Panoramica della sicurezza di gestione delle identità di Azure

La gestione delle identità è il processo di autenticazione e autorizzazione delle entità di sicurezza. Comporta anche il controllo delle informazioni su tali entità (identità). Le entità di sicurezza (identità) possono includere servizi, applicazioni, utenti, gruppi e così via. Le soluzioni Microsoft di gestione delle identità e degli accessi consentono al personale IT di proteggere l'accesso ad applicazioni e risorse nel data center aziendale e nel cloud. Tale protezione consente livelli aggiuntivi di convalida, ad esempio l'autenticazione a più fattori e i criteri di accesso condizionale. Il monitoraggio delle attività sospette tramite funzioni avanzate di report di sicurezza, controllo e avvisi consente di attenuare i potenziali problemi di sicurezza. Microsoft Entra ID P1 o P2 fornisce l'accesso Single Sign-On (SSO) a migliaia di app SaaS (Software as a Service) cloud e l'accesso alle app Web eseguite in locale.

Sfruttando i vantaggi di sicurezza di Microsoft Entra ID, è possibile:

• È possibile creare e gestire una singola identità per ogni utente in un'azienda ibrida, mantenendo sincronizzati utenti, gruppi e dispositivi.
• Offrire l'accesso SSO alle applicazioni, incluse migliaia di app SaaS preintegrate.
• Abilitare la sicurezza dell'accesso alle applicazioni applicando l'autenticazione a più fattori basata su regole sia per le applicazioni locali che per le applicazioni cloud.
• Effettuare il provisioning dell'accesso remoto sicuro alle applicazioni Web locali tramite il proxy dell'applicazione Microsoft Entra.

L'obiettivo di questo articolo è offrire informazioni generali sulle funzionalità di sicurezza principali di Azure per la gestione delle identità. Sono anche disponibili collegamenti ad articoli con informazioni dettagliate su ogni funzionalità.

Questo articolo è incentrato sulle seguenti funzionalità principali di gestione delle identità di Azure:

• Single Sign-On
• Proxy inverso
• Autenticazione a più fattori
• Controllo degli accessi in base al ruolo di Azure
• Monitoraggio della sicurezza, avvisi e report basati su Machine Learning
• Gestione delle identità e dell'accesso degli utenti
• Registrazione dispositivo
• Privileged Identity Management
• Protezione dell'identità
• Soluzione ibrida di gestione delle identità/Azure AD Connect
• Verifiche di accesso di Microsoft Entra

Single Sign-On

L'accesso Single Sign-On (SSO) consente di accedere a tutte le applicazioni e le risorse necessarie per le attività aziendali effettuando l'accesso una sola volta con un singolo account utente. Dopo aver effettuato l'accesso, è possibile accedere a tutte le applicazioni necessarie senza dover ripetere una seconda volta l'autenticazione (ad esempio, digitando una password).

Molte organizzazioni si basano su applicazioni SaaS come Microsoft 365, Box e Salesforce per la produttività degli utenti. In passato, il personale IT doveva creare e aggiornare singoli account utente in ogni applicazione SaaS e gli utenti dovevano ricordare una password per ogni applicazione SaaS.

Microsoft Entra ID estende gli ambienti Active Directory locale nel cloud, consentendo agli utenti di usare il proprio account aziendale principale per accedere non solo ai dispositivi aggiunti al dominio e alle risorse aziendali, ma anche a tutte le applicazioni Web e SaaS necessarie per i propri processi.

Non solo gli utenti non devono più gestire diversi set di nomi utente e password, ma è anche possibile eseguire il provisioning o deprovisioning automatico dell'accesso alle applicazioni in base ai gruppi aziendali e al relativo stato di dipendente. Microsoft Entra ID introduce controlli di governance della sicurezza e degli accessi con cui è possibile gestire centralmente l'accesso degli utenti tra applicazioni SaaS.

Altre informazioni:

• Panoramica sull'accesso Single Sign-On
• Video sui concetti fondamentali sull'autenticazione
• Serie di avvio rapido sulla gestione delle applicazioni

Proxy inverso

Il proxy dell'applicazione Microsoft Entra consente di pubblicare applicazioni in una rete privata, ad esempio siti di SharePoint , Outlook Web App e app basate su IIS all'interno della rete privata e fornisce accesso sicuro agli utenti esterni alla rete. Application Proxy offre accesso remoto e SSO per molti tipi di applicazioni Web locali con migliaia di applicazioni SaaS supportate da Microsoft Entra ID. I dipendenti possono accedere alle app dalla propria abitazione e con i propri dispositivi ed eseguire l'autenticazione tramite questo proxy basato sul cloud.

