Condividi tramite


Nozioni di base sulle identità per le organizzazioni di difesa multi-tenant

La guida seguente fornisce informazioni di base sull'identità senza attendibilità per le organizzazioni di difesa multi-tenant e si concentra su Microsoft Entra ID. Zero trust è una strategia chiave per garantire l'integrità e la riservatezza delle informazioni riservate. L'identità è un pilastro fondamentale di zero trust. Microsoft Entra ID è il servizio di gestione delle identità cloud Microsoft. Microsoft Entra ID è un componente critico zero trust usato da tutti i clienti cloud Microsoft.

Gli architetti e i decision maker devono comprendere le funzionalità di base di Microsoft Entra ID e il suo ruolo in zero trust prima di creare la strategia aziendale di difesa. Le organizzazioni di difesa possono soddisfare molti requisiti di attendibilità zero adottando Microsoft Entra ID. Molti hanno già accesso alle funzionalità essenziali di Microsoft Entra tramite le loro licenze di Microsoft 365 esistenti.

Tenant di Microsoft Entra

Un'istanza di Microsoft Entra ID è denominata tenant di Microsoft Entra. Un tenant di Microsoft Entra è una piattaforma di gestione delle identità e un limite. Si tratta della piattaforma di gestione delle identità per l'organizzazione e di un limite di identità sicuro per i servizi cloud Microsoft usati. Di conseguenza, è ideale per proteggere i dati di identità di difesa sensibili.

Consolidamento dei tenant di Microsoft Entra. Microsoft consiglia un tenant per ogni organizzazione. Un singolo tenant di Microsoft Entra offre l'esperienza di gestione delle identità più semplice per utenti e amministratori. Offre le funzionalità di zero trust più complete. Le organizzazioni con più tenant di Microsoft Entra devono gestire diversi set di utenti, gruppi, applicazioni e criteri, aumentando i costi e aggiungendo complessità amministrative. Un singolo tenant riduce anche al minimo i costi di licenza.

È consigliabile provare ad avere applicazioni Microsoft 365, servizi di Azure, Power Platform, applicazioni line-of-business (LOB), applicazioni SaaS (Software-as-a-Service) e altri provider di servizi cloud (CSP) usano un singolo tenant di Microsoft Entra.

MICROSOFT Entra ID e Active Directory. Microsoft Entra ID non è un'evoluzione di Dominio di Active Directory Services (AD DS). Il concetto di tenant è simile a una foresta Active Directory, ma l'architettura sottostante è diversa. Microsoft Entra ID è un servizio di gestione delle identità basato sul cloud, moderno e iperscalabilità.

Nomi di dominio iniziali e ID tenant. Ogni tenant ha un nome di dominio iniziale univoco e un ID tenant. Ad esempio, un'organizzazione denominata Contoso potrebbe avere il nome contoso.onmicrosoft.com di dominio iniziale per Microsoft Entra ID e contoso.onmicrosoft.us per Microsoft Entra Government. Gli ID tenant sono identificatori univoci globali (GUID). Ogni tenant ha solo un dominio iniziale e un ID tenant. Entrambi i valori non sono modificabili e non possono essere modificati dopo la creazione del tenant.

Gli utenti accedono agli account Microsoft Entra con il nome dell'entità utente (UPN). L'UPN è un attributo utente di Microsoft Entra e richiede un suffisso instradabile. Il dominio iniziale è il suffisso instradabile predefinito (user@contoso.onmicrosoft.com). È possibile aggiungere domini personalizzati per creare e usare un UPN più descrittivo. L'UPN descrittivo corrisponde in genere all'indirizzo di posta elettronica dell'utente (user@contoso.com). L'UPN per Microsoft Entra ID potrebbe differire dall'UTENTE di Active Directory Domain Services userPrincipalName degli utenti. La presenza di un nome UPN e di Active Directory Domain Services userPrincipalName è comune quando i valori userPrincipalName di Active Directory Domain Services non sono indirizzabili o usano un suffisso che non corrisponde a un dominio personalizzato verificato nel tenant.

