I piani di implementazione di Microsoft Entra

Azure Active Directory è ora Microsoft Entra ID, che può proteggere l'organizzazione con la gestione delle identità e degli accessi cloud. La soluzione connette dipendenti, clienti e partner alle app, ai dispositivi e ai dati.

Usare le linee guida di questo articolo per creare il piano per distribuire Microsoft Entra ID. Informazioni di base sulla creazione di piani; poi, usare le sezioni seguenti per la distribuzione dell'autenticazione, le app e i dispositivi, gli scenari ibridi, l'identità utente e altro ancora.

Suggerimento

Sono disponibili diagrammi di architettura e architetture di riferimento? Per diagrammi di architettura dettagliati, topologie di identità ibride e linee guida per la progettazione, vedere:

• Panoramica dell'architettura Microsoft Entra : progettazione, scalabilità e disponibilità dei servizi
• Creare resilienza nell'architettura ibrida : diagrammi di architettura per PHS, PTA e federazione
• Scegliere il metodo di autenticazione corretto : albero delle decisioni di autenticazione
• architettura di gestione delle identità e degli accessi in Azure: architetture di riferimento, implementazioni di base e linee guida per la progettazione
• Residenza dei dati e opzioni cloud sovrane : posizioni di archiviazione dei dati e vincoli di ambiente

Parti interessate e ruoli

Quando si iniziano i piani di distribuzione, includere gli stakeholder principali. Identificare e documentare gli stakeholder, i ruoli interessati e le aree di proprietà e le responsabilità che consentono una distribuzione efficace. I titoli e i ruoli differiscono da un'organizzazione a un'altra, ma le aree di proprietà sono simili. Vedere la tabella seguente per i ruoli comuni e influenti che incidono su qualsiasi piano di distribuzione.

Ruolo	Responsabilità
Sostenitore	Un senior leader aziendale con autorità per approvare o assegnare budget e risorse. Lo sponsor è il collegamento tra i manager e il team esecutivo.
Utenti finali	Persone per le quali viene implementato il servizio. Gli utenti possono partecipare a un programma pilota.
Responsabile del supporto IT	Fornisce input sulla supportabilità delle modifiche proposte
Architetto di identità	Definisce il modo in cui la modifica è allineata all'infrastruttura di gestione delle identità
Titolare dell'azienda dell'applicazione	Possiede le applicazioni interessate, che potrebbero includere la gestione degli accessi. Fornisce input sull'esperienza utente.
Responsabile della sicurezza	Conferma che il piano di modifica soddisfa i requisiti di sicurezza
Responsabile della Conformità	Garantisce la conformità ai requisiti aziendali, industriali o governativi

RACI

Responsible, Accountable, Consulted e Informed (RACI) è un modello per la partecipazione da parte di vari ruoli per completare attività o risultati finali per un progetto o un processo aziendale. Usare questo modello per garantire che i ruoli dell'organizzazione comprendano le responsabilità della distribuzione.

• Responsible : le persone responsabili del completamento corretto dell'attività.
  • Esiste almeno un ruolo di Responsabile, anche se è possibile delegare ad altre persone il compito di portare a termine il lavoro.
• Accountable: chi in definitiva risponde della correttezza e del completamento della consegna o dell'attività. Il ruolo Responsabile garantisce che i prerequisiti delle attività siano soddisfatti e delega il lavoro ai ruoli esecutivi. Il ruolo Accountable approva il lavoro fornito dal Responsible. Assegnare un responsabile per ogni attività o risultato finale.
• Consulted - Il ruolo Consulted fornisce indicazioni; in genere si tratta di un esperto di dominio (SME).
• Informed, le persone tenute aggiornate sui progressi, in genere al completamento di un'attività o di un risultato finale.

Implementazione dell'autenticazione

Usare l'elenco seguente per pianificare la distribuzione dell'autenticazione.

• Microsoft Entra l'autenticazione a più fattori (MFA) - L'uso di metodi di autenticazione approvati dall'amministratore, l'autenticazione a più fattori consente di proteggere l'accesso ai dati e alle applicazioni, soddisfacendo la richiesta di accesso semplice:

  • Vedere il video Come configurare e applicare l'autenticazione a più fattori nel tenant
  • Vedere Pianificare una distribuzione con autenticazione a più fattori

• Accesso condizionale: implementare decisioni automatizzate di controllo degli accessi per consentire agli utenti di accedere alle app cloud, in base alle condizioni:

  • Consulta Che cos'è l'accesso condizionale?
  • Vedere Pianificare una distribuzione dell'accesso condizionale

• Microsoft Entra reimpostazione della password self-service (SSPR) - Aiutare gli utenti a reimpostare una password senza l'intervento dell'amministratore:

  • Consulta metodo di autenticazione Passkeys (FIDO2) in Microsoft Entra ID

  • Consultare pianificare la distribuzione self-service per la reimpostazione della password di Microsoft Entra

• Autenticazione senza password - Implementare l'autenticazione senza password usando le chiavi di sicurezza Microsoft Authenticator app o FIDO2:

  • Consulta, Abilitare l'accesso senza password con Microsoft Authenticator
  • Vedere Pianificare una distribuzione di autenticazione senza password in Microsoft Entra ID

Applicazioni e dispositivi

Usare l'elenco seguente per distribuire applicazioni e dispositivi.