Altre informazioni:

• Abilitazione del proxy dell'applicazione Microsoft Entra
• Pubblicare applicazioni con il proxy dell'applicazione Microsoft Entra
• Delega vincolata Kerberos per l'accesso Single Sign-On alle app con il proxy di applicazione
• Uso dell'accesso condizionale

Autenticazione a più fattori

L'autenticazione a più fattori Microsoft Entra è un metodo di autenticazione che richiede l'uso di più metodi di verifica e aggiunge un secondo livello critico di sicurezza agli accessi e alle transazioni degli utenti. L'autenticazione a più fattori consente di proteggere l'accesso ai dati e alle applicazioni, soddisfacendo la richiesta dell'utente per un processo di accesso semplice. Offre l'autenticazione avanzata tramite diverse opzioni di verifica, ad esempio una telefonata, un SMS, una notifica o un codice di verifica dell'app per dispositivi mobili e token OAuth di terze parti.

Altre informazioni: Funzionamento dell'autenticazione a più fattori Di Microsoft Entra

Controllo degli accessi in base al ruolo di Azure

Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che garantisce una gestione con granularità fine degli accessi delle risorse in Azure. Il controllo degli accessi in base al ruolo di Azure consente di controllare in modo granulare il livello di accesso degli utenti. Ad esempio, è possibile definire che un utente può gestire solo le reti virtuali mentre un altro utente può gestire tutte le risorse di un gruppo. Azure include diversi ruoli predefiniti che è possibile usare. Di seguito sono elencati quattro fondamentali ruoli predefiniti. I primi tre si applicano a tutti i tipi di risorse.

• Proprietario: ha accesso completo a tutte le risorse, compreso il diritto di delegare l'accesso ad altri utenti.
• Collaboratore: può creare e gestire tutti i tipi di risorse di Azure, ma non può concedere l'accesso ad altri.
• Lettore: può visualizzare le risorse di Azure esistenti.
• Amministratore Accesso utenti: consente di gestire l'accesso degli utenti alle risorse di Azure.

Altre informazioni:

• Che cos'è il controllo degli accessi in base al ruolo di Azure?
• Ruoli predefiniti di Azure

Monitoraggio della sicurezza, avvisi e report basati su Machine Learning

Monitoraggio della sicurezza, avvisi e report basati su Machine Learning che identificano i criteri di accesso non coerenti per contribuire alla protezione dell'azienda. È possibile usare i report di accesso e utilizzo di Microsoft Entra ID per ottenere visibilità sull'integrità e sulla sicurezza della directory dell'organizzazione. Con queste informazioni un amministratore di directory può stabilire meglio dove potrebbero esserci possibili rischi per la sicurezza in modo da poterne pianificare adeguatamente l'attenuazione.

Nel portale di Azure i report rientrano nelle seguenti categorie:

• Report anomalie: contengono eventi di accesso individuati come anomali. L'obiettivo è rendere gli utenti consapevoli di tali attività e consentire di stabilire se un evento è sospetto.
• Report applicazioni integrate: offrono informazioni dettagliate sull'uso delle applicazioni cloud nell'organizzazione. Microsoft Entra ID offre l'integrazione con migliaia di applicazioni cloud.
• Report di errori: segnalano gli errori che possono verificarsi durante il provisioning di account in applicazioni esterne.
• Report specifici dell'utente: visualizzano i dati dell'attività di accesso del dispositivo per un utente specifico.
• Log attività: contengono un record di tutti gli eventi controllati nelle ultime 24 ore, negli ultimi 7 giorni o negli ultimi 30 giorni, oltre alle modifiche alle attività del gruppo e alle attività di registrazione e di reimpostazione password.

Altre informazioni: Guida alla creazione di report di Microsoft Entra ID

Gestione delle identità e dell'accesso degli utenti

Azure Active Directory B2C è un servizio di gestione delle identità globale a disponibilità elevata per le applicazioni rivolte agli utenti, con scalabilità fino a centinaia di milioni di identità. Il servizio può essere integrato tra piattaforme mobili e Web. Gli utenti possono accedere a tutte le applicazioni attraverso esperienze personalizzabili usando gli account dei propri social network esistenti o creando nuove credenziali.

In passato, per ottenere la registrazione e l'accesso dei clienti alle applicazioni, gli sviluppatori di applicazioni scrivevano il proprio codice. E dovevano utilizzare database locali o sistemi per archiviare nomi utente e password. Azure AD B2C offre all'organizzazione un modo migliore per integrare la gestione delle identità degli utenti nelle applicazioni con una piattaforma sicura basata sugli standard e un set completo di criteri estendibili.

Con Azure AD B2C, gli utenti possono registrarsi alle applicazioni usando gli account di social networking esistenti (Facebook, Google, Amazon, LinkedIn) o creando nuove credenziali (indirizzo di posta elettronica e password o nome utente e password).

