Nozioni fondamentali su Microsoft Entra
Microsoft Entra ID fornisce un limite di identità e accesso per le risorse di Azure e le applicazioni attendibili. La maggior parte dei requisiti di separazione dell'ambiente può essere soddisfatta con l'amministrazione delegata in un singolo tenant di Microsoft Entra. Questa configurazione riduce il sovraccarico di gestione dei sistemi. Tuttavia, alcuni casi specifici, ad esempio l'isolamento completo delle risorse e dell'identità, richiedono più tenant.
È necessario determinare l'architettura di separazione dell'ambiente in base alle esigenze. Le aree da considerare includono:
Separazione delle risorse. Se una risorsa può modificare oggetti directory come oggetti utente e la modifica interferisce con altre risorse, potrebbe essere necessario isolare la risorsa in un'architettura multi-tenant.
Separazione della configurazione. Le configurazioni a livello di tenant influiscono su tutte le risorse. L'effetto di alcune configurazioni a livello di tenant può essere limitato ai criteri di Accesso condizionale e ad altri metodi. Se sono necessarie configurazioni tenant diverse che non possono essere con ambito con i criteri di Accesso condizionale, potrebbe essere necessaria un'architettura multi-tenant.
Separazione amministrativa. È possibile delegare l'amministrazione di gruppi di gestione, sottoscrizioni, gruppi di risorse, risorse e alcuni criteri all'interno di un singolo tenant. Un amministratore globale ha sempre accesso a tutti gli elementi all'interno del tenant. Se è necessario assicurarsi che l'ambiente non condivide gli amministratori con un altro ambiente, è necessaria un'architettura multi-tenant.
Per garantire la sicurezza, è necessario seguire le procedure consigliate per il provisioning delle identità, la gestione dell'autenticazione, la governance delle identità, la gestione del ciclo di vita e le operazioni in modo coerente in tutti i tenant.
Terminologia
Questo elenco di termini è comunemente associato a Microsoft Entra ID e pertinente a questo contenuto:
Tenant di Microsoft Entra. Un'istanza dedicata e attendibile di Microsoft Entra ID che viene creata automaticamente quando l'organizzazione si iscrive a una sottoscrizione al servizio cloud Microsoft. Esempi di sottoscrizioni includono Microsoft Azure, Microsoft Intune o Microsoft 365. Un tenant di Microsoft Entra rappresenta in genere un'unica organizzazione o un limite di sicurezza. Il tenant di Microsoft Entra include gli utenti, i gruppi, i dispositivi e le applicazioni usati per eseguire la gestione delle identità e degli accessi (IAM) per le risorse tenant.
Ambiente. Nel contesto di questo contenuto, un ambiente è una raccolta di sottoscrizioni di Azure, risorse di Azure e applicazioni associate a uno o più tenet di Microsoft Entra. Il tenant di Microsoft Entra fornisce il piano di controllo delle identità per gestire l'accesso a queste risorse.
Ambiente di produzione. Nel contesto di questo contenuto, un ambiente di produzione è l'ambiente live con l'infrastruttura e i servizi con cui gli utenti finali interagiscono direttamente. Ad esempio, un ambiente aziendale o rivolto ai clienti.
Ambienti di non-produzione. Nel contesto di questo contenuto, un ambiente non di produzione fa riferimento a un ambiente usato per:
Sviluppo
Test
Scopi del lab
Gli ambienti non di produzione sono comunemente definiti ambienti sandbox.
Identità. Un'identità è un oggetto directory che è possibile autenticare e autorizzare per l'accesso a una risorsa. Gli oggetti identità esistono per identità umane e non. Le entità non umane includono:
Oggetti applicazione
Identità del carico di lavoro (descritte in precedenza come principi del servizio)
Identità gestite
Dispositivi
Le identità umane sono oggetti utente che in genere rappresentano persone in un'organizzazione. Queste identità vengono create e gestite direttamente in Microsoft Entra ID o vengono sincronizzate da un'istanza locale di Active Directory a Microsoft Entra ID per una determinata organizzazione. Questi tipi di identità vengono definiti identità locali. È anche possibile inviare oggetti utente da un'organizzazione partner o da un provider di identità social usando Collaborazione B2B di Microsoft Entra. In questo contenuto si fa riferimento a questi tipi di identità come identità esterne.
