Piani di distribuzione di Microsoft Entra
Azure Active Directory è ora Microsoft Entra ID, che può proteggere l'organizzazione con la gestione delle identità e degli accessi cloud. La soluzione connette dipendenti, clienti e partner alle app, ai dispositivi e ai dati.
Usare le linee guida di questo articolo per creare il piano per distribuire Microsoft Entra ID. Informazioni sulle nozioni di base sulla creazione di piani e quindi usare le sezioni seguenti per la distribuzione dell'autenticazione, le app e i dispositivi, gli scenari ibridi, l'identità utente e altro ancora.
Stakeholder e ruoli
Quando si iniziano i piani di distribuzione, includere gli stakeholder principali. Identificare e documentare gli stakeholder, i ruoli interessati e le aree di proprietà e responsabilità che consentono una distribuzione efficace. I titoli e i ruoli differiscono da un'organizzazione a un'altra, ma le aree di proprietà sono simili. Vedere la tabella seguente per i ruoli comuni e influenti che influiscono su qualsiasi piano di distribuzione.
| Ruolo | Responsabilità |
|---|---|
| Sponsor | Un senior leader aziendale con autorità per approvare o assegnare budget e risorse. Lo sponsor è il collegamento tra i manager e il team esecutivo. |
| Utenti finali | Persone per le quali viene implementato il servizio. Gli utenti possono partecipare a un programma pilota. |
| Responsabile del supporto IT | Fornisce input sulla supportabilità delle modifiche proposte |
| Architetto delle identità o Amministratore globale di Azure | Definisce il modo in cui la modifica è allineata all'infrastruttura di gestione delle identità |
| Proprietario dell'azienda dell'applicazione | Possiede le applicazioni interessate, che potrebbero includere la gestione degli accessi. Fornisce input sull'esperienza utente. |
| Responsabile della sicurezza | Conferma che il piano di modifica soddisfa i requisiti di sicurezza |
| Compliance Manager | Garantisce la conformità ai requisiti aziendali, industriali o governativi |
RACI
Responsabile, responsabile, responsabile, consultato e informato (RACI) responsabile/responsabile/informato (RACI) è un modello per la partecipazione da parte di vari ruoli per completare attività o risultati finali per un progetto o un processo aziendale. Usare questo modello per garantire che i ruoli dell'organizzazione comprendano le responsabilità della distribuzione.
- Responsabile : le persone responsabili del completamento corretto dell'attività.
- Esiste almeno un ruolo Responsabile, anche se è possibile delegare altri utenti per fornire il lavoro.
- Responsabile: quello alla fine risponde per la correttezza e il completamento del risultato finale o dell'attività. Il ruolo responsabile garantisce che i prerequisiti delle attività siano soddisfatti e i delegati lavorino ai ruoli responsabili. Il ruolo Responsabile approva il lavoro fornito da Responsabile. Assegnare un account per ogni attività o risultato finale.
- Consultata - Il ruolo consultato fornisce indicazioni, in genere un esperto di materia (SME).
- Informato : le persone sono sempre aggiornate sullo stato di avanzamento, in genere al completamento di un'attività o di un risultato finale.
Distribuzione dell'autenticazione
Usare l'elenco seguente per pianificare la distribuzione dell'autenticazione.
Microsoft Entra multifactor authentication (MFA): l'uso di metodi di autenticazione approvati dall'amministratore, l'autenticazione a più fattori consente di proteggere l'accesso ai dati e alle applicazioni soddisfacendo la richiesta di accesso semplice:
- Vedere il video Come configurare e applicare l'autenticazione a più fattori nel tenant
- Vedere Pianificare una distribuzione di autenticazione a più fattori
Accesso condizionale: implementare decisioni automatizzate di controllo degli accessi per consentire agli utenti di accedere alle app cloud, in base alle condizioni:
- Vedere Che cos'è l'accesso condizionale?
- Vedere Pianificare una distribuzione dell'accesso condizionale
Reimpostazione della password self-service di Microsoft Entra : consente agli utenti di reimpostare una password senza l'intervento dell'amministratore:
Vedere Opzioni di autenticazione senza password per Microsoft Entra ID
Vedere Pianificare una distribuzione di reimpostazione della password self-service di Microsoft Entra
Autenticazione senza password: implementare l'autenticazione senza password usando l'app Microsoft Authenticator o le chiavi di sicurezza FIDO2:
Applicazioni e dispositivi
Usare l'elenco seguente per distribuire applicazioni e dispositivi.
- Single Sign-On (SSO): abilitare l'accesso utente alle app e alle risorse con un solo accesso, senza immettere nuovamente le credenziali:
- Vedere Che cos'è l'accesso SSO in Microsoft Entra ID?
- Vedere Pianificare una distribuzione SSO
- App personali portale: individuare e accedere alle applicazioni. Abilitare la produttività degli utenti con self-service, ad esempio richiedere l'accesso ai gruppi o gestire l'accesso alle risorse per conto di altri utenti.
