Creare una verifica di accesso delle risorse di Azure e dei ruoli di Microsoft Entra in PIM
La necessità di accedere ai ruoli con privilegi delle risorse di Azure e di Microsoft Entra da parte degli utenti cambia nel tempo. Per ridurre il rischio associato ad assegnazioni di ruolo obsolete, è consigliabile verificare regolarmente l'accesso. È possibile usare Microsoft Entra Privileged Identity Management (PIM) per creare verifiche di accesso per l'accesso con privilegi ai ruoli delle risorse di Azure e di Microsoft Entra. È anche possibile configurare verifiche di accesso ricorrenti che vengono eseguite automaticamente. Questo articolo illustra come creare una o più verifiche di accesso.
Prerequisiti
Per usare Privileged Identity Management occorrono le licenze. Per altre informazioni sulle licenze, vedere Nozioni fondamentali sulla gestione delle licenze di Microsoft Entra ID Governance.
Per altre informazioni sulle licenze per PIM, vedere Requisiti di licenza per l'uso di Privileged Identity Management.
Per creare verifiche di accesso per le risorse di Azure è necessario essere assegnati al ruolo Proprietario o Amministratore accesso utenti per le risorse di Azure. Per creare verifiche di accesso per i ruoli di Microsoft Entra, è necessario assegnare almeno il ruolo ruolo con privilegi Amministrazione istrator.
L'uso delle verifiche di accesso per le entità servizio richiede un piano ID dei carichi di lavoro di Microsoft Entra Premium oltre a una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance.
- Licenze di Identità dei carichi di lavoro Premium: È possibile visualizzare e acquisire le licenze nel pannello Identità dei carichi di lavoro dell'interfaccia di amministrazione di Microsoft Entra.
Nota
Le verifiche di accesso acquisiscono uno snapshot dell'accesso all'inizio di ogni istanza di verifica. Tutte le modifiche apportate durante il processo di verifica verranno riflesse nel ciclo di verifica successivo. In pratica, all'inizio di ogni nuova ricorrenza, vengono recuperati i dati pertinenti relativi agli utenti, alle risorse in fase di verifica e ai rispettivi revisori.
Creare verifiche di accesso
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedere all'interfaccia di amministrazione di Microsoft Entra come utente assegnato a uno dei ruoli prerequisiti.
Passare a Identity Governance>Privileged Identity Management.
Per i ruoli di Microsoft Entra selezionare Ruoli di Microsoft Entra. Per le risorse di Azure selezionare Risorse di Azure
Per i ruoli di Microsoft Entra selezionare di nuovo ruoli di Microsoft Entra in Gestisci. Per le risorse di Azure selezionare la sottoscrizione che si vuole gestire.
In Gestisci selezionare Verifiche di accesso e quindi selezionare Nuova per creare una nuova verifica di accesso.
Assegnare un nome alla verifica di accesso. Facoltativamente è possibile assegnare una descrizione alla verifica. Il nome e la descrizione vengono visualizzati dai revisori.
Impostare un valore per Data di inizio. Per impostazione predefinita, la verifica di accesso viene eseguita una sola volta, viene avviata lo stesso giorno in cui viene creata e termina entro un mese. È possibile cambiare le date di inizio e di fine per iniziare la verifica di accesso in futuro e impostare la durata sul numero di giorni desiderato.
Per rendere ricorrente la verifica di accesso, modificare l'impostazione Frequenza da Singola a Settimanale, Mensile, Trimestrale o Annuale o Semestrale. Usare il dispositivo di scorrimento Durata o la casella di testo per definire il numero di giorni per cui ogni revisione della serie ricorrente verrà aperta per l'input dai revisori. La durata massima che è possibile impostare per una verifica mensile, ad esempio, è di 27 giorni, per evitare la sovrapposizione delle verifiche.
