Informazioni su gruppi e diritti di accesso in Microsoft Entra ID

Microsoft Entra ID offre diversi modi per gestire l'accesso alle risorse, alle applicazioni e alle attività. Con i gruppi di Microsoft Entra è possibile concedere l'accesso e le autorizzazioni a un gruppo di utenti anziché a ogni singolo utente. Limitare l'accesso alle risorse di Microsoft Entra solo agli utenti che hanno bisogno di accesso è uno dei principi di sicurezza di base di Zero Trust.

Questo articolo offre una panoramica del modo in cui i gruppi e i diritti di accesso possono essere usati insieme per semplificare la gestione degli utenti di Microsoft Entra, applicando al contempo le procedure consigliate per la sicurezza.

Microsoft Entra ID consente di usare i gruppi per gestire l'accesso ad applicazioni, dati e risorse. Le risorse possono essere:

  • Parte dell'organizzazione di Microsoft Entra, come le autorizzazioni per la gestione degli oggetti tramite i ruoli in Microsoft Entra ID
  • Esterne all'organizzazione, ad esempio per le app software come un servizio (SaaS)
  • Servizi di Azure
  • Siti di SharePoint
  • Risorse locali

Alcuni gruppi non possono essere gestiti nel portale di Azure:

  • I gruppi sincronizzati da Active Directory locale possono essere gestiti solo in Active Directory locale.
  • Le liste di distribuzione e i gruppi di sicurezza abilitati alla posta elettronica vengono gestiti solo nell'interfaccia di amministrazione di Exchange o nell'interfaccia di amministrazione di Microsoft 365. Per gestire questi gruppi, è necessario accedere all'interfaccia di amministrazione di Exchange o all'interfaccia di amministrazione di Microsoft 365.

Informazioni da conoscere prima di creare un gruppo

Esistono due tipi di gruppo e tre tipi di appartenenza a gruppi. Esaminare le opzioni per trovare la combinazione corretta per lo scenario in uso.

Tipi di gruppo:

Sicurezza: usato per gestire l'accesso di utenti e computer alle risorse condivise.

Ad esempio, è possibile creare un gruppo di sicurezza in modo che tutti i membri del gruppo dispongano dello stesso set di autorizzazioni di sicurezza. I membri di un gruppo di sicurezza possono includere utenti, dispositivi, entità servizio e altri gruppi (noti anche come gruppi annidati), che definiscono criteri di accesso e autorizzazioni. I proprietari di un gruppo di sicurezza possono includere utenti e entità servizio.

Nota

Quando si annida un gruppo di sicurezza esistente a un altro gruppo di sicurezza, solo i membri del gruppo padre avranno accesso alle risorse e alle applicazioni condivise. I membri del gruppo annidati non hanno la stessa appartenenza assegnata ai membri del gruppo padre. Per altre informazioni sulla gestione dei gruppi annidati, vedere Come gestire i gruppi.

Microsoft 365: offre opportunità di collaborazione consentendo ai membri l'accesso a una cassetta postale condivisa, al calendario, ai file, ai siti di SharePoint e altro ancora.

Questa opzione consente anche di concedere l'accesso al gruppo a utenti esterni all'organizzazione. I membri di un gruppo di Microsoft 365 possono includere solo gli utenti. I proprietari di un gruppo di Microsoft 365 possono includere utenti ed entità servizio. Per altre informazioni sulle Gruppi di Microsoft 365, vedi Informazioni sulle Gruppi di Microsoft 365.

Tipi di appartenenza:

  • Assegnato: consente di aggiungere utenti specifici come membri di un gruppo e di disporre di autorizzazioni univoche.

  • Utente dinamico: consente di usare le regole di appartenenza dinamica per aggiungere e rimuovere i membri automaticamente. Se gli attributi di un membro cambiano, il sistema esamina le regole del gruppo dinamico per la directory per verificare se il membro soddisfa i requisiti delle regole (viene aggiunto) o non soddisfa più i requisiti delle regole (viene rimosso).

  • Dispositivo dinamico: consente di usare le regole del gruppo dinamico per aggiungere e rimuovere i dispositivi automaticamente. Se gli attributi di un dispositivo cambiano, il sistema esamina le regole del gruppo dinamico per la directory per verificare se il dispositivo soddisfa i requisiti delle regole (viene aggiunto) o non soddisfa più i requisiti delle regole (viene rimosso).

