e cerca Modifica accanto a Tutte le unità organizzative. Alcuni esempi sono i ruoli predefiniti dell'Amministratore gestione utenti o un ruolo personalizzato con almeno un privilegio Utente. 

Se devi assegnare più di 1000 ruoli, puoi aggiungere più membri a un gruppo e assegnare un ruolo al gruppo. L'assegnazione di un ruolo a un gruppo viene conteggiata come un'assegnazione, indipendentemente dal numero di membri.

Prima di iniziare

Passaggio 1: esamina gli eventuali ruoli predefiniti o personalizzati già utilizzati

Per questa attività, devi aver eseguito l'accesso come super amministratore.

  1. Nella Console di amministrazione Google, vai al Menu e poi Account e poiRuoli amministratore.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Posiziona il puntatore del mouse sul ruolo e poi su Visualizza privilegi o Visualizza amministratori per vedere gli amministratori assegnati al ruolo.

Passaggio 2: scegli il tipo di ruolo

Decidi se vuoi:

Assegna ruoli

Per questa attività, devi aver eseguito l'accesso come super amministratore.

Puoi assegnare un ruolo a utenti e gruppi contemporaneamente seguendo la procedura per l'assegnazione di un ruolo a più utenti o a un gruppo.

Assegnare ruoli a un singolo utente

Per assegnare a un utente il ruolo Lettore di Gruppi o Editor di Gruppi con privilegi limitati ai gruppi di sicurezza o non di sicurezza o a gruppi bloccati o sbloccati, vai ad Assegnare un ruolo a più utenti contemporaneamente.

  1. Nella Console di amministrazione Google, vai al Menu e poi Directory e poiUtenti.

    È necessario disporre del privilegio di gestione utenti appropriato. Senza il privilegio corretto, non vedrai tutti i controlli necessari per completare questi passaggi.

  2. Apri la pagina dell'account dell'utente: fai clic sul nome dell'utente. In alternativa, in alto, nella casella di ricerca, inserisci il nome dell'utente e apri la pagina del suo account. Per altre opzioni, vai a Trovare un account utente
  3. Scorri verso il basso e fai clic su Ruoli e privilegi di amministratore.
  4. Accanto al ruolo predefinito o personalizzato, fai clic su Assegnato  .

    Se non vedi Assegnato  , fai clic in un punto qualsiasi sotto Ruoli per visualizzare le opzioni.

  5. (Facoltativo) Per limitare il ruolo dell'amministratore a un'unità organizzativa specifica, accanto a Tutte le unità organizzative, fai clic su Modifica , seleziona le unità organizzative e fai clic su Fine.

    Se non vedi l'opzione Modifica , non puoi applicare il ruolo alle unità organizzative.

  6. Fai clic su Salva.

Suggerimenti:

  • Nella sezione Privilegi sono indicati tutti i privilegi inclusi nei ruoli di amministratore assegnati all'utente.
  • Per tornare alla pagina dell'account dell'utente, fai clic sulla Freccia su in alto a destra .

Assegnare un ruolo a più utenti contemporaneamente

  1. Nella Console di amministrazione Google, vai al Menu e poi Account e poiRuoli amministratore.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Posiziona il puntatore del mouse sul ruolo che vuoi assegnare e, a destra, fai clic su Assegna amministratore.

    Suggerimento:puoi passare dalla visualizzazione degli amministratori che assegni al ruolo a quella dei privilegi e viceversa. In alto, fai clic su Amministratori o Privilegi.

  3. Fai clic su Assegna membri.
  4. (Facoltativo) Per il ruolo Lettore di Gruppi o Editor di Gruppi, puoi concedere i privilegi amministrativi solo ai gruppi di sicurezza o non di sicurezza oppure solo ai gruppi bloccati o sbloccati. Per limitare i privilegi:
    1. Fai clic su Imposta condizioni.
    2. Seleziona un'opzione per concedere i privilegi amministrativi solo a:
      • Gruppi di sicurezza: seleziona L'etichetta contiene "Sicurezza".
      • Gruppi non di sicurezza: seleziona L'etichetta non contiene "Sicurezza".
      • Gruppi sbloccati: seleziona L'etichetta non contiene "Bloccato".
    3. Fai clic su Salva.
  5. Inserisci le prime lettere dell'indirizzo email dell'utente (non il nome utente) e seleziona l'indirizzo dell'utente dalle opzioni.