Le identità non umane includono identità non associate a un essere umano. Questo tipo di identità è un oggetto, ad esempio un'applicazione che richiede un'identità da eseguire. In questo contenuto si fa riferimento a questo tipo di identità come identità del carico di lavoro. Vengono usati vari termini per descrivere questo tipo di identità, inclusi gli oggetti applicazione e le entità servizio.
Oggetto applicativo. Un'applicazione Microsoft Entra è definita dal relativo oggetto applicazione. L'oggetto risiede nel tenant di Microsoft Entra in cui è registrata l'applicazione. Il tenant è noto come tenant "home" dell'applicazione.
Le applicazioni a tenant singolo vengono create per autorizzare solo le identità provenienti dal tenant "home".
Le applicazioni multi-tenant consentono alle identità di qualsiasi tenant di Microsoft Entra di eseguire l'autenticazione.
Oggetto entità servizio. Anche se ci sono alcune eccezioni, gli oggetti applicativi possono essere considerati la definizione di un'applicazione. Gli oggetti entità servizio possono essere considerati un'istanza di un'applicazione. Le entità servizio in genere fanno riferimento a un oggetto applicazione e a ogni oggetto applicazione possono fare riferimento più entità servizio in diverse directory.
Gli oggetti entità servizio sono anche identità di directory in grado di eseguire attività indipendentemente dall'intervento umano. L'entità servizio definisce i criteri di accesso e le autorizzazioni per un utente o un'applicazione nel tenant di Microsoft Entra. Tale meccanismo abilita le funzionalità di base, ad esempio l'autenticazione dell'utente o dell’applicazione durante l'accesso e l'autorizzazione durante l'accesso alle risorse.
Microsoft Entra ID consente agli oggetti applicazione e entità servizio di eseguire l'autenticazione con una password (nota anche come segreto dell'applicazione) o con un certificato. L'uso delle password per le entità servizio è sconsigliato ed è consigliabile usare un certificato, quando possibile.
Identità gestite per le risorse di Azure. Le identità gestite sono entità servizio speciali in Microsoft Entra ID. Questo tipo di entità servizio può essere usato per eseguire l'autenticazione nei servizi che supportano l'autenticazione di Microsoft Entra senza dover archiviare le credenziali nel codice o gestire la gestione dei segreti. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure
Identità del dispositivo: un'identità del dispositivo verifica che il dispositivo nel flusso di autenticazione sia stato soggetto a processo per attestarne la legittimità e la soddisfazione dei requisiti tecnici. Dopo che il dispositivo completa correttamente questo processo, l'identità associata può essere usata per controllare ulteriormente l'accesso alle risorse di un'organizzazione. Con Microsoft Entra ID, i dispositivi possono eseguire l'autenticazione con un certificato.
Alcuni scenari legacy richiedono l'uso di un'identità umana in scenari non umani. Ad esempio, quando gli account di servizio usati nelle applicazioni locali, ad esempio script o processi batch, richiedono l'accesso a Microsoft Entra ID. Questo modello non è consigliato e è consigliabile usare certificati. Tuttavia, se si usa un'identità umana con password per l'autenticazione, proteggere gli account Microsoft Entra con l'autenticazione a più fattori di Microsoft Entra.
Identità ibrida. Un'identità ibrida è un'identità che si estende su ambienti locali e cloud. La modalità ibrida offre il vantaggio di poter usare la stessa identità per accedere alle risorse locali e cloud. L'origine dell'autorità in questo scenario è in genere una directory locale e il ciclo di vita delle identità per il provisioning, il deprovisioning e l'assegnazione di risorse viene gestito anche dall'ambiente locale. Per altre informazioni, vedere la Documentazione di identità ibrida.
Oggetti directory. Un tenant di Microsoft Entra contiene gli oggetti comuni seguenti:
Gli oggetti utente rappresentano identità umane e non per i servizi che attualmente non supportano le entità servizio. Gli oggetti utente contengono attributi che contengono le informazioni necessarie sull'utente, inclusi i dettagli personali, le appartenenze ai gruppi, i dispositivi e i ruoli assegnati all'utente.
