Domande frequenti sulle identità gestite per le risorse di Azure - Azure AD

Le identità gestite per le risorse di Azure sono una funzionalità di Azure Active Directory. Tutti i servizi di Azure che supportano le identità gestite per le risorse di Azure sono soggetti alla sequenza temporale di tali entità. Prima di iniziare, assicurarsi di esaminare lo stato di disponibilità delle identità gestite per la risorsa e i problemi noti.

Nota

Identità gestite per le risorse di Azure è il nuovo nome per il servizio precedentemente noto come identità del servizio gestita.

Amministrazione

Come è possibile trovare le risorse con un'identità gestita?

È possibile trovare l'elenco delle risorse con un'identità gestita assegnata dal sistema usando il comando dell'interfaccia della riga di comando di Azure seguente:

az resource list --query "[?identity.type=='SystemAssigned'].{Name:name,  principalId:identity.principalId}" --output table

Quali autorizzazioni di Controllo degli accessi in base al ruolo di Azure sono necessarie per usare un'identità gestita in una risorsa?

  • Identità gestita assegnata dal sistema: Sono necessarie autorizzazioni di scrittura per la risorsa. Ad esempio, per le macchine virtuali occorre Microsoft.Compute/virtualMachines/write. Questa azione è inclusa in ruoli predefiniti specifici della risorsa come Collaboratore Macchina virtuale.
  • Assegnazione di identità gestite assegnate dall'utente alle risorse: sono necessarie autorizzazioni di scrittura sulla risorsa. Ad esempio, per le macchine virtuali occorre Microsoft.Compute/virtualMachines/write. È anche necessaria Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action un'azione sull'identità assegnata dall'utente. Questa azione è inclusa nel ruolo predefinito Operatore di identità gestita .
  • Gestione delle identità assegnate dall'utente: per creare o eliminare identità gestite assegnate dall'utente, è necessaria l'assegnazione di ruolo Collaboratore identità gestita .
  • Gestione delle assegnazioni di ruolo per le identità gestite: è necessaria l'assegnazione di ruolo Proprietario o Amministratore accesso utenti sulla risorsa a cui si concede l'accesso. È necessaria l'assegnazione di ruolo Lettore alla risorsa con un'identità assegnata dal sistema o all'identità assegnata dall'utente a cui viene assegnata l'assegnazione di ruolo. Se non si dispone dell'accesso in lettura, è possibile cercare in base a "Utente, gruppo o entità servizio" per trovare l'entità servizio di supporto dell'identità, anziché eseguire ricerche in base all'identità gestita durante l'aggiunta dell'assegnazione di ruolo. Altre informazioni sull'assegnazione dei ruoli di Azure.

Ricerca per categorie impedire la creazione di identità gestite assegnate dall'utente?

È possibile impedire agli utenti di creare identità gestite assegnate dall'utente usando Criteri di Azure

  1. Passare alla portale di Azure e passare a Criteri.

  2. Scegliere definizioni

  3. Selezionare + Definizione dei criteri e immettere le informazioni necessarie.

  4. Nella sezione regola dei criteri incollare:

    {
      "mode": "All",
      "policyRule": {
        "if": {
          "field": "type",
          "equals": "Microsoft.ManagedIdentity/userAssignedIdentities"
        },
        "then": {
          "effect": "deny"
        }
      },
      "parameters": {}
    }
    
    

Dopo aver creato il criterio, assegnarlo al gruppo di risorse che si vuole usare.

  1. Passare ai gruppi di risorse.
  2. Trovare il gruppo di risorse usato per il test.
  3. Scegliere Criteri dal menu a sinistra.
  4. Selezionare Assegna criterio
  5. Nella sezione Informazioni di base specificare:
    1. Ambito Gruppo di risorse usato per i test
    2. Definizione dei criteri: criteri creati in precedenza.
  6. Lasciare tutte le altre impostazioni predefinite e scegliere Rivedi e crea

A questo punto, qualsiasi tentativo di creare un'identità gestita assegnata dall'utente nel gruppo di risorse avrà esito negativo.

Violazione dei criteri

Concetti

Le identità gestite hanno un oggetto app di backup?

No. Le identità gestite e le registrazioni delle app di Azure AD non sono la stessa cosa nella directory.

Registrazioni app hanno due componenti: un oggetto Application e un oggetto entità servizio. Le identità gestite per le risorse di Azure hanno solo uno di questi componenti: un oggetto entità servizio.

Le identità gestite non hanno un oggetto applicazione nella directory, che viene comunemente usato per concedere le autorizzazioni dell'app per MS Graph. Al contrario, le autorizzazioni del grafo MS per le identità gestite devono essere concesse direttamente all'entità servizio.

Qual è la credenziale associata a un'identità gestita? Quanto tempo è valido e con quale frequenza viene ruotata?

Nota

La modalità di autenticazione delle identità gestite è un dettaglio di implementazione interno soggetto a modifiche senza preavviso.

Le identità gestite usano l'autenticazione basata su certificati. Le credenziali di ogni identità gestita hanno una scadenza di 90 giorni e vengono implementate dopo 45 giorni.

Quale identità sarà predefinita da IMDS se non si specifica l'identità nella richiesta?

  • Se l'identità gestita assegnata dal sistema è abilitata e non viene specificata alcuna identità nella richiesta, l'impostazione predefinita del servizio metadati dell'istanza di Azure viene impostata sull'identità gestita assegnata dal sistema.
  • Se l'identità gestita assegnata dal sistema non è abilitata e esiste solo un'identità gestita assegnata dall'utente, per impostazione predefinita IMDS viene assegnata a tale identità gestita assegnata dall'utente.
  • Se l'identità gestita assegnata dal sistema non è abilitata e esistono più identità gestite assegnate dall'utente, è necessario specificare un'identità gestita nella richiesta.

Limitazioni

È possibile usare la stessa identità gestita in più aree?

In breve, sì, è possibile usare le identità gestite assegnate dall'utente in più di un'area di Azure. La risposta più lunga è che, mentre le identità gestite assegnate dall'utente vengono create come risorse regionali, l'entità servizio associata creata in Azure AD è disponibile a livello globale. L'entità servizio può essere usata da qualsiasi area di Azure e la relativa disponibilità dipende dalla disponibilità di Azure AD. Ad esempio, se è stata creata un'identità gestita assegnata dall'utente nell'area South-Central e tale area diventa non disponibile, questo problema influisce solo sulle attività del piano di controllo sull'identità gestita stessa. Le attività eseguite da qualsiasi risorsa già configurata per l'uso delle identità gestite non saranno interessate.

Le identità gestite per le risorse di Azure funzionano con Azure Servizi cloud (versione classica)?

Le identità gestite per le risorse di Azure non hanno attualmente il supporto per Azure Servizi cloud (versione classica).

Cosa si intende per limite di sicurezza delle identità gestite per le risorse di Azure?

Il limite di sicurezza dell'identità è la risorsa a cui è associata. Ad esempio, il limite di sicurezza per una macchina virtuale con identità gestite per le risorse di Azure abilitate è la macchina virtuale. Qualsiasi codice in esecuzione in tale macchina virtuale è in grado di chiamare l'endpoint delle identità gestite e richiedere i token. L'esperienza è simile quando si usano altre risorse che supportano le identità gestite.

Le identità gestite saranno ricreate automaticamente se si sposta una sottoscrizione in un'altra directory?

No. Se si sposta una sottoscrizione in un'altra directory, è necessario ricrearle manualmente e concedere di nuovo assegnazioni di ruolo di Azure.

  • Per le identità gestite assegnate dal sistema: disabilitare e abilitare di nuovo.
  • Per le identità gestite assegnate dall'utente: eliminare, ricreare e collegare nuovamente alle risorse necessarie (ad esempio macchine virtuali)

È possibile usare un'identità gestita per accedere a risorse in tenant/directory diversi?

No. Le identità gestite attualmente non supportano gli scenari tra directory.

Esistono limiti di velocità per le identità gestite?

I limiti delle identità gestite hanno dipendenze dai limiti dei servizi di Azure, dai limiti del servizio metadati dell'istanza di Azure e dai limiti del servizio Azure Active Directory.

  • I limiti dei servizi di Azure definiscono il numero di operazioni di creazione che possono essere eseguite a livello di tenant e sottoscrizione. Le identità gestite assegnate dall'utente presentano anche limitazioni relative al modo in cui possono essere denominate.
  • IMDS In generale, le richieste a IMDS sono limitate a cinque richieste al secondo. Le richieste che superano questa soglia verranno rifiutate con risposte 429. Le richieste alla categoria Identità gestita sono limitate a 20 richieste al secondo e 5 richieste simultanee. Per altre informazioni, vedere l'articolo Servizio metadati dell'istanza di Azure (Windows).
  • Servizio Azure Active Directory Ogni identità gestita viene conteggiato per il limite di quota di oggetti in un tenant di Azure AD, come descritto in Limiti e restrizioni del servizio Azure AD.

È possibile spostare un'identità gestita assegnata dall'utente in un gruppo di risorse/sottoscrizione diverso?

Lo spostamento di un'identità gestita assegnata dall'utente in un gruppo di risorse diverso non è supportato.

I token delle identità gestite vengono memorizzati nella cache?

I token di identità gestiti vengono memorizzati nella cache dall'infrastruttura di Azure sottostante a scopo di prestazioni e resilienza: i servizi back-end per le identità gestite mantengono una cache per ogni URI di risorsa per circa 24 ore. L'applicazione delle autorizzazioni di un'identità gestita può richiedere diverse ore, ad esempio. Attualmente non è possibile forzare l'aggiornamento del token di un'identità gestita prima della scadenza. Per altre informazioni, vedere Limitazione dell'uso delle identità gestite per l'autorizzazione.

Cosa accade ai token dopo l'eliminazione di un'identità gestita?

Quando viene eliminata un'identità gestita, una risorsa di Azure precedentemente associata a tale identità non può più richiedere nuovi token per tale identità. I token rilasciati prima dell'eliminazione dell'identità saranno ancora validi fino alla scadenza originale. Alcuni sistemi di autorizzazione degli endpoint di destinazione possono eseguire controlli aggiuntivi nella directory per l'identità, nel qual caso la richiesta avrà esito negativo perché l'oggetto non viene trovato. Tuttavia, alcuni sistemi, come il controllo degli accessi in base al ruolo di Azure, continueranno ad accettare richieste da tale token fino alla scadenza.

Passaggi successivi