Pianificare le verifiche di accesso
Informazioni sulle verifiche di accesso
Una verifica di accesso, come suggerisce il nome, è una verifica pianificata di esigenze, diritti e cronologia di accesso degli utenti. Le verifiche di accesso assicurano che le persone giuste abbiano i diritti di accesso appropriati alle risorse corrette. Consentono di ridurre i rischi relativi all'accesso proteggendo, monitorando e controllando l'accesso agli asset critici, assicurando al tempo stesso la produttività di dipendenti e partner aziendali. Infine, la verifica di accesso viene eseguita in Microsoft Entra ID Governance. È necessaria una licenza Microsoft Entra ID Premium P2.
Considerare le esigenze dell'organizzazione per determinare la strategia di distribuzione delle verifiche di accesso nell'ambiente in uso.
Coinvolgere gli stakeholder appropriati
Quando i progetti tecnologici non hanno successo, in genere la causa è legata ad aspettative, risultati e responsabilità non corrispondenti. Per evitare questi inconvenienti, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli del progetto siano chiari. Per le verifiche di accesso, è probabile che vengano coinvolti i rappresentanti di questi team all'interno dell'organizzazione:
Amministrazione IT, che gestisce l'infrastruttura IT e amministra gli investimenti cloud e le app SaaS (software come un servizio).
Team di sviluppo, che creano e gestiscono le applicazioni per l'organizzazione.
Business unit, che gestiscono progetti e applicazioni proprietarie.
Governance aziendale, che garantisce la conformità dell'organizzazione ai criteri interni e alle normative.
Nota
Per le verifiche che richiedono valutazioni manuali, assicurarsi di pianificare un numero adeguato di revisori e cicli di verifica per soddisfare i criteri e le esigenze di conformità dell'organizzazione. Cicli di verifica troppo frequenti o un numero eccessivo di revisori possono compromettere la qualità e potrebbe avere accesso un numero troppo alto o troppo basso di persone.
Cos'è la governance di Microsoft Entra ID?
Microsoft Entra Identity Governance consente di bilanciare le esigenze dell'organizzazione in termini di sicurezza e produttività dei dipendenti con la visibilità e i processi adeguati. Fornisce funzionalità per garantire che le persone giuste abbiano l'accesso appropriato alle risorse giuste. Queste funzionalità e quelle correlate di Microsoft Entra ID e Enterprise Mobility + Security consentono di ridurre i rischi dell'accesso proteggendo, monitorando e controllando l'accesso agli asset critici, garantendo al tempo stesso la produttività di dipendenti e partner aziendali.
Identity Governance offre alle organizzazioni la possibilità di eseguire attività per dipendenti, partner aziendali e fornitori, con i servizi e le operazioni in locale e nei cloud. In particolare, consente alle organizzazioni di rispondere a queste quattro domande principali:
- Quali utenti hanno accesso a quali risorse?
- In che modo questi utenti usano l'accesso?
- Esistono controlli efficaci a livello aziendale per la gestione degli accessi?
- I revisori possono verificare l'operatività dei controlli?
Pianificare un progetto pilota
È consigliabile eseguire un progetto pilota di verifica di accesso con un piccolo gruppo, mirato a risorse non critiche. Il progetto pilota può contribuire a regolare processi e comunicazioni in base alle esigenze e a migliorare la capacità di utenti e revisori di soddisfare i requisiti di sicurezza e conformità.
Nel progetto pilota è consigliabile:
- Iniziare con le verifiche in cui i risultati non vengono applicati automaticamente ed è possibile controllare le implicazioni.
- Assicurarsi che tutti gli utenti abbiano indirizzi di posta elettronica validi elencati in Microsoft Entra ID e che ricevano una comunicazione via e-mail relativa all'azione appropriata da intraprendere.
- Documentare tutti gli accessi rimossi come parte del progetto pilota qualora fosse necessario ripristinarli rapidamente.
- Monitorare i log di controllo per assicurarsi che tutti gli eventi siano controllati correttamente.
Quali tipi di risorse è possibile esaminare?
