Condividi tramite

Distribuzione dei criteri dell'organizzazione per la governance dell'accesso alle applicazioni integrate con Microsoft Entra ID

  • Articolo

Nelle sezioni precedenti sono stati definiti i criteri di governance per un'applicazione e l'applicazione è stata integrata con Microsoft Entra ID. In questa sezione vengono configurate le funzionalità di gestione dell'accesso condizionale e entitlement di Microsoft Entra per controllare l'accesso continuo alle applicazioni. L'utente stabilisce

  • Criteri di accesso condizionale, per informazioni su come un utente esegue l'autenticazione a Microsoft Entra ID per un'applicazione integrata con Microsoft Entra ID per l'accesso Single Sign-On
  • Criteri di gestione entitlement, per il modo in cui un utente ottiene e mantiene le assegnazioni ai ruoli dell'applicazione e all'appartenenza ai gruppi
  • Criteri di verifica dell'accesso, per la frequenza con cui vengono esaminate le appartenenze ai gruppi

Dopo aver distribuito questi criteri, è possibile monitorare il comportamento continuativo di Microsoft Entra ID come richiesta dagli utenti e l'accesso all'applicazione.

Distribuire i criteri di accesso condizionale per l'applicazione dell'accesso Single Sign-On

In questa sezione vengono definiti i criteri di accesso condizionale che rientrano nell'ambito per determinare se un utente autorizzato è in grado di accedere all'app, in base a fattori come il livello di attendibilità dell'autenticazione o lo stato del dispositivo dell'utente.

L'accesso condizionale è possibile solo per le applicazioni che si basano su Microsoft Entra ID per l'accesso Single Sign-On (SSO). Se l'applicazione non è in grado di essere integrata per l'accesso Single Sign-On, continuare nella sezione successiva.

  1. Caricare il documento condizioni per l'utilizzo, se necessario. Se è necessario che gli utenti accettino un termine di utilizzo (TOU) prima di accedere all'applicazione, creare e caricare il documento tou in modo che possa essere incluso in un criterio di accesso condizionale.
  2. Verificare che gli utenti siano pronti per l'autenticazione a più fattori Di Microsoft Entra. È consigliabile richiedere l'autenticazione a più fattori Microsoft Entra per le applicazioni business critical integrate tramite la federazione. Per queste applicazioni, deve essere presente un criterio che richiede all'utente di soddisfare un requisito di autenticazione a più fattori prima dell'ID Microsoft Entra per consentire l'accesso all'applicazione. Alcune organizzazioni possono anche bloccare l'accesso in base alle posizioni o richiedere all'utente di accedere da un dispositivo registrato. Se non sono già presenti criteri adatti che includono le condizioni necessarie per l'autenticazione, la posizione, il dispositivo e l'unità di dettaglio, aggiungere un criterio alla distribuzione dell'accesso condizionale.
  3. Portare l'endpoint Web dell'applicazione nell'ambito dei criteri di accesso condizionale appropriati. Se si dispone di un criterio di accesso condizionale esistente creato per un'altra applicazione soggetta agli stessi requisiti di governance, è possibile aggiornare tale criterio per applicarlo anche a questa applicazione, per evitare di avere un numero elevato di criteri. Dopo aver apportato gli aggiornamenti, verificare che vengano applicati i criteri previsti. È possibile visualizzare i criteri che si applicano a un utente con lo strumento Di accesso condizionale.
  4. Creare una verifica di accesso ricorrente se gli utenti avranno bisogno di esclusioni di criteri temporanei. In alcuni casi, potrebbe non essere possibile applicare immediatamente i criteri di accesso condizionale per ogni utente autorizzato. Ad esempio, alcuni utenti potrebbero non avere un dispositivo registrato appropriato. Se è necessario escludere uno o più utenti dai criteri di accesso condizionale e consentire l'accesso, configurare una verifica di accesso per il gruppo di utenti esclusi dai criteri di accesso condizionale.
  5. Documentare la durata del token e le impostazioni di sessione dell'applicazione. Per quanto tempo un utente che ha negato l'accesso continuo può continuare a usare un'applicazione federata dipende dalla durata della sessione dell'applicazione e dalla durata del token di accesso. La durata della sessione per un'applicazione dipende dall'applicazione stessa. Per altre informazioni sul controllo della durata dei token di accesso, vedere Durata dei token configurabili.

