Se non vuoi concedere a un utente l'accesso completo alla Console di amministrazione Google, puoi consentirgli di eseguire solo un sottoinsieme di attività amministrative. Per farlo, devi assegnare un ruolo di amministratore. Puoi assegnare più ruoli di amministratore a uno stesso utente.
Puoi anche assegnare un ruolo di amministratore a un gruppo o a un account di servizio anziché a un utente. Ad esempio, puoi utilizzare la funzione di amministratore di un account di servizio per creare e aggiornare i gruppi e l'appartenenza ai gruppi per applicazioni esterne alla Console di amministrazione, utilizzando l'API Cloud Identity Groups.
Come funzionano i ruoli di amministratore
Nella Console di amministrazione, gli amministratori possono solo visualizzare informazioni ed eseguire attività consentite dai privilegi del loro ruolo. Ad esempio, se assegni a qualcuno il ruolo di amministratore Gestione utenti predefinito, questo utente potrà visualizzare e modificare solo determinate impostazioni utente per persone che non sono amministratori.
Come funzionano i limiti per l'assegnazione dei ruoli
Puoi impostare qualsiasi ruolo da applicare a tutte le unità organizzative. Per questi ruoli, puoi creare fino a 1000 assegnazioni totali, indipendentemente dal numero di ruoli. Ad esempio, potresti assegnare un ruolo a 300 utenti e un altro a 700 utenti.
Puoi invece applicare alcuni ruoli alle unità organizzative. Per questi ruoli puoi effettuare fino a 1000 assegnazioni totali per ogni unità organizzativa, indipendentemente dal numero di ruoli. Per verificare se puoi applicare un ruolo alle unità organizzative, vai alla pagina delle assegnazioni dei ruoli dell'utente e cerca Modifica accanto a Tutte le unità organizzative. Alcuni esempi sono i ruoli predefiniti dell'Amministratore gestione utenti o un ruolo personalizzato con almeno un privilegio Utente.
Se devi assegnare più di 1000 ruoli, puoi aggiungere più membri a un gruppo e assegnare un ruolo al gruppo. L'assegnazione di un ruolo a un gruppo viene conteggiata come un'assegnazione, indipendentemente dal numero di membri.
Prima di iniziare
Passaggio 1: esamina gli eventuali ruoli predefiniti o personalizzati già utilizzati
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu AccountRuoli amministratore.
- Posiziona il puntatore del mouse sul ruolo e poi su Visualizza privilegi o Visualizza amministratori per visualizzare gli amministratori assegnati al ruolo.
Passaggio 2: scegli il tipo di ruolo
- Assegnare un ruolo di sistema predefinito per l'esecuzione di attività comuni. Esamina i ruoli amministrativi predefiniti.
- Creare e assegnare un ruolo personalizzato con livelli di accesso diversi. In questo caso, dovrai prima creare il ruolo. Vedi Creare un ruolo personalizzato.
Assegnare i ruoli
Apri sezione | Comprimi tutto e torna all'inizio della pagina
Per questa attività, devi aver eseguito l'accesso come super amministratore.
Puoi assegnare un ruolo a utenti e gruppi contemporaneamente seguendo la procedura per l'assegnazione di un ruolo a più utenti o a un gruppo.
Assegnare ruoli a un singolo utentePer assegnare a un utente il ruolo Lettore di Gruppi o Editor di Gruppi con privilegi limitati per i gruppi di sicurezza o non di sicurezza, segui invece la procedura descritta in questa pagina Assegnare un ruolo a più utenti contemporaneamente.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai a Menu DirectoryUtenti.
- Trova l'utente nell'elenco.
Per suggerimenti, vedi Trovare un account utente.
- Fai clic sul nome dell'utente per aprire la pagina del suo account.
- Scorri verso il basso e fai clic su Ruoli e privilegi di amministratore.
- Accanto al ruolo predefinito o personalizzato, fai clic su Attiva .
Se non vedi l'opzione Attiva , fai clic in un punto qualsiasi sotto Ruoli per visualizzare le opzioni.
- (Facoltativo) Per limitare il ruolo dell'amministratore a un'unità organizzativa specifica, accanto a Tutte le unità organizzative, fai clic su Modifica e seleziona le unità organizzative, quindi fai clic su Fine.
Se non vedi l'opzione Modifica , non puoi applicare il ruolo alle unità organizzative.
- Fai clic su Salva.
Suggerimenti:
- Nella sezione Privilegi sono indicati tutti i privilegi inclusi nei ruoli di amministratore assegnati all'utente.
- Per tornare alla pagina dell'account dell'utente, fai clic sulla Freccia su in alto a destra.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu AccountRuoli amministratore.
