Quando colleghi Atera a Microsoft Entra ID, l'applicazione Atera richiede un insieme di autorizzazioni (ambiti OAuth 2.0) dal tuo tenant. Questo articolo spiega ciascuna autorizzazione richiesta da Atera, cosa consente e quando viene effettivamente utilizzata.
Per le istruzioni di configurazione, consulta Sincronizza utenti e contatti da Microsoft Entra ID.
Informazioni su questo articolo
Questo articolo è rivolto a revisori IT, della sicurezza e della conformità che hanno bisogno di capire esattamente cosa richiede Atera durante il flusso di consenso OAuth di Entra ID — sia prima di approvare l'integrazione, sia come parte di un audit interno.
Per ogni autorizzazione troverai:
- Il nome dell'autorizzazione come appare nella schermata di consenso
- L'ambito Microsoft Graph
- Una descrizione presa direttamente dalla documentazione ufficiale di Microsoft
Alcune autorizzazioni compaiono due volte nella richiesta di Atera — una volta come Autorizzazione applicazione e una volta come Autorizzazione delegata. Questo perché diverse parti della piattaforma operano in diversi contesti di autenticazione:
- Autorizzazioni delegate vengono utilizzate quando è presente un utente autenticato.
- Autorizzazioni applicazione vengono utilizzate quando Atera o Robin agiscono autonomamente in background senza una sessione utente attiva.
Quando un'autorizzazione viene richiesta in entrambi i modi, la descrizione qui sotto utilizza il testo relativo all'autorizzazione applicazione dalla documentazione Microsoft, in quanto è la più permissiva delle due. Dove un'autorizzazione è richiesta solo come autorizzazione delegata, viene utilizzata la descrizione delegata.
Importante: capire quando vengono attivate le autorizzazioni
Concessa non significa attiva
Le autorizzazioni elencate in questo articolo vengono concesse al momento dell'autorizzazione dell'applicazione Atera Entra ID — indipendentemente da quali funzionalità di Atera vengano poi attivate. L'intero set di ambiti OAuth viene registrato con Entra ID anche se viene utilizzato solo un sottoinsieme delle funzionalità di Atera, come la sola sincronizzazione degli utenti.
Concedere questi ambiti non comporta, di per sé, alcuna azione nel tuo ambiente Entra ID. Le autorizzazioni rappresentano un limite massimo, non un'istruzione.
Autorizzazioni di scrittura e Robin (IT Autopilot)
Gli ambiti di lettura/scrittura e quelli che consentono la scrittura non verranno utilizzati a meno che Robin non sia abilitato nel tuo ambiente Atera. Quando Robin è attivo, queste autorizzazioni vengono utilizzate solo in due scenari:
- Come parte di un flusso di lavoro automatizzato che Robin è stato configurato per eseguire (ad esempio, una sequenza di onboarding o offboarding automatica).
- In risposta diretta a un'istruzione esplicita da parte di un utente che interagisce con Robin (ad esempio, un tecnico o un utente finale che chiede a Robin di reimpostare una password o aggiornare un'impostazione della casella di posta).
Robin non intraprenderà alcuna azione in modo autonomo al di fuori di questi due contesti.
Le autorizzazioni effettive sono limitate dai controlli di accesso già presenti in Entra ID
Le azioni consentite all'interno di Entra ID sono definite dagli ambiti OAuth 2.0 concessi, ma sono anche strettamente regolate dai permessi già posseduti dall'utente autorizzante in Entra ID.
Se un utente non dispone del permesso nativo di Entra ID per eseguire un'azione — come modificare i metodi di autenticazione di un altro utente, cambiare l'appartenenza a un gruppo o aggiornare le impostazioni della casella di posta — non potrà eseguire quell'azione tramite Atera o Robin, anche se l'ambito OAuth pertinente è stato concesso.
In altre parole: l'ambito OAuth stabilisce cosa l'applicazione è autorizzata a richiedere. Il ruolo e i permessi dell'utente in Entra ID determinano se quella richiesta verrà accolta.
