Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365

  • Articolo

I gruppi fanno parte di una strategia di controllo di accesso. È possibile usare i gruppi di sicurezza di Microsoft Entra e Gruppi di Microsoft 365 come base per proteggere l'accesso alle risorse. Usare i gruppi per i meccanismi di controllo di accesso seguenti:

I gruppi hanno i ruoli seguenti:

  • Proprietari del gruppo: gestire le impostazioni del gruppo e la relativa appartenenza
  • Membri : ereditano le autorizzazioni e l'accesso assegnati al gruppo
  • Guest : sono membri esterni all'organizzazione

Operazioni preliminari

Questo articolo è il numero 4 di una serie di 10 articoli. È consigliabile esaminare gli articoli in ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Strategia di gruppo

Per sviluppare una strategia di gruppo per proteggere l'accesso esterno alle risorse, prendere in considerazione il comportamento di sicurezza desiderato.

Altre informazioni: Determinare il comportamento di sicurezza per l'accesso esterno

Creazione di gruppi

Determinare chi ha le autorizzazioni per creare gruppi: Amministrazione istrator, dipendenti e/o utenti esterni. Si considerino gli scenari seguenti:

Inviti ai gruppi

Come parte della strategia di gruppo, prendere in considerazione chi può invitare persone, o aggiungerle, ai gruppi. I membri del gruppo possono aggiungere altri membri o i proprietari del gruppo possono aggiungere membri. Decidere chi può essere invitato. Per impostazione predefinita, gli utenti esterni possono essere aggiunti ai gruppi.

Assegnare utenti a gruppi

Gli utenti vengono assegnati manualmente ai gruppi, in base agli attributi utente nell'oggetto utente o agli utenti vengono assegnati in base ad altri criteri. Gli utenti vengono assegnati ai gruppi in modo dinamico in base ai relativi attributi. Ad esempio, è possibile assegnare utenti a gruppi in base a:

  • Posizione professionale o reparto
  • Organizzazione partner a cui appartengono
    • Manualmente o tramite organizzazioni connesse
  • Tipo di utente membro o guest
  • Partecipazione a un progetto
    • Manualmente
  • Ufficio

I gruppi dinamici hanno utenti o dispositivi, ma non entrambi. Per assegnare utenti al gruppo dinamico, aggiungere query in base agli attributi utente. Lo screenshot seguente contiene query che aggiungono utenti al gruppo se sono membri del reparto finanziario.

Screenshot of options and entries under Dynamic membership rules.

Altre informazioni: Creare o aggiornare un gruppo dinamico in Microsoft Entra ID

Usare i gruppi per una funzione

Quando si usano i gruppi, è importante che abbiano una singola funzione. Se un gruppo viene usato per concedere l'accesso alle risorse, non usarlo per un altro scopo. È consigliabile una convenzione di denominazione dei gruppi di sicurezza che renda chiaro lo scopo:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Tipi di gruppi

È possibile creare gruppi di sicurezza e Gruppi di Microsoft 365 Microsoft Entra nel portale di Azure o nel portale di Amministrazione Microsoft 365. Usare uno dei due tipi di gruppo per proteggere l'accesso esterno.

Considerazioni Gruppi di sicurezza Manuali e dinamici di Microsoft Entra Gruppi di Microsoft 365
Il gruppo contiene Utenti
Gruppi
Entità servizio
Dispositivi		 Solo utenti
Posizione in cui viene creato il gruppo Azure portal
Portale di Microsoft 365, se abilitato alla posta elettronica)
PowerShell
Microsoft Graph
Portale per gli utenti finali		 Portale Microsoft 365
Azure portal
PowerShell
Microsoft Graph
Nelle applicazioni Di Microsoft 365
Chi crea, per impostazione predefinita Amministrazione istrator
Utenti		 Amministratori
Utenti
Chi viene aggiunto, per impostazione predefinita Utenti interni (membri tenant) e utenti guest Membri tenant e guest di un'organizzazione
L'accesso viene concesso a Risorse a cui è assegnato. Risorse correlate al gruppo:
(Cassetta postale di gruppo, sito, team, chat e altre risorse di Microsoft 365)
Altre risorse a cui viene aggiunto il gruppo
Può essere usato con Accesso condizionale
gestione entitlement
gestione delle licenze di gruppo		 Accesso condizionale
gestione entitlement
Etichette di riservatezza

