Pianificare una distribuzione delle verifiche di accesso di Microsoft Entra
Le verifiche di accesso di Microsoft Entra consentono all'organizzazione di mantenere l'organizzazione più sicura gestendo il ciclo di vita dell'accesso alle risorse. Con le verifiche di accesso, è possibile:
Pianificare revisioni regolari o eseguire revisioni ad hoc per individuare chi può accedere a risorse specifiche, ad esempio applicazioni e gruppi.
Tenere traccia delle revisioni per informazioni dettagliate, conformità o motivi dei criteri.
Delegare le revisioni a amministratori, proprietari aziendali o utenti specifici che possono autocertificare la necessità di un accesso continuo.
Usare le informazioni dettagliate per determinare in modo efficiente se gli utenti devono continuare ad avere accesso.
Automatizzare i risultati della revisione, ad esempio la rimozione dell'accesso degli utenti alle risorse.
Le verifiche di accesso sono una funzionalità di governance di Microsoft Entra ID. Le altre funzionalità sono la gestione entitlement, Privileged Identity Management (PIM), i flussi di lavoro del ciclo di vita, il provisioning e le condizioni per l'utilizzo. Insieme, aiutano a risolvere queste quattro domande:
- Quali utenti hanno accesso a quali risorse?
- In che modo questi utenti usano l'accesso?
- Esiste un controllo organizzativo efficace per la gestione dell'accesso?
- I revisori possono verificare l'operatività dei controlli?
La pianificazione della distribuzione delle verifiche di accesso è essenziale per assicurarsi di ottenere la strategia di governance desiderata per gli utenti dell'organizzazione.
Vantaggi chiave
I principali vantaggi dell'abilitazione delle verifiche di accesso sono i seguenti:
- Controllare la collaborazione: le verifiche di accesso consentono di gestire l'accesso a tutte le risorse necessarie agli utenti. Quando gli utenti condividono e collaborano, è possibile assicurarsi che le informazioni siano solo tra gli utenti autorizzati.
- Gestire i rischi: le verifiche di accesso consentono di esaminare l'accesso ai dati e alle applicazioni, che riduce il rischio di perdita di dati e perdita di dati. Si ottiene la possibilità di esaminare regolarmente l'accesso dei partner esterni alle risorse aziendali.
- Gestire la conformità e la governance: con le verifiche di accesso, è possibile gestire e ricertificare il ciclo di vita dell'accesso a gruppi, app e siti. È possibile controllare e tenere traccia delle revisioni relative alla conformità o alle applicazioni sensibili ai rischi specifiche dell'organizzazione.
- Riduzione dei costi: le verifiche di accesso vengono compilate nel cloud e funzionano in modo nativo con risorse cloud come gruppi, applicazioni e pacchetti di accesso. L'uso delle verifiche di accesso è meno costoso rispetto alla creazione di strumenti personalizzati o all'aggiornamento del set di strumenti locale.
Risorse di formazione
I video seguenti consentono di ottenere informazioni sulle verifiche di accesso:
- Che cosa sono le verifiche di accesso in Microsoft Entra ID?
- Come creare verifiche di accesso in Microsoft Entra ID
- Come creare verifiche di accesso automatiche per tutti gli utenti guest con accesso ai gruppi di Microsoft 365 in Microsoft Entra ID
- Come abilitare le verifiche di accesso in Microsoft Entra ID
- Come esaminare l'accesso tramite Accesso personale
Licenze
L'uso di questa funzionalità richiede l'abbonamento a Governance di Microsoft Entra ID per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2. Per altri dettagli, vedere gli articoli su ogni funzionalità. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance degli ID di Microsoft Entra ID.
Nota
Per creare una revisione degli utenti inattivi e con raccomandazioni di affiliazione da utente a gruppo, è necessaria una licenza di governance di Microsoft Entra ID.
Pianificare il progetto di distribuzione delle verifiche di accesso
Considerare le esigenze dell'organizzazione per determinare la strategia di distribuzione delle verifiche di accesso nell'ambiente in uso.
Coinvolgere gli stakeholder appropriati
Quando i progetti tecnologici hanno esito negativo, in genere lo fanno a causa di aspettative non corrispondenti sull'impatto, sui risultati e sulle responsabilità. Per evitare questi inconvenienti, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli del progetto siano chiari.
