Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione delle identità è il processo di autenticazione e autorizzazione delle entità di sicurezza. Implica anche il controllo delle informazioni su tali entità (identità). Le entità di sicurezza (identità) possono includere servizi, applicazioni, utenti, gruppi e così via. Le soluzioni di gestione delle identità e degli accessi Microsoft consentono all'IT di proteggere l'accesso alle applicazioni e alle risorse nel data center aziendale e nel cloud. Tale protezione consente livelli aggiuntivi di convalida, ad esempio l'autenticazione a più fattori e i criteri di accesso condizionale. Il monitoraggio di attività sospette tramite report avanzati sulla sicurezza, controllo e avvisi consente di ridurre i potenziali problemi di sicurezza. Microsoft Entra ID P1 o P2 fornisce l'accesso Single Sign-On (SSO) a migliaia di app SaaS (Software as a Service) cloud e l'accesso alle app Web eseguite in locale.
Sfruttando i vantaggi di sicurezza di Microsoft Entra ID, è possibile:
- È possibile creare e gestire una singola identità per ogni utente in un'azienda ibrida, mantenendo sincronizzati utenti, gruppi e dispositivi.
- Fornisci l'accesso SSO alle tue applicazioni, incluse migliaia di app SaaS preintegrate.
- Abilitare la sicurezza dell'accesso alle applicazioni grazie all'autenticazione a più fattori basata su regole per applicazioni locali e cloud.
- Fornire l'accesso remoto sicuro ad applicazioni Web locali con il proxy applicazione di Microsoft Entra.
L'obiettivo di questo articolo è fornire una panoramica delle principali funzionalità di sicurezza di Azure utili per la gestione delle identità. Sono inoltre disponibili collegamenti ad articoli che forniscono informazioni dettagliate su ogni funzionalità per ottenere altre informazioni.
L'articolo è incentrato sulle funzionalità principali di gestione delle identità di Azure seguenti:
- Autenticazione unica
- Proxy inverso
- Autenticazione a più fattori
- Controllo degli accessi basato sui ruoli di Azure
- Monitoraggio della sicurezza, avvisi e report basati su Machine Learning
- Gestione delle identità e dell'accesso degli utenti
- Registrazione dispositivo
- Gestione delle Identità Privilegiate
- Protezione delle identità
- Gestione ibrida delle identità/Azure AD Connect
- Verifiche di accesso di Microsoft Entra
Autenticazione unica
Single Sign-On (SSO) significa essere in grado di accedere a tutte le applicazioni e le risorse necessarie per l'attività aziendale, accedendo una sola volta usando un singolo account utente. Dopo l'accesso, è possibile accedere a tutte le applicazioni necessarie senza che sia necessario eseguire l'autenticazione (ad esempio, digitare una password) una seconda volta.
Molte organizzazioni si basano su applicazioni SaaS come Microsoft 365, Box e Salesforce per la produttività degli utenti. In passato, il personale IT doveva creare e aggiornare singoli account utente in ogni applicazione SaaS e gli utenti dovevano ricordare una password per ogni applicazione SaaS.
Microsoft Entra ID estende gli ambienti Active Directory locali nel cloud, consentendo agli utenti di usare il proprio account aziendale principale per accedere non solo ai dispositivi aggiunti al dominio e alle risorse aziendali, ma anche a tutte le applicazioni Web e SaaS necessarie per i propri processi.
Non solo gli utenti non devono gestire più set di nomi utente e password, è possibile effettuare automaticamente il provisioning o il deprovisioning dell'accesso alle applicazioni, in base ai gruppi aziendali e allo stato dei dipendenti. Microsoft Entra ID introduce controlli di governance della sicurezza e degli accessi con cui è possibile gestire centralmente l'accesso degli utenti tra applicazioni SaaS.
Ulteriori informazioni:
- Panoramica su SSO
- Video sui concetti fondamentali sull'autenticazione
- Serie di avvio rapido sulla gestione delle applicazioni
Proxy inverso
Il proxy dell'applicazione Microsoft Entra consente di pubblicare applicazioni in una rete privata, ad esempio siti di SharePoint , Outlook Web App e app basate su IIS all'interno della rete privata e fornisce accesso sicuro agli utenti esterni alla rete. Application Proxy offre accesso remoto e SSO per molti tipi di applicazioni Web locali con migliaia di applicazioni SaaS supportate da Microsoft Entra ID. I dipendenti possono accedere alle app da casa nei propri dispositivi ed eseguire l'autenticazione tramite questo proxy basato sul cloud.
