Proteggere l'isolamento delle risorse in un singolo tenant in Microsoft Entra ID

Molti scenari di separazione possono essere ottenuti in un singolo tenant. Se possibile, è consigliabile delegare l'amministrazione a ambienti separati in un singolo tenant per ottimizzare la produttività e l'esperienza di collaborazione.

Risultati

Separazione delle risorse: per limitare l'accesso alle risorse a utenti, gruppi e entità servizio, usare i ruoli della directory Microsoft Entra, i gruppi di sicurezza, i criteri di accesso condizionale, i gruppi di risorse di Azure, i gruppi di gestione di Azure, le unità amministrative e altri controlli. Abilitare amministratori separati per gestire le risorse. Usare utenti, autorizzazioni e requisiti di accesso separati.

Usare l'isolamento in più tenant se è presente:

• Set di risorse che richiedono impostazioni a livello di tenant
• Tolleranza minima ai rischi per l'accesso non autorizzato da parte dei membri del tenant
• Le modifiche alla configurazione causano effetti indesiderati

Separazione della configurazione: in alcuni casi, le risorse come le applicazioni hanno dipendenze da configurazioni a livello di tenant, ad esempio metodi di autenticazione o percorsi denominati. Prendere in considerazione le dipendenze quando si isolano le risorse. Gli amministratori globali possono configurare le impostazioni delle risorse e le impostazioni a livello di tenant che influiscono sulle risorse.

Se un set di risorse richiede impostazioni univoche a livello di tenant o un'entità diversa amministra le impostazioni del tenant, usare l'isolamento con più tenant.

Separazione amministrativa: con l'amministrazione delegata di Microsoft Entra ID, separare l'amministrazione delle risorse, ad esempio applicazioni e API, utenti e gruppi, gruppi di risorse e criteri di accesso condizionale.

Gli amministratori globali possono individuare e ottenere l'accesso alle risorse attendibili. Configurare il controllo e gli avvisi per le modifiche dell'amministratore autenticato a una risorsa.

Usare le unità amministrative (UNITÀ di accesso) in Microsoft Entra ID per la separazione amministrativa. Le unità di analisi limitano le autorizzazioni in un ruolo a una parte dell'organizzazione definita. Usare le UR per delegare il ruolo di amministratore del supporto tecnico agli specialisti del supporto regionale. Possono quindi gestire gli utenti nell'area che supportano.

Usare le UR per separare utenti, gruppi e oggetti dispositivo. Assegnare unità con regole di appartenenza dinamica.

Con Privileged Identity Management (PIM), selezionare una persona per approvare le richieste di ruoli con privilegi elevati. Ad esempio, gli amministratori che richiedono l'accesso amministratore globale per apportare modifiche a livello di tenant.

Nota

L'uso di PIM richiede e la licenza Microsoft Entra ID P2 per ogni utente.

Per verificare che gli amministratori globali non possano gestire una risorsa, isolare la risorsa in un tenant separato con amministratori globali separati. Usare questo metodo per i backup. Per esempi, vedere le linee guida per l'autorizzazione multiutente .

Utilizzo comune

Un uso comune per più ambienti in un singolo tenant è la separazione della produzione da risorse non di produzione. In un tenant, i team di sviluppo e i proprietari di applicazioni creano e gestiscono un ambiente separato con app di test, utenti e gruppi di test e criteri di test per tali oggetti. Analogamente, i team creano istanze non di produzione di risorse di Azure e app attendibili.

Usare le risorse di Azure non di produzione e le istanze non di produzione delle applicazioni integrate di Microsoft Entra con oggetti directory non di produzione equivalenti. Le risorse non di produzione nella directory sono destinate ai test.

Nota

Evitare più di un ambiente Microsoft 365 in un tenant di Microsoft Entra. Tuttavia, è possibile avere più ambienti Dynamics 365 in un tenant di Microsoft Entra.

Un altro scenario per l'isolamento in un singolo tenant è una separazione tra posizioni, filiali o amministrazione a livelli. Vedere il modello di accesso aziendale.

Usare le assegnazioni di controllo degli accessi in base al ruolo di Azure per l'amministrazione con ambito delle risorse di Azure. Analogamente, abilitare la gestione di Microsoft Entra ID delle applicazioni che considerano attendibili le applicazioni tramite più funzionalità. Gli esempi includono l'accesso condizionale, il filtro di utenti e gruppi, le assegnazioni di unità amministrative e le assegnazioni di applicazioni.

Per garantire l'isolamento dei servizi di Microsoft 365, inclusa la gestione temporanea della configurazione a livello di organizzazione, selezionare un isolamento a più tenant.

Gestione con ambito per le risorse di Azure

Usare il controllo degli accessi in base al ruolo di Azure per progettare un modello di amministrazione con ambiti granulari e superficie di attacco. Si consideri la gerarchia di gestione nell'esempio seguente:

Nota

È possibile definire la gerarchia di gestione in base ai requisiti, ai vincoli e agli obiettivi dell'organizzazione. Per altre informazioni, vedere le linee guida su Cloud Adoption Framework, organizzare le risorse di Azure.