Gli oggetti dispositivo rappresentano i dispositivi associati a un tenant di Microsoft Entra. Gli oggetti dispositivo contengono attributi che contengono le informazioni necessarie sul dispositivo. Tali oggetti includono il sistema operativo, l'utente associato, lo stato di conformità e la natura dell'associazione con il tenant di Microsoft Entra. Questa associazione può assumere più forme a seconda della natura dell'interazione e del livello di attendibilità del dispositivo.
Aggiunto a un dominio ibrido. Dispositivi di proprietà dell'organizzazione e aggiunti sia all'istanza locale di Active Directory che a Microsoft Entra ID. In genere un dispositivo acquistato e gestito da un'organizzazione e gestito da System Center Configuration Manager.
Aggiunto al dominio Microsoft Entra. Dispositivi di proprietà dell'organizzazione e aggiunti al tenant di Microsoft Entra dell'organizzazione. In genere un dispositivo acquistato e gestito da un'organizzazione aggiunta a Microsoft Entra ID e gestito da un servizio come Microsoft Intune.
Registrato con Microsoft Entra. Dispositivi non di proprietà dell'organizzazione, ad esempio un dispositivo personale, usato per accedere alle risorse aziendali. Le organizzazioni possono richiedere la registrazione del dispositivo tramite Gestione di dispositivi mobili (MDM) o l’applicazione dello stesso tramite Gestione di applicazioni mobili (MAM) senza registrazione per accedere alle risorse. Questa funzionalità può essere fornita da un servizio come Microsoft Intune.
Gli oggetti gruppo contengono oggetti ai fini dell'assegnazione dell'accesso alle risorse, dell'applicazione di controlli o della configurazione. Gli oggetti gruppo contengono attributi che contengono le informazioni necessarie sul gruppo, inclusi il nome, la descrizione, i membri del gruppo, i proprietari del gruppo e il tipo di gruppo. I gruppi in Microsoft Entra ID accettano più forme in base ai requisiti di un'organizzazione. Questi requisiti possono essere soddisfatti usando Microsoft Entra ID o sincronizzati da Active Directory Domain Services (AD DS) locale.
Gruppi assegnati. In Gruppi assegnati gli utenti vengono aggiunti o rimossi manualmente dal gruppo, sincronizzati da Active Directory Domain Services locali o aggiornati come parte di un flusso di lavoro con script automatizzato. Un gruppo assegnato può essere sincronizzato da Active Directory Domain Services locale o può essere incluso in Microsoft Entra ID.
Gruppi di appartenenze dinamici. In gruppi di appartenenza dinamica basati su attributi, gli utenti vengono assegnati automaticamente al gruppo in base agli attributi definiti. Questa situazione consente l'aggiornamento dinamico dell'appartenenza a gruppi in base ai dati contenuti negli oggetti utente. Un gruppo di appartenenza dinamica può essere risolto solo in Microsoft Entra ID.
Account Microsoft (MSA). È possibile creare sottoscrizioni e tenant di Azure usando account Microsoft (MSA). Un account Microsoft è un account personale (anziché un account aziendale) e viene comunemente usato dai developer e per gli scenari di valutazione. Se usato, l'account personale viene sempre reso guest in un tenant di Microsoft Entra.
Aree funzionali di Microsoft Entra
Queste aree funzionali sono fornite da Microsoft Entra ID rilevanti per gli ambienti isolati. Per altre informazioni sulle funzionalità di Microsoft Entra ID, vedere Che cos'è Microsoft Entra ID?.
Autenticazione
Autenticazione. Microsoft Entra ID fornisce il supporto per i protocolli di autenticazione conformi agli standard aperti, ad esempio OpenID Connect, OAuth e SAML. Microsoft Entra ID offre anche funzionalità che consentono alle organizzazioni di federatire provider di identità locali esistenti, ad esempio Active Directory Federation Services (AD FS) per autenticare l'accesso alle applicazioni integrate di Microsoft Entra.