Nota

Usare Gruppi di Microsoft 365 per creare e gestire un set di risorse di Microsoft 365, ad esempio un team e i relativi siti e contenuti associati.

Gruppi di sicurezza di Microsoft Entra

I gruppi di sicurezza Microsoft Entra possono avere utenti o dispositivi. Usare questi gruppi per gestire l'accesso a:

  • Risorse di Azure
    • App di Microsoft 365
    • App personalizzate
    • App SaaS (Software as a Service), ad esempio Dropbox ServiceNow
  • Dati e sottoscrizioni di Azure
  • Servizi di Azure

Usare i gruppi di sicurezza di Microsoft Entra per assegnare:

Altre informazioni:

Nota

Usare i gruppi di sicurezza per assegnare fino a 1.500 applicazioni.

Screenshot of entries and options under New Group.

Gruppo di protezione abilitato alla posta elettronica

Per creare un gruppo di sicurezza abilitato alla posta elettronica, passare alla interfaccia di amministrazione di Microsoft 365. Abilitare un gruppo di sicurezza per la posta elettronica durante la creazione. Non è possibile abilitarlo in un secondo momento. Non è possibile creare il gruppo nel portale di Azure.

Organizzazioni ibride e gruppi di sicurezza Microsoft Entra

Le organizzazioni ibride hanno un'infrastruttura per l'ambiente locale e un ID Microsoft Entra. Le organizzazioni ibride che usano Active Directory possono creare gruppi di sicurezza locali e sincronizzarli con il cloud. Pertanto, solo gli utenti nell'ambiente locale possono essere aggiunti ai gruppi di sicurezza.

Importante

Proteggere l'infrastruttura locale dalla compromissione. Vedere Protezione di Microsoft 365 dagli attacchi locali.

Gruppi di Microsoft 365

Gruppi di Microsoft 365 è il servizio di appartenenza per l'accesso in Microsoft 365. Possono essere creati dal portale di Azure o dal interfaccia di amministrazione di Microsoft 365. Quando si crea un gruppo di Microsoft 365, si concede l'accesso a un gruppo di risorse per la collaborazione.

Altre informazioni:

ruoli Gruppi di Microsoft 365

  • Proprietari del gruppo
    • Aggiungere o rimuovere membri
    • Eliminare le conversazioni dalla posta in arrivo condivisa
    • Modificare le impostazioni del gruppo
    • Rinominare il gruppo
    • Aggiornare la descrizione o l'immagine
  • Members
  • Guests
    • Membri esterni all'organizzazione
    • Avere alcuni limiti alle funzionalità in Teams

Impostazioni del gruppo di Microsoft 365

Selezionare alias di posta elettronica, privacy e se abilitare il gruppo per i team.

Screenshot of options and entries under Edit settings.

Dopo l'installazione, aggiungere membri e configurare le impostazioni per l'utilizzo della posta elettronica e così via.

Passaggi successivi

Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.

  1. Determinare il comportamento di sicurezza per l'accesso esterno con Microsoft Entra ID

  2. Individuare lo stato corrente della collaborazione esterna nell'organizzazione

  3. Creare un piano di sicurezza per l'accesso esterno alle risorse

  4. Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365 (si è qui)

  5. Transizione alla collaborazione regolamentata con Microsoft Entra B2B Collaboration

  6. Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra

  7. Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale

  8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza

  9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID

  10. Convertire gli account guest locali in account guest Microsoft Entra B2B