È possibile verificare un dominio personalizzato solo in un tenant Microsoft Entra a livello globale. I domini personalizzati non sono limiti di sicurezza o attendibilità, ad esempio foreste di servizi di Dominio di Active Directory (AD DS). Si tratta di uno spazio dei nomi DNS per identificare il tenant principale di un utente di Microsoft Entra.

Architettura di Microsoft Entra

Microsoft Entra ID non dispone di controller di dominio, unità organizzative, oggetti criteri di gruppo, trust di dominio/foresta o ruoli FSMO (Flexible Single Master Operation). Microsoft Entra ID è una soluzione di gestione delle identità software-as-a-service. È possibile accedere a Microsoft Entra ID tramite LE API RESTful. Si usano protocolli di autenticazione e autorizzazione moderni per accedere alle risorse protette da Microsoft Entra ID. La directory ha una struttura flat e usa autorizzazioni basate sulle risorse.

Ogni tenant di Microsoft Entra è un archivio dati a disponibilità elevata per i dati di gestione delle identità. Archivia gli oggetti di identità, criteri e configurazione e li replica tra aree di Azure. Un tenant di Microsoft Entra fornisce ridondanza dei dati per informazioni di difesa critiche.

Tipi di identità

Microsoft Entra ID ha due tipi di identità. I due tipi di identità sono utenti ed entità servizio.

Utenti. Gli utenti sono identità per gli utenti che accedono ai servizi cloud Microsoft e federati. Gli utenti possono essere membri o guest in un'istanza di Microsoft Entra ID. In genere, i membri sono interni all'organizzazione e gli utenti guest appartengono a un'organizzazione esterna, ad esempio un partner di missione o un terzista della difesa. Per altre informazioni sugli utenti guest e sulla collaborazione tra organizzazioni, vedere Panoramica di Collaborazione B2B.

Entità servizio. Le entità servizio sono entità nonpersone (NPE) in Microsoft Entra ID. Le entità servizio possono rappresentare applicazioni, account di servizio/automazione e risorse di Azure. Anche le risorse non di Azure, ad esempio i server locali, possono avere un'entità servizio in Microsoft Entra ID e interagire con altre risorse di Azure. Le entità servizio sono utili per automatizzare i flussi di lavoro di difesa e gestire le applicazioni critiche per le operazioni di difesa. Per altre informazioni, vedere Oggetti applicazione ed entità servizio in Microsoft Entra ID.

Sincronizzazione delle identità. È possibile usare Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync per sincronizzare gli oggetti utente, gruppo e computer (dispositivo) in Dominio di Active Directory Services con Microsoft Entra ID. Questa configurazione è denominata identità ibrida.

Autorizzazioni

Microsoft Entra ID usa un approccio diverso alle autorizzazioni rispetto alle tradizionali Active Directory locale Domain Services (AD DS).

Ruoli di Microsoft Entra. Assegnare le autorizzazioni in Microsoft Entra ID usando i ruoli della directory Microsoft Entra. Questi ruoli concedono l'accesso a API e ambiti specifici. L'amministratore globale è il ruolo con privilegi più elevati in Microsoft Entra ID. Esistono molti ruoli predefiniti per varie funzioni amministrative limitate. È consigliabile delegare autorizzazioni granulari per ridurre la superficie di attacco.

Importante

Microsoft consiglia di usare i ruoli con le autorizzazioni più poche. Ciò consente di migliorare la sicurezza per l'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Assegnazione di autorizzazioni elevate. Per migliorare la sicurezza e ridurre i privilegi non necessari, Microsoft Entra ID fornisce due principi per l'assegnazione delle autorizzazioni:

JIT (Just-in-Time): Microsoft Entra ID supporta l'accesso JIT. La funzionalità JIT consente di assegnare temporaneamente le autorizzazioni quando necessario. L'accesso JIT riduce al minimo l'esposizione di privilegi non necessari e riduce la superficie di attacco.

Just-Enough-Admin (JEA): Microsoft Entra ID segue il principio just-enough-admin. I ruoli predefiniti consentono di delegare le attività amministrative senza concedere autorizzazioni eccessive. Le unità amministrative possono limitare ulteriormente l'ambito di autorizzazione per i ruoli di Microsoft Entra.

Autenticazione

A differenza di Active Directory, gli utenti di Microsoft Entra ID non sono limitati all'autenticazione tramite password o smart card. Gli utenti di Microsoft Entra possono usare password e molti altri metodi di autenticazione e verifica. Microsoft Entra ID usa protocolli di autenticazione moderni, protegge da attacchi basati su token e rileva un comportamento di accesso sospetto.

Metodi di autenticazione. I metodi di autenticazione di Microsoft Entra includono il supporto nativo per i certificati smart card e le credenziali derivate, le chiavi di sicurezza FIDO2 senza password, le chiavi di sicurezza FIDO2 (passkey hardware) e le credenziali del dispositivo come Windows Hello for Business. Microsoft Entra ID offre metodi senza password e resistenti al phishing per supportare le funzionalità memorandum 22-09 e DODCIO Zero Trust Strategy.

Protocolli di autenticazione. Microsoft Entra ID non usa Kerberos, NTLM o LDAP. Usa protocolli aperti moderni destinati all'uso su Internet, ad esempio OpenID Connect, OAuth 2.0, SAML 2.0 e SCIM. Anche se Entra non usa Kerberos per la propria autenticazione, può emettere ticket Kerberos per le identità ibride per supportare File di Azure e abilitare l'accesso senza password alle risorse locali. Entra application proxy consente di configurare Entra Single Sign-On per le applicazioni locali che supportano solo protocolli legacy come Kerberos e l'autenticazione basata su intestazione.

Protezioni contro gli attacchi di token. I servizi di dominio Active Directory tradizionali sono soggetti ad attacchi basati su Kerberos. Servizi di dominio Active Directory usa gruppi di sicurezza con identificatori di sicurezza (SID) noti, ad esempio S-1-5-domain-512 per Domain Admins. Quando un amministratore di dominio esegue un accesso locale o di rete, il controller di dominio rilascia un ticket Kerberos contenente il SID domain admins e lo archivia in una cache delle credenziali. Gli attori delle minacce sfruttano in genere questo meccanismo usando tecniche di escalation dei privilegi e di spostamento laterale, ad esempio pass-the-hash e pass-the-ticket.

Tuttavia, Microsoft Entra ID non è soggetto ad attacchi Kerberos. L'equivalente del cloud è costituito da tecniche antagoniste in-the-middle (AiTM), ad esempio il hijacking della sessione e la riproduzione delle sessioni, per rubare i token di sessione (token di accesso). Le applicazioni client, Web Account Manager (WAM) o il Web browser dell'utente (cookie di sessione) archivia questi token di sessione. Per proteggersi da attacchi di furto di token, microsoft Entra ID registra l'uso del token per impedire la riproduzione e può richiedere che i token siano associati in modo crittografico al dispositivo dell'utente.

Per altre informazioni sul furto di token, vedere il playbook Relativo al furto di token.

Rilevare un comportamento di accesso sospetto. Microsoft Entra ID Protection usa una combinazione di rilevamenti in tempo reale e offline per identificare gli utenti rischiosi e gli eventi di accesso. È possibile usare le condizioni di rischio in Entra Conditional Access per controllare in modo dinamico o bloccare l'accesso alle applicazioni. La valutazione dell'accesso continuo consente alle app client di rilevare le modifiche nella sessione di un utente per applicare i criteri di accesso quasi in tempo reale.

Applicazioni

Microsoft Entra ID non è solo per applicazioni e servizi Microsoft. Microsoft Entra ID può essere il provider di identità per qualsiasi applicazione, provider di servizi cloud, provider SaaS o sistema di identità che usa gli stessi protocolli. Supporta facilmente l'interoperabilità con le forze di difesa alleate e i terzisti.

Punto di imposizione dei criteri (PEP) e Punto decisionale criteri (PDP). Microsoft Entra ID è un punto di imposizione dei criteri comune (PEP) e un punto decisionale per i criteri (PDP) in architetture senza attendibilità. Applica criteri di sicurezza e controlli di accesso per le applicazioni.

Microsoft Entra ID Governance. Microsoft Entra ID Governance è una funzionalità di Microsoft Entra. Consente di gestire l'accesso degli utenti e automatizzare il ciclo di vita dell'accesso. Garantisce agli utenti l'accesso appropriato e tempestivo alle applicazioni e alle risorse.

Accesso condizionale. L'accesso condizionale consente di usare gli attributi per l'autorizzazione con granularità fine per le applicazioni. È possibile definire i criteri di accesso in base a vari fattori. Questi fattori includono attributi utente, attendibilità delle credenziali, attributi dell'applicazione, rischio utente e accesso, integrità dei dispositivi e posizione. Per altre informazioni, vedere Sicurezza zero trust.

Dispositivi

Microsoft Entra ID offre accesso sicuro e trasparente alle servizi Microsoft tramite la gestione dei dispositivi. È possibile gestire e aggiungere dispositivi Windows a Microsoft Entra in modo simile al modo in cui si farebbe con i servizi di Dominio di Active Directory.

Dispositivi registrati. I dispositivi vengono registrati con il tenant entra quando gli utenti accedono alle applicazioni usando il proprio account Entra. La registrazione del dispositivo Entra non è identica alla registrazione del dispositivo o all'aggiunta di Entra. Gli utenti accedono ai dispositivi registrati usando un account locale o un account Microsoft. I dispositivi registrati spesso includono Bring Your Own Devices (BYOD) come il PC domestico o il telefono personale di un utente.

Dispositivi aggiunti a Microsoft Entra. Quando gli utenti accedono a un dispositivo aggiunto a Microsoft Entra, una chiave associata al dispositivo viene sbloccata usando un PIN o un movimento. Dopo la convalida, Microsoft Entra ID rilascia un token di aggiornamento primario (PRT) al dispositivo. Questa richiesta pull facilita l'accesso Single Sign-On ai servizi protetti con ID Microsoft Entra, ad esempio Microsoft Teams.

I dispositivi aggiunti a Microsoft Entra registrati in Microsoft Endpoint Manager (Intune) possono usare la conformità dei dispositivi come controllo di concessione all'interno dell'accesso condizionale.

Dispositivi aggiunti a Microsoft Entra ibrido. Microsoft Entra hybrid join consente di connettere simultaneamente i dispositivi Windows ai servizi di Dominio di Active Directory e all'ID Microsoft Entra. Questi dispositivi autenticano prima gli utenti in Active Directory e quindi recuperano un token di aggiornamento primario dall'ID Microsoft Entra.

Dispositivi e applicazioni gestiti da Intune. Microsoft Intune facilita la registrazione e la registrazione dei dispositivi per la gestione. Intune consente di definire stati conformi e sicuri per i dispositivi utente, proteggere i dispositivi con Microsoft Defender per endpoint e richiedere agli utenti di usare un dispositivo conforme per accedere alle risorse aziendali.

Microsoft 365 e Azure

Microsoft Entra ID è la piattaforma di gestione delle identità di Microsoft. Serve sia i servizi di Microsoft 365 che di Azure. Le sottoscrizioni di Microsoft 365 creano e usano un tenant di Microsoft Entra. I servizi di Azure si basano anche su un tenant di Microsoft Entra.

Identità di Microsoft 365. Microsoft Entra ID è integrale a tutte le operazioni di identità all'interno di Microsoft 365. Gestisce l'assegnazione di accesso, collaborazione, condivisione e autorizzazioni degli utenti. Supporta la gestione delle identità per i servizi Office 365, Intune e Microsoft Defender XDR. Gli utenti usano Microsoft Entra ogni volta che accedono a un app Office lication come Word o Outlook, condividono un documento usando OneDrive, invitano un utente esterno a un sito di SharePoint o creano un nuovo team in Microsoft Teams.

Identità di Azure. In Azure ogni risorsa è associata a una sottoscrizione di Azure e le sottoscrizioni sono collegate a un singolo tenant di Microsoft Entra. Delegare le autorizzazioni per la gestione delle risorse di Azure assegnando ruoli di Azure a utenti, gruppi di sicurezza o entità servizio.

Le identità gestite svolgono un ruolo fondamentale per consentire alle risorse di Azure di interagire in modo sicuro con altre risorse. Queste identità gestite sono entità di sicurezza all'interno del tenant di Microsoft Entra. Si concedono le autorizzazioni a tali autorizzazioni in base ai privilegi minimi. È possibile autorizzare un'identità gestita ad accedere alle API protette da Microsoft Entra ID, ad esempio Microsoft Graph. Quando una risorsa di Azure usa un'identità gestita, l'identità gestita è un oggetto entità servizio. L'oggetto entità servizio si trova nello stesso tenant di Microsoft Entra della sottoscrizione associata alla risorsa.

Microsoft Graph

I portali Web Microsoft per Microsoft Entra, Azure e Microsoft 365 forniscono un'interfaccia grafica per Microsoft Entra ID. È possibile automatizzare l'accesso a livello di codice per leggere e aggiornare gli oggetti e i criteri di configurazione di Microsoft Entra usando le API RESTful denominate Microsoft Graph. Microsoft Graph supporta i client in varie lingue. I linguaggi supportati includono PowerShell, Go, Python, Java, .NET, Ruby e altro ancora. Esplorare i repository di Microsoft Graph in GitHub.

Azure per enti pubblici cloud

Esistono due versioni separate delle organizzazioni di difesa dei servizi Microsoft Entra che possono usare nelle reti pubbliche (connesse a Internet): Microsoft Entra Global e Microsoft Entra Government.

Microsoft Entra Global. Microsoft Entra Global è per Microsoft 365 commerciale e Azure, Microsoft 365 GCC Moderate. Il servizio di accesso per Microsoft Entra Global è login.microsoftonline.com.

Microsoft Entra Government. Microsoft Entra Government è Azure per enti pubblici (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). Il servizio di accesso per Microsoft Entra Government è login.microsoftonline.us.

URL del servizio. I diversi servizi Microsoft Entra usano URL di accesso diversi. Di conseguenza, è necessario usare portali Web separati. È anche necessario fornire opzioni di ambiente per connettersi ai client Microsoft Graph e ai moduli di PowerShell per la gestione di Azure e Microsoft 365 (vedere la tabella 1).

Tabella 1. Azure per enti pubblici endpoint.

Endpoint Generale GCC High DoD Impact Level 5 (IL5)
Interfaccia di amministrazione di Microsoft Entra entra.microsoft.com entra.microsoft.us entra.microsoft.us
Azure portal portal.azure.com portal.azure.us portal.azure.us
Interfaccia di amministrazione di Defender security.microsoft.com security.microsoft.us security.apps.mil
MS Graph PowerShell Connect-MgGraph<br>-Environment Global Connect-MgGraph<br>-Environment USGov Connect-MgGraph<br>-Environment USGovDoD
Modulo di Azure PowerShell Connect-AzAccount<br>-Environment AzureCloud Connect-AzAccount<br>-Environment AzureUSGovernment Connect-AzAccount<br>-Environment AzureUSGovernment
Interfaccia della riga di comando di Azure az cloud set --name AzureCloud az cloud set --name AzureUSGovernment az cloud set --name AzureUSGovernment

Passaggio successivo