Domande frequenti
In questo articolo si forniscono le risposte alle domande frequenti sulla Gestione delle autorizzazioni di Microsoft Entra.
Informazioni sulla Gestione delle autorizzazioni di Microsoft Entra
La Gestione delle autorizzazioni di Microsoft Entra (Gestione delle autorizzazioni) è una soluzione CIEM (Cloud Infrastructure Entitlement Management) che offre visibilità completa sulle autorizzazioni assegnate a tutte le identità. Ad esempio, carichi di lavoro con privilegi elevati e identità utente, azioni e risorse in infrastrutture multi-cloud in Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). Gestione delle autorizzazioni rileva, dimensiona automaticamente e mantiene continuamente monitorate le autorizzazioni inutilizzate ed eccessive. Consente di approfondire la strategia di sicurezza Zero Trust estendendo il principio di accesso con privilegi minimi.
Quali sono i prerequisiti per l'uso della Gestione delle autorizzazioni?
La Gestione delle autorizzazioni supporta la raccolta dati da AWS, GCP e/o Microsoft Azure. Per la raccolta e l'analisi dei dati, i clienti devono disporre di un account Microsoft Entra per poter utilizzare la Gestione delle autorizzazioni.
Un cliente può utilizzare la Gestione autorizzazioni se ha altre identità con accesso alla piattaforma IaaS che non sono ancora in Microsoft Entra ID?
Sì, un cliente può rilevare, attenuare e monitorare il rischio per gli account IAM AWS o GCP o di altri provider di identità, ad esempio Okta o IAM AWS.
Da dove possono accedere i clienti alla Gestione delle autorizzazioni?
I clienti possono accedere all'interfaccia di Gestione delle autorizzazioni dall'Interfaccia di amministrazione di Microsoft Entra.
I clienti non cloud possono utilizzare la Gestione delle autorizzazioni in locale?
No, la Gestione delle autorizzazioni è un'offerta cloud ospitata.
I clienti non Azure possono usare la Gestione delle autorizzazioni?
Sì, i clienti non Azure possono usare la soluzione. Gestione delle autorizzazioni è una soluzione multi-cloud, pertanto la possono utilizzare anche i clienti che non hanno una sottoscrizione ad Azure.
La Gestione delle autorizzazioni è disponibile per i tenant ospitati nell'Unione europea (EU)?
Sì, la Gestione delle autorizzazioni è attualmente destinata ai tenant ospitati nell'Unione europea (EU).
Essendo già un utente Microsoft Entra ID Privileged Identity Management (PIM) per Azure, quale valore fornisce la Gestione autorizzazioni?
La Gestione delle autorizzazioni è complementare a Microsoft Entra PIM. Microsoft Entra PIM fornisce l'accesso just-in-time ai ruoli di amministratore in Azure e Microsoft Online Services e alle app che utilizzano i gruppi. La gestione delle autorizzazioni consente l'individuazione multi cloud, la correzione e il monitoraggio dell'accesso con privilegi in Azure, AWS e GCP.
Quali infrastrutture cloud pubblico supporta la Gestione delle autorizzazioni?
Attualmente, la Gestione delle autorizzazioni supporta i tre principali cloud pubblici: Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure.
La Gestione delle autorizzazioni supporta gli ambienti ibridi?
Attualmente, la Gestione delle autorizzazioni non supporta gli ambienti ibridi.
Quali tipi di identità supporta la Gestione delle autorizzazioni?
La Gestione delle autorizzazioni supporta le identità utente (ad esempio, dipendenti, clienti, partner esterni) e le identità dei carichi di lavoro (ad esempio, macchine virtuali, contenitori, app Web, funzioni serverless).
La Gestione delle autorizzazioni è disponibile nel cloud per enti pubblici?
No, la Gestione delle autorizzazioni non è attualmente disponibile nei cloud per enti pubblici.
La Gestione delle autorizzazioni è disponibile per i cloud sovrani?
No, attualmente la Gestione delle autorizzazioni non è disponibile nei cloud sovrani.
In che modo la Gestione delle autorizzazioni raccoglie informazioni dettagliate sull'utilizzo delle autorizzazioni?
