Informazioni sulle verifiche di accesso
Le verifiche di accesso di Microsoft Entra ID, parte di Microsoft Entra, consentono alle organizzazioni di gestire in modo efficiente l'appartenenza a gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruoli. È possibile verificare l'accesso dell'utente regolarmente per assicurarsi che solo gli utenti corretti possano continuare ad accedere.
Il video seguente presenta una rapida panoramica delle verifiche di accesso:
Perché le verifiche di accesso sono importanti?
Microsoft Entra ID consente di collaborare con utenti all'interno dell'organizzazione e con utenti esterni. Gli utenti possono unirsi a gruppi, invitare utenti guest, connettersi ad app cloud e lavorare in remoto dai dispositivi personali o di lavoro. La praticità di utilizzo delle funzionalità self-service ha determinato l'esigenza di migliori funzionalità di gestione degli accessi.
- Quando vengono assunti nuovi dipendenti, come è possibile garantire che abbiano i diritti di accesso appropriati per lavorare in modo produttivo?
- Quando le persone passano da un team a un altro o lasciano l'azienda, come è possibile garantire che il loro precedente accesso venga rimosso?
- Diritti di accesso eccessivi possono causare compromissioni.
- Diritti di accesso eccessivi possono anche determinare il mancato superamento dei controlli, perché questi indicano la mancanza di controllo sull'accesso.
- È necessario coinvolgere in modo proattivo i proprietari delle risorse per assicurarsi che verifichino regolarmente chi può accedere alle loro risorse.
Quando è consigliabile usare le verifiche di accesso?
- Troppi utenti nei ruoli con privilegi: è opportuno verificare quanti utenti hanno accesso amministrativo, quanti sono amministratori globali e se sono presenti utenti guest o partner invitati che non sono stati rimossi dopo l'assegnazione a un'attività amministrativa. È possibile ricertificare gli utenti a cui sono assegnati ruoli di Microsoft Entra, come quello di amministratore globale, o ruoli delle risorse di Azure, come quello di Amministratore Accesso utenti, tramite l'esperienza di Microsoft Entra Privileged Identity Management (PIM).
- Quando l'automazione non è possibile: è possibile creare regole per gruppi di appartenenza dinamica, gruppi di sicurezza o Gruppi di Microsoft 365, ma cosa succede se in Microsoft Entra ID non sono presenti i dati delle risorse umane o se gli utenti necessitano ancora dell'accesso dopo aver lasciato il gruppo per addestrare i loro sostituti? È possibile creare una revisione per tale gruppo così da assicurare l'accesso agli utenti che ne hanno ancora bisogno.
- Quando un gruppo viene usato per un nuovo scopo: se è necessario sincronizzare un gruppo con Microsoft Entra ID o se si prevede di abilitare l'applicazione Salesforce per tutti gli utenti nel gruppo del team vendite, può essere utile chiedere al proprietario del gruppo di esaminare il gruppo di appartenenza dinamica prima che venga usato in un ambito di rischio diverso.
- Accesso ai dati business critical: per determinate risorse, ad esempio le applicazioni business critical, potrebbe essere necessario, nel quadro dei processi di conformità, chiedere agli utenti di riconfermare regolarmente e giustificare la necessità di un accesso continuo.
- Per mantenere l'elenco eccezioni dei criteri: in una situazione ideale, tutti gli utenti seguono gli stessi criteri di accesso per proteggere l'accesso alle risorse dell'organizzazione. Esistono tuttavia casi aziendali che richiedono di introdurre eccezioni. L'amministratore IT può gestire questa attività, evitare problemi di supervisione delle eccezioni dei criteri e fornire ai revisori una prova che queste eccezioni vengono esaminate periodicamente.
- Chiedere ai proprietari di un gruppo di confermare che necessitano ancora di guest: L'accesso dei dipendenti potrebbe essere automatizzato con altre funzionalità di gestione delle identità e degli accessi, ad esempio flussi di lavoro del ciclo di vita basati su dati provenienti da un'origine HR, ma questo non si applica agli utenti guest invitati. Se un gruppo assegna a utenti guest l'accesso a contenuti aziendali sensibili, è responsabilità del proprietario del gruppo confermare che gli utenti abbiano ancora un'esigenza aziendale legittima per tale accesso.
- Impostare verifiche periodiche: È possibile configurare verifiche di accesso periodiche i in base a una frequenza specifica, ad esempio settimanale, mensile, trimestrale o annuale, e i revisori riceveranno una notifica all'inizio di ogni verifica. I revisori possono approvare o negare l'accesso con un'interfaccia utente semplice da usare e con l'aiuto di consigli intelligenti.
Nota
Se si è pronti per provare le verifiche di accesso, vedere Creare una verifica di accesso dei gruppi o delle applicazioni.
Dove si creano le verifiche?
A seconda di ciò che si vuole esaminare, si creerà la verifica di accesso nelle verifiche di accesso, nelle app aziendali di Microsoft Entra, in PIM o nella gestione entitlement.
| Diritti di accesso degli utenti | I revisori possono essere | Verifica creata il | Esperienza del revisore |
|---|---|---|---|
| Membri del gruppo di sicurezza Membri del gruppo Office |
Revisori specificati Proprietari del gruppo Auto-revisione |
Verifiche di accesso dei gruppi di Microsoft Entra |
Pannello di accesso |
| Assegnati a un'app connessa | Revisori specificati Auto-revisione |
verifiche di accesso alle app aziendali di Microsoft Entra |
Pannello di accesso |
| Ruolo Microsoft Entra | Revisori specificati Auto-revisione |
PIM | Interfaccia di amministrazione di Microsoft Entra |
| Ruolo delle risorse di Azure | Revisori specificati Auto-revisione |
PIM | Interfaccia di amministrazione di Microsoft Entra |
| Assegnazioni di pacchetti di accesso | Revisori specificati Membri del gruppo Auto-revisione |
gestione entitlement | Pannello di accesso |
Requisiti di licenza
Questa funzionalità richiede l'abbonamento a Microsoft Entra ID Governance o alla Famiglia di prodotti Microsoft Entra per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2. Per altre informazioni, vedere gli articoli di ciascuna funzionalità. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulle licenze di Azure Active Directory Identity Governance.
Nota
La creazione di una revisione sugli utenti inattivi e con raccomandazioni di affiliazione da utente a gruppo richiede una licenza Microsoft Entra ID Governance
Passaggi successivi
- Preparare la verifica dell'accesso degli utenti a un'applicazione
- Creare una verifica di accesso di gruppi o applicazioni
- Creare una verifica di accesso degli utenti con un ruolo amministrativo di Microsoft Entra
- Verificare l'accesso a gruppi o applicazioni
- Completare una verifica di accesso di gruppi o applicazioni