Una volta integrate le risorse dell'organizzazione con Microsoft Entra ID, ad esempio utenti, applicazioni e gruppi, è possibile gestirle e verificarle.
Le destinazioni tipiche per la verifica includono:
- Accesso degli utenti alle applicazioni integrate con Microsoft Entra ID per Single Sign-On, ad esempio SaaS, line-of-business.
- Appartenenze ai gruppi (sincronizzati con Microsoft Entra ID o create in Microsoft Entra ID o Microsoft 365, incluso Microsoft Teams).
- Pacchetto di accesso che raggruppa le risorse (gruppi, app e siti) in un unico pacchetto per gestire l'accesso.
- Ruoli delle risorse di Microsoft Entra e ruoli delle risorse di Azure come definiti in Privileged Identity Management (PIM).
Chi crea e gestisce le verifiche di accesso?
Il ruolo amministrativo necessario per creare, gestire o leggere una verifica di accesso dipende dal tipo di risorsa da verificare.
| Tipo di risorsa | Creare e gestire verifiche di accesso (autore) | Leggere i risultati della verifica di accesso |
|---|---|---|
| Gruppo o applicazione | Amministratore globale | Amministratore globale |
| Amministratore utenti | Ruolo con autorizzazioni di lettura globali | |
| Amministratore di Identity Governance | Amministratore utenti | |
| Amministratore ruolo con privilegi. Esegue la revisione solo per gruppi a cui è possibile assegnare ruoli di Microsoft Entra. | Amministratore di Identity Governance | |
| Proprietario del gruppo | Amministratore ruolo con privilegi | |
| Ruolo con autorizzazioni di lettura per la sicurezza | ||
| Proprietario del gruppo | ||
| Ruolo Microsoft Entra | Amministratore globale | |
| Amministratore ruolo con privilegi | Amministratore globale | |
| Ruolo con autorizzazioni di lettura globali | ||
| Amministratore utenti | ||
| Amministratore ruolo con privilegi | ||
| Ruolo con autorizzazioni di lettura per la sicurezza | ||
| Ruoli delle risorse di Azure | Amministratore globale | Amministratore globale |
| Amministratore accessi utente | Amministratore accessi utente | |
| Proprietario della risorsa | Proprietario della risorsa | |
| Lettore (per la risorsa) | ||
| Pacchetto di accesso | Amministratore globale | Amministratore globale |
| Amministratore utenti | ||
| Amministratore di Identity Governance | Ruolo con autorizzazioni di lettura globali | |
| Amministratore utenti | ||
| Amministratore di Identity Governance | ||
| Ruolo con autorizzazioni di lettura per la sicurezza |
Chi verifica l'accesso alla risorsa?
L'autore della verifica di accesso decide chi dovrà eseguirla al momento della creazione. Questa impostazione non può essere modificata dopo l'avvio della verifica. Le verifiche vengono eseguite da tre tipi di revisori:
- Proprietari delle risorse, ovvero i proprietari aziendali delle risorse.
- Set di delegati selezionati singolarmente dall'amministratore delle verifiche di accesso.
- Utenti finali che attestano autonomamente la propria necessità di accesso continuo.
Quando l'amministratore crea una verifica di accesso, gli amministratori possono scegliere uno o più revisori. Tutti i revisori possono avviare ed eseguire una verifica, scegliendo di concedere agli utenti l'accesso continuo a una risorsa o di rimuoverli.
Componenti della verifica di accesso
Prima di implementare le verifiche di accesso, è consigliabile pianificare i tipi di verifica rilevanti per l'organizzazione. A tale scopo, è necessario decidere cosa sottoporre a verifica e quali azioni intraprendere in base a tali verifiche.
Per creare un criterio di verifica di accesso occorrono le informazioni seguenti.
- Quali risorse devono essere verificate?
- Quale accesso viene verificato?
- Con quale frequenza deve essere eseguita la verifica?
- Chi eseguirà la verifica?
- In che modo verranno inviate le notifiche per la verifica?
- Quali sono le sequenze temporali da applicare per la verifica?
- Quali azioni automatiche si devono applicare in base alla verifica?
- Cosa accade se il revisore non risponde per tempo?