    Importante

    È possibile creare un gruppo dinamico per dispositivi o utenti, ma non per entrambi. Non è possibile creare un gruppo di dispositivi in base agli attributi dei proprietari dei dispositivi. Le regole di appartenenza dei dispositivi possono fare riferimento solo agli attributi dei dispositivi. Per altre informazioni sulla creazione di un gruppo dinamico per utenti e dispositivi, vedere Creare un gruppo dinamico e controllare lo stato.

Cosa sapere prima di aggiungere diritti di accesso a un gruppo

Dopo aver creato un gruppo Microsoft Entra, è necessario concedergli l'accesso appropriato. Ogni applicazione, risorsa e servizio che richiede autorizzazioni di accesso deve essere gestita separatamente perché le autorizzazioni per uno potrebbero non essere uguali a un'altra. Concedere l'accesso usando il principio dei privilegi minimi per ridurre il rischio di attacchi o violazioni della sicurezza.

Funzionamento della gestione degli accessi in Microsoft Entra ID

Microsoft Entra ID consente di concedere l'accesso alle risorse dell'organizzazione fornendo diritti di accesso a un singolo utente o a un intero gruppo di Microsoft Entra. L'uso dei gruppi consente al proprietario della risorsa o al proprietario della directory Microsoft Entra di assegnare un set di autorizzazioni di accesso a tutti i membri del gruppo. Il proprietario della risorsa o della directory può anche concedere diritti di gestione a un utente, ad esempio un responsabile del reparto o un amministratore dell'help desk, consentendo a tale persona di aggiungere e rimuovere membri. Per altre informazioni su come gestire i proprietari dei gruppi, vedere l'articolo Gestire i gruppi .

Screenshot of a diagram of Microsoft Entra ID access management..

Modi per assegnare i diritti di accesso

Dopo aver creato un gruppo, è necessario decidere come assegnare i diritti di accesso. Esplorare i modi per assegnare i diritti di accesso per determinare il processo migliore per lo scenario in uso.

  • Assegnazione diretta. Il proprietario della risorsa assegna direttamente l'utente alla risorsa.

  • Assegnazione di gruppi. Il proprietario della risorsa assegna un gruppo Microsoft Entra alla risorsa, che concede automaticamente a tutti i membri del gruppo l'accesso alla risorsa. L'appartenenza al gruppo viene gestita sia dal proprietario del gruppo che dal proprietario della risorsa, consentendo a entrambi i proprietari di aggiungere o rimuovere i membri dal gruppo. Per altre informazioni sulla gestione dell'appartenenza ai gruppi, vedere l'articolo Gestire i gruppi .

  • Assegnazione basata su regole. Il proprietario della risorsa crea un gruppo e usa una regola per definire quali utenti vengono assegnati a una risorsa specifica. La regola è basata su attributi che vengono assegnati ai singoli utenti. Il proprietario della risorsa gestisce la regola, determinando quali attributi e valori sono necessari per consentire l'accesso alla risorsa. Per altre informazioni, vedere Creare un gruppo dinamico e controllare lo stato.

  • Assegnazione di un'autorità esterna. L'accesso proviene da un'origine esterna, ad esempio una directory locale o un'app SaaS. In questa situazione il proprietario della risorsa assegna a un gruppo il compito di fornire l'accesso alla risorsa e quindi l'origine esterna gestisce i membri del gruppo.

    Screenshot of a diagram of access management overview..

Gli utenti possono essere aggiunti ai gruppi senza esservi assegnati?

Il proprietario del gruppo, invece di assegnare gli utenti ai gruppi, può consentire loro di trovare i gruppi a cui unirsi. Il proprietario può anche configurare il gruppo in modo che accetti automaticamente tutti gli utenti che vengono aggiunti o in modo che richieda l'approvazione.

Dopo che un utente ha richiesto di essere aggiunto a un gruppo, la richiesta viene inoltrata al proprietario del gruppo. Se necessario, il proprietario può approvare la richiesta e l'utente riceve una notifica relativa all'appartenenza al gruppo. Se si dispone di più proprietari e uno di essi non approva, l'utente riceve una notifica, ma non viene aggiunto al gruppo. Per altre informazioni e istruzioni su come consentire agli utenti di richiedere l'aggiunta ai gruppi, vedere Configurare l'ID Microsoft Entra in modo che gli utenti possano richiedere di partecipare ai gruppi.

Passaggi successivi