Microsoft Entra ID offre opzioni di autenticazione avanzate leader del settore che le organizzazioni possono usare per proteggere l'accesso alle risorse. L'autenticazione a più fattori Microsoft Entra, l'autenticazione dei dispositivi e le funzionalità senza password consentono alle organizzazioni di distribuire opzioni di autenticazione avanzata in base ai requisiti della forza lavoro.
Accesso Single Sign-On (SSO). Con l'accesso Single Sign-On, gli utenti accedono una sola volta con un account per accedere a tutte le risorse che considerano attendibile la directory, ad esempio dispositivi aggiunti a un dominio, risorse aziendali, applicazioni Software as a Service (SaaS) e tutte le applicazioni integrate di Microsoft Entra. Per altre informazioni, vedere Accesso Single Sign-On alle applicazioni in Microsoft Entra ID.
Autorizzazione
Assegnazione di accesso alle risorse. Microsoft Entra ID fornisce e protegge l'accesso alle risorse. L'assegnazione dell'accesso a una risorsa in Microsoft Entra ID può essere eseguita in due modi:
Assegnazione utente: all’utente viene assegnato direttamente l'accesso alla risorsa e l'autorizzazione o il ruolo appropriato viene assegnato all’utente.
Assegnazione gruppo: un gruppo contenente uno o più utenti viene assegnato alla risorsa e il ruolo o l'autorizzazione appropriata viene assegnata al gruppo
Criteri di accesso alle applicazioni client. Microsoft Entra ID offre funzionalità per controllare e proteggere ulteriormente l'accesso alle applicazioni dell'organizzazione.
Accesso condizionale. I criteri di Accesso condizionale di Microsoft Entra sono strumenti per inserire il contesto utente e dispositivo nel flusso di autorizzazione durante l'accesso alle risorse di Microsoft Entra. Le organizzazioni devono esplorare l'uso dei criteri di Accesso condizionale per consentire, negare o migliorare l'autenticazione in base a utenti, rischi, dispositivi e contesto di rete. Per altre informazioni, vedere la Documentazione sull'Accesso condizionale di M.
Microsoft Entra ID Protection. Questa funzionalità consente alle organizzazioni di automatizzare il rilevamento e la correzione dei rischi basati sull'identità, investigare i rischi ed esportare i dati di rilevamento dei rischi in utilità di terze parti per ulteriori analisi. Per altre informazioni, vedere la panoramica su Microsoft Entra ID Protection.
Amministrazione
Gestione delle identità. Microsoft Entra ID fornisce strumenti per gestire il ciclo di vita delle identità degli utenti, dei gruppi e dei dispositivi. Microsoft Entra Connect consente alle organizzazioni di estendere la soluzione di gestione delle identità locale corrente al cloud. Microsoft Entra Connect gestisce il provisioning, il deprovisioning e gli aggiornamenti a queste identità in Microsoft Entra ID.
Microsoft Entra ID fornisce anche un portale e l'API Microsoft Graph per consentire alle organizzazioni di gestire le identità o integrare Microsoft Entra identity management in flussi di lavoro o automazione esistenti. Per altre informazioni su Microsoft Graph, vedere Usare l’API Microsoft Graph.
Gestione dei dispositivi. Microsoft Entra ID viene usato per gestire il ciclo di vita e l'integrazione con infrastrutture di gestione dei dispositivi cloud e locali. Viene usato anche per definire criteri per controllare l'accesso dai dispositivi cloud o locali ai dati dell'organizzazione. Microsoft Entra ID fornisce i servizi del ciclo di vita dei dispositivi nella directory e il provisioning delle credenziali per abilitare l'autenticazione. Gestisce anche un attributo chiave di un dispositivo nel sistema che rappresenta il livello di attendibilità. Questo dettaglio è importante quando si progettano criteri di accesso alle risorse. Per altre informazioni, vedere la documentazione sulla gestione dei dispositivi di Microsoft Entra.
Gestione della configurazione. Microsoft Entra ID include elementi del servizio che devono essere configurati e gestiti per garantire che il servizio sia configurato in base ai requisiti di un'organizzazione. Questi elementi includono la gestione del dominio, la configurazione dell'accesso Single Sign-On e la gestione delle applicazioni, ma alcuni. Microsoft Entra ID fornisce un portale e l'API Microsoft Graph per consentire alle organizzazioni di gestire questi elementi o integrarli nei processi esistenti. Per altre informazioni su Microsoft Graph, vedere Usare l’API Microsoft Graph.