Per le verifiche di accesso, è probabile che siano inclusi rappresentanti dei team seguenti all'interno dell'organizzazione:
L'amministrazione IT gestisce l'infrastruttura IT e amministra gli investimenti cloud e le app SaaS (Software as a Service). Questo team:
- Verifica l'accesso con privilegi all'infrastruttura e alle app, inclusi Microsoft 365 e Microsoft Entra ID.
- Pianifica ed esegue verifiche di accesso sui gruppi usati per gestire elenchi di eccezioni o progetti pilota IT per mantenere elenchi di accesso aggiornati.
- Garantisce che l'accesso a livello di codice (con script) alle risorse tramite entità servizio sia regolato e esaminato.
- Automatizzare processi come l'onboarding e l'offboarding degli utenti, le richieste di accesso e le certificazioni di accesso.
I team di sicurezza assicurano che il piano soddisfi i requisiti di sicurezza dell'organizzazione e applichi Zero Trust. Questo team:
- Riduce i rischi e rafforza la sicurezza
- Applica l'accesso con privilegi minimi alle risorse e alle applicazioni
- Usa gli strumenti per visualizzare un'origine autorevole centralizzata, di chi può accedere a cosa e per quanto tempo.
I team di sviluppo creano e mantengono le applicazioni per l'organizzazione. Questo team:
- Controlla chi può accedere e gestire i componenti in SaaS, piattaforma distribuita come servizio (PaaS) e risorse IaaS (Infrastructure as a Service) che costituiscono le soluzioni sviluppate.
- Gestisce i gruppi che possono accedere ad applicazioni e strumenti per lo sviluppo di applicazioni interne.
- Richiede identità con privilegi che hanno accesso al software o alle soluzioni di produzione ospitate per i clienti.
Business unit, che gestiscono progetti e applicazioni proprietarie. Questo team:
- Esamina e approva o nega l'accesso a gruppi e applicazioni per utenti interni ed esterni.
- Pianifica ed esegue revisioni per attestare l'accesso continuo per i dipendenti e le identità esterne, ad esempio i partner commerciali.
- È necessario che i dipendenti abbiano accesso alle app necessarie per il proprio lavoro.
- Consente ai reparti di gestire l'accesso per gli utenti.
La governance aziendale garantisce che l'organizzazione segua i criteri interni e sia conforme alle normative. Questo team:
- Richieste o pianifica nuove verifiche di accesso.
- Valuta i processi e le procedure per esaminare l'accesso, che include la documentazione e la conservazione dei record per la conformità.
- Esamina i risultati delle revisioni precedenti per le risorse più critiche.
- Verifica che i controlli corretti siano soddisfatti per soddisfare i criteri di sicurezza e privacy obbligatori.
- Richiede processi di accesso ripetibili facili da controllare e segnalare.
Nota
Per le revisioni che richiedono valutazioni manuali, pianificare revisori adeguati e cicli di revisione che soddisfano le esigenze di criteri e conformità. Se i cicli di revisione sono troppo frequenti o ci sono troppi revisori, la qualità potrebbe andare persa e troppi o troppi utenti potrebbero avere accesso. È consigliabile stabilire responsabilità chiare per i vari stakeholder e reparti coinvolti nelle verifiche di accesso. Tutti i team e gli individui che partecipano devono comprendere i rispettivi ruoli e obblighi per rispettare il principio dei privilegi minimi.
Pianificare le comunicazioni
La comunicazione è fondamentale per il successo di un processo aziendale. Comunicare in modo proattivo agli utenti come e quando cambierà l'esperienza. Indicare loro come ottenere supporto se riscontrano problemi.
Comunicare le modifiche alla responsabilità
Le verifiche di accesso supportano il passaggio della responsabilità della revisione e dell'azione per continuare l'accesso ai proprietari aziendali. Separare le decisioni di accesso dal reparto IT determina decisioni di accesso più accurate. Questo cambiamento è un cambiamento culturale nella responsabilità e nella responsabilità del proprietario della risorsa. È opportuno comunicare in modo proattivo questa modifica e assicurarsi che i proprietari delle risorse siano formati e capaci di usare le informazioni per prendere decisioni ottimali.
Il reparto IT vuole mantenere il controllo per tutte le decisioni di accesso correlate all'infrastruttura e le assegnazioni di ruolo con privilegi.
Personalizzare la comunicazione tramite posta elettronica
Quando si pianifica una revisione, si nominano gli utenti che eseguono questa revisione. Questi revisori ricevono quindi una notifica tramite posta elettronica delle nuove recensioni assegnate e i promemoria prima della scadenza di una revisione assegnata.
