Gestire l'accesso per le applicazioni nell'ambiente
Microsoft Entra ID consente di bilanciare le esigenze dell'organizzazione in termini di sicurezza e produttività dei dipendenti con la visibilità e i processi adeguati. Le funzionalità assicurano che le persone giuste abbiano l'accesso corretto alle risorse corrette nell'organizzazione al momento giusto.
Le organizzazioni con requisiti di conformità o piani di gestione dei rischi sono dotate di applicazioni sensibili o critiche per l'azienda. La riservatezza dell'applicazione può essere basata sullo scopo o sui dati contenuti, ad esempio informazioni finanziarie o informazioni personali dei clienti dell'organizzazione. Per tali applicazioni, solo un subset di tutti gli utenti dell'organizzazione in genere sarà autorizzato ad avere accesso e l'accesso deve essere consentito solo in base ai requisiti aziendali documentati.
Nell'ambito dei controlli dell'organizzazione per la gestione dell'accesso, è possibile usare le funzionalità di Microsoft Entra per:
- configurare l'accesso appropriato
- effettuare il provisioning degli utenti nelle applicazioni
- applicare i controlli di accesso
- produrre report per dimostrare come questi controlli vengono usati per soddisfare gli obiettivi di conformità e gestione dei rischi.
Oltre allo scenario di governance dell'accesso alle applicazioni, è anche possibile usare le funzionalità di governance di Microsoft Entra ID e le altre funzionalità di Microsoft Entra per altri scenari, ad esempio la revisione e la rimozione di utenti da altre organizzazioni o la gestione di utenti esclusi dai criteri di accesso condizionale. Se l'organizzazione ha più amministratori in Microsoft Entra ID o Azure, usa la gestione di gruppi B2B o self-service, è necessario pianificare una distribuzione delle verifiche di accesso per tali scenari.
Requisiti di licenza
L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance o della Famiglia di prodotti Microsoft Entra. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulle licenze di Microsoft Entra ID Governance.
Introduzione alla governance dell'accesso alle applicazioni
Microsoft Entra ID Governance può essere integrato con molte applicazioni, usando standard come OpenID Connect, SAML, SCIM, SQL e LDAP. Grazie a questi standard, è possibile usare Microsoft Entra ID con molte applicazioni SaaS, applicazioni locali e applicazioni comuni sviluppate dall'organizzazione.
Dopo aver preparato l'ambiente Microsoft Entra, come descritto nella sezione seguente, il piano in tre passaggi illustra come connettere un'applicazione all'ID Microsoft Entra e abilitare le funzionalità di governance delle identità da usare per tale applicazione.
- Definire i criteri dell'organizzazione per gestire l'accesso all'applicazione
- Integrare l'applicazione con Microsoft Entra ID per garantire che solo gli utenti autorizzati possano accedere all'applicazione e verificare l'accesso esistente dell'utente all'applicazione per impostare una baseline di tutti gli utenti che sono stati esaminati. Ciò consente l'autenticazione e il provisioning degli utenti
- Distribuire questi criteri per controllare l'accesso Single Sign-On (SSO) e automatizzare le assegnazioni di accesso per tale applicazione
Prerequisiti prima di configurare Microsoft Entra ID e Microsoft Entra ID Governance per la governance delle identità
Prima di iniziare il processo di governance dell'accesso alle applicazioni da Microsoft Entra ID Governance, è necessario verificare che l'ambiente Microsoft Entra sia configurato correttamente.
Assicurarsi che l'AMBIENTE Microsoft Entra ID e Microsoft Online Services sia pronto per i requisiti di conformità per l'integrazione e la corretta licenza delle applicazioni. La conformità è una responsabilità condivisa tra Microsoft, provider di servizi cloud e organizzazioni. Per usare Microsoft Entra ID per gestire l'accesso alle applicazioni, è necessario disporre di una delle combinazioni di licenze seguenti nel tenant:
- Microsoft Entra ID Governance e i relativi prerequisiti, Microsoft Entra ID P1
- Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 and its prerequisite, microsoft Entra ID P2 o Enterprise Mobility + Security (EMS) E5
Il tenant deve avere almeno un numero di licenze pari al numero di utenti membri (non guest) regolamentati, inclusi quelli che dispongono o possono richiedere l'accesso alle applicazioni, approvare o esaminare l'accesso alle applicazioni. Con una licenza appropriata per tali utenti, è quindi possibile gestire l'accesso a un massimo di 1500 applicazioni per utente.
Se si regola l'accesso degli utenti guest all'applicazione, collegare il tenant di Microsoft Entra a una sottoscrizione per la fatturazione MAU. Questo passaggio è necessario prima di avere una richiesta guest o di esaminarne l'accesso. Per altre informazioni, vedere Modello di fatturazione per Microsoft Entra per ID esterno.
Verificare che Microsoft Entra ID invii già il log di controllo e, facoltativamente, altri log a Monitoraggio di Azure. Monitoraggio di Azure è facoltativo, ma utile per gestire l'accesso alle app, poiché Microsoft Entra archivia solo gli eventi di controllo per un massimo di 30 giorni nel log di controllo. È possibile mantenere i dati di controllo per più tempo rispetto al periodo di conservazione predefinito, come descritto in Quanto tempo Microsoft Entra ID archivia i dati dei report? e usare cartelle di lavoro di Monitoraggio di Azure e query e report personalizzati sui dati di controllo cronologici. È possibile controllare la configurazione di Microsoft Entra per verificare se si usa Monitoraggio di Azure, in Microsoft Entra ID nell'interfaccia di amministrazione di Microsoft Entra, facendo clic su Cartelle di lavoro. Se questa integrazione non è configurata e si dispone di una sottoscrizione di Azure e si trovano nei
Global Administrator
ruoli oSecurity Administrator
, è possibile configurare Microsoft Entra ID per l'uso di Monitoraggio di Azure.Selezionare un approccio di conservazione degli oggetti. Se l'organizzazione richiede la possibilità di segnalare gli oggetti cronologici di Microsoft Entra, ad esempio i report che elencano gli utenti che hanno avuto accesso a un'applicazione in un anno precedente, inclusi gli utenti che sono stati successivamente eliminati da Microsoft Entra, è necessario pianificare l'archiviazione di oggetti da Microsoft Entra a un repository separato per scopi di conservazione e creazione di report. Per ulteriori informazioni, consultare Report personalizzati in Azure Data Explorer (ADX) utilizzando i dati di Microsoft Entra ID.
Accertarsi che solo gli utenti autorizzati si trovino nei ruoli amministrativi dotati di privilegi elevati all’interno del tenant di Microsoft Entra. Gli amministratori dell'amministratore globale, l'amministratore della governance delle identità, l'amministratore utenti, l'amministratore dell'applicazione, l'amministratore delle applicazioni cloud e l'amministratore del ruolo con privilegi possono apportare modifiche agli utenti e alle assegnazioni di ruolo dell'applicazione. Se le appartenenze di questi ruoli non sono state ancora esaminate di recente, è necessario un utente che si trovi nell'amministratore globale o nell'amministratoreruolo con privilegi per assicurarsi che venga avviata la verifica di accesso di questi ruoli della directory. È anche necessario assicurarsi che gli utenti nei ruoli di Azure nelle sottoscrizioni che contengono Monitoraggio di Azure, App per la logica e altre risorse necessarie per il funzionamento della configurazione di Microsoft Entra siano stati esaminati.
Verificare che il tenant abbia un isolamento appropriato. Se l'organizzazione usa Active Directory locale e questi domini AD sono connessi all'ID Microsoft Entra, è necessario assicurarsi che le operazioni amministrative con privilegi elevati per i servizi ospitati nel cloud siano isolate dagli account locali. Verificare di aver configurato i sistemi per proteggere l'ambiente cloud di Microsoft 365 da compromissioni locali.
Dopo aver verificato che l'ambiente Microsoft Entra sia pronto, procedere con la definizione dei criteri di governance per le applicazioni.