In Gestione delle autorizzazioni è presente un agente di raccolta dati che raccoglie le autorizzazioni di accesso assegnate a diverse identità, i log attività e i metadati delle risorse. L'agente di raccolta dati offre una visibilità completa delle autorizzazioni concesse a tutte le identità per accedere alle risorse, oltre che i dettagli sull'utilizzo delle autorizzazioni concesse.
In che modo la Gestione delle autorizzazioni valuta il rischio delle autorizzazioni di accesso al cloud?
La Gestione delle autorizzazioni offre una visibilità granulare di tutte le identità e delle relative autorizzazioni concesse rispetto a quelle utilizzate, di tutte le infrastrutture cloud, per individuare eventuali azioni eseguite da qualsiasi identità in qualsiasi risorsa. La visibilità non si limita soltanto alle identità utente, ma anche alle identità dei carichi di lavoro, ad esempio macchine virtuali, chiavi di accesso, contenitori e script. Il dashboard fornisce una panoramica del profilo di autorizzazione che consente di individuare le identità e le risorse più rischiose.
Che cos'è l'indice autorizzazioni inutilizzate?
L'indice autorizzazioni inutilizzate (PCI, Permissions Creep Index) è una misura quantitativa del rischio associato a un'identità o a un ruolo che viene determinato confrontando le autorizzazioni concesse rispetto alle autorizzazioni utilizzate. Esso consente agli utenti di valutare immediatamente il livello di rischio associato al numero di autorizzazioni inutilizzate o con provisioning eccessivo delle diverse identità e risorse. Misura l'entità del danno che le identità possono causare in base alle autorizzazioni a loro disposizione.
In che modo i clienti possono usare la Gestione delle autorizzazioni per eliminare le autorizzazioni inutilizzate o con provisioning eccessivo?
La Gestione delle autorizzazioni consente agli utenti di ridimensionare, con pochi clic, le autorizzazioni con provisioning eccessivo e di automatizzare l'imposizione dei criteri con privilegi minimi. La soluzione analizza continuamente i dati storici sull'utilizzo delle autorizzazioni per ogni identità e offre ai clienti la possibilità di ridimensionare correttamente le autorizzazioni di tale identità rispetto alle autorizzazioni che vengono usate solo per le operazioni quotidiane. Tutte le autorizzazioni inutilizzate e quelle rischiose possono essere rimosse automaticamente.
Perché un utente che è stato eliminato è ancora visibile nella scheda Analisi?
Verificare se all'utente è stato assegnato un ruolo di Amministratore (versione classica). I ruoli di Amministratore (versione classica) non vengono eliminati quando un utente viene eliminato. Per risolvere questo problema, passare alla pagina Amministrazione (versione classica) ed eliminare l'assegnazione del ruolo separatamente per l'utente.
In che modo i clienti possono concedere autorizzazioni su richiesta con la Gestione delle autorizzazioni?
Per qualsiasi scenario di emergenza od occasionale in cui un'identità deve eseguire un set di azioni specifico su un set di risorse specifiche, l'identità può richiedere tali autorizzazioni su richiesta per un periodo limitato con un flusso di lavoro self-service. I clienti possono usare il motore del flusso di lavoro predefinito o lo strumento di gestione dei servizi IT (ITSM). L'esperienza utente è la stessa per qualsiasi tipo di identità, origine dell'identità (locale, directory aziendale o federata) e cloud.
Qual è la differenza tra autorizzazioni su richiesta e accesso just-in-time?
L'accesso just-in-time (JIT) è un metodo che consente di applicare il principio dei privilegi minimi e garantire che alle identità venga assegnato il livello minimo di autorizzazioni per eseguire l'attività. Le autorizzazioni su richiesta rappresentano un tipo di accesso JIT che consente l'elevazione temporanea dei privilegi delle autorizzazioni, in modo tale che le identità possano accedere alle risorse in base alla richiesta e alla pianificazione.
In che modo i clienti possono monitorare l'utilizzo delle autorizzazioni tramite la Gestione delle autorizzazioni?
Per monitorare l'utilizzo delle autorizzazioni, i clienti devono solo tenere traccia dell'evoluzione dell'indice autorizzazioni inutilizzate (PCI, Permission Creep Index). I clienti possono monitorare l'indice autorizzazioni inutilizzate nella scheda Analisi del dashboard Gestione delle autorizzazioni.
I clienti possono generare report sull'utilizzo delle autorizzazioni?
Sì, la Gestione delle autorizzazioni dispone di diversi tipi di report di sistema per acquisire set di dati specifici. Tali report consentono ai clienti di:
- Prendere decisioni tempestive.
- Analizzare le tendenze di utilizzo e le prestazioni del sistema/dell'utente.
- Identificare le aree ad alto rischio.
Per informazioni sui report sull'utilizzo delle autorizzazioni, vedere Generare e scaricare il report di analisi delle autorizzazioni.
Gestione delle autorizzazioni si può integrare con strumenti di gestione dei servizi IT (ITSM, Information Technology Service Management) di terze parti?
L'integrazione con gli strumenti ITMS, ad esempio ServiceNow, è prevista nella roadmap in futuro.
In che modo viene distribuita la Gestione delle autorizzazioni?
I clienti ai quali è stato assegnato il ruolo di Amministratore Gestione delle autorizzazioni devono prima eseguire l'onboarding della Gestione delle autorizzazioni nel tenant di Microsoft Entra, quindi devono eseguire l'onboarding degli account AWS, dei progetti GCP e delle sottoscrizioni di Azure. Altre informazioni sull'onboarding sono disponibili nella documentazione del prodotto.
Quanto tempo è richiesto per distribuire la Gestione delle autorizzazioni?
Dipende da ogni cliente e dal numero di account AWS, progetti GCP e sottoscrizioni di Azure di cui dispone.
Una volta distribuita la Gestione delle autorizzazioni, con quale rapidità si possono ottenere informazioni dettagliate sulle autorizzazioni?
Una volta completato l'onboarding con la configurazione della raccolta dati, i clienti possono accedere alle informazioni dettagliate sull'utilizzo delle autorizzazioni in poche ore. Il motore di Machine Learning aggiorna l'indice autorizzazioni inutilizzate ogni ora, in questo modo i clienti possono iniziare subito la valutazione dei rischi.
La Gestione delle autorizzazioni raccoglie e archivia dati personali sensibili?
No, la Gestione delle autorizzazioni non può accedere ai dati personali sensibili.
Dove è possibile trovare altre informazioni sulla Gestione delle autorizzazioni?
È possibile leggere il blog e visitare la pagina Web. Inoltre, è possibile rivolgersi al punto di contatto Microsoft per pianificare una dimostrazione interattiva.
Che cos'è il processo di distruzione/rimozione dei dati?
Se un cliente avvia una versione di valutazione gratuita di 45 giorni di Gestione delle autorizzazioni e non passa a una licenza a pagamento entro 45 giorni dalla scadenza della versione di valutazione, tutti i dati raccolti saranno eliminati entro 30 giorni dalla data di scadenza della versione di valutazione.
Se un cliente decide di interrompere la licenza del servizio, tutti i dati raccolti in precedenza vengono eliminati entro 30 giorni dalla fine della licenza.
I clienti possono anche rimuovere, esportare o modificare dati specifici se un Amministratore della Gestione delle autorizzazioni che utilizza il servizio Gestione delle autorizzazioni invia una richiesta dell'interessato ufficiale. Per inviare una richiesta:
Se si è un cliente è aziendale, è possibile contattare il rappresentante Microsoft, il team dell'account o l'amministratore tenant per aprire un ticket di supporto IcM ad alta priorità che richiede una richiesta dell'interessato. Non includere dettagli o informazioni personali nella richiesta IcM. Tali dettagli saranno inviati solo dopo l'archiviazione di un IcM.
Nel caso di un cliente self-service (si configura una licenza di valutazione gratuita o a pagamento nell'interfaccia di amministrazione di Microsoft 365), è possibile contattare il team della privacy della Gestione delle autorizzazioni, selezionando il menu a discesa del profilo, quindi Impostazioni account in Gestione delle autorizzazioni. Seguire le istruzioni per effettuare una richiesta dell'interessato.
Altre informazioni sulle Richieste degli interessati di Azure.