    Puoi assegnare un ruolo a un massimo di 20 utenti e gruppi alla volta.

  6. Fai clic su Assegna ruolo.
  7. (Facoltativo) Per limitare il ruolo dell'amministratore a un'unità organizzativa specifica, accanto a Tutte le unità organizzative, fai clic su Modifica , seleziona le unità organizzative e fai clic su Fine.

    Se non vedi l'opzione Modifica , non puoi applicare il ruolo alle unità organizzative.

Assegnare un ruolo a un gruppo

L'assegnazione di ruoli ai gruppi ti permette di concedere i privilegi dei ruoli a un numero elevato di utenti.

I gruppi con ruoli assegnati vengono gestiti esattamente come qualsiasi altro gruppo. Per informazioni, vedi Gruppi.

Limitazioni sull'assegnazione dei ruoli ai gruppi

  • Puoi assegnare qualsiasi ruolo ad eccezione del ruolo di super amministratore o amministratore rivenditore.
  • Il gruppo deve essere un gruppo di sicurezza all'interno della tua organizzazione che non sia anche un gruppo dinamico. Per saperne di più sui gruppi di sicurezza, vai a Controllare l'accesso ai dati sensibili con i gruppi di sicurezza.
    Per vedere se un gruppo è un gruppo dinamico, nella Console di amministrazione fai clic su Gruppi e poiil nome del gruppo. Vai a Membri e se vedi Membri dinamici o Modifica query di appartenenza, significa che il gruppo è dinamico.
  • L'assegnazione di un ruolo a un gruppo viene conteggiata come un'assegnazione ai fini del limite di assegnazioni dei ruoli.
  • Puoi eseguire fino a 250 assegnazioni di ruoli ai gruppi in totale a livello di organizzazione e all'interno di ciascuna unità organizzativa.
  • Per assegnare un ruolo a molti gruppi e rimanere al di sotto del limite, scegli un gruppo che abbia il ruolo di gruppo principale e aggiungi gli altri gruppi che richiedono il ruolo come membri del principale. Quindi, assegna un ruolo al gruppo principale. Questa assegnazione viene conteggiata come un'assegnazione di ruolo e permette a tutti i gruppi secondari di ricevere il ruolo. Per maggiori dettagli, vedi Aggiungere un gruppo a un altro gruppo.
  • Se assegni a un gruppo un ruolo che include il privilegio Gestisci calendari, i membri del gruppo non otterranno tutte le funzionalità associate a questo privilegio.
  • Se assegni a un gruppo il ruolo Amministratore rivenditore, ai membri del gruppo vengono assegnati i privilegi del ruolo solo nell'organizzazione del rivenditore. Non avranno privilegi sui clienti del rivenditore.
  • Ti consigliamo di limitare l'appartenenza ai gruppi agli utenti della tua organizzazione. Puoi aggiungere utenti esterni all'organizzazione o utenti consumer, ma potrebbero non ottenere i privilegi dei ruoli. Per maggiori dettagli, vedi Limitare l'appartenenza ai gruppi.
  • Si applicano i limiti standard per l'appartenenza ai gruppi. Per maggiori dettagli, vedi Adesioni.

Assegnare un ruolo

  1. Nella Console di amministrazione Google, vai al Menu e poi Account e poiRuoli amministratore.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Posiziona il puntatore del mouse sul ruolo che vuoi assegnare e, a destra, fai clic su Assegna amministratore.

    Suggerimento:puoi passare dalla visualizzazione degli amministratori che assegni al ruolo a quella dei privilegi e viceversa. In alto, fai clic su Amministratori o Privilegi.

  3. Fai clic su Assegna membri.
  4. (Facoltativo) Per il ruolo Lettore di Gruppi o Editor di Gruppi, puoi concedere i privilegi amministrativi solo ai gruppi di sicurezza o non di sicurezza oppure solo ai gruppi bloccati o sbloccati. Per limitare i privilegi:
    1. Fai clic su Imposta condizioni.
    2. Seleziona un'opzione per concedere i privilegi amministrativi solo a:
      • Gruppi di sicurezza: seleziona L'etichetta contiene "Sicurezza".
      • Gruppi non di sicurezza: seleziona L'etichetta non contiene "Sicurezza".
      • Gruppi sbloccati: seleziona L'etichetta non contiene "Bloccato".
    3. Fai clic su Salva.
  5. Inserisci le prime lettere dell'indirizzo email o del nome del gruppo e seleziona l'indirizzo dalle opzioni.