- Posiziona il puntatore del mouse sul ruolo che vuoi assegnare e, a destra, fai clic su Assegna amministratore.
Suggerimento: puoi passare dalla visualizzazione degli amministratori che assegni al ruolo a quella dei privilegi e viceversa selezionando Amministratori o Privilegi, in alto.
- Fai clic su Assegna membri.
- (Beta, facoltativo) Per il ruolo Lettore di Gruppi o Editor di Gruppi, puoi concedere i privilegi amministrativi solo ai gruppi di sicurezza o non di sicurezza. Per limitare i privilegi:
- Fai clic su Imposta condizioni.
- Seleziona un'opzione per concedere i privilegi amministrativi solo a:
- Gruppi di sicurezza: seleziona L'etichetta contiene "Sicurezza".
- Gruppi non di sicurezza: seleziona L'etichetta non contiene "Sicurezza".
- Fai clic su Salva.
- Inserisci le prime lettere dell'indirizzo email dell'utente (non il nome utente) e seleziona l'indirizzo dell'utente dalle opzioni.
Puoi assegnare un ruolo a un massimo di 20 utenti e gruppi alla volta.
- Fai clic su Assegna ruolo.
- (Facoltativo) Per limitare il ruolo dell'amministratore a un'unità organizzativa specifica, accanto a Tutte le unità organizzative, fai clic su Modifica e seleziona le unità organizzative, quindi fai clic su Fine.
Se non vedi l'opzione Modifica , non puoi applicare il ruolo alle unità organizzative.
L'assegnazione di ruoli ai gruppi ti permette di concedere i privilegi dei ruoli a un numero elevato di utenti.
I gruppi con ruoli assegnati vengono gestiti esattamente come qualsiasi altro gruppo. Per informazioni, vedi Gruppi.
Limitazioni sull'assegnazione dei ruoli ai gruppi
- Puoi assegnare qualsiasi ruolo ad eccezione del ruolo di super amministratore o amministratore rivenditore.
- Il gruppo deve essere un gruppo di sicurezza all'interno della tua organizzazione che non sia anche un gruppo dinamico. Per saperne di più sui gruppi di sicurezza, vai a Controllare l'accesso ai dati sensibili con i gruppi di sicurezza.
Per vedere se un gruppo è un gruppo dinamico, nella Console di amministrazione fai clic su Gruppiil nome del gruppo. Vai a Membri e se vedi Membri dinamici o Modifica query di appartenenza, significa che il gruppo è dinamico. - L'assegnazione di un ruolo a un gruppo viene conteggiata come un'assegnazione ai fini del limite di assegnazioni dei ruoli.
- Puoi eseguire fino a 250 assegnazioni di ruoli ai gruppi in totale a livello di organizzazione e all'interno di ciascuna unità organizzativa.
- Per assegnare un ruolo a molti gruppi e rimanere al di sotto del limite, scegli un gruppo che abbia il ruolo di gruppo principale e aggiungi gli altri gruppi che richiedono il ruolo come membri del principale. Quindi, assegna un ruolo al gruppo principale. Questa assegnazione viene conteggiata come un'assegnazione di ruolo e permette a tutti i gruppi secondari di ricevere il ruolo. Per maggiori dettagli, vedi Aggiungere un gruppo a un altro gruppo.
- In alcuni casi, i membri del gruppo potrebbero non avere tutti i privilegi assegnati per un ruolo. Ad esempio, se a un gruppo assegni un ruolo che include il privilegio Gestione hardware e calendari Google Meet, i membri del gruppo potrebbero non ottenere tutte le funzionalità associate a questo privilegio. I membri ottengono tutti gli altri privilegi inclusi nel ruolo.
- Se assegni a un gruppo il ruolo Amministratore rivenditore, ai membri del gruppo vengono assegnati i privilegi del ruolo solo nell'organizzazione del rivenditore. Non avranno privilegi sui clienti del rivenditore.
- Ti consigliamo di limitare l'appartenenza ai gruppi agli utenti della tua organizzazione. Puoi aggiungere utenti esterni all'organizzazione o utenti consumer, ma potrebbero non ottenere i privilegi dei ruoli. Per maggiori dettagli, vedi Limitare l'appartenenza ai gruppi.
- Si applicano i limiti standard per l'appartenenza ai gruppi. Per maggiori dettagli, vedi Adesioni.
Assegnare un ruolo
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu AccountRuoli amministratore.
- Posiziona il puntatore del mouse sul ruolo che vuoi assegnare e, a destra, fai clic su Assegna amministratore.
Suggerimento: puoi passare dalla visualizzazione degli amministratori che assegni al ruolo a quella dei privilegi e viceversa selezionando Amministratori o Privilegi, in alto.
- Fai clic su Assegna membri.
- (Beta, facoltativo) Per il ruolo Lettore di Gruppi o Editor di Gruppi, puoi concedere i privilegi amministrativi solo ai gruppi di sicurezza o non di sicurezza. Per limitare i privilegi:
- Fai clic su Imposta condizioni.
- Seleziona un'opzione per concedere i privilegi amministrativi solo a:
- Gruppi di sicurezza: seleziona L'etichetta contiene "Sicurezza".
- Gruppi non di sicurezza: seleziona L'etichetta non contiene "Sicurezza".
- Fai clic su Salva.
- Inserisci le prime lettere dell'indirizzo email o del nome del gruppo e seleziona l'indirizzo dalle opzioni.
Puoi assegnare un ruolo a un massimo di 20 gruppi e utenti alla volta.
- Fai clic su Assegna ruolo.
- (Facoltativo) Per limitare il ruolo dell'amministratore a un'unità organizzativa specifica, accanto a Tutte le unità organizzative, fai clic su Modifica e seleziona le unità organizzative, quindi fai clic su Fine.
Se non vedi l'opzione Modifica , non puoi applicare il ruolo alle unità organizzative.
A un account di servizio puoi assegnare qualsiasi ruolo predefinito o personalizzato, ad eccezione del ruolo di super amministratore. L'assegnazione di un ruolo a un account di servizio viene conteggiata nel limite di assegnazione dei ruoli.
Prima di iniziare: configura un account di servizio in Google Cloud. Vedi Creazione e gestione degli account di servizio.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu AccountRuoli amministratore.
- Posiziona il puntatore del mouse sul ruolo che vuoi assegnarefai clic su Assegna amministratore.
- Fai clic su Assegna account di servizio.
- (Beta, facoltativo) Per il ruolo Lettore di Gruppi o Editor di Gruppi, puoi concedere i privilegi amministrativi solo ai gruppi di sicurezza o non di sicurezza. Per limitare i privilegi:
- Fai clic su Imposta condizioni.
- Seleziona un'opzione per concedere i privilegi amministrativi solo a:
- Gruppi di sicurezza: seleziona L'etichetta contiene "Sicurezza".
- Gruppi non di sicurezza: seleziona L'etichetta non contiene "Sicurezza".
- Fai clic su Salva.
- Inserisci l'indirizzo email dell'account di servizio.
Per trovare l'indirizzo email, apri laGoogle Cloud Console e fai clic su Menu IAM e amministrazioneAccount di servizio.
- Fai clic su AggiungiAssegna ruolo.
Che cosa succede dopo?
Nel log di controllo della Console di amministrazione puoi vedere quando il ruolo di amministratore è stato applicato a un account di servizio e un record delle azioni eseguite dagli amministratori dell'account di servizio. Per maggiori dettagli, vedi Eventi dei log amministrativi.
Se hai applicato il ruolo predefinito di Amministratore di Gruppi a un account di servizio, puoi vedere le azioni anche nel log di controllo di Groups Enterprise. L'amministratore dell'account di servizio potrebbe essere elencato sotto Descrizione evento o Utente. Per maggiori dettagli, vedi Eventi del log di Groups Enterprise.
Argomento correlato
Dopo che avrai assegnato un ruolo a un utente, quando quest'ultimo effettua l'accesso sarà indirizzato alla home page della Console di amministrazione. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
Annulla assegnazione ruoli
Apri sezione | Comprimi tutto e torna all'inizio della pagina
Non puoi annullare l'assegnazione di un ruolo che è assegnato a te.
Per annullare l'assegnazione di un ruolo a un utente, segui tutti i passaggi precedenti descritti in Assegnare ruoli a un utente. Nel passaggio 6, invece di attivare il ruolo, fai clic su Disattiva .
Puoi annullare l'assegnazione di un ruolo da più utenti o da un account di servizio nella pagina Ruoli amministratore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu AccountRuoli amministratore.
- Posiziona il puntatore del mouse sul ruolo che vuoi assegnare e, a destra, fai clic su Assegna amministratore.
- Scegli un'opzione:
- Seleziona la casella in corrispondenza di ogni utente o account di servizio che ti interessa.
- Per annullare l'assegnazione del ruolo a tutti gli utenti e gli account di servizio, seleziona la casella accanto all'intestazione della colonna Amministratore.
- Fai clic su Annulla assegnazione ruoloAnnulla assegnazione ruolo per confermare.
Passaggi successivi
Gli amministratori possono aggiungere opzioni di recupero al proprio account.