Usare l'impostazione Fine per specificare come terminare la serie di verifiche di accesso ricorrenti. La serie può terminare in tre modi: può essere eseguita in modo continuo per avviare le verifiche per un periodo illimitato o fino a una data specifica oppure terminare dopo che è stato completato un numero definito di occorrenze. L'utente o un altro amministratore che può gestire le revisioni può arrestare la serie dopo la creazione modificando la data in Impostazioni, in modo che termini in tale data.
Nella sezione Ambito utenti selezionare l'ambito della revisione. Per i ruoli di Microsoft Entra, la prima opzione di ambito è Utenti e gruppi. In questa selezione verranno inclusi gli utenti assegnati direttamente e i gruppi assegnabili a ruoli. Per i ruoli delle risorse di Azure, il primo ambito sarà Utenti. Quando si usa questa selezione, i gruppi assegnati ai ruoli delle risorse di Azure vengono espansi in modo che nella verifica compaiano le assegnazioni utente transitive. È anche possibile selezionare Entità servizio per esaminare gli account del computer con accesso diretto alla risorsa di Azure o al ruolo Microsoft Entra.
In alternativa, è possibile creare verifiche di accesso solo per gli utenti inattivi. Nella sezione Ambito utenti impostare gli utenti inattivi (a livello di tenant) solo su true. Se l'interruttore è impostato su true, l'ambito della revisione sarà incentrato solo sugli utenti inattivi. Specificare quindi Giorni inattivi con un numero di giorni inattivi fino a 730 giorni (due anni). Gli utenti inattivi per il numero specificato di giorni saranno gli unici inclusi nella verifica.
In Rivedi l'appartenenza ai ruoli selezionare la risorsa di Azure con privilegi o i ruoli di Microsoft Entra da esaminare.
Nota
Se si seleziona più di un ruolo, vengono create più verifiche di accesso. Se ad esempio si selezionano cinque ruoli, vengono create cinque verifiche di accesso separate.
In Tipo di assegnazione definire l'ambito della verifica in base al modo in cui l'entità è stata assegnata al ruolo. Scegliere assegnazioni idonee solo per esaminare le assegnazioni idonee (indipendentemente dallo stato di attivazione quando viene creata la verifica) o le assegnazioni attive solo per esaminare le assegnazioni attive. Scegliere tutte le assegnazioni attive e idonee per esaminare tutte le assegnazioni indipendentemente dal tipo.
Nella sezione Revisori selezionare una o più persone per la verifica di tutti gli utenti. In alternativa è possibile fare in modo che i membri verifichino il proprio accesso.
- Utenti selezionati: usare questa opzione per designare un utente specifico per il completamento della verifica. Questa opzione è disponibile indipendentemente dall'ambito della verifica e i revisori selezionati possono sottoporre a verifica utenti, gruppi ed entità servizio.
- Membri (autonomo): usare questa opzione per fare in modo che gli utenti verifichino le proprie assegnazioni di ruolo. Questa opzione è disponibile solo se l'ambito della revisione è Utenti e gruppi o Utenti. Per i ruoli di Microsoft Entra, i gruppi assegnabili a ruoli non faranno parte della revisione quando questa opzione è selezionata.
- Manager: usare questa opzione per fare in modo che il manager dell'utente ne verifichi l'assegnazione di ruolo. Questa opzione è disponibile solo se l'ambito della revisione è Utenti e gruppi o Utenti. Quando si seleziona Manager, sarà anche possibile specificare un revisore di fallback. Ai revisori di fallback viene chiesto di eseguire una verifica su un utente quando l'utente non ha un manager specificato nella directory. Per i ruoli di Microsoft Entra, i gruppi assegnabili ai ruoli verranno esaminati dal revisore di fallback, se selezionato.
Impostazioni al completamento
Per specificare cosa succede dopo il completamento di una verifica, espandere la sezione Impostazioni al completamento.
Se si vuole rimuovere automaticamente l'accesso per gli utenti rifiutati, impostare l'opzione Applica automaticamente i risultati alla risorsa su Abilita. Per applicare manualmente i risultati al termine della verifica, impostare l'opzione su Disabilita.
Usare l'elenco Se il revisore non risponde per specificare cosa accade agli utenti che non vengono esaminati dal revisore entro il periodo di revisione. Questa impostazione non influisce sugli utenti che sono stati esaminati dai revisori.
- Nessuna modifica: non viene apportata alcuna modifica all'accesso dell'utente
- Rimuovi accesso: l'accesso dell'utente viene rimosso
- Approva accesso: l'accesso dell'utente viene approvato
- Accetta i consigli: vengono applicati i consigli del sistema per rifiutare o approvare l'accesso continuo dell'utente
Usare l'azione per applicare l'elenco utenti guest negati per specificare cosa accade per gli utenti guest negati. Questa impostazione non è modificabile per microsoft Entra ID e le revisioni dei ruoli delle risorse di Azure in questo momento; gli utenti guest, come tutti gli utenti, perderanno sempre l'accesso alla risorsa se negata.
È possibile inviare notifiche ad altri utenti o gruppi per ricevere aggiornamenti sul completamento della verifica. Questa funzionalità consente agli stakeholder diversi dall'autore della verifica di restare aggiornati sullo stato di avanzamento della verifica. Per usare questa funzionalità, selezionare Seleziona utenti o gruppi e aggiungere un altro utente o gruppo al momento della ricezione dello stato di completamento.
Impostazioni avanzate
Per specificare impostazioni aggiuntive, espandere la sezione Impostazioni avanzate.
Impostare Mostra i consigli su Abilita per mostrare ai revisori i consigli del sistema basati sulle informazioni di accesso dell'utente. Consigli si basano su un periodo di 30 giorni. Gli utenti che hanno eseguito l'accesso negli ultimi 30 giorni vengono visualizzati con l'approvazione consigliata dell'accesso, mentre gli utenti che non hanno eseguito l'accesso vengono visualizzati con la negazione consigliata dell'accesso. Il fatto che questi accessi siano stati o meno interattivi è irrilevante. Insieme al consiglio viene visualizzato anche l'ultimo accesso dell'utente.
Impostare Richiedi il motivo all'approvazione su Abilita per richiedere al revisore di specificare un motivo per l'approvazione.
Impostare Notifiche tramite posta elettronica su Abilita per fare in modo che Microsoft Entra ID invii notifiche tramite posta elettronica ai revisori all'avvio di una verifica di accesso e agli amministratori al completamento di una verifica.
Impostare Promemoria su Abilita per fare in modo che Microsoft Entra ID invii promemoria delle verifiche di accesso in corso ai revisori che non hanno completato la verifica.
Il contenuto del messaggio di posta elettronica inviato ai revisori viene generato automaticamente in base ai dettagli della revisione, ad esempio il nome della recensione, il nome della risorsa, la data di scadenza e così via. Se è necessario un modo per comunicare informazioni aggiuntive, ad esempio istruzioni aggiuntive o informazioni di contatto, è possibile specificare questi dettagli nel contenuto aggiuntivo per il messaggio di posta elettronica del revisore che verrà incluso nei messaggi di posta elettronica di invito e promemoria inviati ai revisori assegnati. La sezione evidenziata di seguito è la posizione in cui verranno visualizzate queste informazioni.
Gestire la verifica di accesso
È possibile tenere traccia dello stato di avanzamento man mano che i revisori completano le revisioni nella pagina Panoramica della verifica di accesso. Nessun diritto di accesso viene modificato nella directory fino al completamento della verifica. Di seguito è riportato uno screenshot che mostra la pagina di panoramica per le risorse di Azure e le verifiche di accesso ai ruoli di Microsoft Entra.
Se si tratta di una verifica una tantum, dopo che il periodo di verifica di accesso è terminato o l'amministratore interrompe la verifica di accesso, seguire la procedura descritta in Completare una verifica di accesso delle risorse di Azure e dei ruoli di Microsoft Entra per visualizzare e applicare i risultati.
Per gestire una serie di verifiche di accesso, passare alla verifica di accesso e trovare le occorrenze future nelle verifiche pianificate e modificare la data di fine o aggiungere/rimuovere revisori di conseguenza.
In base alle selezioni in Al termine delle impostazioni, l'applicazione automatica verrà eseguita dopo la data di fine della revisione o quando si arresta manualmente la revisione. Lo stato della revisione passerà da Completato a stati intermedi, ad esempio Applicazione e infine allo stato Applicato. È consigliabile che vengano visualizzati utenti negati, se presenti, rimossi dai ruoli in pochi minuti.
Impatto dei gruppi assegnati ai ruoli di Microsoft Entra e ai ruoli delle risorse di Azure nelle verifiche di accesso
• Per i ruoli di Microsoft Entra, i gruppi assegnabili a ruoli possono essere assegnati al ruolo usando gruppi assegnabili a ruoli. Quando viene creata una revisione in un ruolo Microsoft Entra con gruppi assegnabili a ruoli assegnati, il nome del gruppo viene visualizzato nella verifica senza espandere l'appartenenza al gruppo. Il revisore può approvare o negare l'accesso dell'intero gruppo al ruolo. I gruppi negati perderanno l'assegnazione al ruolo quando vengono applicati i risultati della revisione.
• Per i ruoli delle risorse di Azure, qualsiasi gruppo di sicurezza può essere assegnato al ruolo. Quando viene creata una verifica in un ruolo risorsa di Azure con un gruppo di sicurezza assegnato, gli utenti assegnati a tale gruppo di sicurezza verranno espansi completamente e visualizzati al revisore del ruolo. Quando un revisore nega un utente assegnato al ruolo tramite il gruppo di sicurezza, l'utente non verrà rimosso dal gruppo. Ciò è dovuto al fatto che un gruppo potrebbe essere stato condiviso con altre risorse di Azure o non di Azure. Pertanto, le modifiche risultanti dall'accesso negato devono essere eseguite dall'amministratore.
Nota
È possibile che a un gruppo di sicurezza siano assegnati altri gruppi. In questo caso, solo gli utenti assegnati direttamente al gruppo di sicurezza assegnato al ruolo verranno visualizzati nella revisione del ruolo.
Aggiornare la verifica di accesso
Dopo l'avvio di una o più verifiche di accesso, è possibile modificare o aggiornare le impostazioni delle verifiche di accesso esistenti. Ecco alcuni scenari comuni da considerare:
Aggiunta e rimozione di revisori : quando si aggiornano le verifiche di accesso, è possibile scegliere di aggiungere un revisore di fallback oltre al revisore primario. I revisori primari possono essere rimossi durante l'aggiornamento di una verifica di accesso. Tuttavia, i revisori di fallback non sono rimovibili per impostazione predefinita.
Nota
I revisori di fallback possono essere aggiunti solo quando il tipo di revisore è manager. I revisori primari possono essere aggiunti quando è selezionato il tipo di revisore.
Promemoria dei revisori: quando si aggiornano le verifiche di accesso, è possibile scegliere di abilitare l'opzione promemoria in Advanced Impostazioni. Una volta abilitato, gli utenti riceveranno una notifica tramite posta elettronica al punto intermedio del periodo di revisione, indipendentemente dal fatto che abbiano completato o meno la revisione.
Aggiornamento delle impostazioni : se una verifica di accesso è ricorrente, esistono impostazioni separate in "Current" rispetto a "Series". L'aggiornamento delle impostazioni in "Corrente" applicherà solo le modifiche alla verifica di accesso corrente durante l'aggiornamento delle impostazioni in "Serie" aggiornerà l'impostazione per tutte le ricorrenze future.