- Quali azioni manuali verranno intraprese a seguito dei risultati della verifica?
- Quali comunicazioni devono essere inviate in base alle azioni intraprese?
Esempio di piano di verifica di accesso
| Componente | valore |
|---|---|
| Risorse da verificare | Accesso a Microsoft Dynamics |
| Frequenza delle verifiche | Mensile |
| Chi esegue la verifica | Responsabili di programma del gruppo aziendale Dynamics |
| Notifica | Inviare un messaggio di posta elettronica all'alias Dynamics-Pms 24 ore prima della verifica. |
| Includere un messaggio personalizzato incoraggiante ai revisori per assicurarsi la loro collaborazione. | |
| Sequenza temporale | 48 ore dalla notifica |
| Azioni automatiche | Rimuovere l'accesso da qualsiasi account che non abbia un accesso interattivo entro 90 giorni rimuovendo l'utente dal gruppo di sicurezza dynamics-access |
| Eseguire le azioni se non vengono verificate entro la sequenza temporale | |
| Azioni manuali | Se lo si desidera, i revisori possono approvare le rimozioni prima dell'azione automatica |
| Comunicazioni | Inviare un messaggio di posta elettronica agli utenti interni (membri) eliminati spiegando che sono stati rimossi e come ottenere di nuovo l'accesso |
Pianificare le verifiche di accesso per i pacchetti di accesso
I pacchetti di accesso possono semplificare notevolmente la governance e la strategia di verifica di accesso. Un pacchetto di accesso è un'aggregazione di tutte le risorse a cui un utente deve poter accedere per lavorare su un progetto o svolgere le proprie attività. È ad esempio possibile creare un pacchetto di accesso che includa tutte le applicazioni necessarie per gli sviluppatori dell'organizzazione o tutte le applicazioni a cui gli utenti esterni devono avere accesso. Un amministratore o un responsabile dei pacchetti di accesso delegato raggruppa quindi le risorse (gruppi o app) e i ruoli necessari agli utenti per le risorse.
Quando si crea un pacchetto di accesso, è possibile creare uno o più criteri di accesso che fissano le condizioni per cui gli utenti possono richiedere un pacchetto di accesso, l'aspetto del processo di approvazione e la frequenza con cui una persona deve richiedere nuovamente l'accesso. Le verifiche di accesso vengono configurate durante la creazione o la modifica di un criterio per il pacchetto di accesso.
Pianificare le verifiche di accesso per i gruppi
Oltre ai pacchetti di accesso, la verifica dell'appartenenza a un gruppo è il modo più efficace per gestire l'accesso. È preferibile che l'accesso alle risorse venga assegnato tramite gruppi di sicurezza o gruppi di Microsoft 365 e che gli utenti vengano aggiunti a tali gruppi per ottenere l'accesso.
È possibile concedere a un singolo gruppo l'accesso a tutte le risorse appropriate e assegnare al gruppo l'accesso a singole risorse o a un pacchetto di accesso che raggruppa applicazioni e altre risorse. Con questo metodo è possibile verificare l'accesso al gruppo anziché l'accesso di un utente a ogni applicazione.
L'appartenenza al gruppo può essere verificata da:
- Amministratori
- Proprietari del gruppo
- Utenti selezionati, funzionalità di verifica delegata al momento della creazione della verifica
- Membri del gruppo con auto-attestazione
Proprietà di gruppo
L'appartenenza dovrebbe essere verificata dai proprietari del gruppo, che conoscono meglio chi necessita di accesso. La proprietà dei gruppi varia in base al tipo di gruppo.
I gruppi creati in Microsoft 365 e Microsoft Entra ID hanno uno o più proprietari ben definiti. Nella maggior parte dei casi, tali proprietari sono perfetti per la verifica dei relativi gruppi, perché sanno bene chi deve avere accesso. Microsoft Teams, ad esempio, usa Gruppi di Microsoft 365 come modello di autorizzazione sottostante per concedere agli utenti l'accesso alle risorse che si trovano in SharePoint, Exchange, OneNote o altri servizi di Microsoft 365. L'autore del team diventa automaticamente un proprietario e deve essere responsabile dell'attestazione dell'appartenenza a tale gruppo.