    Puoi assegnare un ruolo a un massimo di 20 gruppi e utenti alla volta.

  6. Fai clic su Assegna ruolo.
  7. (Facoltativo) Per limitare il ruolo dell'amministratore a un'unità organizzativa specifica, accanto a Tutte le unità organizzative, fai clic su Modifica , seleziona le unità organizzative e fai clic su Fine.

    Se non vedi l'opzione Modifica , non puoi applicare il ruolo alle unità organizzative.

Assegnare un ruolo a un service account

A un account di servizio puoi assegnare qualsiasi ruolo predefinito o personalizzato, ad eccezione del ruolo di super amministratore. L'assegnazione di un ruolo a un service account viene conteggiata nel limite di assegnazione dei ruoli.

Prima di iniziare: configura un service account in Google Cloud. Vai a Creazione e gestione degli account di servizio.

  1. Nella Console di amministrazione Google, vai al Menu e poi Account e poiRuoli amministratore.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Posiziona il puntatore del mouse sul ruolo che vuoi assegnare e poifai clic su Assegna amministratore.
  3. Fai clic su Assegna service account.
  4. (Facoltativo) Per il ruolo Lettore di Gruppi o Editor di Gruppi, puoi concedere i privilegi amministrativi solo ai gruppi di sicurezza o non di sicurezza oppure solo ai gruppi bloccati o sbloccati. Per limitare i privilegi:
    1. Fai clic su Imposta condizioni.
    2. Seleziona un'opzione per concedere i privilegi amministrativi solo a:
      • Gruppi di sicurezza: seleziona L'etichetta contiene "Sicurezza".
      • Gruppi non di sicurezza: seleziona L'etichetta non contiene "Sicurezza".
      • Gruppi sbloccati: seleziona L'etichetta non contiene "Bloccato".
    3. Fai clic su Salva.
  5. Inserisci l'indirizzo email del service account.

    Per trovare l'indirizzo email, apri la console Google Cloud e fai clic su Menu e poiIAM e amministrazione e poiService account.

  6. Fai clic su Aggiungi e poiAssegna ruolo. 

Cosa succede dopo? 

Nel log di controllo della Console di amministrazione puoi vedere quando il ruolo di amministratore è stato applicato a un account di servizio e un record delle azioni eseguite dagli amministratori dell'account di servizio. Per maggiori dettagli, vedi Eventi dei log amministrativi

Se hai applicato il ruolo predefinito di Amministratore di Gruppi a un account di servizio, puoi vedere le azioni anche nel log di controllo di Groups Enterprise. L'amministratore dell'account di servizio potrebbe essere elencato sotto Descrizione evento o Utente. Per maggiori dettagli, vedi Eventi del log di Groups Enterprise.

Argomento correlato

Dopo che avrai assegnato un ruolo a un utente, quando quest'ultimo effettua l'accesso sarà indirizzato alla home page della Console di amministrazione.  Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Annulla assegnazione ruoli

Non puoi annullare l'assegnazione di un ruolo che è assegnato a te.

Annullare l'assegnazione del ruolo di un utente

Per annullare l'assegnazione di un ruolo a un utente, segui tutti i passaggi precedenti descritti in Assegnare ruoli a un utente. Nel passaggio 6, invece di attivare il ruolo, fai clic su Disattiva .

Annullare l'assegnazione di più ruoli o dei ruoli del service account

Annulla l'assegnazione di un ruolo da più utenti o da un service account nella pagina Ruoli amministratore.

  1. Nella Console di amministrazione Google, vai al Menu e poi Account e poiRuoli amministratore.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Posiziona il puntatore del mouse sul ruolo che vuoi annullare e, a destra, fai clic su Assegna amministratore.
  3. Scegli un'opzione:
    • Seleziona la casella in corrispondenza di ogni utente o account di servizio che ti interessa.
    • Per annullare l'assegnazione del ruolo a tutti gli utenti e gli account di servizio, seleziona la casella accanto all'intestazione della colonna Amministratore.
  4. Fai clic su Annulla assegnazione ruolo e poiAnnulla assegnazione ruolo per confermare.

Passaggi successivi

Gli amministratori possono aggiungere opzioni di recupero al proprio account.