• Single Sign-On (SSO): abilitare l'accesso utente alle app e alle risorse con un solo accesso, senza immettere nuovamente le credenziali:
  • Vedi, Che cos'è SSO in Microsoft Entra ID?
  • Vedere Pianificare una distribuzione SSO
• App personali portal - Individuare e accedere alle applicazioni. Abilitare la produttività degli utenti con il self-service, ad esempio richiedere l'accesso ai gruppi o gestire l'accesso alle risorse per conto di altri utenti.
  • Vedere panoramica del portale App personali
• Dispositivi - Valutare i metodi di integrazione dei dispositivi con Microsoft Entra ID, scegliere il piano di implementazione e altro ancora.
  • Vedere, Pianifica la distribuzione del tuo dispositivo Microsoft Entra

Scenari ibridi

Per i diagrammi di architettura e i modelli di resilienza per le distribuzioni di identità ibride, vedere Creare resilienza nell'architettura ibrida. Per le architetture di riferimento complete con diagrammi di Visio scaricabili, vedere Integrate Active Directory locale con Microsoft Entra ID.

L'elenco seguente descrive le funzionalità e i servizi negli scenari ibridi.

• Active Directory Federation Services (AD FS) - Eseguire la migrazione dell'autenticazione utente dalla federazione al cloud con l'autenticazione pass-through o la sincronizzazione dell'hash delle password:
  • Consulta, Che cos'è la federazione con Microsoft Entra ID?
  • Vedere Eseguire la migrazione dalla federazione all'autenticazione cloud
• Microsoft Entra proxy applicativo: consente ai dipendenti di essere produttivi su un dispositivo. Informazioni sulle app SaaS (Software as a Service) nel cloud e nelle app aziendali locali. Microsoft Entra proxy dell'applicazione consente l'accesso senza reti private virtuali (VPN) o zone demilitarizzate (DMZ):
  • Consulta, Accesso alle applicazioni in sede tramite proxy delle applicazioni Microsoft Entra
  • Vedi, Pianifica una distribuzione del proxy dell'applicazione di Microsoft Entra
• Seamless single sign-on (Seamless SSO) - usa Seamless SSO per l'accesso utente su dispositivi aziendali connessi a rete aziendale. Gli utenti non hanno bisogno di password per accedere a Microsoft Entra ID e in genere non devono immettere nomi utente. Gli utenti autorizzati accedono alle app basate sul cloud senza componenti locali aggiuntivi:
  • Vedere Microsoft Entra SSO: Guida introduttiva
  • Consultare Microsoft Entra seamless SSO: Approfondimento tecnico

Utenti

• Identità utente: informazioni sull'automazione per creare, gestire e rimuovere le identità utente nelle app cloud, ad esempio Dropbox, Salesforce, ServiceNow e altro ancora.
  • Consulta Pianificare una distribuzione automatica del provisioning utenti in Microsoft Entra ID
• Microsoft Entra ID Governance - Creare la governance delle identità e migliorare i processi aziendali che si basano sui dati di identità. Con i prodotti HR, ad esempio Workday o Successfactors, gestire il ciclo di vita delle identità dei dipendenti e del personale dipendente con regole. Queste regole eseguono il mapping dei processi Joiner-Mover-Leaver (JLM), ad esempio New Hire, Terminate, Transfer ad azioni IT come Create, Enable, Disable. Per altre informazioni, vedere la sezione seguente.
  • Vedi Pianificare l'applicazione cloud HR per il provisioning utenti di Microsoft Entra
• Microsoft Entra Collaborazione B2B - Migliorare la collaborazione con utenti esterni con accesso sicuro alle applicazioni:
  • Vedere Panoramica di collaborazione B2B
  • Vedi Pianifica una distribuzione di collaborazione B2B di Microsoft Entra

Governance delle identità e reportistica

Microsoft Entra ID Governance consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità. Usare Microsoft Entra ID Governance per assicurarsi che le persone giuste abbiano il diritto di accedere alle risorse appropriate. Migliorare l'automazione dei processi di identità e accessi, la delega ai gruppi aziendali e aumentare la visibilità. Usare l'elenco seguente per saperne di più su Gestione delle identità e generazione di report.

Altre informazioni:

• Accesso sicuro per un mondo connesso: Microsoft Entra

• Gestire l'accesso per le applicazioni nell'ambiente

• Privileged Identity Management (PIM) : gestire i ruoli amministrativi con privilegi tra Microsoft Entra ID, risorse Azure e altri Microsoft Servizi online. Usarlo per l'accesso JIT (Just-In-Time), i flussi di lavoro di approvazione delle richieste e le verifiche di accesso integrate per evitare attività dannose:

  • Consulta Inizia a utilizzare Privileged Identity Management
  • Consulta Plan a Privileged Identity Management deployment

• Reporting e monitoraggio - La progettazione della soluzione di creazione di report e monitoraggio Microsoft Entra presenta dipendenze e vincoli: legale, sicurezza, operazioni, ambiente e processi.

  • Vedere le dipendenze di distribuzione del reporting e monitoraggio di Microsoft Entra

• Verifiche di accesso: comprendere e gestire l'accesso alle risorse:

  • Consultare le Informazioni sulle verifiche di accesso
  • Consulta, Pianifica una distribuzione delle revisioni di accesso di Microsoft Entra

Procedure consigliate per un progetto pilota

Prima di apportare una modifica per gruppi più grandi o per tutti, usare i progetti pilota per eseguire il test con un piccolo gruppo. Verificare che ogni caso d'uso nell'organizzazione sia testato.

Progetto Pilota: Fase 1

Nella prima fase, identificare IT, usabilità e altri utenti che possono testare e fornire commenti e suggerimenti. Usare questo feedback per ottenere informazioni dettagliate sui potenziali problemi per il personale di supporto e per sviluppare comunicazioni e istruzioni inviate a tutti gli utenti.

Progetto pilota: Fase 2

Ampliare la distribuzione pilota a gruppi più grandi di utenti usando l'appartenenza dinamica o aggiungendo manualmente gli utenti ai gruppi di destinazione.

Altre informazioni: le regole di appartenenza dinamiche per i gruppi in Microsoft Entra ID