• Gruppo di gestione: assegnare ruoli ai gruppi di gestione in modo che non influiscano su altri gruppi di gestione. Nello scenario precedente, il team delle risorse umane definisce un criterio di Azure per controllare le aree in cui le risorse vengono distribuite tra sottoscrizioni HR.
• Sottoscrizione : assegnare ruoli a una sottoscrizione per impedire che influisca su altri gruppi di risorse. Nello scenario precedente, il team HR assegna il ruolo Lettore per la sottoscrizione vantaggi, senza leggere altre sottoscrizioni HR o una sottoscrizione da un altro team.
• Gruppo di risorse: assegnare ruoli ai gruppi di risorse in modo che non influiscano su altri gruppi di risorse. Un team di progettazione benefits assegna il ruolo Collaboratore a un utente per gestire il database di test e l'app Web di test o per aggiungere altre risorse.
• Singole risorse : assegnare ruoli alle risorse in modo che non influiscano su altre risorse. Il team di progettazione dei vantaggi assegna a un analista dei dati il ruolo Lettore account Cosmos DB per l'istanza di test del database Azure Cosmos DB. Questo lavoro non interferisce con l'app Web di test o la risorsa di produzione.

Per altre informazioni, vedere Ruoli predefiniti di Azure e Informazioni sul controllo degli accessi in base al ruolo di Azure.

La struttura è gerarchica. Pertanto, più alto nella gerarchia, più ampio è l'ambito, la visibilità e l'effetto sui livelli inferiori. Gli ambiti di primo livello influiscono sulle risorse di Azure nel limite del tenant di Microsoft Entra. È possibile applicare autorizzazioni a più livelli. Questa azione introduce il rischio. L'assegnazione di ruoli in alto verso l'alto nella gerarchia può fornire un accesso più basso rispetto all'ambito desiderato. Microsoft Entra offre visibilità e correzione per ridurre il rischio.

• Il gruppo di gestione radice definisce i criteri di Azure e le assegnazioni di ruolo controllo degli accessi in base al ruolo applicate alle sottoscrizioni e alle risorse
• Gli amministratori globali possono elevare l'accesso alle sottoscrizioni e ai gruppi di gestione

Monitorare gli ambiti di primo livello. È importante pianificare altre dimensioni dell'isolamento delle risorse, ad esempio la rete. Per indicazioni sulla rete di Azure, vedere Procedure consigliate di Azure per la sicurezza di rete. I carichi di lavoro IaaS (Infrastructure as a Service) hanno scenari in cui l'identità e l'isolamento delle risorse devono far parte della progettazione e della strategia.

Prendere in considerazione l'isolamento delle risorse sensibili o di test in base all'architettura concettuale della zona di destinazione di Azure. Ad esempio, assegnare sottoscrizioni di identità a gruppi di gestione separati. Sottoscrizioni separate per lo sviluppo in gruppi di gestione sandbox. Per informazioni dettagliate, vedere la documentazione su scala aziendale. La separazione per i test in un tenant viene considerata nella gerarchia dei gruppi di gestione dell'architettura di riferimento.

Gestione con ambito per le applicazioni attendibili per Microsoft Entra ID

La sezione seguente illustra il modello per la gestione dell'ambito delle applicazioni attendibili di Microsoft Entra ID.

Microsoft Entra ID supporta la configurazione di più istanze di app personalizzate e SaaS, ma non della maggior parte dei servizi Microsoft, rispetto alla stessa directory con assegnazioni di utenti indipendenti. L'esempio precedente ha una versione di produzione e test dell'app travel. Per ottenere la configurazione e la separazione dei criteri specifici dell'app, distribuire le versioni di preproduzione nel tenant aziendale. Questa azione consente ai proprietari del carico di lavoro di eseguire test con le credenziali aziendali. Gli oggetti directory non di produzione, ad esempio utenti di test e gruppi di test, sono associati all'applicazione non di produzione con proprietà separata di tali oggetti.

Esistono aspetti a livello di tenant che influiscono sull'attendibilità delle applicazioni nel limite del tenant di Microsoft Entra:

• Gli amministratori globali gestiscono tutte le impostazioni a livello di tenant
• Altri ruoli della directory, ad esempio Amministratore utenti, Amministratore applicazioni e Amministratori dell'accesso condizionale gestiscono la configurazione a livello di tenant nell'ambito del ruolo.

Le impostazioni di configurazione, ad esempio metodi di autenticazione, configurazioni ibride, collaborazione B2B consentono l'elenco di domini e posizioni denominate sono a livello di tenant.

Nota

Le autorizzazioni dell'API Microsoft Graph e le autorizzazioni di consenso non possono essere limitati a un gruppo o a membri dell'AU. Tali autorizzazioni vengono assegnate a livello di directory. Solo il consenso specifico della risorsa consente l'ambito a livello di risorsa, attualmente limitato alle autorizzazioni di Chat di Microsoft Teams.

Importante

Il ciclo di vita dei servizi SaaS Microsoft, ad esempio Office 365, Microsoft Dynamics e Microsoft Exchange, è associato al tenant di Microsoft Entra. Di conseguenza, più istanze di questi servizi richiedono più tenant di Microsoft Entra.

Passaggi successivi

• Introduzione all'amministrazione con delega e agli ambienti isolati
• Nozioni fondamentali su Microsoft Entra
• Nozioni fondamentali sulla gestione delle risorse di Azure
• Isolamento delle risorse con diversi tenant
• Procedure consigliate