Configurare la delega usando unità amministrative
Le unità amministrative sono risorse di Microsoft Entra ID che possono essere contenitori di altre risorse di Microsoft Entra. Un'unità amministrativa può contenere solo utenti, gruppi e dispositivi.
Le unità amministrative limitano le autorizzazioni di un ruolo a qualsiasi parte dell'organizzazione definita dall'utente. È possibile, ad esempio, usare unità amministrative per delegare il ruolo Amministratore di supporto tecnico agli specialisti del supporto tecnico locale, in modo che possano gestire gli utenti solo nell'area che supportano. È possibile gestire le unità amministrative tramite il portale di Azure, i cmdlet e gli script di PowerShell o Microsoft Graph.
Che cos'è un'unità amministrativa?
Se in Microsoft Entra ID si usa un singolo tenant e si assegna a un utente qualsiasi ruolo di amministratore, l'utente sarà amministratore di ogni utente nel tenant. Considerare sempre il principio di sicurezza dei privilegi minimi, che è sempre il modo migliore per concedere responsabilità amministrative. Le unità amministrative sono contenitori creati per risolvere questa sfida in Microsoft Entra ID. Si supponga di voler fare in modo che un Amministratore utenti possa gestire solo un set specifico di utenti e gruppi, ad esempio che possa gestire solo gli utenti nel reparto di ricerca di un ospedale. In questo caso, sarebbe possibile configurare un'unità amministrativa. All'interno di tale unità amministrativa si aggiungono gli utenti e i gruppi per il team di ricerca, quindi si aggiungerà un utente specifico al ruolo Amministratore utenti all'interno dell'unità amministrativa, definito Amministratore per la ricerca. L'amministratore per la ricerca è in grado di gestire gli utenti nell'unità amministrativa, ma non nell'intero tenant. Ciò consente di ottenere il principio dei privilegi minimi.
Quali ruoli di amministratore sono disponibili per un'unità amministrativa?
È possibile avere utenti nei ruoli seguenti per gestire l'unità amministrativa:
- Amministratore dell'autenticazione
- Amministratore gruppi
- Amministratore del supporto tecnico
- Amministratore delle licenze
- Amministratore password
- Amministratore utenti
Nota
Se si ha familiarità con Active Directory locale, questa funzionalità è stata gestita configurando unità organizzative (OU) nella directory e aggiungendo gli utenti all'unità organizzativa.
Pianificare le unità amministrative
È possibile utilizzare le unità amministrative per raggruppare logicamente le risorse di Microsoft Entra. Un'organizzazione il cui reparto IT è dislocato in varie parti del mondo potrebbe creare unità amministrative che definiscono i limiti geografici rilevanti. Nel caso di un'organizzazione globale con sotto-organizzazioni semi-autonome nelle operazioni, le sotto-organizzazioni potrebbero essere rappresentate dalle unità amministrative.
I criteri in base ai quali creare le unità amministrative dipenderanno dai requisiti univoci di un'organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi Microsoft 365. È consigliabile preparare le unità amministrative tenendo in considerazione il loro utilizzo nei servizi di Microsoft 365. È possibile ottenere il valore massimo dalle unità amministrative quando è possibile associare risorse comuni tra Microsoft 365 in un'unità amministrativa.
La creazione di unità amministrative in un'organizzazione è in genere costituita dalle fasi seguenti:
- Adozione iniziale: L'organizzazione inizierà a creare unità amministrative in base ai criteri iniziali e il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati.
- Eliminazione: Dopo aver definito i criteri, le unità amministrative che non sono più necessarie verranno eliminate.
- Stabilizzazione: La struttura organizzativa è definita e il numero di unità amministrative non cambierà significativamente a breve termine.
Delegare l'amministrazione in Microsoft Entra ID
Alla crescita dell'organizzazione si accompagna una maggiore complessità. Una risposta comune consiste nel ridurre alcuni dei carichi di lavoro di gestione degli accessi grazie ai ruoli di amministratore di Microsoft Entra. È possibile assegnare agli utenti i minimi privilegi possibili per accedere alle rispettive app ed eseguire le attività correlate. Anche se non si assegna il ruolo di amministratore globale a qualsiasi proprietario di applicazione, le responsabilità della gestione delle applicazioni vengono delegate agli amministratori globali esistenti. Esistono molti motivi per cui un'organizzazione può scegliere di passare a un'amministrazione più decentralizzata.
In Microsoft Entra ID è possibile delegare le autorizzazioni per la creazione e la gestione delle applicazioni tramite:
- Limitazione degli utenti che possono creare applicazioni e gestire le applicazioni create. Per impostazione predefinita, in Microsoft Entra ID tutti gli utenti possono eseguire registrazioni di applicazioni e gestire tutti gli aspetti delle applicazioni che creano. È possibile limitare queste operazioni in modo da concedere l'autorizzazione solo ad alcune persone selezionate.
- Assegnazione di uno o più proprietari a un'applicazione. Questo è un semplice metodo per consentire a un utente di gestire tutti gli aspetti della configurazione di Microsoft Entra ID per un'applicazione specifica.
- Assegnazione di un ruolo amministrativo predefinito che concede l'accesso per gestire la configurazione in Microsoft Entra ID per tutte le applicazioni. Questo è il metodo consigliato per concedere a esperti IT l'accesso in modo da gestire le autorizzazioni di configurazione delle applicazioni generali senza consentire l'accesso per la gestione di altre parti di Microsoft Entra ID non correlate alla configurazione delle applicazioni.
- Creare un ruolo personalizzato per definire autorizzazioni specifiche. Assegnare quindi il ruolo a un utente per definire un proprietario limitato. In alternativa, è possibile assegnare il ruolo a livello di ambito della directory, ovvero tutte le applicazioni, come amministratore limitato.
Quando si concede l'accesso, usare uno dei metodi precedenti per due motivi. Innanzitutto, la delega della possibilità di eseguire attività amministrative riduce il carico per l'amministratore globale. In secondo luogo, l'uso di autorizzazioni limitate migliora la postura di sicurezza e riduce il rischio di accesso non autorizzato.
Pianificare la delega
Lo sviluppo di un modello di delega adatto alle proprie esigenze richiede impegno. Lo sviluppo di un modello di delega è un processo di progettazione iterativo per cui è consigliabile seguire questi passaggi:
- Definire i ruoli necessari
- Delegare l'amministrazione di app
- Concedere il diritto di registrare le applicazioni
- Delegare la proprietà delle app
- Sviluppare un piano di sicurezza
- Definire account di emergenza
- Proteggere i ruoli di amministratore
- Rendere temporanea l'elevazione dei privilegi
Definizione dei ruoli
Determinare le attività di Active Directory che vengono eseguite dagli amministratori e il relativo mapping ai ruoli. Ogni attività deve essere valutata in termini di frequenza, importanza e difficoltà. Questi criteri sono aspetti fondamentali della definizione delle attività perché determinano se un'autorizzazione deve essere delegata:
- Le attività svolte con frequenza regolare, con rischi limitati e semplici da eseguire sono particolarmente adatte a essere delegate.
- Le attività eseguite raramente, ma che hanno un notevole impatto su tutta l'organizzazione e richiedono competenze di alto livello, devono essere valutate molto attentamente prima di un'eventuale delega. In alternativa, è possibile elevare temporaneamente un account al ruolo richiesto o riassegnare l'attività.
