Come Microsoft Entra ID offre la gestione gestita dal cloud per i carichi di lavoro locali

Microsoft Entra ID è una soluzione IDaaS (Identity as a Service) completa usata da milioni di organizzazioni che riguardano tutti gli aspetti dell'identità, della gestione degli accessi e della sicurezza. Microsoft Entra ID contiene più di un miliardo di identità utente e consente agli utenti di accedere e accedere in modo sicuro a entrambi:

• Risorse esterne, ad esempio Microsoft 365, l'interfaccia di amministrazione di Microsoft Entra e migliaia di altre applicazioni SaaS (Software-as-a-Service).
• Risorse interne, ad esempio applicazioni nella rete aziendale e nella intranet di un'organizzazione, insieme a qualsiasi applicazione cloud sviluppata da tale organizzazione.

Le organizzazioni possono usare Microsoft Entra ID se sono "cloud puro" o come distribuzione "ibrida" se hanno carichi di lavoro locali. Una distribuzione ibrida di Microsoft Entra ID può far parte di una strategia per un'organizzazione per eseguire la migrazione degli asset IT al cloud o per continuare a integrare l'infrastruttura locale esistente insieme a nuovi servizi cloud.

Storicamente, le organizzazioni "ibride" hanno visto Microsoft Entra ID come estensione dell'infrastruttura locale esistente. In queste distribuzioni, l'amministrazione di Identity Governance locale, Windows Server Active Directory o altri sistemi directory interni, sono i punti di controllo e gli utenti e i gruppi vengono sincronizzati da tali sistemi a una directory cloud, ad esempio Microsoft Entra ID. Una volta che queste identità sono nel cloud, possono essere rese disponibili a Microsoft 365, Azure e altre applicazioni.

Man mano che le organizzazioni spostano più dell'infrastruttura IT insieme alle applicazioni nel cloud, molte cercano le funzionalità di gestione semplificate e della sicurezza migliorate della gestione delle identità distribuita come servizio. Le funzionalità IDaaS fornite dal cloud in Microsoft Entra ID accelerano la transizione alla gestione gestita dal cloud fornendo le soluzioni e le funzionalità che consentono alle organizzazioni di adottare e spostare rapidamente la gestione delle identità dai sistemi locali tradizionali all'ID Microsoft Entra, continuando a supportare le applicazioni esistenti e nuove.

Questo documento descrive la strategia di Microsoft per IDaaS ibrido e descrive come le organizzazioni possono usare l'ID Microsoft Entra per le applicazioni esistenti.

L'approccio Microsoft Entra ID alla gestione delle identità regolamentata dal cloud

Man mano che le organizzazioni passano al cloud, hanno bisogno di garanzie che abbiano controlli sull'ambiente completo, maggiore sicurezza e maggiore visibilità sulle attività, supportate dall'automazione e informazioni dettagliate proattive. "Gestione gestita dal cloud" descrive come le organizzazioni gestiscono e regolano gli utenti, le applicazioni, i gruppi e i dispositivi dal cloud.

In questo mondo moderno, le organizzazioni devono essere in grado di gestire in modo efficace su larga scala, a causa della proliferazione di applicazioni SaaS e del ruolo crescente di collaborazione e identità esterne. Il nuovo panorama dei rischi del cloud significa che un'organizzazione deve essere più reattiva: un attore malintenzionato che compromette un utente cloud potrebbe influire sulle applicazioni cloud e locali.

In particolare, le organizzazioni ibride devono essere in grado di delegare e automatizzare le attività, che storicamente l'IT ha eseguito manualmente. Per automatizzare le attività, hanno bisogno di API e processi che orchestrano il ciclo di vita delle diverse risorse correlate all'identità (utenti, gruppi, applicazioni, dispositivi), in modo da poter delegare la gestione quotidiana di tali risorse a più utenti esterni al personale IT principale. Microsoft Entra ID soddisfa questi requisiti tramite la gestione degli account utente e l'autenticazione nativa per gli utenti senza richiedere l'infrastruttura di identità locale. Non creare un'infrastruttura locale può trarre vantaggio dalle organizzazioni che dispongono di nuove community di utenti, ad esempio partner aziendali, che non hanno avuto origine nella directory locale, ma la cui gestione degli accessi è fondamentale per ottenere risultati aziendali.