- Vedere panoramica del portale di App personali
- Dispositivi : valutare i metodi di integrazione dei dispositivi con Microsoft Entra ID, scegliere il piano di implementazione e altro ancora.
Scenari ibridi
L'elenco seguente descrive le funzionalità e i servizi negli scenari ibridi.
- Active Directory Federation Services (AD FS): eseguire la migrazione dell'autenticazione utente dalla federazione al cloud con l'autenticazione pass-through o la sincronizzazione dell'hash delle password:
- Proxy dell'applicazione Microsoft Entra: consente ai dipendenti di essere produttivi da un dispositivo. Informazioni sulle app SaaS (Software as a Service) nel cloud e nelle app aziendali in locale. Il proxy dell'applicazione Microsoft Entra consente l'accesso senza reti private virtuali (VPN) o zone demilitarizzate :Microsoft Entra application proxy abilita l'accesso senza reti private virtuali (VPN) o zone demilitarizzate (DMZ):
- Accesso Single Sign-On facile (Seamless SSO): usare Seamless SSO per l'accesso utente nei dispositivi aziendali connessi a una rete aziendale. Gli utenti non hanno bisogno di password per accedere a Microsoft Entra ID e in genere non devono immettere nomi utente. Gli utenti autorizzati accedono alle app basate sul cloud senza componenti locali aggiuntivi:
- Vedere Microsoft Entra SSO: Avvio rapido
- Vedere Microsoft Entra seamless SSO: Approfondimento tecnico
Utenti
- Identità utente: informazioni sull'automazione per creare, gestire e rimuovere le identità utente nelle app cloud, ad esempio Dropbox, Salesforce, ServiceNow e altro ancora.
- Governance degli ID Di Microsoft Entra - Creare la governance delle identità e migliorare i processi aziendali che si basano sui dati di identità. Con i prodotti HR, ad esempio Workday o Successfactors, gestire il ciclo di vita delle identità dei dipendenti e del personale contingente con regole. Queste regole eseguono il mapping dei processi Joiner-Mover-Leaver (JLM), ad esempio New Hire, Terminate, Transfer, To IT actions come Create, Enable, Disable. Per altre informazioni, vedere la sezione seguente.
- Vedere Pianificare l'applicazione cloud HR per il provisioning utenti di Microsoft Entra
- Collaborazione B2B di Microsoft Entra - Migliorare la collaborazione degli utenti esterni con accesso sicuro alle applicazioni:
- Vedere Panoramica di Collaborazione B2B
- Vedere Pianificare una distribuzione di Collaborazione B2B di Microsoft Entra
Identity Governance e creazione di report
Microsoft Entra ID Governance consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità. Usare Microsoft Entra ID Governance per garantire agli utenti giusti l'accesso alle risorse appropriate. Migliorare l'automazione dei processi di identità e accesso, la delega ai gruppi aziendali e aumentare la visibilità. Usare l'elenco seguente per informazioni su Identity Governance e creazione di report.
Altre informazioni:
Accesso sicuro per un mondo connesso: incontra Microsoft Entra
Privileged Identity Management (PIM): gestire i ruoli amministrativi con privilegi in Microsoft Entra ID, risorse di Azure e altri Servizi online Microsoft. Usarlo per l'accesso JIT (Just-In-Time), i flussi di lavoro di approvazione delle richieste e le verifiche di accesso integrate per evitare attività dannose:
- Vedere Iniziare a usare Privileged Identity Management
- Vedere Pianificare una distribuzione di Privileged Identity Management
Creazione di report e monitoraggio : la progettazione di soluzioni di creazione di report e monitoraggio di Microsoft Entra presenta dipendenze e vincoli: legale, sicurezza, operazioni, ambiente e processi.
Verifiche di accesso - Comprendere e gestire l'accesso alle risorse:
- Vedere Che cosa sono le verifiche di accesso?
- Vedere Pianificare una distribuzione delle verifiche di accesso di Microsoft Entra
Procedure consigliate per un progetto pilota
Prima di apportare una modifica per gruppi più grandi o tutti, usare i progetti pilota per eseguire il test con un piccolo gruppo. Verificare che ogni caso d'uso nell'organizzazione sia testato.
Pilota: Fase 1
Nella prima fase, specificare come destinazione IT, usabilità e altri utenti che possono testare e fornire commenti e suggerimenti. Usare questo feedback per ottenere informazioni dettagliate sui potenziali problemi per il personale di supporto e per sviluppare comunicazioni e istruzioni inviate a tutti gli utenti.
Pilota: Fase 2
Ampliare la distribuzione pilota a gruppi più grandi di utenti usando l'appartenenza dinamica o aggiungendo manualmente gli utenti ai gruppi di destinazione.
Altre informazioni: Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID