Distribuzione dei criteri dell'organizzazione per la governance dell'accesso alle applicazioni integrate con Microsoft Entra ID

Nelle sezioni precedenti sono stati definiti i criteri di governance di un'applicazione e l'applicazione è stata integrata con Microsoft Entra ID. In questa sezione vengono configurate le funzionalità di accesso condizionale e di gestione entitlement di Microsoft Entra per controllare l'accesso continuo alle applicazioni. L'utente stabilisce

• I criteri di accesso condizionale, per informazioni su come un utente esegue l'autenticazione a Microsoft Entra ID per un'applicazione integrata con Microsoft Entra ID per l'accesso Single Sign-On
• I criteri di gestione entitlement, per il modo in cui un utente ottiene e mantiene le assegnazioni ai ruoli dell'applicazione e all'appartenenza ai gruppi
• I criteri di verifica dell'accesso, per la frequenza con cui vengono esaminate le appartenenze ai gruppi

Dopo aver distribuito questi criteri, è possibile monitorare il comportamento continuativo di Microsoft Entra ID quando gli utenti richiedono l'accesso e viene loro assegnato l'accesso all'applicazione.

Distribuire i criteri di accesso condizionale per l'applicazione dell'accesso Single Sign-On

In questa sezione vengono definiti i criteri di accesso condizionale che rientrano nell'ambito per stabilire se un utente autorizzato è in grado di accedere all'app in base a fattori come il livello di attendibilità dell'autenticazione o lo stato del dispositivo dell'utente.

L'accesso condizionale è possibile solo per le applicazioni che si basano su Microsoft Entra ID per l'accesso Single Sign-On (SSO). Se l'applicazione non è in grado di essere integrata per l'accesso Single Sign-On, continuare nella sezione successiva.

1. Caricare il documento con le condizioni per l'utilizzo, se necessario. Se è necessario che gli utenti accettino un termine di utilizzo (TOU) prima di accedere all'applicazione, creare e caricare il documento TOU in modo che possa essere incluso nei criteri di accesso condizionale.
2. Verificare che gli utenti siano preparati all'autenticazione a più fattori di Microsoft Entra. È consigliabile richiedere l'autenticazione a più fattori Microsoft Entra per le applicazioni business critical integrate tramite federazione. Per queste applicazioni deve essere presente un criterio che richiede all'utente di soddisfare un requisito di autenticazione a più fattori prima che Microsoft Entra ID consenta all'utente l'accesso all'applicazione. Inoltre, alcune organizzazioni potrebbero bloccare l'accesso per località o richiedere all'utente di accedere da un dispositivo registrato. Se non sono già presenti criteri appropriati che includono le condizioni necessarie per l'autenticazione, la posizione, il dispositivo e le condizioni per l'utilizzo, aggiungere un criterio alla distribuzione dell'accesso condizionale.
3. Portare l'endpoint Web dell'applicazione nell'ambito dei criteri di accesso condizionale appropriati. Se si dispone di un criterio di accesso condizionale esistente creato per un'altra applicazione soggetta agli stessi requisiti di governance, è possibile aggiornare tale criterio per applicarlo anche a questa applicazione in modo da evitare di avere un numero elevato di criteri. Dopo aver apportato gli aggiornamenti, verificare che vengano applicati i criteri previsti. È possibile visualizzare quali criteri si applicano a un utente con lo strumento di simulazione dell'accesso condizionale.
4. Creare una verifica di accesso ricorrente se gli utenti necessitano di esclusioni di criteri temporanei. In alcuni casi potrebbe non essere possibile applicare immediatamente i criteri di accesso condizionale per ogni utente autorizzato. Ad esempio alcuni utenti potrebbero non avere un dispositivo registrato appropriato. Se è necessario escludere uno o più utenti dai criteri di accesso condizionale e consentire loro l'accesso, quindi configurare una verifica di accesso per il gruppo di utenti esclusi dai criteri di accesso condizionale.
5. Documentare la durata del token e le impostazioni di sessione dell'applicazione. La durata di tempo per cui un utente cui è stato negato l'accesso continuato può proseguire a usare un'applicazione federata dipende dalla durata della sessione dell'applicazione e dalla durata del token di accesso. La durata della sessione per un'applicazione dipende dall'applicazione stessa. Per altre informazioni sul controllo della durata dei token di accesso, vedere la durata dei token configurabili.

Distribuire i criteri di gestione entitlement per automatizzare l'assegnazione di accesso

In questa sezione viene configurata la gestione entitlement di Microsoft Entra in modo che gli utenti possano richiedere l'accesso ai ruoli dell'applicazione o ai gruppi usati dall'applicazione. Per eseguire queste attività, è necessario disporre del ruolo Amministratore globale, Amministratore di Identity Governance oppure essere delegato come autore di cataloghi e il proprietario dell'applicazione.

Nota

Dopo l'accesso con privilegi minimi, è consigliabile usare qui il ruolo Di amministratore di Identity Governance.

1. I pacchetti di accesso per le applicazioni regolamentate devono trovarsi in un catalogo designato. Se non si ha già un catalogo per lo scenario di governance delle applicazioni, creare un catalogo nella gestione entitlement di Microsoft Entra. Se sono disponibili più cataloghi da creare, è possibile usare uno script di PowerShell per creare ciascun catalogo.
2. Popolare il catalogo con le risorse necessarie. Aggiungere l'applicazione e tutti i gruppi di Microsoft Entra su cui si basa l'applicazione, come risorse in tale catalogo. Se si dispone di molte risorse, è possibile usare uno script di PowerShell per aggiungere ciascuna risorsa a un catalogo.
3. Creare un pacchetto di accesso per ogni ruolo o gruppo che gli utenti possono richiedere. Per ognuna delle applicazioni e per ogni ruolo o gruppo dell'applicazione, creare un pacchetto di accesso che includa tale ruolo o gruppo come risorsa. In questa fase di configurazione di questi pacchetti di accesso, configurare i primi criteri di assegnazione dei pacchetti di accesso in ogni pacchetto di accesso come criteri per l'assegnazione diretta in modo che solo gli amministratori possano creare assegnazioni. In tale criterio impostare i requisiti di verifica di accesso per gli utenti esistenti, se presenti, in modo che non mantengano l'accesso illimitato. Se si dispone di molti pacchetti di accesso, è possibile usare uno script di PowerShell per creare ciascun pacchetto di accesso in un catalogo.
4. Configurare i pacchetti di accesso per applicare i requisiti della separazione dei compiti. Se si hanno dei requisiti di separazione dei compiti, configurare i pacchetti di accesso incompatibili o i gruppi esistenti per il pacchetto di accesso. Se lo scenario richiede la possibilità di eseguire l'override di una separazione dei compiti, è possibile anche configurare pacchetti di accesso aggiuntivi per questi scenari di override.
5. Aggiungere assegnazioni di utenti esistenti, che hanno già accesso all'applicazione, ai pacchetti di accesso. Per ogni pacchetto di accesso assegnare gli utenti esistenti dell'applicazione nel ruolo corrispondente o i membri di tale gruppo al pacchetto di accesso e ai relativi criteri di assegnazione diretta. È possibile assegnare direttamente un utente a un pacchetto di accesso usando l'Interfaccia di amministrazione di Microsoft Entra o in blocco tramite Graph o PowerShell.
6. Creare criteri aggiuntivi per consentire agli utenti di richiedere l'accesso. In ogni pacchetto di accesso creare criteri di assegnazione dei pacchetti di accesso aggiuntivi per consentire agli utenti di richiedere l'accesso. Configurare i requisiti di approvazione e verifica dell'accesso ricorrente in tale criterio.
7. Creare verifiche di accesso ricorrenti per altri gruppi usati dall'applicazione. Se dei gruppi sono usati dall'applicazione ma non sono ruoli delle risorse di un pacchetto di accesso, creare revisioni di accesso per l'appartenenza a tali gruppi.

Visualizzare i report sull'accesso

Microsoft Entra ID e Microsoft Entra ID Governance con Monitoraggio di Azure forniscono diversi report che consentono di comprendere chi ha accesso a un'applicazione e se si sta servendo di tale accesso.

• Un amministratore o un proprietario del catalogo può recuperare l'elenco di utenti con assegnazioni di pacchetti di accesso tramite l'Interfaccia di amministrazione di Microsoft Entra, Graph o PowerShell.
• È anche possibile inviare i log di controllo a Monitoraggio di Azure e visualizzare una cronologia delle modifiche al pacchetto di accesso nell'Interfaccia di amministrazione di Microsoft Entra o tramite PowerShell.
• È possibile visualizzare gli ultimi 30 giorni di accesso a un'applicazione nel report degli accessi nell'Interfaccia di amministrazione di Microsoft Entra o tramite Graph.
• Inoltre, è possibile inviare i log di accesso a Monitoraggio di Azure per archiviare l'attività di accesso per un massimo di due anni.