I gruppi creati manualmente nel portale dell'interfaccia di amministrazione di Microsoft Entra o mediante scripting tramite Microsoft Graph potrebbero non avere necessariamente proprietari definiti. È consigliabile definirli tramite il portale di amministrazione nella sezione “Proprietari” del gruppo o tramite Graph.
I gruppi sincronizzati da Active Directory locali non possono avere un proprietario Microsoft Entra ID. Quando si crea una verifica di accesso per tali utenti, è necessario selezionare i singoli utenti che sono più adatti per stabilire l'appartenenza al gruppo.
Nota
È consigliabile stabilire criteri aziendali che definiscono il modo in cui vengono creati i gruppi per garantire una chiara proprietà del gruppo e la responsabilità di condurre la verifica dell'appartenenza a intervalli regolari.
Verificare l'appartenenza a gruppi di esclusione nei criteri di accesso condizionale
In alcuni casi, i criteri di accesso condizionale progettati per proteggere la rete non vanno applicati a tutti gli utenti. Ad esempio, un criterio di accesso condizionale che consente agli utenti di accedere solo dalla rete aziendale potrebbe non essere applicabile al team di vendita, che viaggia molto. In tal caso, i membri del team di vendita vengono inseriti in un gruppo escluso dai criteri di accesso condizionale.
Verificare l'appartenenza ai gruppi degli utenti esterni
Per ridurre al minimo gli interventi manuali e i potenziali errori associati, è possibile usare i gruppi dinamici per assegnare l'appartenenza ai gruppi in base agli attributi dell'utente. Potrebbe essere necessario creare uno o più gruppi dinamici per gli utenti esterni. Lo sponsor interno può fungere da revisore per l'appartenenza al gruppo.
Verificare l'accesso a gruppi locali
Le verifiche di accesso non possono modificare l'appartenenza ai gruppi che vengono sincronizzati da locale con Microsoft Entra Connect. Questo perché l'origine dell'autorità è locale. È comunque possibile usare le verifiche di accesso per pianificare e gestire verifiche periodiche dei gruppi locali. I revisori interverranno poi nel gruppo locale. Questa strategia permette di usare le verifiche di accesso come strumento per tutte le verifiche. È possibile usare i risultati di una verifica di accesso nei gruppi locali ed elaborarli ulteriormente. I dati sono disponibili in un file CSV o da Microsoft Graph.
Pianificare le verifiche di accesso per le applicazioni
Quando si verifica l'accesso a un'applicazione, si esamina l'accesso per i dipendenti e le identità esterne alle informazioni e ai dati all'interno dell'applicazione. È opportuno procedere alla verifica quando si vuole sapere chi ha accesso a un'applicazione specifica, anziché a un pacchetto di accesso o un gruppo.
È consigliabile pianificare verifiche per le applicazioni negli scenari seguenti:
- Agli utenti viene concesso l'accesso diretto all'applicazione, all'esterno di un gruppo o di un pacchetto di accesso.
- L'applicazione espone informazioni critiche o sensibili.
- L'applicazione ha requisiti di conformità specifici per i quali è necessaria l'attestazione.
- Si sospetta un accesso non appropriato.
Revisori di un'applicazione
Le verifiche di accesso possono essere relative ai membri di un gruppo o agli utenti assegnati a un'applicazione. Le applicazioni in Microsoft Entra ID non hanno necessariamente un proprietario, motivo per cui non è possibile selezionare il proprietario dell'applicazione come suo revisore. È possibile definire ulteriormente l'ambito di una verifica per verificare solo gli utenti guest assegnati all'applicazione, anziché tutti gli accessi.
Revisione dei piani dei ruoli delle risorse di Microsoft Entra ID e Azure
Privileged Identity Management (PIM) semplifica per le aziende la gestione dell'accesso con privilegi alle risorse in Microsoft Entra ID. Questo consente di mantenere dimensioni ridotte dell'elenco dei ruoli con privilegi, sia in Microsoft Entra ID che nelle risorse di Azure, e di aumentare la sicurezza complessiva della directory.
