Proteggere il controllo di accesso usando i gruppi in Microsoft Entra ID
Microsoft Entra ID permette di usare i gruppi per gestire l'accesso alle risorse in un'organizzazione. Usare i gruppi per il controllo di accesso per gestire e ridurre al minimo l'accesso alle applicazioni. Quando si usano i gruppi, solo i membri di tali gruppi possono accedere alla risorsa. L'uso dei gruppi abilita anche le seguenti funzionalità di gestione:
- Gruppi di appartenenza dinamica basati su attributi
- Gruppi esterni sincronizzati da Active Directory locale
- Gruppi gestiti dall'amministratore o gestiti in modalità self-service
Per altre informazioni sui vantaggi dei gruppi per il controllo di accesso, vedere Gestire l'accesso a un'applicazione.
Durante lo sviluppo di un'applicazione, autorizzare l'accesso con l'attestazione dei gruppi. Per altre informazioni, vedere Configurare attestazioni di gruppo per applicazioni con Microsoft Entra ID.
Attualmente molte applicazioni selezionano un subset di gruppi con il flag securityEnabled impostato su true per evitare problemi di scalabilità, ovvero per ridurre il numero di gruppi restituiti nel token. L'impostazione del flag securityEnabled su Vero per un gruppo non garantisce che il gruppo sia gestito in modo sicuro.
Procedure consigliate per ridurre i rischi
La tabella seguente presenta diverse procedure consigliate di sicurezza per i gruppi di sicurezza e i potenziali rischi per la sicurezza che ogni pratica riduce.
| Procedura di sicurezza consigliata | Rischio di sicurezza mitigato |
|---|---|
Verificare che il proprietario della risorsa e il proprietario del gruppo siano la stessa entità di sicurezza. Le applicazioni devono creare un'esperienza di gestione dei gruppi personalizzata e creare nuovi gruppi per gestire l'accesso. Ad esempio, un'applicazione può creare gruppi con l'autorizzazione Group.Create e aggiungersi come proprietario del gruppo. In questo modo l'applicazione ha il controllo sui gruppi senza i privilegi elevati per modificare altri gruppi nel tenant. |
Quando i proprietari di gruppi e i proprietari di risorse sono entità diverse, i proprietari dei gruppi possono aggiungere utenti al gruppo che non devono accedere alla risorsa, ma possono accedervi involontariamente. |
| Creare un contratto implicito tra il proprietario della risorsa e il proprietario del gruppo. Il proprietario della risorsa e il proprietario del gruppo devono essere allineati allo scopo, ai criteri e ai membri del gruppo che possono essere aggiunti al gruppo per ottenere l'accesso alla risorsa. Questo livello di attendibilità non è tecnico e si basa su un contratto umano o aziendale. | Quando i proprietari dei gruppi e i proprietari delle risorse hanno intenzioni diverse, il proprietario del gruppo può aggiungere utenti al gruppo a cui il proprietario della risorsa non intendeva concedere l'accesso. Questa azione può comportare l'accesso non necessario e potenzialmente rischioso. |
| Usare i gruppi privati per il controllo di accesso. I gruppi di Microsoft 365 vengono gestiti dal concetto di visibilità. Questa proprietà controlla i criteri di partecipazione del gruppo e la visibilità delle risorse del gruppo. I gruppi di sicurezza hanno criteri di partecipazione che consentono a chiunque di partecipare o richiedere l'approvazione del proprietario. I gruppi sincronizzati in locale possono anche essere pubblici o privati. Gli utenti che si uniscono a un gruppo sincronizzato in locale possono anche ottenere l'accesso alle risorse cloud. | Quando si usa un gruppo pubblico per il controllo di accesso, qualsiasi membro può partecipare al gruppo e ottenere l'accesso alla risorsa. Il rischio di elevazione dei privilegi esiste quando viene usato un gruppo pubblico per concedere l'accesso a una risorsa esterna. |
| Annidamento di gruppi Quando si usa un gruppo per il controllo di accesso e ha altri gruppi come membri, i membri dei sottogruppi possono ottenere l'accesso alla risorsa. In questo caso, sono presenti più proprietari del gruppo padre e dei sottogruppi. | L'allineamento con più proprietari di gruppi allo scopo di ogni gruppo e la modalità in cui aggiungere i membri corretti a questi gruppi è più complesso e più soggetto a concedere accidentalmente l'accesso. Limitare il numero di gruppi annidati o non usarli affatto, se possibile. |