Governance
Ciclo di vita delle identità. Microsoft Entra ID offre funzionalità per creare, recuperare, eliminare e aggiornare le identità nella directory, incluse le identità esterne. Microsoft Entra ID fornisce anche servizi per automatizzare il ciclo di vita delle identità per garantire che venga mantenuto in linea con le esigenze dell'organizzazione. Ad esempio, l'uso di Revisioni degli accessi per rimuovere gli utenti esterni che devono ancora eseguire l'accesso per un periodo specificato.
Report e analisi. Un aspetto importante della governance delle identità è la visibilità delle azioni degli utenti. Microsoft Entra ID fornisce informazioni dettagliate sui modelli di sicurezza e utilizzo dell'ambiente. Queste informazioni dettagliate includono informazioni dettagliate su:
Elementi a cui gli utenti accedono
Dove accedono da
I dispositivi usati
Applicazioni usate per accedere
Microsoft Entra ID fornisce anche informazioni sulle azioni eseguite all'interno di Microsoft Entra ID e segnala i rischi per la sicurezza. Per altre informazioni, vedere Report e monitoraggio di Microsoft Entra.
Controllo. Il controllo fornisce la tracciabilità tramite i log per tutte le modifiche apportate da funzionalità specifiche all'interno di Microsoft Entra ID. Esempi di attività disponibili nei log di audit includono le modifiche apportate a qualsiasi risorsa all'interno di Microsoft Entra ID, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri. La creazione di report in Microsoft Entra ID consente di controllare le attività di accesso, gli accessi a rischio e gli utenti contrassegnati per il rischio. Per altre informazioni, vedere Verificare i report sulle attività nel portale di Azure.
Certificazione dell'accesso. La certificazione di accesso è il processo per dimostrare che un utente ha diritto ad avere accesso a una risorsa in un momento specifico. Le Revisioni degli accessi di Microsoft Entra esaminano continuamente le appartenenze di gruppi o applicazioni e forniscono informazioni dettagliate per determinare se l'accesso è necessario o deve essere rimosso. Questa certificazione consente alle organizzazioni di gestire in modo efficace le appartenenze ai gruppi, l'accesso alle applicazioni Enterprise e le assegnazioni di ruolo per assicurarsi che solo le persone giuste continuino ad avere accesso. Per altre informazioni, vedere Che cosa sono le revisioni di accesso di Microsoft Entra?
Accesso privilegiato. Microsoft Entra Privileged Identity Management (PIM) fornisce l'attivazione del ruolo basata sul tempo e sull'approvazione per attenuare i rischi di autorizzazioni di accesso eccessive, inutili o usate in modo improprio per le risorse di Azure. Viene usato per proteggere gli account con privilegi riducendo il tempo di esposizione dei privilegi e aumentando la visibilità sull'uso tramite report e avvisi.
Gestione self-service
Registrazione delle credenziali. Microsoft Entra ID offre funzionalità per gestire tutti gli aspetti del ciclo di vita dell'identità utente e le funzionalità self-service per ridurre il carico di lavoro del supporto tecnico di un'organizzazione.
Gestione di gruppi. Microsoft Entra ID offre funzionalità che consentono agli utenti di richiedere l'appartenenza a un gruppo per l'accesso alle risorse. Usare Microsoft Entra ID per creare gruppi che possono essere usati per proteggere le risorse o per la collaborazione. Queste funzionalità possono essere controllate dall'organizzazione in modo che vengano applicati controlli appropriati.
Gestione delle identità e dell'accesso degli utenti (IAM)
Azure Active Directory B2C. Azure AD B2C è un servizio che è possibile abilitare in una sottoscrizione di Azure per fornire identità alla clientela per le applicazioni rivolte alla clientela dell'organizzazione. Questo servizio è un'offerta di identità separata e pertanto questi utenti non vengono visualizzati nel tenant di Microsoft Entra dell'organizzazione. Azure Active Directory B2C viene gestito dagli amministratori nel tenant associato alla sottoscrizione di Azure.