Le verifiche di accesso consentono ai revisori di attestare l'eventuale necessità di appartenenza a un ruolo da parte degli utenti. Proprio come le verifiche di accesso per i pacchetti di accesso, le verifiche relative ai ruoli delle risorse di Azure e di Microsoft Entra sono integrate nell'esperienza dell'utente amministratore di PIM. È consigliabile verificare regolarmente le seguenti assegnazioni dei ruoli:
- Amministratore globale
- Amministratore utenti
- Amministratore autenticazione con privilegi
- Amministratore accesso condizionale
- Amministratore della sicurezza
- Tutti i ruoli di amministrazione del servizio Dynamics e Microsoft 365
Distribuire le verifiche di accesso
Dopo aver preparato una strategia e un piano per verificare l'accesso alle risorse integrate con Microsoft Entra ID, distribuire e gestire le verifiche usando le risorse seguenti.
Verificare i pacchetti di accesso
Per ridurre il rischio di accesso obsoleto, gli amministratori possono abilitare verifiche periodiche degli utenti con assegnazioni attive a un pacchetto di accesso. È possibile creare verifiche di accesso, eseguire verifiche di accesso per altri utenti assegnati a un pacchetto di accesso o eseguire una verifica automatica dei pacchetti di accesso assegnati.
Verificare gruppi e app
Le esigenze di accesso a gruppi e applicazioni dei dipendenti e degli utenti guest possono cambiare nel tempo. Per ridurre i rischi associati ad assegnazioni di accesso obsolete, gli amministratori possono creare verifiche di accesso per i membri dei gruppi o l'accesso alle applicazioni.
È possibile creare verifiche di accesso per i membri dei gruppi o l'accesso alle applicazioni, eseguire verifiche di accesso per i membri di un gruppo o gli utenti con accesso a un'applicazione, consentire ai membri di verificare il proprio accesso a un gruppo o a un'applicazione, visualizzare le verifiche di accesso e intervenire per i gruppi locali con PowerShell.
Esaminare i ruoli di Microsoft Entra
Per ridurre i rischi associati ad assegnazioni di ruoli obsolete, è necessario verificare periodicamente l'accesso per i ruoli di Microsoft Entra con privilegi.
Verificare i ruoli delle risorse di Azure
Per ridurre i rischi associati ad assegnazioni di ruoli obsolete, è necessario verificare periodicamente l'accesso per i ruoli delle risorse di Azure con privilegi.
Usare l'API per le verifiche di accesso
I metodi di verifica di accesso nell'API Microsoft Graph sono disponibili per contesti relativi alle applicazioni e agli utenti. Se gli script vengono eseguiti nel contesto applicazione, all'account usato per eseguire l'API (l'entità servizio) deve essere concessa l'autorizzazione "AccessReview.Read.All" per eseguire le query sulle informazioni relative alle verifiche di accesso.
Le attività di verifica di accesso più diffuse per automatizzare l'uso dell'API Graph per le verifiche di accesso sono:
Creare e avviare una verifica di accesso.
Terminare manualmente una verifica di accesso prima della fine pianificata.
Elencare tutte le verifiche di accesso in esecuzione e il relativo stato.
Visualizzare la cronologia di una serie di verifiche e le decisioni e azioni intraprese in ciascuna verifica.
Raccogliere le decisioni relative a una verifica di accesso.
Raccogliere le decisioni relative alle verifiche completate in cui il revisore ha preso una decisione diversa rispetto a quella consigliata dal sistema.
Nota
Quando si creano nuove query di API Graph per l'automazione, è consigliabile usare Graph Explorer. È possibile compilare ed esplorare le query di Graph prima di inserirle in script e codice. Questo consente di eseguire rapidamente l'iterazione della query in modo da ottenere esattamente i risultati desiderati, senza modificare il codice dello script.