Inoltre, la gestione non è completa senza governance --- e governance in questo nuovo mondo è una parte integrata del sistema di gestione delle identità anziché un componente aggiuntivo. La governance delle identità offre alle organizzazioni la possibilità di gestire l'identità e il ciclo di vita degli accessi tra dipendenti, partner commerciali e fornitori e servizi e applicazioni.

L'incorporamento della governance delle identità semplifica la transizione dell'organizzazione alla gestione gestita dal cloud, consente al settore IT di ridimensionare, affrontare nuove sfide con i guest e offre informazioni dettagliate e automazione più approfondite rispetto a quelle che i clienti avevano con l'infrastruttura locale. La governance in questo nuovo mondo significa la capacità di un'organizzazione di avere trasparenza, visibilità e controlli appropriati sull'accesso alle risorse all'interno dell'organizzazione. Con Microsoft Entra ID, le operazioni di sicurezza e i team di controllo hanno visibilità su chi ha --- e chi deve avere: accesso alle risorse dell'organizzazione (su quali dispositivi), cosa stanno facendo gli utenti con tale accesso e se l'organizzazione ha e usa i controlli appropriati per rimuovere o limitare l'accesso in conformità ai criteri aziendali o normativi.

Il nuovo modello di gestione offre vantaggi alle organizzazioni con applicazioni SaaS e line-of-business (LOB), in quanto sono più facilmente in grado di gestire e proteggere l'accesso a tali applicazioni. Integrando le applicazioni con Microsoft Entra ID, le organizzazioni saranno in grado di usare e gestire l'accesso in modo coerente nelle identità sia cloud che locali. La gestione del ciclo di vita delle applicazioni diventa più automatizzata e Microsoft Entra ID fornisce informazioni dettagliate sull'utilizzo delle applicazioni che non è stato facilmente raggiungibile nella gestione delle identità locale. Tramite l'ID Microsoft Entra, i gruppi di Microsoft 365 e le funzionalità self-service di Teams, le organizzazioni possono creare facilmente gruppi per la gestione degli accessi e la collaborazione e aggiungere o rimuovere utenti nel cloud per abilitare i requisiti di collaborazione e gestione degli accessi.

La selezione delle funzionalità di Microsoft Entra appropriate per la gestione gestita dal cloud dipende dalle applicazioni da usare e dal modo in cui tali applicazioni verranno integrate con Microsoft Entra ID. Le sezioni seguenti illustrano gli approcci da adottare per le applicazioni integrate con ACTIVE Directory e le applicazioni che usano protocolli federati, ad esempio SAML, OAuth o OpenID Connessione.

Gestione gestita dal cloud per le applicazioni integrate in ACTIVE Directory

Microsoft Entra ID migliora la gestione delle applicazioni integrate Active Directory locale di un'organizzazione tramite accesso remoto sicuro e accesso condizionale a tali applicazioni. Inoltre, Microsoft Entra ID fornisce anche la gestione del ciclo di vita degli account e la gestione delle credenziali per gli account AD esistenti dell'utente, tra cui:

• Proteggere l'accesso remoto e l'accesso condizionale per le applicazioni locali

Per molte organizzazioni, il primo passaggio per la gestione dell'accesso dal cloud per applicazioni Web integrate ad AD e desktop remoto locali consiste nel distribuire il proxy dell'applicazione davanti a tali applicazioni per fornire l'accesso remoto sicuro.

Dopo un accesso singolo (SSO) ad Microsoft Entra ID, gli utenti possono accedere sia alle applicazioni nel cloud che a quelle locali tramite un URL esterno o un portale per le applicazioni interno. Ad esempio, Application Proxy fornisce l'accesso remoto e l'accesso Single Sign-On a Desktop remoto, SharePoint, nonché app come Tableau e Qlik e applicazioni line-of-business (LOB). Inoltre, i criteri di accesso condizionale possono includere la visualizzazione delle condizioni per l'utilizzo e la verifica che l'utente abbia accettato di accedervi prima di poter accedere a un'applicazione.

• Gestione automatica del ciclo di vita per gli account Active Directory

La governance delle identità consente alle organizzazioni di raggiungere un equilibrio tra produttività --- quanto rapidamente una persona può accedere alle risorse necessarie, ad esempio quando si uniscono all'organizzazione? --- e sicurezza --- in che modo l'accesso cambia nel tempo, ad esempio quando lo stato di occupazione di tale persona cambia? La gestione del ciclo di vita delle identità è la base per la governance delle identità e per una governance efficace su larga scala occorre modernizzare l'infrastruttura di gestione del ciclo di vita delle identità per le applicazioni.

Per molte organizzazioni, il ciclo di vita delle identità per i dipendenti è associato alla rappresentazione di tale utente in un sistema di gestione del capitale umano (HCM). Per le organizzazioni che usano Workday come sistema HCM, Microsoft Entra ID può garantire che venga effettuato automaticamente il provisioning e il deprovisioning degli account utente in AD per i lavoratori in Workday. In questo modo è possibile migliorare la produttività degli utenti tramite l'automazione degli account nati e gestire i rischi assicurando che l'accesso alle applicazioni venga aggiornato automaticamente quando un utente modifica i ruoli o lascia l'organizzazione. Il piano di distribuzione del provisioning utenti guidato da Workday è una guida dettagliata che illustra le organizzazioni attraverso le procedure consigliate di implementazione della soluzione Workday per il provisioning utenti di Active Directory in un processo in cinque passaggi.

Microsoft Entra ID P1 o P2 include anche Microsoft Identity Manager, che può importare record da altri sistemi HCM locali, tra cui SAP, Oracle eBusiness e Oracle Persone Soft.

La collaborazione business-to-business richiede sempre più di concedere l'accesso a persone esterne all'organizzazione. Microsoft Entra B2B Collaboration consente alle organizzazioni di condividere in modo sicuro le applicazioni e i servizi con utenti guest e partner esterni mantenendo al tempo stesso il controllo sui propri dati aziendali.

Microsoft Entra ID può creare automaticamente gli account in ACTIVE Directory per gli utenti guest in base alle esigenze, consentendo agli utenti guest aziendali di accedere alle applicazioni integrate in ACTIVE Directory locale senza richiedere un'altra password. Le organizzazioni possono configurare criteri di autenticazione a più fattori per gli utentiguest in modo che i controlli MFA vengano eseguiti durante l'autenticazione del proxy dell'applicazione. Inoltre, tutte le verifiche di accesso eseguite sugli utenti B2B cloud si applicano agli utenti locali. Ad esempio, se l'utente cloud viene eliminato tramite criteri di gestione del ciclo di vita, viene eliminato anche l'utente locale.

Gestione delle credenziali per gli account Active Directory

La reimpostazione della password self-service in Microsoft Entra ID consente agli utenti che hanno dimenticato le password di essere autenticate e reimpostate, con le password modificate scritte in Active Directory locale. Il processo di reimpostazione della password può anche usare i criteri password Active Directory locale: quando un utente reimposta la password, viene controllato per assicurarsi che soddisfi i criteri di Active Directory locale prima di eseguirne il commit in tale directory. Il piano di distribuzione per la reimpostazione della password self-service illustra le procedure consigliate per implementare la reimpostazione della password self-service agli utenti tramite esperienze Web e integrate in Windows.

Infine, per le organizzazioni che consentono agli utenti di modificare le password in AD, AD può essere configurato per l'uso degli stessi criteri password dell'organizzazione in Microsoft Entra ID tramite la funzionalità di protezione password di Microsoft Entra, attualmente in anteprima pubblica.

Quando un'organizzazione è pronta per spostare un'applicazione integrata in ACTIVE Directory nel cloud spostando il sistema operativo che ospita l'applicazione in Azure, Microsoft Entra Domain Services fornisce servizi di dominio compatibili con ACTIVE Directory( ad esempio aggiunta a un dominio, criteri di gruppo, LDAP e autenticazione Kerberos/NTLM). Microsoft Entra Domain Services si integra con il tenant Microsoft Entra esistente dell'organizzazione, consentendo agli utenti di accedere usando le proprie credenziali aziendali. Inoltre, i gruppi e gli account utente esistenti possono essere usati per proteggere l'accesso alle risorse, garantendo un "trasferimento in modalità lift-and-shift" più semplice delle risorse locali ai servizi dell'infrastruttura di Azure.

Gestione gestita dal cloud per applicazioni locali basate su federazione

Per un'organizzazione che usa già un provider di identità locale, lo spostamento delle applicazioni in Microsoft Entra ID consente un accesso più sicuro e un'esperienza amministrativa più semplice per la gestione della federazione. Microsoft Entra ID consente di configurare controlli di accesso granulari per applicazione, tra cui l'autenticazione a più fattori Microsoft Entra, tramite l'accesso condizionale Microsoft Entra. Microsoft Entra ID supporta altre funzionalità, inclusi i certificati di firma dei token specifici dell'applicazione e le date di scadenza del certificato configurabili. Queste funzionalità, strumenti e linee guida consentono alle organizzazioni di ritirare i provider di identità locali. L'IT di Microsoft, ad esempio, ha spostato 17.987 applicazioni da Active Directory Federation Services (AD FS) interno di Microsoft a Microsoft Entra ID.

Per iniziare la migrazione di applicazioni federate a Microsoft Entra ID come provider di identità, fare riferimento a https://aka.ms/migrateapps che include collegamenti a:

• Il white paper Migrazione delle applicazioni a Microsoft Entra ID, che presenta i vantaggi della migrazione e descrive come pianificare la migrazione in quattro fasi chiaramente delineate: individuazione, classificazione, migrazione e gestione continuativa. Verrà illustrato come considerare il processo e suddividere il progetto in parti facili da usare. Nel documento vengono forniti collegamenti a importanti risorse di supporto per l'utente durante il processo.

• La guida alla soluzione Migrazione dell'autenticazione dell'applicazione da Active Directory Federation Services a Microsoft Entra ID esplora in modo più dettagliato le stesse quattro fasi di pianificazione ed esecuzione di un progetto di migrazione dell'applicazione. In questa guida si apprenderà come applicare queste fasi all'obiettivo specifico di spostare un'applicazione da Active Directory Federation Services (AD FS) a Microsoft Entra ID.

• Lo script di preparazione della migrazione di Active Directory Federation Services può essere eseguito su server esistenti Active Directory locale Federation Services (AD FS) per determinare l'idoneità delle applicazioni per la migrazione a Microsoft Entra ID.

Gestione continua degli accessi tra applicazioni cloud e locali

Le organizzazioni necessitano di un processo per gestire l'accesso scalabile. Gli utenti continuano ad accumulare diritti di accesso e finiscono con oltre quello di cui è stato inizialmente effettuato il provisioning. Inoltre, le organizzazioni aziendali devono essere in grado di ridimensionare in modo efficiente lo sviluppo e l'applicazione di criteri di accesso e controlli in modo continuativo.

In genere, l'IT delega le decisioni in merito all'approvazione dell'accesso ai decision maker aziendali. Inoltre, l'IT può comprendere gli utenti stessi. Ad esempio, gli utenti che accedono a dati riservati dei clienti nell'applicazione di marketing di un'azienda in Europa devono conoscere i criteri dell'azienda. Gli utenti guest potrebbero anche non essere a conoscenza dei requisiti di gestione dei dati in un'organizzazione a cui sono stati invitati.

Le organizzazioni possono automatizzare il processo del ciclo di vita di accesso tramite tecnologie come i gruppi dinamici, insieme al provisioning utenti alle applicazioni SaaS o alle applicazioni integrate usando lo standard SCIM (System for Cross-Domain Identity Management). Le organizzazioni possono anche controllare quali utenti guest hanno accesso alle applicazioni locali. Questi diritti di accesso possono quindi essere esaminati regolarmente usando verifiche di accesso ricorrenti di Microsoft Entra.

Indicazioni future

Negli ambienti ibridi, la strategia di Microsoft consiste nell'abilitare le distribuzioni in cui il cloud è il piano di controllo per l'identità e le directory locali e altri sistemi di identità, ad esempio Active Directory e altre applicazioni locali, sono la destinazione per il provisioning degli utenti con accesso. Questa strategia continuerà a garantire i diritti, le identità e l'accesso in tali applicazioni e carichi di lavoro che si basano su di essi. A questo stato finale, le organizzazioni saranno in grado di favorire completamente la produttività degli utenti finali dal cloud.

Passaggi successivi

Per altre informazioni su come iniziare a usare questo percorso, vedere i piani di distribuzione di Microsoft Entra. Questi piani forniscono indicazioni end-to-end per la distribuzione delle funzionalità di Microsoft Entra. Ogni piano illustra il valore aziendale, le considerazioni sulla pianificazione, la progettazione e le procedure operative necessarie per implementare correttamente le funzionalità comuni di Microsoft Entra. Microsoft aggiorna continuamente i piani di distribuzione con le procedure consigliate apprese dalle distribuzioni dei clienti e altri commenti quando si aggiungono nuove funzionalità alla gestione dal cloud con Microsoft Entra ID.