Ulteriori informazioni:
- Abilitazione del proxy dell'applicazione Microsoft Entra
- Pubblicare applicazioni con il proxy dell'applicazione Microsoft Entra
- Autenticazione unica con proxy applicativo
- Uso dell'accesso condizionale
Autenticazione a più fattori
L'autenticazione a più fattori Microsoft Entra è un metodo di autenticazione che richiede l'uso di più metodi di verifica e aggiunge un secondo livello critico di sicurezza agli accessi e alle transazioni degli utenti. L'autenticazione a più fattori consente di proteggere l'accesso ai dati e alle applicazioni, soddisfacendo la richiesta dell'utente per un processo di accesso semplice. Offre un'autenticazione avanzata tramite una gamma di opzioni di verifica: chiamate telefoniche, SMS o notifiche di app per dispositivi mobili o codici di verifica e token OAuth di terze parti.
Altre informazioni: Funzionamento dell'autenticazione a più fattori Di Microsoft Entra
Controllo degli accessi in base al ruolo di Azure
Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione granulare degli accessi delle risorse in Azure. Azure RBAC consente di controllare in modo granulare il livello di accesso degli utenti. Ad esempio, è possibile limitare un utente alla gestione solo delle reti virtuali e di un altro utente per gestire tutte le risorse in un gruppo di risorse. Azure include diversi ruoli predefiniti che è possibile usare. Di seguito sono elencati quattro fondamentali ruoli predefiniti. I primi tre si applicano a tutti i tipi di risorse.
- Proprietario : ha accesso completo a tutte le risorse, incluso il diritto di delegare l'accesso ad altri utenti.
- Collaboratore : può creare e gestire tutti i tipi di risorse di Azure, ma non può concedere l'accesso ad altri utenti.
- Lettore : può visualizzare le risorse di Azure esistenti.
- Amministratore accesso utenti : consente di gestire l'accesso utente alle risorse di Azure.
Ulteriori informazioni:
Monitoraggio della sicurezza, avvisi e report basati su Machine Learning
Il monitoraggio della sicurezza, gli avvisi e i report basati su Machine Learning che identificano modelli di accesso incoerenti consentono di proteggere l'azienda. È possibile usare i report di accesso e utilizzo di Microsoft Entra ID per ottenere visibilità sull'integrità e sulla sicurezza della directory dell'organizzazione. Con queste informazioni, un amministratore della directory può determinare meglio dove potrebbero esserci rischi per la sicurezza, in modo da poter pianificare adeguatamente la mitigazione di tali rischi.
Nel portale di Azure i report rientrano nelle categorie seguenti:
- Report delle anomalie: contengono eventi di accesso che abbiamo riscontrato essere anomali. L'obiettivo è quello di rendere conto di tale attività e consentire di determinare se un evento è sospetto.
- Report di applicazioni integrate: forniscono informazioni dettagliate sul modo in cui le applicazioni cloud vengono usate nell'organizzazione. Microsoft Entra ID offre l'integrazione con migliaia di applicazioni cloud.
- Rapporti di errore: Indicano gli errori che potrebbero verificarsi durante il provisioning degli account in applicazioni esterne.
- Report specifici dell'utente: visualizzare i dati delle attività di accesso del dispositivo per un utente specifico.
- Log attività: Contiene un record di tutti gli eventi controllati nelle ultime 24 ore, negli ultimi 7 giorni o negli ultimi 30 giorni, incluse le modifiche dell'attività di gruppo, la reimpostazione della password e l'attività di registrazione.
Altre informazioni: Guida alla creazione di report di Microsoft Entra ID
Gestione delle identità e dell'accesso degli utenti
Microsoft Entra External ID in tenant esterni è un servizio di gestione delle identità globale e altamente disponibile per le applicazioni rivolte ai consumatori che si adattano a centinaia di milioni di identità. Il servizio può essere integrato tra piattaforme mobili e Web. Gli utenti possono accedere a tutte le applicazioni tramite esperienze personalizzabili usando gli account di social networking esistenti o creando nuove credenziali.
In passato, gli sviluppatori di applicazioni che volevano registrare i clienti e farli accedere alle loro applicazioni avrebbero scritto il proprio codice. E dovevano utilizzare database locali o sistemi per archiviare nomi utente e password. Microsoft Entra External ID offre all'organizzazione un modo migliore per integrare la gestione delle identità dei consumer nelle applicazioni con l'aiuto di una piattaforma sicura basata su standard e un ampio set di criteri estendibili.
Quando si usa l'ID esterno Microsoft Entra, i consumer possono iscriversi alle applicazioni usando i propri account di social networking esistenti (Facebook, Google, Amazon, LinkedIn) o creando nuove credenziali (indirizzo di posta elettronica e password o nome utente e password).
