Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come implementare Microsoft Entra procedure consigliate di PowerShell che includono registrazione delle app, miglioramenti della sicurezza, ottimizzazioni delle prestazioni e strategie di manutenzione.
Comprendere queste pratiche è fondamentale per ridurre al minimo i rischi per la sicurezza, ottimizzare le prestazioni e mantenere i sistemi aggiornati. È essenziale per proteggere i dati sensibili e garantire operazioni uniformi in qualsiasi organizzazione.
Registrare un'app invece di usare un'app aziendale
È possibile registrare applicazioni personalizzate in base a casi d'uso diversi con autorizzazioni specifiche, ad esempio per i team di marketing o help desk. Questo approccio consente una gestione più granulare delle autorizzazioni e riduce al minimo l'impatto sulla sicurezza se un'app viene compromessa. Per creare un'app registrata, vedere Creare un'applicazione personalizzata.
Accedi tramite l'applicazione che registri eseguendo:
Connect-Entra -ClientId <your-custom-app-id> -TenantId <your-tenant-id>
È anche possibile usare gli alias AppId o ApplicationId al posto di ClientId.
Security
Applicare le procedure consigliate per il consenso e l'autorizzazione seguenti nell'app per migliorare la sicurezza:
Applica privilegi minimi: concedere agli utenti e alle app solo l'autorizzazione con privilegi più bassa necessaria per chiamare la risorsa Microsoft Entra. Scegliere le autorizzazioni con privilegi minimi. Ad esempio, se l'app legge solo il profilo dell'utente attualmente connesso, concedere
User.Readinvece diUser.ReadBasic.All. Per un elenco completo delle autorizzazioni, vedere le informazioni di riferimento sulle autorizzazioni.Usa Disconnect-Entra: esegui sempre Disconnect-Entra per rimuovere tutte le credenziali e i contesti associati a un account. Questo cmdlet pulisce e chiude correttamente le connessioni quando non sono più necessarie. Riduce il rischio di accesso non autorizzato se la sessione viene lasciata aperta o un altro utente accede all'ambiente PowerShell.
Usare il tipo di autorizzazione corretto in base agli scenari: evitare di usare sia le autorizzazioni dell'applicazione che le autorizzazioni delegate nella stessa app. Se si sta creando un'applicazione interattiva in cui è presente un utente connesso, l'applicazione deve usare autorizzazioni delegate. Se, tuttavia, l'applicazione viene eseguita senza un utente connesso, ad esempio un servizio in background o un daemon, l'applicazione deve usare le autorizzazioni dell'applicazione.
Tenere in considerazione le autorizzazioni dell'applicazione: evitare di usare le autorizzazioni dell'applicazione per scenari interattivi per evitare rischi per la sicurezza e la conformità, in quanto può elevare involontariamente i privilegi di un utente e ignorare i criteri di amministratore.
Presta attenzione quando configuri la tua app: la configurazione influisce sull'esperienza degli utenti finali e degli amministratori, nonché sull'adozione e sulla sicurezza dell'applicazione. Per esempio:
- Il nome, il logo, il dominio, lo stato di verifica dell'editore, l'informativa sulla privacy e le condizioni per l'utilizzo dell'applicazione vengono visualizzati nel consenso e in altre esperienze. Configurare queste impostazioni con attenzione in modo che gli utenti finali li comprendano.
- Prendere in considerazione chi acconsente all'applicazione, ovvero gli utenti finali o gli amministratori, e configurare l'applicazione per richiedere le autorizzazioni in modo appropriato.
- Assicurarsi di comprendere la differenza tra il consenso statico, dinamico e incrementale.
Fate attenzione all'accumulo progressivo delle autorizzazioni - Tenete d'occhio le autorizzazioni associate all'app registrata che si accumulano nel tempo.
Sfruttare le impostazioni predefinite di sicurezza e l'accesso condizionale: proteggere gli utenti con Microsoft Entra l'autenticazione a più fattori usando l'accesso condizionale (per le organizzazioni con licenza) e le impostazioni predefinite per la sicurezza (per le organizzazioni senza licenza).
Sfrutta i consigli di Microsoft Entra - La funzionalità Consigli di Microsoft Entra monitora diligentemente lo stato del tenant, garantendo che rimanga sicuro e integro. Si ha visibilità sulle app usate, sulle credenziali in scadenza, sulle applicazioni con privilegi elevati, tra le altre.
Limitare l'accesso dell'app solo alle identità assegnate : la
Assignment Requiredproprietà consente di gestire l'accesso alle applicazioni assicurando che solo gli utenti assegnati possano accedere.
Connect-Entra -Scopes 'Application.ReadWrite.All'
Get-EntraServicePrincipal -Filter "DisplayName eq 'Contoso Demo App'" | Set-EntraServicePrincipal -AppRoleAssignmentRequired $true
Ottimizzazioni delle prestazioni
Le procedure seguenti consentono di ottimizzare le prestazioni quando si usa Microsoft Entra PowerShell:
Usare un filtro
Il filtro viene eseguito sul lato server limitando la selezione per recuperare un subset di una raccolta, che consente di ridurre il traffico di rete e l'elaborazione dei dati non necessari.
Get-EntraUser -Filter "startsWith(DisplayName,'Ada')"
Selezionare solo le proprietà obbligatorie
Selezione delle proprietà necessarie usando il -Property parametro per ottenere solo le proprietà necessarie.
Definire le dimensioni della pagina
Per le richieste che restituiscono molti oggetti, aumentare le dimensioni della pagina al valore massimo di 999 usando -top il parametro .
Get-EntraUser -All -Top 999
Maintenance
Applicare le procedure consigliate di manutenzione seguenti per assicurarsi che il modulo e gli script di PowerShell Microsoft Entra siano aggiornati e funzionanti in modo ottimale:
Mantenere aggiornato Microsoft Entra modulo di PowerShell
Mantenere aggiornato il modulo è fondamentale per diversi motivi. In primo luogo, consente di trarre vantaggio dalle funzionalità e dai miglioramenti più recenti, assicurandosi di avere accesso ai cmdlet e alle funzionalità più recenti. Più importante, gli aggiornamenti regolari migliorano il comportamento di sicurezza. Il nostro team implementa costantemente correzioni e patch di sicurezza, contribuendo a proteggere i sistemi dalle vulnerabilità.
Tip
Se usi Microsoft Entra PowerShell con Automazione di Azure, aggiorna anche i moduli di PowerShell nei tuoi account di Automazione di Azure.
Update-Module -Name Microsoft.Entra
Dopo aver aggiornato il modulo, rimuovere le versioni precedenti.
Usa Get-Help
Get-Help fornisce documentazione completa direttamente nella riga di comando. Offre informazioni dettagliate sui cmdlet PowerShell di Microsoft Entra, sulle funzioni, sugli script e sui concetti, inclusi esempi di utilizzo, parametri accettati e dati di output. Get-Help promuove lo scripting efficiente e consente di evitare errori comuni.
Get-Help Get-EntraUser -Detailed
Usare l'opzione di debug
-Debugconsente di risolvere i problemi fornendo informazioni di diagnostica dettagliate durante l'interazione con Microsoft Entra PowerShell. Può essere utile per comprendere esattamente come funzionano gli script e dove possono verificarsi problemi durante la fase di sviluppo e test.
Get-EntraUser -Top 1 -Debug
Per inviare il flusso di output di debug a un file di log, usare:
Get-EntraUser -Top 1 -Debug 5>> <your-log-filepath>
-
5- rappresenta il numero del flusso,Debug Stream. Per altre informazioni sui flussi, vedere Flussi di output. -
>>- rappresenta l'operatore di reindirizzamento. Per altre informazioni sugli operatori di reindirizzamento, vedere Operatori di reindirizzamento.