Distribuire i criteri di gestione entitlement per automatizzare l'assegnazione di accesso

In questa sezione viene configurata la gestione entitlement di Microsoft Entra in modo che gli utenti possano richiedere l'accesso ai ruoli dell'applicazione o ai gruppi usati dall'applicazione. Per eseguire queste attività, è necessario trovarsi nel ruolo Global Amministrazione istrator, Identity Governance Amministrazione istrator o essere delegato come creatore del catalogo e proprietario dell'applicazione.

Nota

Dopo l'accesso con privilegi minimi, è consigliabile usare il ruolo di amministratore di Identity Governance qui.

  1. I pacchetti di accesso per le applicazioni regolamentate devono trovarsi in un catalogo designato. Se non si ha già un catalogo per lo scenario di governance delle applicazioni, creare un catalogo nella gestione entitlement di Microsoft Entra. Se sono disponibili più cataloghi da creare, è possibile usare uno script di PowerShell per creare ogni catalogo.
  2. Popolare il catalogo con le risorse necessarie. Aggiungere l'applicazione e tutti i gruppi di Microsoft Entra su cui si basa l'applicazione, come risorse in tale catalogo. Se si dispone di molte risorse, è possibile usare uno script di PowerShell per aggiungere ogni risorsa a un catalogo.
  3. Creare un pacchetto di accesso per ogni ruolo o gruppo che gli utenti possono richiedere. Per ognuna delle applicazioni e per ogni ruolo o gruppo dell'applicazione, creare un pacchetto di accesso che includa tale ruolo o gruppo come risorsa. In questa fase di configurazione di questi pacchetti di accesso, configurare i primi criteri di assegnazione dei pacchetti di accesso in ogni pacchetto di accesso come criteri per l'assegnazione diretta, in modo che solo gli amministratori possano creare assegnazioni. In tale criterio, impostare i requisiti di verifica di accesso per gli utenti esistenti, se presenti, in modo che non mantengano l'accesso illimitato. Se si dispone di molti pacchetti di accesso, è possibile usare uno script di PowerShell per creare ogni pacchetto di accesso in un catalogo.
  4. Configurare i pacchetti di accesso per applicare la separazione dei requisiti dei compiti. Se si hanno requisiti di separazione dei compiti , configurare i pacchetti di accesso incompatibili o i gruppi esistenti per il pacchetto di accesso. Se lo scenario richiede la possibilità di eseguire l'override di una separazione dei compiti, è anche possibile configurare pacchetti di accesso aggiuntivi per questi scenari di override.
  5. Aggiungere assegnazioni di utenti esistenti, che hanno già accesso all'applicazione, ai pacchetti di accesso. Per ogni pacchetto di accesso, assegnare gli utenti esistenti dell'applicazione nel ruolo corrispondente, o membri di tale gruppo, al pacchetto di accesso e ai relativi criteri di assegnazione diretta. È possibile assegnare direttamente un utente a un pacchetto di accesso usando l'interfaccia di amministrazione di Microsoft Entra o in blocco tramite Graph o PowerShell.
  6. Creare criteri aggiuntivi per consentire agli utenti di richiedere l'accesso. In ogni pacchetto di accesso creare criteri di assegnazione dei pacchetti di accesso aggiuntivi per consentire agli utenti di richiedere l'accesso. Configurare i requisiti di approvazione e verifica dell'accesso ricorrente in tale criterio.
  7. Creare verifiche di accesso ricorrenti per altri gruppi usati dall'applicazione. Se sono presenti gruppi usati dall'applicazione ma non sono ruoli delle risorse per un pacchetto di accesso, creare verifiche di accesso per l'appartenenza a tali gruppi.

Visualizzare i report sull'accesso

Microsoft Entra ID e Microsoft Entra ID Governance con Monitoraggio di Azure fornisce diversi report che consentono di comprendere chi ha accesso a un'applicazione e se usa tale accesso.

  • Un amministratore, o un proprietario del catalogo, può recuperare l'elenco di utenti con assegnazioni di pacchetti di accesso, tramite l'interfaccia di amministrazione di Microsoft Entra, Graph o PowerShell.
  • È anche possibile inviare i log di controllo a Monitoraggio di Azure e visualizzare una cronologia delle modifiche apportate al pacchetto di accesso, nell'interfaccia di amministrazione di Microsoft Entra o tramite PowerShell.
  • È possibile visualizzare gli ultimi 30 giorni di accesso a un'applicazione nel report degli accessi nell'interfaccia di amministrazione di Microsoft Entra o tramite Graph.
  • È anche possibile inviare i log di accesso a Monitoraggio di Azure per archiviare l'attività di accesso per un massimo di due anni.

