Informazioni sulle verifiche di accesso

Le verifiche di accesso di Microsoft Entra ID, parte di Microsoft Entra, consentono alle organizzazioni di gestire in modo efficiente l'appartenenza a gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruoli. È possibile verificare l'accesso dell'utente regolarmente per assicurarsi che solo gli utenti corretti possano continuare ad accedere.

Il video seguente presenta una rapida panoramica delle verifiche di accesso:

Perché le verifiche di accesso sono importanti?

Microsoft Entra ID consente di collaborare con utenti all'interno dell'organizzazione e con utenti esterni. Gli utenti possono unirsi ai gruppi, invitare utenti guest, connettersi alle app cloud e lavorare in remoto dai loro dispositivi personali o di lavoro. La praticità di utilizzo delle funzionalità self-service ha determinato l'esigenza di migliori funzionalità di gestione degli accessi.

• Quando vengono assunti nuovi dipendenti, come è possibile garantire che abbiano i diritti di accesso appropriati per lavorare in modo produttivo?
• Quando le persone passano da un team a un altro o lasciano l'azienda, come è possibile garantire che il loro precedente accesso venga rimosso?
• Diritti di accesso eccessivi possono causare compromissioni.
• Diritti di accesso eccessivi possono anche determinare il mancato superamento dei controlli, perché questi indicano la mancanza di controllo sull'accesso.
• È necessario coinvolgere in modo proattivo i proprietari delle risorse per assicurarsi che verifichino regolarmente chi può accedere alle loro risorse.

Quando è consigliabile usare le verifiche di accesso?

• Troppi utenti nei ruoli con privilegi: è opportuno verificare quanti utenti hanno accesso amministrativo, quanti sono amministratori globali e se sono presenti utenti guest o partner invitati che non sono stati rimossi dopo l'assegnazione a un'attività amministrativa. È possibile ricertificare gli utenti dell'assegnazione di ruolo nei ruoli di Microsoft Entra, ad esempio global Amministrazione istrators o ruoli delle risorse di Azure, ad esempio User Access Amministrazione istrator nell'esperienza Microsoft Entra Privileged Identity Management (PIM).
• Quando l'automazione non è possibile: È possibile creare regole per l'appartenenza dinamica ai gruppi di sicurezza o a Gruppi di Microsoft 365, ma cosa succede se i dati delle risorse umane non si trovano in Microsoft Entra ID o se gli utenti necessitano ancora dell'accesso dopo aver lasciato il gruppo per contribuire a formare i loro sostituti? È possibile creare una verifica per tale gruppo per assicurarsi che gli utenti che necessitano ancora dell'accesso dispongano di accesso continuo.
• Quando un gruppo viene usato per un nuovo scopo: Se c'è un gruppo che deve essere sincronizzato con Microsoft Entra ID o se si prevede di abilitare l'applicazione Salesforce per tutti gli utenti nel gruppo del team di vendita, può essere utile chiedere al proprietario del gruppo di verificare l'appartenenza al gruppo prima che il gruppo venga usato in un ambito di rischio diverso.
• Accesso ai dati business critical: per determinate risorse, ad esempio applicazioni business critical, potrebbe essere necessario come parte dei processi di conformità per chiedere alle persone di riconfermare regolarmente e fornire una giustificazione sul motivo per cui hanno bisogno di accesso continuo.
• Per mantenere l'elenco eccezioni dei criteri: in una situazione ideale, tutti gli utenti seguono gli stessi criteri di accesso per proteggere l'accesso alle risorse dell'organizzazione. Esistono tuttavia casi aziendali che richiedono di introdurre eccezioni. L'amministratore IT può gestire questa attività, evitare problemi di supervisione delle eccezioni dei criteri e fornire ai revisori una prova che queste eccezioni vengono esaminate periodicamente.
• Chiedere ai proprietari del gruppo di confermare che hanno ancora bisogno di utenti guest nei gruppi: l'accesso dei dipendenti potrebbe essere automatizzato con altre funzionalità di gestione delle identità e degli accessi, ad esempio flussi di lavoro del ciclo di vita basati sui dati provenienti da un'origine HR, ma non utenti guest invitati. Se un gruppo assegna a utenti guest l'accesso a contenuti aziendali sensibili, è responsabilità del proprietario del gruppo confermare che gli utenti abbiano ancora un'esigenza aziendale legittima per tale accesso.
• Disporre periodicamente di revisioni: è possibile configurare verifiche di accesso ricorrenti degli utenti in base a frequenze impostate, ad esempio settimanali, mensili, trimestrali o annuali e i revisori ricevono una notifica all'inizio di ogni revisione. I revisori possono approvare o negare l'accesso con un'interfaccia utente semplice da usare e con l'aiuto di consigli intelligenti.

Nota

Se si è pronti per provare le verifiche di accesso, vedere Creare una verifica di accesso dei gruppi o delle applicazioni.

Dove si creano le verifiche?

A seconda di ciò che si vuole esaminare, si creerà la verifica di accesso nelle verifiche di accesso, nelle app Microsoft Entra enterprise (in anteprima), PIM o nella gestione entitlement.

Diritti di accesso degli utenti	I revisori possono essere	Verifica creata in	Esperienza di verifica
Membri del gruppo di sicurezza Membri del gruppo Office	Revisori specificati Proprietari del gruppo Auto-revisione	verifiche di accesso ai gruppi di Microsoft Entra	Pannello di accesso
Assegnati a un'app connessa	Revisori specificati Auto-revisione	verifiche di accesso alle app Aziendali di Microsoft Entra (in anteprima)	Pannello di accesso
Ruolo Microsoft Entra	Revisori specificati Auto-revisione	PIM	Interfaccia di amministrazione di Microsoft Entra
Ruolo delle risorse di Azure	Revisori specificati Auto-revisione	PIM	Interfaccia di amministrazione di Microsoft Entra
Assegnazioni di pacchetti di accesso	Revisori specificati Membri del gruppo Auto-revisione	gestione entitlement	Pannello di accesso

Requisiti di licenza

L'uso di questa funzionalità richiede le sottoscrizioni di Governance di Microsoft Entra ID per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2. Per altri dettagli, vedere gli articoli di ogni funzionalità. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance degli ID di Microsoft Entra ID.

Nota

La creazione di una recensione sugli utenti inattivi e con raccomandazioni di affiliazione da utente a gruppo richiede una licenza di governance di Microsoft Entra ID.

Passaggi successivi

• Preparare la verifica dell'accesso degli utenti a un'applicazione
• Creare una verifica di accesso di gruppi o applicazioni
• Creare una verifica di accesso degli utenti in un ruolo amministrativo di Microsoft Entra
• Verificare l'accesso a gruppi o applicazioni
• Completare una verifica di accesso di gruppi o applicazioni