Il messaggio di posta elettronica inviato ai revisori può essere personalizzato per includere un breve messaggio che li incoraggia ad agire sulla revisione. Usare il testo aggiuntivo per:
Includere un messaggio personale ai revisori in modo che comprendano che viene inviato dal reparto IT o dalla conformità.
Includere un riferimento alle informazioni interne sulle aspettative della revisione e sul materiale aggiuntivo di riferimento o formazione.
Dopo aver selezionato Avvia revisione, i revisori verranno indirizzati al portale di Accesso personale per le verifiche di accesso alle applicazioni e ai gruppi. Il portale offre una panoramica di tutti gli utenti che hanno accesso alla risorsa in corso di verifica, con raccomandazioni di sistema in base all'ultimo accesso e alle informazioni di accesso.
Pianificare un progetto pilota
Si consiglia ai clienti di provare inizialmente le verifiche di accesso pilota con un piccolo gruppo e assegnare risorse non critiche. La distribuzione pilota consente di modificare i processi e le comunicazioni in base alle esigenze. Consente di aumentare la capacità degli utenti e dei revisori di soddisfare i requisiti di sicurezza e conformità.
Nel progetto pilota è consigliabile:
- Iniziare con le recensioni in cui i risultati non vengono applicati automaticamente ed è possibile controllare le implicazioni.
- Verificare che tutti gli utenti abbiano indirizzi di posta elettronica validi elencati in Microsoft Entra ID. Verificare che ricevano la comunicazione tramite posta elettronica per eseguire l'azione appropriata.
- Documentare tutti gli accessi rimossi come parte del progetto pilota qualora fosse necessario ripristinarli rapidamente.
- Monitorare i log di controllo per assicurarsi che tutti gli eventi siano controllati correttamente.
Per altre informazioni, vedere Procedure consigliate per un progetto pilota.
Introduzione alle verifiche di accesso
Questa sezione presenta i concetti di verifica di accesso che è necessario conoscere prima di pianificare le recensioni.
Quali tipi di risorse è possibile esaminare?
Dopo aver integrato le risorse dell'organizzazione con Microsoft Entra ID, ad esempio utenti, applicazioni e gruppi, possono essere gestite e esaminate.
Le destinazioni tipiche per la verifica includono:
- Applicazioni integrate con Microsoft Entra ID per l'accesso Single Sign-On, ad esempio SaaS e line-of-business.
- L'appartenenza al gruppo è sincronizzata con Microsoft Entra ID o creata in Microsoft Entra ID o Microsoft 365, incluso Microsoft Teams.
- Pacchetto di accesso che raggruppa risorse come gruppi, app e siti in un singolo pacchetto per gestire l'accesso.
- Ruoli di Microsoft Entra e ruoli delle risorse di Azure, come definito in PIM.
Chi crea e gestisce le verifiche di accesso?
Il ruolo amministrativo necessario per creare, gestire o leggere una verifica di accesso dipende dal tipo di risorsa di cui viene esaminata l'appartenenza. Nella tabella seguente sono indicati i ruoli necessari per ogni tipo di risorsa.
| Tipo di risorsa | Creare e gestire verifiche di accesso (creatori) | Leggere i risultati della verifica di accesso |
|---|---|---|
| Gruppo o applicazione | Amministratore globale Amministratore utenti Amministratore di Identity Governance Amministratore ruolo con privilegi (esegue solo verifiche per i gruppi assegnabili ai ruoli di Microsoft Entra) Proprietario del gruppo (se abilitato da un amministratore) |
Amministratore globale Ruolo con autorizzazioni di lettura globali Amministratore utenti Amministratore di Identity Governance Amministratore ruolo con privilegi Ruolo con autorizzazioni di lettura per la sicurezza Proprietario del gruppo (se abilitato da un amministratore) |
| Ruoli di Microsoft Entra | Amministratore globale Amministratore ruolo con privilegi |
Amministratore globale Ruolo con autorizzazioni di lettura globali Amministratore utenti Amministratore ruolo con privilegi
Ruolo con autorizzazioni di lettura per la sicurezza |
| Ruoli delle risorse di Azure | Accesso utente Amministrazione istrator (per la risorsa) Proprietario della risorsa Ruoli personalizzati con autorizzazione Microsoft.Authorization/*. |
Accesso utente Amministrazione istrator (per la risorsa) Proprietario della risorsa Lettore (per la risorsa) Ruoli personalizzati con autorizzazioni Microsoft.Authorization/*/read. |
| Pacchetto di accesso | Amministratore globale Amministratore di Identity Governance Proprietario del catalogo (per il pacchetto di accesso) Gestione pacchetti di accesso (per il pacchetto di accesso) |
Amministratore globale Ruolo con autorizzazioni di lettura globali Amministratore utenti Amministratore di Identity Governance Proprietario del catalogo (per il pacchetto di accesso) Gestione pacchetti di accesso (per il pacchetto di accesso) Ruolo con autorizzazioni di lettura per la sicurezza |
Per altre informazioni, vedere autorizzazioni del ruolo Amministrazione istrator in Microsoft Entra ID.