Monitorare per modificare i criteri di gestione entitlement e l'accesso in base alle esigenze

A intervalli regolari, ad esempio settimanali, mensili o trimestrali, in base al volume delle modifiche di assegnazione dell'accesso alle applicazioni per l'applicazione, usare l'interfaccia di amministrazione di Microsoft Entra per garantire che l'accesso venga concesso in base ai criteri. È anche possibile assicurarsi che gli utenti identificati per l'approvazione e la revisione siano ancora gli individui corretti per queste attività.

  • Controllare le assegnazioni di ruolo dell'applicazione e le modifiche all'appartenenza ai gruppi. Se è stato configurato Microsoft Entra ID per inviare il log di controllo a Monitoraggio di Azure, usare Application role assignment activity in Monitoraggio di Azure per monitorare e segnalare eventuali assegnazioni di ruolo dell'applicazione che non sono state effettuate tramite la gestione entitlement. Se sono presenti assegnazioni di ruolo create direttamente dal proprietario di un'applicazione, è necessario contattare il proprietario dell'applicazione per determinare se tale assegnazione è stata autorizzata. Inoltre, se l'applicazione si basa sui gruppi di sicurezza Microsoft Entra, monitorare anche le modifiche apportate a tali gruppi.

  • Controllare anche gli utenti che hanno concesso l'accesso direttamente all'interno dell'applicazione. Se vengono soddisfatte le condizioni seguenti, è possibile che un utente ottenga l'accesso a un'applicazione senza far parte dell'ID Microsoft Entra o senza essere aggiunto all'account utente dell'applicazione da Microsoft Entra ID:

    • L'applicazione ha un archivio account utente locale all'interno dell'app
    • L'archivio account utente si trova in un database o in una directory LDAP
    • L'applicazione non si basa esclusivamente sull'ID Microsoft Entra per l'accesso Single Sign-On.

    Per un'applicazione con le proprietà nell'elenco precedente, è consigliabile verificare regolarmente che gli utenti siano stati aggiunti solo all'archivio utenti locale dell'applicazione tramite il provisioning di Microsoft Entra. Se gli utenti creati direttamente nell'applicazione, contattare il proprietario dell'applicazione per determinare se l'assegnazione è stata autorizzata.

  • Assicurarsi che i responsabili approvazione e i revisori siano aggiornati. Per ogni pacchetto di accesso configurato nella sezione precedente, assicurarsi che i criteri di assegnazione dei pacchetti di accesso continuino ad avere i responsabili approvazione e i revisori corretti. Aggiornare questi criteri se i responsabili approvazione e i revisori configurati in precedenza non sono più presenti nell'organizzazione o si trovano in un ruolo diverso.

  • Verificare che i revisori vengano prese decisioni durante una revisione. Monitorare che le verifiche di accesso ricorrenti per tali pacchetti di accesso vengano completate correttamente, per assicurarsi che i revisori partecipino e prese decisioni per approvare o negare l'esigenza continua dell'accesso dell'utente.

  • Verificare che il provisioning e il deprovisioning funzionino come previsto. Se in precedenza è stato configurato il provisioning degli utenti nell'applicazione, quando vengono applicati i risultati di una revisione o l'assegnazione di un utente a un pacchetto di accesso scade, l'ID Entra di Microsoft avvia il deprovisioning degli utenti negati dall'applicazione. È possibile monitorare il processo di deprovisioning degli utenti. Se il provisioning indica un errore con l'applicazione, è possibile scaricare il log di provisioning per verificare se si è verificato un problema con l'applicazione.

  • Aggiornare la configurazione di Microsoft Entra con qualsiasi modifica di ruolo o gruppo nell'applicazione. Se l'amministratore dell'applicazione aggiunge nuovi ruoli dell'app nel manifesto, aggiorna i ruoli esistenti o si basa su gruppi aggiuntivi, è necessario aggiornare i pacchetti di accesso e le verifiche di accesso per tenere conto di tali nuovi ruoli o gruppi.

Passaggi successivi