Descrivere Microsoft Entra ID Governance

  • 4 minuti

Microsoft Entra ID consente di bilanciare le esigenze dell'organizzazione in termini di sicurezza e produttività dei dipendenti con la visibilità e i processi adeguati. Man mano che i ruoli dei dipendenti cambiano all'interno di un'organizzazione, è possibile usare Microsoft Entra ID Governance per assegnare automaticamente alle persone giuste l'accesso corretto alle risorse appropriate tramite l'automazione dei processi di identità e accesso, la delega ai gruppi aziendali e una maggiore visibilità.

La governance ID offre alle organizzazioni la possibilità di eseguire le attività seguenti:

  • Governance del ciclo di vita delle identità.
  • Governance del ciclo di vita degli accessi.
  • Accesso sicuro con privilegi per l'amministrazione.

Queste azioni possono essere completate per dipendenti, partner commerciali e fornitori e per servizi e applicazioni, sia in locale che nel cloud.

Lo scopo è aiutare le organizzazioni a rispondere a queste quattro domande chiave:

  • Quali utenti hanno accesso a quali risorse?
  • In che modo questi utenti usano l'accesso?
  • Esistono controlli efficaci a livello aziendale per la gestione degli accessi?
  • I revisori possono verificare l'operatività dei controlli?

Ciclo di vita delle identità

La gestione del ciclo di vita delle identità degli utenti è alla base della governance delle identità.

Pe pianificare la gestione del ciclo di vita delle identità per i dipendenti, ad esempio, molte organizzazioni definiscono un modello per il processo di "ingresso, spostamento, uscita". Quando un utente entra a far parte di un'organizzazione, viene creata una nuova identità digitale se non ne è già disponibile una. Quando un utente si sposta oltre i confini dell'organizzazione, potrebbe essere necessario aggiungere o rimuovere autorizzazioni di accesso nell'identità digitale. Quando un individuo lascia l'organizzazione, potrebbe essere necessario rimuovere l'accesso e l'identità potrebbe non essere più necessaria, se non per scopi di controllo.

Il diagramma seguente illustra una versione semplificata del ciclo di vita dell'identità.

Diagramma che mostra il ciclo di vita dell'identità dei dipendenti. Il ciclo di vita è rappresentato come un cerchio che inizia con l'assenza di accesso, seguito dall'ingresso nell'organizzazione, dal passaggio a un nuovo ruolo e dall'uscita dall'organizzazione. Il ciclo si ripete.

Per molte organizzazioni, questo ciclo di vita delle identità per i dipendenti è associato alla rappresentazione di tali utenti in un sistema di gestione delle risorse umane, come Workday o SuccessFactors. Il sistema di gestione delle risorse umane è autorevole per fornire l'elenco aggiornato di dipendenti e alcune delle relative proprietà, come il nome o il reparto. Le organizzazioni necessitano di automatizzare il processo di creazione di un'identità per un nuovo dipendente in base a un segnale del sistema delle risorse umane, in modo che il dipendente possa essere produttivo fin dal primo giorno.

In Microsoft Entra ID Governance è possibile automatizzare il ciclo di vita delle identità degli utenti usando:

  • Provisioning in ingresso dalle origini delle risorse umane dell'organizzazione per gestire automaticamente le identità utente in Microsoft Entra ID e in Active Directory.
  • Flussi di lavoro del ciclo di vita per automatizzare le attività del flusso di lavoro che vengono eseguite quando si verificano determinati eventi chiave, ad esempio prima che un nuovo dipendente inizi a lavorare nell'organizzazione, man mano che il dipendente cambia stato durante il tempo trascorso nell'organizzazione e quando la lascia.
  • Criteri di assegnazione automatica nella gestione entitlement per aggiungere e rimuovere le appartenenze ai gruppi, i ruoli nelle applicazioni e i ruoli nel sito di SharePoint di un utente, in base alle modifiche degli attributi dell'utente. Le informazioni sulla gestione entitlement sono disponibili in un'unità successiva.
  • Provisioning degli utenti per creare, aggiornare e rimuovere account utente in altre applicazioni, con connettori a centinaia di applicazioni cloud e locali.

In generale, la gestione del ciclo di vita di un'identità riguarda l'aggiornamento dell'accesso necessario agli utenti, sia tramite l'integrazione con un sistema di gestione delle risorse umane, sia tramite le applicazioni di provisioning degli utenti.

Ciclo di vita degli accessi

Il ciclo di vita degli accessi è il processo di gestione degli accessi in tutta la vita organizzativa dell'utente. Gli utenti richiedono diversi livelli di accesso dal momento in cui entrano a far di un'organizzazione fino a quando la lasciano. In vari momenti intermedi dovranno avere i diritti di accesso per risorse diverse a seconda del ruolo e delle responsabilità.

Le organizzazioni hanno bisogno di un processo per gestire l'accesso oltre il provisioning iniziale eseguito al momento della creazione dell'identità di un utente. Inoltre, le organizzazioni aziendali devono disporre di scalabilità efficiente per poter sviluppare e applicare criteri e controlli di accesso in modo continuativo.

Con Microsoft Entra ID Governance, i reparti IT possono stabilire quali diritti di accesso gli utenti devono avere nelle varie risorse e quali controlli di applicazione sono necessari.

Le organizzazioni possono automatizzare il processo del ciclo di vita degli accessi tramite strumenti come i gruppi dinamici. I gruppi dinamici consentono agli amministratori di creare regole basate su attributi per determinare l'appartenenza ai gruppi. Quando gli attributi di un utente o un dispositivo cambiano, il sistema valuta tutte le regole dei gruppi dinamici in una directory per verificare se la modifica attiverà l'aggiunta o la rimozione di utenti in un gruppo. Se un utente o un dispositivo soddisfa una regola per un gruppo, viene aggiunto come membro di tale gruppo. Se non soddisfa più la regola, viene rimosso.

La gestione entitlement consente alle organizzazioni di definire il modo in cui gli utenti richiedono l'accesso tra pacchetti di appartenenze a gruppi e team, ruoli dell'app e ruoli di SharePoint Online e applicano la separazione del controllo delle mansioni alle richieste di accesso.

Le organizzazioni possono esaminare regolarmente i diritti di accesso usando verifiche di accesso ricorrenti di Microsoft Entra per il rinnovo della certificazione degli accessi.

Ciclo di vita dell'accesso con privilegi

Il monitoraggio dell'accesso con privilegi è una parte essenziale della governance delle identità. Quando a dipendenti, fornitori e terzisti vengono assegnati diritti amministrativi, dovrebbe essere presente un processo di governance a causa del rischio potenziale di uso improprio.

Microsoft Entra Privileged Identity Management (PIM) offre controlli aggiuntivi specifici per la protezione dei diritti di accesso. PIM consente di ridurre al minimo il numero di persone che hanno accesso alle risorse in Microsoft Entra ID, Azure e altri servizi online Microsoft. PIM offre un set completo di controlli di governance per proteggere le risorse aziendali.

Diagramma che mostra il ciclo di vita dei diritti di accesso all'identità. Il ciclo di vita è rappresentato come un cerchio che inizia con nessun amministratore, seguito da un primo ruolo di amministratore, poi da un secondo ruolo di amministratore e infine dall'uscita dall'IT.