Chi verifica l'accesso alla risorsa?
L'autore della verifica di accesso decide al momento della creazione chi eseguirà la revisione. Questa impostazione non può essere modificata dopo l'avvio della verifica. I revisori sono rappresentati da:
- Proprietari di risorse che sono i proprietari aziendali della risorsa.
- Delegati selezionati singolarmente come scelti dall'amministratore delle verifiche di accesso.
- Utenti che autocertificano la necessità di un accesso continuo.
- I manager esaminano l'accesso diretto dei report alla risorsa.
Nota
Quando si seleziona Proprietari risorse o Manager, gli amministratori designano i revisori di fallback, che vengono contattati se il contatto principale non è disponibile.
Quando si crea una verifica di accesso, gli amministratori possono scegliere uno o più revisori. Tutti i revisori possono avviare ed eseguire una verifica scegliendo gli utenti per l'accesso continuo a una risorsa o rimuovendoli.
Componenti della verifica di accesso
Prima di implementare le verifiche di accesso, pianificare i tipi di recensioni rilevanti per l'organizzazione. A tale scopo, è necessario prendere decisioni aziendali su ciò che si vuole esaminare e le azioni da intraprendere in base a tali recensioni.
Per creare un criterio di verifica di accesso occorrono le informazioni seguenti:
Quali sono le risorse da esaminare?
Quale accesso viene verificato?
Con quale frequenza deve essere eseguita la verifica?
Chi eseguirà la revisione?
- In che modo verranno inviate le notifiche per la verifica?
- Quali sono le sequenze temporali da applicare per la verifica?
Quali azioni automatiche si devono applicare in base alla verifica?
- Cosa accade se il revisore non risponde per tempo?
Quali azioni manuali vengono eseguite di conseguenza in base alla revisione?
Quali comunicazioni devono essere inviate in base alle azioni intraprese?
Piano di verifica di accesso di esempio
| Componente | Valore |
|---|---|
| Risorse da verificare | Accesso a Microsoft Dynamics. |
| Frequenza delle verifiche | Mensile. |
| Chi esegue la revisione | Responsabili programmi del gruppo di business dynamics. |
| Notifica | Il messaggio di posta elettronica viene inviato all'inizio di una revisione all'alias Dynamics-Pms. Includere un messaggio personalizzato incoraggiante per i revisori per proteggere il loro acquisto. |
| Sequenza temporale | 48 ore dalla notifica. |
| Azioni automatiche | Rimuovere l'accesso da qualsiasi account senza accesso interattivo entro 90 giorni rimuovendo l'utente dal gruppo di sicurezza dynamics-access. Eseguire le azioni se non vengono verificate entro la sequenza temporale. |
| Azioni manuali | I revisori possono eseguire l'approvazione delle rimozioni prima dell'azione automatizzata, se necessario. |
Automatizzare le azioni in base alle verifiche di accesso
È possibile scegliere di automatizzare la rimozione dell'accesso impostando l'opzione Applica automaticamente i risultati alla risorsa su Abilita.
Al termine della revisione, gli utenti che non sono stati approvati dal revisore verranno rimossi automaticamente dalla risorsa o mantenuti con accesso continuo. Le opzioni possono significare rimuovere l'appartenenza al gruppo o l'assegnazione dell'applicazione o revocare il diritto di elevare il proprio diritto a un ruolo con privilegi.
Accetta le raccomandazioni
Consigli vengono visualizzati ai revisori nell'ambito dell'esperienza di revisore e indicano l'ultimo accesso di una persona al tenant o all'ultimo accesso a un'applicazione. Queste informazioni consentono ai revisori di prendere la giusta decisione di accesso. Se si seleziona Accetta raccomandazioni , seguire le raccomandazioni della verifica di accesso. Al termine di una verifica di accesso, il sistema applica automaticamente queste raccomandazioni agli utenti per i quali i revisori non hanno risposto.