Delegare l'amministrazione di app
L'ampia diffusione di app all'interno di un'organizzazione può mettere a dura prova il modello di delega. Se comporta un maggiore impegno di gestione dell'accesso alle applicazioni per l'amministratore globale, è probabile che con il passare del tempo il modello sia soggetto a un crescente sovraccarico. Se si è concesso agli utenti il ruolo di amministratore globale per attività come la configurazione delle applicazioni aziendali, è ora possibile assegnare tali attività ai ruoli di livello inferiore, con minori privilegi. Ciò consente di migliorare il livello generale di sicurezza e ridurre il rischio di spiacevoli errori. I ruoli di amministratore di applicazioni con maggiori privilegi sono:
- Il ruolo Amministratore di applicazioni, che consente di eseguire le attività di gestione di tutte le applicazioni nella directory, incluse le registrazioni, le impostazioni dell'accesso Single Sign-On, le concessioni di licenze e le assegnazioni a utenti e gruppi, le impostazioni di Application Proxy e il consenso. Non consente tuttavia di gestire l'accesso condizionale.
- Il ruolo Amministratore applicazione cloud, che concede tutti i diritti del ruolo Amministratore di applicazioni tranne l'accesso alle impostazioni di proxy dell'applicazione poiché non ha autorizzazioni locali.
Delegare la registrazione di app
Per impostazione predefinita, tutti gli utenti possono creare registrazioni di applicazioni. Per concedere in modo selettivo la possibilità di creare registrazioni per l'applicazione:
- Impostare Gli utenti possono registrare applicazioni su No in Impostazioni utente
- Assegnare l'utente al ruolo Sviluppatore applicazioni
Per concedere in modo selettivo la possibilità di fornire il consenso per consentire a un'applicazione di accedere ai dati:
- Impostare Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto su No in Impostazioni utente nella sezione App aziendali
- Assegnare l'utente al ruolo Sviluppatore applicazioni
Quando uno sviluppatore di applicazioni crea la registrazione di una nuova applicazione, viene aggiunto automaticamente come primo proprietario.
Delegare la proprietà delle app
Per una delega dell'accesso alle app ancora più granulare, è possibile assegnare la proprietà di singole applicazioni aziendali. È possibile migliorare il supporto esistente per l'assegnazione dei proprietari della registrazione dell'applicazione. La titolarità viene assegnata a livello di singola applicazione aziendale nella schermata Applicazioni aziendali. Il vantaggio è dato dal fatto che gli utenti possono gestire solo le applicazioni aziendali di cui sono proprietari. Se ad esempio si assegna un proprietario per l'applicazione Salesforce, tale proprietario può gestire l'accesso e la configurazione per Salesforce e non per altre applicazioni. Un'applicazione aziendale può avere molti proprietari e un utente può essere proprietario per molte applicazioni aziendali. Sono disponibili due ruoli di proprietario di app:
- Il ruolo Proprietario di applicazioni aziendali consente di gestire le applicazioni aziendali di cui l'utente è proprietario, tra cui le impostazioni dell'accesso Single Sign-on, le assegnazioni di utenti e gruppi e l'aggiunta di altri proprietari. Non consente di gestire le impostazioni di Application Proxy o l'accesso condizionale.
- Il ruolo Proprietario della registrazione dell'applicazione consente di gestire le registrazioni per l'app di cui l'utente è proprietario, tra cui il manifesto dell'applicazione e l'aggiunta di altri proprietari.
Sviluppare un piano di sicurezza
Microsoft Entra ID offre una guida completa alla pianificazione e all'esecuzione di un piano di sicurezza sui ruoli di amministratore di Microsoft Entra, Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud.
Definire account di emergenza
Per mantenere l'accesso all'archivio di gestione delle identità quando si verifica un problema, preparare gli account di accesso di emergenza in base alle indicazioni riportate in Gestire gli account amministrativi di accesso di emergenza.
Proteggere i ruoli di amministratore
Gli utenti malintenzionati che ottengono il controllo di account con privilegi possono causare danni enormi. Proteggere sempre questi account per primi. Usare la funzionalità Impostazioni predefinite per la sicurezza, disponibile per tutte le organizzazioni di Microsoft Entra. La funzionalità Impostazioni predefinite per la sicurezza applica l'autenticazione a più fattori agli account Microsoft Entra con privilegi.