Altre informazioni:

• Informazioni su Azure Active Directory B2C
• Azure Active Directory B2C: tipi di applicazioni

Registrazione dispositivo

La registrazione del dispositivo Microsoft Entra è la base per gli scenari di accesso condizionale basato su dispositivo. Quando un dispositivo viene registrato, la registrazione del dispositivo Microsoft Entra fornisce al dispositivo un'identità usata per autenticare il dispositivo quando un utente accede. Il dispositivo autenticato e gli attributi del dispositivo possono quindi essere usati per applicare i criteri di accesso condizionale per le applicazioni ospitate nel cloud e in locale.

In combinazione con una soluzione di gestione dei dispositivi mobili, ad esempio Intune, gli attributi del dispositivo in Microsoft Entra ID vengono aggiornati con informazioni aggiuntive sul dispositivo. È quindi possibile creare regole di accesso condizionale che impongono l'accesso dai dispositivi per soddisfare gli standard di sicurezza e conformità.

Altre informazioni:

• Introduzione alla registrazione del dispositivo Microsoft Entra
• Registrazione automatica dei dispositivi con l'ID Microsoft Entra per i dispositivi windows aggiunti a un dominio

Privileged Identity Management

Con Microsoft Entra Privileged Identity Management, è possibile gestire, controllare e monitorare le identità con privilegi e l'accesso alle risorse in Microsoft Entra ID, nonché altri Servizi online Microsoft, ad esempio Microsoft 365 e Microsoft Intune.

A volte gli utenti devono eseguire operazioni con privilegi nelle risorse di Azure o Microsoft 365 o in altre app SaaS. Ciò significa spesso che le organizzazioni devono concedere agli utenti l'accesso con privilegi permanenti in Microsoft Entra ID. Questo accesso rappresenta un rischio di sicurezza crescente per le risorse ospitate nel cloud poiché le organizzazioni non sono in grado di monitorare completamente le operazioni eseguite dagli utenti con i privilegi amministrativi. Inoltre, se un account utente con accesso privilegiato è compromesso, tale singola violazione può compromettere la sicurezza dell'intero cloud di un'organizzazione. Microsoft Entra Privileged Identity Management consente di ridurre questo rischio.

Con Microsoft Entra Privileged Identity Management, è possibile:

• Vedere quali utenti sono amministratori di Microsoft Entra.
• Abilitare l'accesso amministrativo JIT (Just-In-Time) su richiesta per servizi Microsoft, ad esempio Microsoft 365 e Intune.
• Ottenere report sulla cronologia degli accessi degli amministratori e sulle modifiche alle assegnazioni degli amministratori.
• Ricevere avvisi relativi all'accesso a un ruolo con privilegi.

Altre informazioni:

• Che cos'è Microsoft Entra Privileged Identity Management?
• Assegnare i ruoli della directory Microsoft Entra in PIM

Protezione dell'identità

Microsoft Entra ID Protection è un servizio di sicurezza che offre una visualizzazione consolidata dei rilevamenti dei rischi e potenziali vulnerabilità che influiscono sulle identità dell'organizzazione. Identity Protection sfrutta le funzionalità di rilevamento anomalie di Microsoft Entra esistenti, disponibili tramite i report Attività anomale di Microsoft Entraus. Identity Protection introduce anche nuovi tipi di rilevamento dei rischi che possono rilevare anomalie in tempo reale.

Altre informazioni: Microsoft Entra ID Protection

Gestione ibrida delle identità (Microsoft Entra Connessione)

Le soluzioni di gestione delle identità di Microsoft abbracciano funzionalità locali e basate sul cloud, creando una singola identità utente per l’autenticazione e l’autorizzazione per tutte le risorse, indipendentemente dalla loro ubicazione. Tale identità costituisce la cosiddetta identità ibrida. Microsoft Entra Connect è lo strumento di Microsoft progettato per soddisfare e raggiungere gli obiettivi relativi alla soluzione ibrida di gestione delle identità. Consente quindi di fornire agli utenti un'identità comune per le applicazioni di Microsoft 365, Azure e SaaS integrate con Microsoft Entra ID. Offre le funzionalità seguenti:

• Sincronizzazione
• Integrazione di AD FS e federazione
• Autenticazione pass-through
• Monitoraggio dell'integrità

Altre informazioni:

• White paper sull'identità ibrida
• Microsoft Entra ID

Verifiche di accesso di Microsoft Entra

Le verifiche di accesso di Microsoft Entra consentono alle organizzazioni di gestire in modo efficiente le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo con privilegi.

Altre informazioni: Verifiche di accesso di Microsoft Entra