Riferimento ufficiale Microsoft
I valori di Ambito e descrizione nelle tabelle sottostanti sono presi direttamente dal riferimento ufficiale alle autorizzazioni di Microsoft. Puoi verificare ogni ambito su:
https://learn.microsoft.com/it/graph/permissions-reference
Autorizzazioni richieste da Atera
Autorizzazioni utente e identità
| Autorizzazione | Ambito | Cosa consente |
|---|---|---|
| Accedi e leggi il profilo utente | User.Read |
Consente agli utenti di accedere all'app e permette all'app di leggere il profilo degli utenti autenticati. Consente inoltre all'app di leggere le informazioni di base sull'azienda degli utenti autenticati. |
| Leggi i profili di base di tutti gli utenti | User.ReadBasic.All |
Consente all'app di leggere un insieme di proprietà di base del profilo di altri utenti della tua organizzazione per conto dell'utente autenticato. Questo include nome visualizzato, nome e cognome, indirizzo email, estensioni aperte e foto. |
| Leggi i profili completi di tutti gli utenti | User.Read.All |
Consente all'app di leggere tutte le proprietà del profilo, i report e i responsabili di altri utenti della tua organizzazione, per conto dell'utente autenticato. |
| Leggi e scrivi i profili completi di tutti gli utenti | User.ReadWrite.All |
Consente all'app di leggere e scrivere tutte le proprietà del profilo, i report e i responsabili di altri utenti della tua organizzazione, per conto dell'utente autenticato. Consente inoltre all'app di creare ed eliminare utenti e di reimpostare le password degli utenti per conto dell'utente autenticato. |
| Accesso in lettura e scrittura al profilo utente | User.ReadWrite |
Consente all'app di leggere il tuo profilo. Consente inoltre all'app di aggiornare le informazioni del tuo profilo per tuo conto. |
| Leggi e scrivi tutti i metodi di autenticazione degli utenti | UserAuthenticationMethod.ReadWrite.All |
Consente all'app di leggere e scrivere i metodi di autenticazione di tutti gli utenti della tua organizzazione, senza un utente autenticato. I metodi di autenticazione includono, ad esempio, i numeri di telefono e le impostazioni dell'app Authenticator di un utente. |
| Accedi alla directory come utente autenticato | Directory.AccessAsUser.All |
Consente all'app di avere lo stesso accesso alle informazioni nella directory dell'utente autenticato. |
Autorizzazioni directory e gruppi
| Autorizzazione | Ambito | Cosa consente |
|---|---|---|
| Leggi i dati della directory | Directory.Read.All |
Consente all'app di leggere i dati nella directory della tua organizzazione, come utenti, gruppi e app, senza un utente autenticato. |
| Leggi e scrivi i dati della directory | Directory.ReadWrite.All |
Consente all'app di leggere e scrivere i dati nella directory della tua organizzazione, come utenti e gruppi. Non consente all'app di eliminare utenti o gruppi, né di reimpostare le password degli utenti. |
| Leggi e scrivi tutti i gruppi | Group.ReadWrite.All |
Consente all'app di creare gruppi, leggere tutte le proprietà e le appartenenze dei gruppi, aggiornare proprietà e appartenenze dei gruppi ed eliminare gruppi. Consente inoltre all'app di leggere e scrivere conversazioni. Tutte queste operazioni possono essere eseguite dall'app senza un utente autenticato. |
| Gestisci le app create o possedute da questa app | Application.ReadWrite.OwnedBy |
Consente all'app di creare altre applicazioni e di gestirle completamente (lettura, aggiornamento, aggiornamento delle chiavi dell'applicazione ed eliminazione), senza un utente autenticato. Non può aggiornare app di cui non è proprietaria. |
| Leggi le informazioni sull'organizzazione | Organization.Read.All |
Consente all'app di leggere l'organizzazione e le risorse correlate, senza un utente autenticato. Le risorse correlate includono, ad esempio, SKU sottoscritti e informazioni di branding del tenant. |