Monitorare le verifiche di accesso
Le attività relative alle verifiche di accesso vengono registrate e sono disponibili nei log di controllo di Microsoft Entra ID. È possibile filtrare i dati di controllo in base alla categoria, al tipo di attività e all'intervallo di date. Ecco una query di esempio:
| Categoria | Criteri |
|---|---|
| Tipo di impegno | Creare una verifica di accesso |
| Aggiornare la verifica di accesso | |
| Verifica di accesso terminata | |
| Eliminare la verifica di accesso | |
| Approvare la decisione | |
| Rifiutare la decisione | |
| Reimpostare la decisione | |
| Applicare la decisione | |
| Intervallo di date | Sette giorni |
Per eseguire query e analisi più avanzate sulle verifiche di accesso e per tenere traccia delle modifiche e del completamento delle verifiche, è consigliabile esportare i log di controllo di Microsoft Entra in Azure Log Analytics o nell'hub eventi di Azure. Quando i log vengono archiviati in Azure Log Analytics, è possibile usare il linguaggio di analisi avanzato per creare dashboard personalizzati.
Pianificare le comunicazioni
La comunicazione è fondamentale per il successo di un processo aziendale. È opportuno comunicare in modo proattivo agli utenti come cambierà la loro esperienza e come ottenere supporto in caso di problemi.
Comunicare le modifiche della responsabilità: le verifiche di accesso supportano il passaggio della responsabilità di verificare e agire sull'accesso continuo ai proprietari aziendali. La separazione delle decisioni di accesso dall'IT permette di prendere decisioni di accesso più accurate. Si tratta di una modifica culturale della responsabilità dei proprietari delle risorse. È opportuno comunicare in modo proattivo questa modifica e assicurarsi che i proprietari delle risorse siano formati e capaci di usare le informazioni per prendere decisioni ottimali.
Naturalmente, il reparto IT vorrà mantenere il controllo per tutte le decisioni di accesso legate all'infrastruttura e le assegnazioni di ruoli con privilegi.
Personalizzare la comunicazione tramite posta elettronica: quando si pianifica una verifica, si nominano gli utenti che dovranno eseguirla. I revisori ricevono quindi una notifica tramite posta elettronica delle nuove verifiche assegnate, oltre ai promemoria prima della scadenza di una verifica assegnata.
Gli amministratori possono scegliere di inviare la notifica a metà strada prima della scadenza della verifica o un giorno prima della scadenza.
Il messaggio di posta elettronica inviato ai revisori può essere personalizzato con un breve messaggio che li incoraggi a intervenire sulla verifica. È consigliabile usare il testo aggiuntivo per:
- Includere un messaggio personale per i revisori, in modo sappiano che viene inviato dal reparto Conformità o IT.
- Includere un collegamento ipertestuale o un riferimento alle informazioni interne sulle aspettative legate alla verifica e materiale di riferimento o di formazione aggiuntivo.
- Includere un collegamento alle istruzioni sull'esecuzione di una verifica automatica dell'accesso.
Quando si avvia la verifica, i revisori vengono indirizzati al portale MyAccess per le verifiche di accesso per applicazioni e gruppi. Il portale offre una panoramica di tutti gli utenti che hanno accesso alla risorsa in corso di verifica, con raccomandazioni di sistema in base all'ultimo accesso e alle informazioni di accesso.
Quante licenze è necessario avere?
La directory richiede almeno il numero di licenze Microsoft Entra ID Premium P2 del numero di dipendenti che eseguiranno le attività seguenti:
- Utenti membro assegnati come revisori
- Utenti membro che eseguono un'autoverifica
- Utenti membro come proprietari di gruppo che eseguono una verifica di accesso
- Utenti membro come proprietari di applicazione che eseguono una verifica di accesso
Per gli utenti guest, le esigenze di licenza dipendono dal modello di licenza in uso. Tuttavia, le attività degli utenti guest seguenti sono considerate utilizzo di Microsoft Entra ID Premium P2:
- Utenti guest assegnati come revisori
- Utenti guest che eseguono un'autoverifica
- Utenti guest come proprietari di gruppo che eseguono una verifica di accesso
- Utenti guest come proprietari di applicazione che eseguono una verifica di accesso
Non sono necessarie licenze di Microsoft Entra ID Premium P2 per gli utenti con ruolo Amministratore globale o Amministratore utenti che configurano le verifiche di accesso o le impostazioni o che applicano le decisioni delle verifiche.