È necessario avere una licenza per l'uso della Gestione delle autorizzazioni di Microsoft Entra?
Sì, a partire dal 1° luglio 2022, per usare il servizio, i nuovi clienti devono acquisire una licenza di valutazione gratuita di 45 giorni o una licenza a pagamento. È possibile abilitare una versione di valutazione gratuita qui: https://aka.ms/TryPermissionsManagement oppure acquistare direttamente le licenze basate su risorse qui: https://aka.ms/BuyPermissionsManagement
Qual è il prezzo di Gestione delle autorizzazioni?
Il costo della Gestione delle autorizzazioni è di $125 per risorsa/anno ($10,40 per risorsa/mese). Gestione delle autorizzazioni richiede licenze per i carichi di lavoro, che includono qualsiasi risorsa che si avvale di risorse di calcolo o di memoria.
È necessario pagare per tutte le risorse?
Sebbene la Gestione delle autorizzazioni supporti tutte le risorse, Microsoft richiede le licenze solo per le risorse fatturabili, per ambiente cloud. Per altre informazioni sulle risorse fatturabili, consultare Visualizzare le risorse fatturabili elencate nel sistema di autorizzazione
Come si calcola il numero di risorse fatturabili disponibili?
Per calcolare le risorse fatturabili disponibili nell'infrastruttura multi-cloud, in primo luogo è necessario attivare una versione di valutazione gratuita di 45 giorni della Gestione delle autorizzazioni o acquistare una licenza a pagamento. In Gestione delle autorizzazioni selezionare Impostazioni (icona a forma di ingranaggio), quindi fare clic sulla scheda Risorse fatturabili. Visualizzare la quantità di risorse fatturabili nella colonna Numero totale di licenze.
Cosa fare se si usa la versione legacy del servizio CloudKnox?
Attualmente stiamo lavorando allo sviluppo di un piano di migrazione per aiutare i clienti del servizio CloudKnox originale a passare al nuovo servizio di Gestione delle autorizzazioni di Microsoft Entra, più avanti nel 2022.
È possibile usare la Gestione delle autorizzazioni di Microsoft Entra in Europa?
Sì, il prodotto è conforme.
In che modo è possibile abilitare una delle nuove 18 lingue supportate nella versione di disponibilità generale (GA)?
Attualmente la localizzazione prevede 18 lingue. Microsoft rispetta l'impostazione del browser, altrimenti è possibile abilitare manualmente la lingua preferita aggiungendo un suffisso della stringa di query all'URL della Gestione delle autorizzazioni di Microsoft Entra:
?lang=xx-XX
Dove xx-XX rappresenta uno dei parametri seguenti disponibili per la lingua: 'cs-CZ', 'de-DE', 'en-US', 'es-ES', 'fr-FR', 'hu-HU', 'id-ID', 'it-IT', 'ja-JP', 'ko-KR', 'nl-NL', 'pl-PL', 'pt-BR', 'pt-PT', 'ru-RU', 'sv-SE', 'tr-TR', 'zh-CN', o 'zh-TW'.
Risorse
- Blog di Microsoft Entra
- Pagina Web della Gestione delle autorizzazioni
- Per altre informazioni sulla privacy e sulle condizioni di sicurezza di Microsoft, vedere le Condizioni di licenza commerciale.
- Per altre informazioni sull'elaborazione dei dati e sulle condizioni di sicurezza di Microsoft quando si effettua la sottoscrizione a un prodotto, vedere Addendum sulla protezione dei dati personali (DPA) per i prodotti e i servizi Microsoft.
- Per altre informazioni, vedere Richieste dell'interessato di Azure per GDPR e CCPA.
Passaggi successivi
- Per una panoramica della Gestione delle autorizzazioni, vedere Informazioni sulla gestione delle autorizzazioni di Microsoft Entra.
- Approfondire le attività di apprendimento con il modulo Microsoft Learn Introduzione alla Gestione delle autorizzazioni di Microsoft Entra.
- Per informazioni su come eseguire l'onboarding della Gestione delle autorizzazioni nell'organizzazione, vedere Abilitare la Gestione delle autorizzazioni nell'organizzazione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per