Descrivere Microsoft Entra ID Governance

  • 4 minuti

Microsoft Entra ID consente di bilanciare le esigenze dell'organizzazione in termini di sicurezza e produttività dei dipendenti con la visibilità e i processi adeguati. Fornisce funzionalità per garantire che le persone giuste abbiano l'accesso appropriato alle risorse giuste.

La governance ID offre alle organizzazioni la possibilità di eseguire le attività seguenti:

  • Governance del ciclo di vita delle identità.
  • Governance del ciclo di vita degli accessi.
  • Accesso sicuro con privilegi per l'amministrazione.

Queste azioni possono essere completate per dipendenti, partner commerciali e fornitori e per servizi e applicazioni, sia in locale che nel cloud.

Lo scopo è aiutare le organizzazioni a rispondere a queste quattro domande chiave:

  • Quali utenti hanno accesso a quali risorse?
  • In che modo questi utenti usano l'accesso?
  • Esistono controlli efficaci a livello aziendale per la gestione degli accessi?
  • I revisori possono verificare l'operatività dei controlli?

Ciclo di vita delle identità

La gestione del ciclo di vita delle identità degli utenti è alla base della governance delle identità.

Pe pianificare la gestione del ciclo di vita delle identità per i dipendenti, ad esempio, molte organizzazioni definiscono un modello per il processo di "ingresso, spostamento, uscita". Quando un utente entra a far parte di un'organizzazione, viene creata una nuova identità digitale se non ne è già disponibile una. Quando un utente si sposta oltre i confini dell'organizzazione, potrebbe essere necessario aggiungere o rimuovere autorizzazioni di accesso nell'identità digitale. Quando un individuo lascia l'organizzazione, potrebbe essere necessario rimuovere l'accesso e l'identità potrebbe non essere più necessaria, se non per scopi di controllo.

Il diagramma seguente illustra una versione semplificata del ciclo di vita dell'identità.

Diagram showing identity lifecycle for employees. The lifecycle is represented as a circle that starts with no access followed by joining the organization then moving to a new role and then leaving the organization. The cycle repeats.

Per molte organizzazioni, questo ciclo di vita delle identità per i dipendenti è associato alla rappresentazione di tali utenti in un sistema di gestione delle risorse umane, come Workday o SuccessFactors. Il sistema di gestione delle risorse umane è autorevole per fornire l'elenco aggiornato di dipendenti e alcune delle relative proprietà, come il nome o il reparto.

Microsoft Entra ID P1 o P2 supporta l'integrazione con sistemi di gestione delle risorse umane basati sul cloud. Quando un nuovo dipendente viene aggiunto a un sistema di gestione delle risorse umane, Microsoft Entra ID può creare un account utente corrispondente. Analogamente, quando le relative proprietà, ad esempio il reparto o lo stato di occupazione, cambiano nel sistema di gestione delle risorse umane, la sincronizzazione degli aggiornamenti in Microsoft Entra ID garantisce la coerenza.

Microsoft Entra ID P1 o P2 include anche Microsoft Identity Manager, che può importare record da sistemi di gestione delle risorse umane locali, come SAP HCM, Oracle eBusiness e Oracle PeopleSoft. Per altre informazioni, vedere la documentazione di Microsoft Identity Manager elencata nella sezione Altre informazioni dell'unità Riepilogo e risorse.

In generale, la gestione del ciclo di vita di un'identità riguarda l'aggiornamento dell'accesso necessario agli utenti, sia tramite l'integrazione con un sistema di gestione delle risorse umane, sia tramite le applicazioni di provisioning degli utenti.

Ciclo di vita degli accessi

Il ciclo di vita degli accessi è il processo di gestione degli accessi in tutta la vita organizzativa dell'utente. Gli utenti richiedono diversi livelli di accesso dal momento in cui entrano a far di un'organizzazione fino a quando la lasciano. In vari momenti intermedi dovranno avere i diritti di accesso per risorse diverse a seconda del ruolo e delle responsabilità.

Le organizzazioni possono automatizzare il processo del ciclo di vita degli accessi tramite strumenti come i gruppi dinamici. I gruppi dinamici consentono agli amministratori di creare regole basate su attributi per determinare l'appartenenza ai gruppi. Quando gli attributi di un utente o un dispositivo cambiano, il sistema valuta tutte le regole dei gruppi dinamici in una directory per verificare se la modifica attiverà l'aggiunta o la rimozione di utenti in un gruppo. Se un utente o un dispositivo soddisfa una regola per un gruppo, viene aggiunto come membro di tale gruppo. Se non soddisfa più la regola, viene rimosso.

Ciclo di vita dell'accesso con privilegi

Il monitoraggio dell'accesso con privilegi è una parte essenziale della governance delle identità. Quando a dipendenti, fornitori e terzisti vengono assegnati diritti amministrativi, dovrebbe essere presente un processo di governance a causa del rischio potenziale di uso improprio.

Microsoft Entra Privileged Identity Management (PIM) offre controlli aggiuntivi specifici per la protezione dei diritti di accesso. PIM consente di ridurre al minimo il numero di persone che hanno accesso alle risorse in Microsoft Entra ID, Azure e altri servizi online Microsoft. PIM offre un set completo di controlli di governance per proteggere le risorse aziendali.

Diagram showing the identity access rights lifecycle. The lifecycle is represented as a circle that starts with no admin followed a first admin role then a second admin role then leaving IT.