Le raccomandazioni si basano sui criteri della verifica di accesso. Ad esempio, se si configura la verifica per rimuovere l'accesso senza accesso interattivo per 90 giorni, è consigliabile rimuovere tutti gli utenti che soddisfano tali criteri. Microsoft lavora continuamente per migliorare le raccomandazioni.
Verificare l'accesso degli utenti guest
Usare le verifiche di accesso per verificare e pulire le identità dei partner di collaborazione di organizzazioni esterne. La configurazione di una revisione per partner potrebbe soddisfare i requisiti di conformità.
È possibile concedere alle identità esterne l'accesso alle risorse aziendali. Possono essere:
- Aggiunta a un gruppo.
- Invito in Teams.
- Assegnazione a un'applicazione aziendale o a un pacchetto di accesso.
- Assegnazione di un ruolo con privilegi in Microsoft Entra ID o in una sottoscrizione di Azure.
Per altre informazioni, vedere Script di esempio. Lo script mostra dove vengono usate le identità esterne invitate nel tenant. È possibile visualizzare l'appartenenza a gruppi, le assegnazioni di ruolo e le assegnazioni di applicazioni di un utente esterno in Microsoft Entra ID. Lo script non mostrerà assegnazioni all'esterno dell'ID Di Microsoft Entra, ad esempio l'assegnazione diretta dei diritti alle risorse di SharePoint, senza l'uso dei gruppi.
Quando si crea una verifica di accesso per gruppi o applicazioni, è possibile scegliere di consentire al revisore di concentrarsi solo su Tutti gli utenti o gli utenti guest. Selezionando Solo utenti guest, ai revisori viene assegnato un elenco mirato di identità esterne da Microsoft Entra business a business (B2B) che hanno accesso alla risorsa.
Importante
Questo elenco non includerà membri esterni che dispongono di un userType di membro. Questo elenco non includerà anche gli utenti invitati all'esterno di Microsoft Entra B2B Collaboration. Un esempio è rappresentato dagli utenti che hanno accesso al contenuto condiviso direttamente tramite SharePoint.
Pianificare le verifiche di accesso per i pacchetti di accesso
I pacchetti di accesso possono semplificare notevolmente la governance e la strategia di revisione degli accessi. Un pacchetto di accesso è un bundle di tutte le risorse con l'accesso che un utente deve lavorare su un progetto o svolgere l'attività. Ad esempio, è possibile creare un pacchetto di accesso che includa tutte le applicazioni necessarie agli sviluppatori dell'organizzazione o tutte le applicazioni a cui gli utenti esterni devono avere accesso. Un amministratore o uno strumento di gestione pacchetti di accesso delegato raggruppa quindi le risorse (gruppi o app) e i ruoli necessari agli utenti per tali risorse.
Quando si crea un pacchetto di accesso, è possibile creare uno o più criteri di pacchetto di accesso che impostano le condizioni per cui gli utenti possono richiedere un pacchetto di accesso, l'aspetto del processo di approvazione e la frequenza con cui una persona dovrà richiedere di nuovo l'accesso o avere verificato l'accesso. Le verifiche di accesso vengono configurate durante la creazione o la modifica dei criteri dei pacchetti di accesso.
Selezionare la scheda Ciclo di vita e scorrere verso il basso fino alle verifiche di accesso.
Pianificare le verifiche di accesso per i gruppi
Oltre ai pacchetti di accesso, la revisione dell'appartenenza ai gruppi è il modo più efficace per gestire l'accesso. Assegnare l'accesso alle risorse tramite gruppi di sicurezza o gruppi di Microsoft 365. Aggiungere utenti a tali gruppi per ottenere l'accesso.
È possibile concedere a un singolo gruppo l'accesso a tutte le risorse appropriate È possibile assegnare al gruppo l'accesso a singole risorse o a un pacchetto di accesso che raggruppa le applicazioni e altre risorse. Con questo metodo, è possibile esaminare l'accesso al gruppo anziché l'accesso di un singolo utente a ogni applicazione.
L'appartenenza al gruppo può essere verificata da:
- Amministratori.
- Proprietari del gruppo.
- Utenti selezionati che sono funzionalità di revisione delegata al momento della creazione della revisione.
- Membri del gruppo che attestano per se stessi.
- Manager che esaminano l'accesso diretto ai report.
Proprietà di gruppo
I proprietari del gruppo esaminano l'appartenenza perché sono meglio qualificati per sapere chi ha bisogno di accesso. La proprietà dei gruppi è diversa dal tipo di gruppo:
I gruppi creati in Microsoft 365 e Microsoft Entra ID hanno uno o più proprietari ben definiti. Nella maggior parte dei casi, tali proprietari sono perfetti per la verifica dei relativi gruppi, perché sanno bene chi deve avere accesso.
Microsoft Teams, ad esempio, usa Gruppi di Microsoft 365 come modello di autorizzazione sottostante per concedere agli utenti l'accesso alle risorse che si trovano in SharePoint, Exchange, OneNote o altri servizi di Microsoft 365. L'autore del team diventa automaticamente un proprietario e deve essere responsabile dell'attestazione dell'appartenenza a tale gruppo.
I gruppi creati manualmente nell'interfaccia di amministrazione di Microsoft Entra o tramite scripting tramite Microsoft Graph potrebbero non avere necessariamente proprietari definiti. Definirli tramite l'interfaccia di amministrazione di Microsoft Entra nella sezione Proprietari del gruppo o tramite Microsoft Graph.
I gruppi sincronizzati da Active Directory locale non possono avere un proprietario in Microsoft Entra ID. Quando si crea una verifica di accesso per loro, selezionare le persone più adatte per decidere l'appartenenza.
Nota
Definire i criteri aziendali che definiscono il modo in cui vengono creati i gruppi per garantire una chiara proprietà del gruppo e responsabilità per la revisione regolare dell'appartenenza.
Esaminare l'appartenenza ai gruppi di esclusione nei criteri di accesso condizionale
Per informazioni su come esaminare l'appartenenza ai gruppi di esclusione, vedere Usare le verifiche di accesso di Microsoft Entra per gestire gli utenti esclusi dai criteri di accesso condizionale.
Esaminare le appartenenze ai gruppi degli utenti guest
Per informazioni su come esaminare l'accesso degli utenti guest alle appartenenze ai gruppi, vedere Gestire l'accesso guest con le verifiche di accesso di Microsoft Entra.
Verificare l'accesso a gruppi locali
Le verifiche di accesso non possono modificare l'appartenenza a gruppi sincronizzati da AD locale con Microsoft Entra Connessione. Questa restrizione è dovuta al fatto che l'origine dell'autorità per un gruppo che ha origine in ACTIVE Directory è locale. Per controllare l'accesso alle app basate su gruppi di Active Directory, usare il writeback del gruppo Microsoft Entra Cloud Sync.
Fino a quando non è stata eseguita la migrazione ai gruppi di Microsoft Entra con writeback dei gruppi, è comunque possibile usare le verifiche di accesso per pianificare e gestire revisioni regolari dei gruppi locali esistenti. In questo caso, gli amministratori eseguiranno un'azione nel gruppo locale al termine di ogni verifica. Questa strategia permette di usare le verifiche di accesso come strumento per tutte le verifiche.
È possibile usare i risultati di una verifica di accesso nei gruppi locali ed elaborarli ulteriormente, in uno dei casi seguenti:
- Scaricare il report CSV dalla verifica di accesso e intervenire manualmente.
- Uso di Microsoft Graph per recuperare a livello di codice i risultati delle decisioni relative alle verifiche di accesso completate.
Ad esempio, per recuperare i risultati per un gruppo gestito da Active Directory di Windows Server, usare questo script di esempio di PowerShell. Lo script descrive le chiamate di Microsoft Graph necessarie ed esporta i comandi di PowerShell di Windows Server AD per eseguire le modifiche.
Pianificare le verifiche di accesso per le applicazioni
Quando si esaminano tutti gli utenti assegnati all'applicazione, si esaminano gli utenti, inclusi i dipendenti e le identità esterne, che possono eseguire l'autenticazione a tale applicazione usando l'identità Microsoft Entra. Scegliere di esaminare un'applicazione quando è necessario conoscere chi può accedere a un'applicazione specifica, anziché un pacchetto di accesso o un gruppo.
Pianificare le revisioni per le applicazioni negli scenari seguenti quando:
- Agli utenti viene concesso l'accesso diretto all'applicazione (all'esterno di un gruppo o di un pacchetto di accesso).
- L'applicazione espone informazioni critiche o sensibili.
- L'applicazione ha requisiti di conformità specifici per i quali è necessaria l'attestazione.
- Si sospetta un accesso non appropriato.
Prima di creare verifiche di accesso per un'applicazione, l'applicazione deve essere integrata con Microsoft Entra ID come applicazione nel tenant, con gli utenti assegnati ai ruoli dell'app e l'opzione Assegnazione utente obbligatoria? nell'applicazione impostata su Sì. Se è impostata su No, tutti gli utenti nella directory, incluse le identità esterne, possono accedere all'applicazione e non è possibile esaminare l'accesso all'applicazione.
Assegnare quindi gli utenti e i gruppi di cui si vuole esaminare l'accesso.
Altre informazioni su come prepararsi per una verifica di accesso dell'accesso degli utenti a un'applicazione.
Revisori di un'applicazione
Le verifiche di accesso possono essere relative ai membri di un gruppo o agli utenti assegnati a un'applicazione. Le applicazioni in Microsoft Entra ID non hanno necessariamente un proprietario, motivo per cui non è possibile selezionare il proprietario dell'applicazione come suo revisore. È possibile definire ulteriormente l'ambito di una verifica per verificare solo gli utenti guest assegnati all'applicazione, anziché tutti gli accessi.
Revisione dei piani dei ruoli delle risorse di Microsoft Entra ID e Azure
Privileged Identity Management semplifica il modo in cui le aziende gestiscono l'accesso con privilegi alle risorse in Microsoft Entra ID. L'uso di PIM mantiene l'elenco dei ruoli con privilegi in Microsoft Entra ID e risorse di Azure più piccole. Aumenta anche la sicurezza complessiva della directory.
Le verifiche di accesso consentono ai revisori di attestare l'eventuale necessità di appartenenza a un ruolo da parte degli utenti. Proprio come le verifiche di accesso per i pacchetti di accesso, le recensioni per i ruoli di Microsoft Entra e le risorse di Azure sono integrate nell'esperienza utente amministratore di PIM.
Esaminare regolarmente le assegnazioni di ruolo seguenti:
- Amministratore globale
- Amministratore utenti
- Amministratore dell'autenticazione con privilegi
- Amministratore di accesso condizionale
- Amministratore della sicurezza
- Tutti i ruoli di amministrazione di Microsoft 365 e Dynamics Service
I ruoli esaminati includono assegnazioni permanenti e idonee.
Nella sezione Revisori selezionare una o più persone per la verifica di tutti gli utenti. In alternativa, è possibile selezionare Manager, per fare in modo che un manager riveda l'accesso delle persone gestite o membri (auto) per avere i membri che esaminano il proprio accesso.
Distribuire le verifiche di accesso
Dopo aver preparato una strategia e un piano per esaminare l'accesso per le risorse integrate con Microsoft Entra ID, distribuire e gestire le revisioni usando le risorse seguenti.
Verificare i pacchetti di accesso
Per ridurre il rischio di accesso obsoleto, gli amministratori possono abilitare verifiche periodiche degli utenti con assegnazioni attive a un pacchetto di accesso. Seguire le istruzioni negli articoli elencati nella tabella.
| Procedure | Descrizione |
|---|---|
| Creare verifiche di accesso | Abilitare le verifiche di un pacchetto di accesso. |
| Eseguire verifiche di accesso | Eseguire verifiche di accesso per altri utenti assegnati a un pacchetto di accesso. |
| Pacchetti di accesso assegnati con verifica automatica | Eseguire una verifica automatica dei pacchetti di accesso assegnati. |
Nota
Gli utenti che si autovalutano e dicono che non hanno più bisogno di accesso non vengono rimossi immediatamente dal pacchetto di accesso. Vengono rimossi dal pacchetto di accesso al termine della verifica o se un amministratore interrompe la verifica.
Verificare gruppi e app
L'accesso deve essere eseguito in gruppi e applicazioni per dipendenti e guest nel corso del tempo. Per ridurre i rischi associati ad assegnazioni di accesso obsolete, gli amministratori possono creare verifiche di accesso per i membri dei gruppi o l'accesso alle applicazioni. Seguire le istruzioni negli articoli elencati nella tabella.
| Procedure | Descrizione |
|---|---|
| Creare verifiche di accesso | Creare una o più verifiche di accesso per i membri del gruppo o l'accesso alle applicazioni. |
| Eseguire verifiche di accesso | Eseguire una verifica di accesso per i membri di un gruppo o utenti con accesso a un'applicazione. |
| Verifica automatica dell'accesso | Consentire ai membri di esaminare il proprio accesso a un gruppo o a un'applicazione. |
| Completare una verifica di accesso | Visualizzare una verifica di accesso e applicare i risultati. |
| Intervenire per i gruppi locali | Usare uno script di PowerShell di esempio per agire sulle verifiche di accesso per i gruppi locali. |
Esaminare i ruoli di Microsoft Entra
Per ridurre il rischio associato alle assegnazioni di ruolo non aggiornate, esaminare regolarmente l'accesso ai ruoli con privilegi di Microsoft Entra.