Autorizzazioni posta e calendario
| Autorizzazione | Ambito | Cosa consente |
|---|---|---|
| Leggi i calendari degli utenti | Calendars.Read |
Consente all'app di leggere gli eventi nei calendari degli utenti. |
| Leggi e scrivi i calendari in tutte le cassette postali | Calendars.ReadWrite |
Consente all'app di creare, leggere, aggiornare ed eliminare eventi di tutti i calendari senza un utente autenticato. |
| Leggi e scrivi tutte le impostazioni delle cassette postali degli utenti | MailboxSettings.ReadWrite |
Consente all'app di creare, leggere, aggiornare ed eliminare le impostazioni delle cassette postali degli utenti senza un utente autenticato. Non include il permesso di inviare email. |
| Leggi e scrivi la posta in tutte le cassette postali | Mail.ReadWrite |
Consente all'app di creare, leggere, aggiornare ed eliminare la posta in tutte le cassette postali senza un utente autenticato. Non include il permesso di inviare email. |
| Invia email come qualsiasi utente | Mail.Send |
Consente all'app di inviare email come qualsiasi utente senza un utente autenticato. |
| Mantieni l'accesso ai dati a cui hai dato accesso | offline_access |
Consente all'app di visualizzare e aggiornare i dati a cui hai dato accesso, anche quando gli utenti non stanno utilizzando l'app. Questo non conferisce all'app ulteriori permessi. |
Autorizzazioni file e SharePoint
| Autorizzazione | Ambito | Cosa consente |
|---|---|---|
| Accesso completo a tutti i file a cui l'utente può accedere | Files.ReadWrite.All |
Consente all'app di leggere, creare, aggiornare ed eliminare tutti i file a cui l'utente autenticato può accedere. |
| Modifica o elimina elementi in tutte le raccolte siti | Sites.ReadWrite.All |
Consente all'applicazione di modificare o eliminare documenti ed elementi di elenco in tutte le raccolte siti per conto dell'utente autenticato. |
| Controllo completo di tutte le raccolte siti | Sites.FullControl.All |
Consente all'app di creare o eliminare raccolte documenti ed elenchi in tutte le raccolte siti senza un utente autenticato. |
Autorizzazioni contatti
| Autorizzazione | Ambito | Cosa consente |
|---|---|---|
| Accesso completo ai contatti utente | Contacts.ReadWrite |
Consente all'app di creare, leggere, aggiornare ed eliminare tutti i contatti in tutte le cassette postali senza un utente autenticato. |
Autorizzazioni report e amministrazione
| Autorizzazione | Ambito | Cosa consente |
|---|---|---|
| Leggi tutti i report di utilizzo | Reports.Read.All |
Consente a un'app di leggere tutti i report di utilizzo dei servizi senza un utente autenticato. I servizi che forniscono report di utilizzo includono Office 365 e Microsoft Entra ID. |
| Leggi e scrivi le impostazioni dei report amministrativi | ReportSettings.ReadWrite.All |
Consente all'app di leggere e aggiornare le impostazioni dei report amministrativi, come la visualizzazione di informazioni nascoste nei report, per conto dell'utente autenticato. |
| Leggi tutte le sedi aziendali | Place.Read.All |
Consente all'app di leggere le sedi aziendali (sale riunioni e liste di sale) per eventi di calendario e altre applicazioni, senza un utente autenticato. |
Autorizzazioni dispositivi ed endpoint
| Autorizzazione | Ambito | Cosa consente |
|---|---|---|
| Leggi e scrivi dispositivi Microsoft Intune | DeviceManagementManagedDevices.ReadWrite.All |
Consente all'app di leggere e scrivere le proprietà dei dispositivi gestiti da Microsoft Intune, senza un utente autenticato. Non consente operazioni ad alto impatto come la cancellazione remota o la reimpostazione della password del proprietario del dispositivo. |
| Leggi e scrivi Cloud PC | CloudPC.ReadWrite.All |
Consente all'app di leggere e scrivere le proprietà dei Cloud PC, senza un utente autenticato. |