Monitorare per modificare i criteri di gestione entitlement e l'accesso in base alle esigenze

A intervalli regolari, ad esempio settimanali, mensili o trimestrali, in base al volume delle modifiche di assegnazione dell'accesso alle applicazioni, usare l'Interfaccia di amministrazione di Microsoft Entra per garantire che l'accesso venga concesso in conformità ai criteri. È anche possibile assicurarsi che gli utenti identificati per l'approvazione e la revisione siano ancora gli individui appropriati a queste attività.

• Controllare le assegnazioni di ruolo dell'applicazione e le modifiche all'appartenenza ai gruppi. Se è stato configurato Microsoft Entra ID per inviare il log di controllo a Monitoraggio di Azure, usare Application role assignment activity in Monitoraggio di Azure per monitorare e segnalare eventuali assegnazioni di ruolo dell'applicazione che non sono state effettuate tramite la gestione entitlement. Se sono presenti assegnazioni di ruolo create direttamente dal proprietario di un'applicazione, è necessario contattare il proprietario dell'applicazione per stabilire se tale assegnazione è stata autorizzata. Inoltre, se l'applicazione si basa sui gruppi di sicurezza Microsoft Entra, monitorare anche le modifiche apportate a tali gruppi.

• Controllare anche gli utenti che hanno concesso l'accesso direttamente all'interno dell'applicazione. Se vengono soddisfatte le condizioni seguenti, è possibile che un utente ottenga l'accesso a un'applicazione senza far parte di Microsoft Entra ID o senza essere aggiunto all'archivio account utente dell'applicazione da Microsoft Entra ID:

  • L'applicazione ha un archivio account utente locale all'interno dell'app
  • L'archivio account utente si trova in un database o in una directory LDAP
  • L'applicazione non si basa esclusivamente su Microsoft Entra ID per l'accesso Single Sign-On.

  Per un'applicazione con le proprietà nell'elenco precedente è consigliabile verificare regolarmente che gli utenti siano stati aggiunti solo all'archivio utente locale dell'applicazione tramite il provisioning di Microsoft Entra. Se gli utenti sono stati creati direttamente nell'applicazione, contattare il proprietario dell'applicazione per valutare se l'assegnazione è stata autorizzata.

• Assicurarsi che i responsabili approvazione e i revisori siano al corrente. Per ogni pacchetto di accesso configurato nella sezione precedente, assicurarsi che i criteri di assegnazione dei pacchetti di accesso continuino ad avere i responsabili approvazione e i revisori corretti. Aggiornare questi criteri se i responsabili approvazione e i revisori configurati in precedenza non sono più presenti nell'organizzazione o si trovano in un ruolo diverso.

• Verificare che i revisori prendano una decisione durante una revisione. Monitorare affinché le revisioni di accesso ricorrente di tali pacchetti di accesso vengano completate correttamente per assicurarsi che i revisori siano presenti e decidano se approvare o negare la continua richiesta di accesso dell'utente.

• Verificare che il provisioning e il deprovisioning funzionino come previsto. Se in precedenza è stato configurato il provisioning degli utenti nell'applicazione, quando vengono applicati i risultati di una revisione o l'assegnazione di un utente a un pacchetto di accesso scade, Microsoft Entra ID avvia il deprovisioning degli utenti a cui è stata negata la richiesta dall'applicazione. È possibile monitorare il processo di deprovisioning degli utenti. Se il provisioning indica un errore con l'applicazione, è possibile scaricare il log di provisioning per verificare se si è verificato un problema con l'applicazione.

• Aggiornare la configurazione di Microsoft Entra con eventuali modifiche di ruolo o gruppo nell'applicazione. Se l'amministratore applicazione aggiunge nuovi ruoli dell'app nel manifesto, aggiorna i ruoli esistenti o fa affidamento su gruppi aggiuntivi, è necessario aggiornare i pacchetti di accesso e le revisioni di accesso per tenere conto di tali nuovi ruoli o gruppi.

Passaggi successivi

• Piano di distribuzione delle revisioni di accesso