Altre informazioni sull'ID esterno di Microsoft Entra in tenant esterni
Registrazione dispositivo
La registrazione del dispositivo Microsoft Entra è la base per gli scenari di accesso condizionale basato su dispositivo. Quando un dispositivo viene registrato, la registrazione del dispositivo Microsoft Entra fornisce al dispositivo un'identità usata per autenticare il dispositivo quando un utente accede. Il dispositivo autenticato e gli attributi del dispositivo possono quindi essere usati per applicare i criteri di accesso condizionale per le applicazioni ospitate nel cloud e in locale.
In combinazione con una soluzione di gestione dei dispositivi mobili, ad esempio Intune, gli attributi del dispositivo in Microsoft Entra ID vengono aggiornati con informazioni aggiuntive sul dispositivo. È quindi possibile creare regole di accesso condizionale che impongono l'accesso dai dispositivi per soddisfare gli standard di sicurezza e conformità.
Ulteriori informazioni:
- Introduzione alla registrazione del dispositivo Microsoft Entra
- Registrazione automatica dei dispositivi con Microsoft Entra ID per i dispositivi Windows collegati a un dominio
Gestione delle Identità Privilegiate
Con Microsoft Entra Privileged Identity Management è possibile gestire, controllare e monitorare le identità con privilegi e l'accesso alle risorse in Microsoft Entra ID, nonché altri servizi online Microsoft, ad esempio Microsoft 365 e Microsoft Intune.
A volte gli utenti devono eseguire operazioni con privilegi nelle risorse di Azure o Microsoft 365 o in altre app SaaS. Ciò significa spesso che le organizzazioni devono concedere agli utenti l'accesso con privilegi permanenti in Microsoft Entra ID. Tale accesso è un rischio crescente per la sicurezza per le risorse ospitate nel cloud, perché le organizzazioni non possono monitorare sufficientemente le operazioni eseguite dagli utenti con i propri privilegi di amministratore. Inoltre, se un account utente con accesso con privilegi viene compromesso, tale violazione potrebbe influire sulla sicurezza cloud complessiva dell'organizzazione. Microsoft Entra Privileged Identity Management consente di ridurre questo rischio.
Con Microsoft Entra Privileged Identity Management, è possibile:
- Vedere quali utenti sono amministratori di Microsoft Entra.
- Abilitare l'accesso amministrativo JIT (Just-In-Time) su richiesta ai servizi Microsoft, ad esempio Microsoft 365 e Intune.
- Ottenere report sulla cronologia degli accessi degli amministratori e sulle modifiche alle assegnazioni degli amministratori.
- Ricevere avvisi relativi all'accesso a un ruolo con privilegi.
Ulteriori informazioni:
- Cos'è Microsoft Entra Privileged Identity Management?
- Assegnare i ruoli della directory Microsoft Entra in PIM
Protezione delle identità
Microsoft Entra ID Protection è un servizio di sicurezza che offre una visualizzazione consolidata dei rilevamenti dei rischi e potenziali vulnerabilità che influiscono sulle identità dell'organizzazione. Identity Protection sfrutta le funzionalità di rilevamento anomalie di Microsoft Entra esistenti, disponibili tramite i report Attività anomale di Microsoft Entraus. Identity Protection introduce anche nuovi tipi di rilevamento dei rischi che possono rilevare anomalie in tempo reale.
Altre informazioni: Microsoft Entra ID Protection
Gestione ibrida delle identità (Microsoft Entra Connect)
Le soluzioni di gestione delle identità di Microsoft si estendono su funzionalità locali e basate sul cloud, creando una singola identità utente per l'autenticazione e l'autorizzazione per tutte le risorse, indipendentemente dalla posizione. Questa identità ibrida viene chiamata . Microsoft Entra Connect è lo strumento di Microsoft progettato per soddisfare e raggiungere gli obiettivi di identità ibrida. In questo modo è possibile fornire un'identità comune per gli utenti per le applicazioni Microsoft 365, Azure e SaaS integrate con Microsoft Entra ID. Offre le funzionalità seguenti:
- Sincronizzazione
- Integrazione di AD FS e federazione
- Autenticazione pass-through
- Monitoraggio della salute
Ulteriori informazioni:
Verifiche di accesso di Microsoft Entra
Le verifiche di accesso di Microsoft Entra consentono alle organizzazioni di gestire in modo efficiente le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo con privilegi.
Altre informazioni: Verifiche di accesso di Microsoft Entra