Informazioni sulle verifiche di accesso
Le verifiche di accesso di Microsoft Entra ID, parte di Microsoft Entra, consentono alle organizzazioni di gestire in modo efficiente l'appartenenza a gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruoli. L'accesso degli utenti può essere esaminato regolarmente per assicurarsi che solo le persone giuste abbiano accesso continuo.
Il video seguente presenta una rapida panoramica delle verifiche di accesso:
Perché le verifiche di accesso sono importanti?
Microsoft Entra ID consente di collaborare con gli utenti dall'interno dell'organizzazione e con utenti esterni. Gli utenti possono partecipare a gruppi, invitare utenti guest, connettersi alle app cloud e lavorare in remoto dal proprio lavoro o dai propri dispositivi personali. La praticità di utilizzo delle funzionalità self-service ha determinato l'esigenza di migliori funzionalità di gestione degli accessi.
- Quando vengono assunti nuovi dipendenti, come è possibile garantire che abbiano i diritti di accesso appropriati per lavorare in modo produttivo?
- Quando le persone passano da un team a un altro o lasciano l'azienda, come è possibile garantire che il loro precedente accesso venga rimosso?
- Diritti di accesso eccessivi possono causare compromissioni.
- Un diritto di accesso eccessivo può anche condurre risultati di controllo in quanto indicano una mancanza di controllo sull'accesso.
- È necessario coinvolgere in modo proattivo i proprietari delle risorse per assicurarsi che verifichino regolarmente chi può accedere alle loro risorse.
Quando è consigliabile usare le verifiche di accesso?
- Troppi utenti nei ruoli con privilegi: è opportuno verificare quanti utenti hanno accesso amministrativo, quanti sono amministratori globali e se sono presenti utenti guest o partner invitati che non sono stati rimossi dopo l'assegnazione a un'attività amministrativa. È possibile ricertificare gli utenti dell'assegnazione di ruolo nei ruoli di Microsoft Entra, ad esempio global Amministrazione istrators o ruoli delle risorse di Azure, ad esempio User Access Amministrazione istrator nell'esperienza Microsoft Entra Privileged Identity Management (PIM).
- Quando l'automazione non è possibile: È possibile creare regole per l'appartenenza dinamica ai gruppi di sicurezza o a Gruppi di Microsoft 365, ma cosa succede se i dati delle risorse umane non si trovano in Microsoft Entra ID o se gli utenti necessitano ancora dell'accesso dopo aver lasciato il gruppo per contribuire a formare i loro sostituti? È quindi possibile creare una verifica su tale gruppo per assicurarsi che gli utenti che hanno ancora bisogno di accesso mantengano l'accesso.
- Quando un gruppo viene usato per un nuovo scopo: se si dispone di un gruppo che verrà sincronizzato con Microsoft Entra ID o se si prevede di abilitare l'applicazione Salesforce per tutti gli utenti del gruppo sales team, sarebbe utile chiedere al proprietario del gruppo di esaminare l'appartenenza al gruppo prima che il gruppo venga usato in un contenuto di rischio diverso.
- Accesso ai dati business critical: per determinate risorse, ad esempio applicazioni business critical, potrebbe essere necessario come parte dei processi di conformità per chiedere alle persone di riconfermare regolarmente e fornire una giustificazione sul motivo per cui hanno bisogno di accesso continuo.
- Per mantenere l'elenco eccezioni dei criteri: in una situazione ideale, tutti gli utenti seguono gli stessi criteri di accesso per proteggere l'accesso alle risorse dell'organizzazione. Esistono tuttavia casi aziendali che richiedono di introdurre eccezioni. L'amministratore IT può gestire questa attività, evitare problemi di supervisione delle eccezioni dei criteri e fornire ai revisori una prova che queste eccezioni vengono esaminate periodicamente.
- Chiedere ai proprietari di un gruppo di confermare che necessitano ancora di guest: L'accesso dei dipendenti potrebbe essere automatizzato con altre funzionalità di gestione delle identità e degli accessi, ad esempio flussi di lavoro del ciclo di vita basati su dati provenienti da un'origine HR, ma questo non si applica agli utenti guest invitati. Se un gruppo assegna a utenti guest l'accesso a contenuti aziendali sensibili, è responsabilità del proprietario del gruppo confermare che gli utenti abbiano ancora un'esigenza aziendale legittima per tale accesso.
- Impostare verifiche periodiche: È possibile configurare verifiche di accesso periodiche i in base a una frequenza specifica, ad esempio settimanale, mensile, trimestrale o annuale, e i revisori riceveranno una notifica all'inizio di ogni verifica. I revisori possono approvare o negare l'accesso con un'interfaccia utente semplice da usare e con l'aiuto di consigli intelligenti.
Nota
Se si è pronti per provare le verifiche di accesso, vedere Creare una verifica di accesso dei gruppi o delle applicazioni.
Dove si creano le verifiche?
A seconda di ciò che si vuole esaminare, è possibile creare la verifica di accesso nelle verifiche di accesso, nelle app aziendali Di Microsoft Entra, in PIM o nella gestione entitlement.
| Diritti di accesso degli utenti | I revisori possono essere | Verifica creata il | Esperienza del revisore |
|---|---|---|---|
| Membri del gruppo di sicurezzaMembri del gruppo Office | Revisori specificatiProprietari del gruppoAuto-revisione | verifichedi accesso ai gruppi di Microsoft Entra | Pannello di accesso |
| Assegnati a un'app connessa | Revisori specificatiAuto-revisione | verifichedi accesso alle app Aziendali di Microsoft Entra | Pannello di accesso |
| Ruolo Microsoft Entra | Revisori specificatiAuto-revisione | PIM | Interfaccia di amministrazione di Microsoft Entra |
| Ruolo delle risorse di Azure | Revisori specificatiAuto-revisione | PIM | Interfaccia di amministrazione di Microsoft Entra |
| Assegnazioni di pacchetti di accesso | Revisori specificatiMembri del gruppoAuto-revisione | gestione entitlement | Pannello di accesso |
Requisiti di licenza
L'uso di questa funzionalità richiede l'abbonamento a Governance di Microsoft Entra ID per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2. Per altri dettagli, vedere gli articoli su ogni funzionalità. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance degli ID di Microsoft Entra ID.
Nota
La creazione di una recensione sugli utenti inattivi e con raccomandazioni di affiliazione da utente a gruppo richiede una licenza di governance di Microsoft Entra ID.
Passaggi successivi
- Preparare la verifica dell'accesso degli utenti a un'applicazione
- Creare una verifica di accesso di gruppi o applicazioni
- Creare una verifica di accesso degli utenti in un ruolo amministrativo di Microsoft Entra
- Verificare l'accesso a gruppi o applicazioni
- Completare una verifica di accesso di gruppi o applicazioni