Seguire le istruzioni negli articoli elencati nella tabella.
| Procedure | Descrizione |
|---|---|
| Creare verifiche di accesso | Creare verifiche di accesso per i ruoli di Microsoft Entra con privilegi in PIM. |
| Verifica automatica dell'accesso | Se si è assegnati a un ruolo amministrativo, approvare o negare l'accesso al ruolo. |
| Completare una verifica di accesso | Visualizzare una verifica di accesso e applicare i risultati. |
Verificare i ruoli delle risorse di Azure
Per ridurre il rischio associato alle assegnazioni di ruolo non aggiornate, esaminare regolarmente l'accesso ai ruoli delle risorse di Azure con privilegi.
Seguire le istruzioni negli articoli elencati nella tabella.
| Procedure | Descrizione |
|---|---|
| Creare verifiche di accesso | Creare verifiche di accesso per i ruoli delle risorse di Azure con privilegi in PIM. |
| Verifica automatica dell'accesso | Se si è assegnati a un ruolo amministrativo, approvare o negare l'accesso al ruolo. |
| Completare una verifica di accesso | Visualizzare una verifica di accesso e applicare i risultati. |
Usare l'API Verifiche di accesso
Per interagire con e gestire risorse verificabili, vedere Metodi dell'API Microsoft Graph e controlli delle autorizzazioni delle applicazioni e ruoli. I metodi di verifica di accesso nell'API Microsoft Graph sono disponibili per contesti relativi alle applicazioni e agli utenti. Quando si eseguono script nel contesto dell'applicazione, all'account usato per eseguire l'API (l'entità servizio) deve essere concessa l'autorizzazione AccessReview.Read.All per eseguire query sulle informazioni sulle verifiche di accesso.
Le attività di verifica di accesso più comuni da automatizzare usando l'API Microsoft Graph per le verifiche di accesso sono:
- Creare e avviare una verifica di accesso.
- Terminare manualmente una verifica di accesso prima della fine pianificata.
- Elencare tutte le verifiche di accesso in esecuzione e il relativo stato.
- Visualizzare la cronologia di una serie di verifiche e le decisioni e azioni intraprese in ciascuna verifica.
- Raccogliere decisioni da una verifica di accesso.
- Raccogliere decisioni dalle revisioni completate in cui il revisore ha preso una decisione diversa da quella consigliata dal sistema.
Quando si creano nuove query dell'API Microsoft Graph per l'automazione, usare Graph Explorer per compilare ed esplorare le query di Microsoft Graph prima di inserirle in script e codice. Questo passaggio consente di eseguire rapidamente l'iterazione della query in modo da ottenere esattamente i risultati desiderati, senza modificare il codice dello script.
Monitorare le verifiche di accesso
Le attività delle verifiche di accesso vengono registrate e disponibili nei log di controllo di Microsoft Entra. È possibile filtrare i dati di controllo in base alla categoria, al tipo di attività e all'intervallo di date. Ecco una query di esempio.
| Categoria | Criteri |
|---|---|
| Tipo di impegno | Creare una verifica di accesso |
| Aggiornare la verifica di accesso | |
| Verifica di accesso terminata | |
| Eliminare la verifica di accesso | |
| Approvare la decisione | |
| Rifiutare la decisione | |
| Reimpostare la decisione | |
| Applicare la decisione | |
| Intervallo di date | Sette giorni |
Per query e analisi più avanzate delle verifiche di accesso e per tenere traccia delle modifiche e del completamento delle revisioni, esportare i log di controllo di Microsoft Entra in Azure Log Analytics o Hub eventi di Azure. Quando i log di controllo vengono archiviati in Log Analytics, è possibile usare il linguaggio di analisi avanzato e creare dashboard personalizzati.
Passaggi successivi
Informazioni sulle tecnologie correlate seguenti: