Condividi tramite


Guida di riferimento alle operazioni di gestione delle identità e degli accessi di Microsoft Entra

Questa sezione della guida di riferimento alle operazioni di Microsoft Entra descrive i controlli e le azioni da valutare per proteggere e gestire il ciclo di vita delle identità e le relative assegnazioni.

Nota

Queste raccomandazioni sono aggiornate a partire dalla data di pubblicazione, ma possono cambiare nel tempo. Le organizzazioni devono valutare continuamente le procedure di identità man mano che i prodotti e i servizi Microsoft si evolvono nel tempo.

Processi operativi chiave

Assegnare proprietari alle attività principali

La gestione di Microsoft Entra ID richiede l'esecuzione continua di attività e processi operativi chiave che potrebbero non far parte di un progetto di implementazione. È comunque importante configurare queste attività per ottimizzare l'ambiente. Le attività principali e i relativi proprietari consigliati includono:

Attività Proprietario
Definire il processo di creazione delle sottoscrizioni di Azure Varia in base all'organizzazione
Decidere chi ottiene le licenze di Enterprise Mobility + Security Team operativo IAM
Decidere chi ottiene le licenze di Microsoft 365 Team di produttività
Decidere chi ottiene altre licenze, ad esempio Dynamics, Visual Studio Codespaces Proprietario dell'applicazione
Assegnare le licenze Team operativo IAM
Risolvere e correggere gli errori di assegnazione delle licenze Team operativo IAM
Effettuare il provisioning delle identità nelle applicazioni in Microsoft Entra ID Team operativo IAM

Mentre si rivede l'elenco, potrebbe essere necessario assegnare un proprietario alle attività in cui manca o modificare la proprietà delle attività i cui proprietari non sono allineati agli elementi consigliati forniti.

Sincronizzazione delle identità locali

Identificare e risolvere i problemi di sincronizzazione

Microsoft consiglia di disporre di punti di riferimento validi e conoscenze approfondite in relazione ai problemi degli ambienti locali, che possono causare problemi di sincronizzazione nel cloud. Poiché strumenti automatizzati come IdFix e Microsoft Entra Connect Health possono generare un volume elevato di falsi positivi, è consigliabile identificare gli errori di sincronizzazione lasciati irrisolti per più di 100 giorni pulendo tali oggetti in errore. Gli errori di sincronizzazione non risolti a lungo termine possono generare eventi imprevisti che richiedono interventi di supporto. L'articolo Risoluzione degli errori durante la sincronizzazione offre una panoramica delle diverse tipologie di errori di sincronizzazione, di alcuni scenari possibili che causano tali errori e delle possibili soluzioni per correggere questi errori.

Configurazione di Microsoft Entra Connect Sync

Per abilitare tutte le esperienze ibride, la postura di sicurezza basata su dispositivo e l'integrazione con Microsoft Entra ID, è necessario sincronizzare gli account utente usati dai dipendenti per accedere ai desktop.

Se non si sincronizza la foresta a cui gli utenti accedono, è necessario modificare la sincronizzazione in modo che tali utenti provengano dalla foresta corretta.

Ambito di sincronizzazione e filtro degli oggetti

La rimozione di contenitori noti di oggetti che non devono essere sincronizzati presenta i vantaggi operativi seguenti:

  • Minor numero di origini di errori di sincronizzazione
  • Cicli di sincronizzazione più veloci
  • Meno "elementi di errore" da riportare dall'ambiente locale, ad esempio l'inquinamento dell'elenco di indirizzi globale per gli account dei servizi locali non rilevanti nel cloud

Nota

Se si importano molti oggetti che non vengono esportati nel cloud, è necessario filtrare in base all'unità organizzativa o a attributi specifici.

Esempi di oggetti da escludere sono:

  • Account dei servizi non usati per le applicazioni cloud
  • Gruppi che non devono essere usati in scenari cloud come quelli usati per concedere l'accesso alle risorse
  • Utenti o contatti che sono identità esterne che devono essere rappresentate con Microsoft Entra B2B Collaboration
  • Account computer in cui i dipendenti non devono accedere alle applicazioni cloud, ad esempio i server

Nota

Se per un'identità umana è stato effettuato il provisioning di più account, ad esempio in caso di una migrazione del dominio legacy, una fusione o un'acquisizione, è consigliabile sincronizzare su base giornaliera solo l'account usato dall'utente, ad esempio l'account usato accedere al computer.

Idealmente, è consigliabile raggiungere un certo equilibrio tra riduzione del numero di oggetti da sincronizzare e complessità delle regole. In genere, una combinazione tra filtri in base a unità organizzativa/contenitore e un semplice mapping di attributi per l'attributo cloudFiltered costituisce una combinazione di filtri efficace.

Importante

Se si usa i filtri dei gruppi nell'ambiente di produzione, è consigliabile passare a un altro approccio per l'applicazione dei filtri.

Sincronizzare il failover o il ripristino di emergenza

Microsoft Entra Connect svolge un ruolo chiave nel processo di provisioning. Se il server di sincronizzazione diventa offline per qualsiasi motivo, le modifiche apportate all'ambiente locale non possono essere aggiornate nel cloud e possono causare problemi di accesso per gli utenti. È pertanto importante definire una strategia di failover che consenta agli amministratori di riprendere rapidamente la sincronizzazione dopo che il server di sincronizzazione diventa offline. Tali strategie sono classificabili nelle categorie seguenti:

  • Distribuire i server Microsoft Entra Connect in modalità di gestione temporanea: consente a un amministratore di "alzare di livello" il server di gestione temporanea nell'ambiente di produzione tramite un semplice commutatore di configurazione.
  • Usare la virtualizzazione - Se Microsoft Entra Connect viene distribuito in una macchina virtuale (VM), gli amministratori possono sfruttare lo stack di virtualizzazione per eseguire la migrazione in tempo reale o ridistribuire rapidamente la macchina virtuale e quindi riprendere la sincronizzazione.

Se l'organizzazione non ha una strategia di ripristino di emergenza e failover per la sincronizzazione, non è consigliabile esitare a distribuire Microsoft Entra Connect in modalità di gestione temporanea. Analogamente, se si verifica una mancata corrispondenza tra la configurazione di produzione e quella di gestione temporanea, è consigliabile eseguire nuovamente la modalità di gestione temporanea di Microsoft Entra Connect in modo che corrisponda alla configurazione di produzione, incluse le versioni software e le configurazioni.

Screenshot della configurazione della modalità di gestione temporanea di Microsoft Entra Connect

Mantenersi aggiornati

Microsoft aggiorna regolarmente Microsoft Entra Connect. Rimanere aggiornati per sfruttare i miglioramenti delle prestazioni, le correzioni dei bug e le nuove funzionalità offerte in ogni nuova versione.

Se la versione di Microsoft Entra Connect ha più di sei mesi, è consigliabile eseguire l'aggiornamento alla versione più recente.

Ancoraggio di origine

L'uso di ms-DS-consistencyguid come ancoraggio di origine consente una migrazione più semplice di oggetti tra foreste e domini, evento che è comune a livello di consolidamento/pulizia dei domini di Active Directory, fusioni, acquisizioni e dismissioni.

Se attualmente si usa ObjectGuid come ancoraggio di origine, è consigliabile passare all'uso di ms-DS-ConsistencyGuid.

Regole personalizzate

Le regole personalizzate di Microsoft Entra Connect consentono di controllare il flusso degli attributi tra oggetti locali e oggetti cloud. Tuttavia, l'uso eccessivo o improprio di regole personalizzate può comportare i rischi seguenti:

  • Risoluzione dei problemi relativi alla complessità
  • Riduzione delle prestazioni durante l'esecuzione di operazioni complesse tra oggetti
  • Maggiore probabilità di divergenza della configurazione tra il server di produzione e il server di gestione temporanea
  • Sovraccarico aggiuntivo durante l'aggiornamento di Microsoft Entra Connect se vengono create regole personalizzate con precedenza maggiore di 100 (precedenza usata dalle regole predefinite)

Se si usano regole eccessivamente complesse, è consigliabile analizzare i motivi della complessità e individuare opportunità di semplificazione. Analogamente, se sono state create regole personalizzate con valore di precedenza superiore a 100, è consigliabile correggere le regole in modo che non siano a rischio o in conflitto con il set predefinito.

Alcuni esempi di uso improprio delle regole personalizzate includono:

  • Compensare i dati modificati ma non salvati nella directory - In questo caso, è consigliabile collaborare con i proprietari del team di Active Directory e pulire i dati nella directory come attività di correzione e modificare i processi per evitare la reintroduzione di dati non corretti.
  • Correzione una tantum di singoli utenti: è comune trovare regole che causano problemi specifici in casi speciali, in genere a causa di un problema con un utente specifico.
  • Eccessiva complessità dell'applicazione di filtri in base all'attributo "cloudFiltered" - Se la riduzione del numero di oggetti è una procedura consigliata, esiste il rischio di creare e complicare eccessivamente l'ambito di sincronizzazione usando molte regole di sincronizzazione. Se esiste una logica complessa per includere/escludere oggetti oltre al filtro in base all'unità organizzativa, è consigliabile gestire questa logica all'esterno della sincronizzazione. Per fare ciò, è possibile contrassegnare gli oggetti con un attributo "cloudFiltered" che può essere propagato con una semplice regola di sincronizzazione.

Microsoft Entra Connect Configuration Documenter

Microsoft Entra Connect Configuration Documenter è uno strumento che consente di generare la documentazione di un'installazione di Microsoft Entra Connect. Questo strumento offre una migliore comprensione della configurazione della sincronizzazione e consente di acquisire fiducia nell'ottenere risultati corretti. Lo strumento indica anche quali modifiche sono state apportate, quando è stata applicata una nuova compilazione o configurazione di Microsoft Entra Connect e quali regole di sincronizzazione personalizzate sono state aggiunte o aggiornate.

Le funzionalità correnti dello strumento includono:

  • Documentazione della configurazione completa di Microsoft Entra Connect Sync.
  • Documentazione delle modifiche apportate alla configurazione di due server di sincronizzazione Microsoft Entra Connect o delle modifiche rispetto a una determinata linea di base della configurazione.
  • Generazione di uno script di distribuzione di PowerShell per eseguire la migrazione delle differenze o delle personalizzazioni delle regole di sincronizzazione da un server a un altro.

Assegnazione ad app e risorse

Licenze basate sui gruppi per i servizi cloud Microsoft

Microsoft Entra ID semplifica la gestione delle licenze tramite licenze basate sui gruppi per i servizi cloud Microsoft. In questo modo, IAM fornisce l'infrastruttura dei gruppi e la gestione delegata di tali gruppi ai team appropriati nelle organizzazioni. Esistono diversi modi per configurare l'appartenenza ai gruppi in Microsoft Entra ID, tra cui:

  • Modalità sincronizzata dall'ambiente locale - I gruppi possono provenire da directory locali, che potrebbero essere adatte alle organizzazioni che hanno stabilito processi di gestione dei gruppi che possono essere estesi per assegnare licenze in Microsoft 365.

  • Gruppi di appartenenza dinamica - I gruppi basati su attributi possono essere creati nel cloud in base a un'espressione basata su attributi utente, ad esempio Department equals "sales". Microsoft Entra ID conserva i membri del gruppo, mantenendolo coerente con l'espressione definita. L'uso di gruppi di appartenenza dinamica per l'assegnazione delle licenze consente un'assegnazione di licenze basata su attributi, ideale per le organizzazioni con un'elevata qualità dei dati nella directory.

  • Proprietà delegata: i gruppi possono essere creati nel cloud e designati come proprietari. In questo modo, è possibile consentire ai proprietari aziendali, ad esempio al team di collaborazione o al team BI, di definire chi deve avere accesso.

Se attualmente si usa un processo manuale per assegnare licenze e componenti agli utenti, è consigliabile implementare le licenze in base al gruppo. Se il processo corrente non monitora gli errori di attribuzione di licenze o non determina quali licenze sono state assegnate e quali sono disponibili, è necessario migliorare il processo. Assicurarsi che il processo gestisca gli errori di licenza e monitori le assegnazioni delle licenze.

Un altro aspetto della gestione delle licenze è la definizione dei piani di servizio (componenti della licenza) che devono essere abilitati in base alle funzioni lavorative nell'organizzazione. La concessione dell'accesso ai piani di servizio non necessari può far sì che gli utenti visualizzino nel portale di Microsoft 365 gli strumenti per i quali non è stato eseguita la formazione o che non devono usare. Questi scenari possono aumentare il volume di interventi dell'help desk, il provisioning non necessario e il rischio per la conformità e la governance, ad esempio quando si effettua il provisioning di OneDrive per utenti che potrebbero non essere autorizzati a condividere il contenuto.

Usare le linee guida seguenti per definire piani di servizio per gli utenti:

  • Gli amministratori devono definire i "bundle" dei piani di servizio da offrire agli utenti in base al proprio ruolo, ad esempio, impiegato o operaio.
  • Creare gruppi per cluster e assegnare la licenza con il piano di servizio.
  • Facoltativamente, è possibile definire un attributo per contenere i pacchetti per gli utenti.

Importante

La gestione delle licenze basata sui gruppi in Microsoft Entra ID introduce il concetto di utenti in uno stato di errore di licenza. Se si notano errori di licenza, è necessario identificare e risolvere immediatamente eventuali problemi di assegnazione delle licenze.

Screenshot di una schermata di descrizione generata automaticamente

Gestione ciclo di vita

Se attualmente si usa uno strumento, ad esempio Microsoft Identity Manager o un sistema di terze parti che si basa su un'infrastruttura locale, è consigliabile eseguire l'offload dell'assegnazione dallo strumento esistente. È invece consigliabile implementare licenze basate sui gruppi e definire una gestione del ciclo di vita del gruppo basata su gruppi di appartenenza dinamica.

Se il processo esistente non tiene conto dei nuovi dipendenti o dei dipendenti che lasciano l'organizzazione, è consigliabile distribuire licenze basate sui gruppi in base ai gruppi di appartenenza dinamica e definirne un ciclo di vita. Infine, se le licenze basate sui gruppi vengono distribuite nei gruppi locali che non dispongono della gestione del ciclo di vita, prendere in considerazione l'uso dei gruppi cloud per abilitare funzionalità come la proprietà delegata o i gruppi di appartenenza dinamica basati su attributi.

Assegnazione di app con il gruppo "Tutti gli utenti"

I proprietari delle risorse possono credere che il gruppo Tutti gli utenti contenga solo dipendenti aziendali quando invece potrebbe effettivamente contenere dipendenti aziendali e utenti guest. Di conseguenza, è necessario prestare particolare attenzione quando si usa il gruppo Tutti gli utenti per l'assegnazione dell'applicazione e si concede l'accesso a risorse come contenuti o applicazioni di SharePoint.

Importante

Se il gruppo Tutti gli utenti è abilitato e usato per i criteri di accesso condizionale e l'assegnazione di app o risorse, assicurarsi di proteggere il gruppo se non si vuole includere gli utenti guest. Inoltre, è necessario correggere le assegnazioni di licenze mediante la creazione e l'assegnazione di gruppi contenenti solo dipendenti aziendali. D'altra parte, se si scopre che il gruppo Tutti gli utenti è abilitato ma non usato per concedere l'accesso alle risorse, assicurarsi che le linee guida operative dell'organizzazione usino intenzionalmente tale gruppo (che include sia dipendenti aziendali che utenti guest).

Provisioning utenti automatizzato nelle app

Il provisioning utenti automatizzato per le applicazioni è il modo migliore per creare un provisioning coerente, il deprovisioning e il ciclo di vita delle identità in più sistemi.

Se attualmente si esegue il provisioning delle app in modalità ad hoc o usando elementi come file CSV, JIT o una soluzione locale che non risolve la gestione del ciclo di vita, è consigliabile implementare il provisioning delle applicazioni con Microsoft Entra ID. Questa soluzione fornisce applicazioni supportate e definisce un modello coerente per le applicazioni che non sono ancora supportate da Microsoft Entra ID.

Servizio di provisioning Microsoft Entra

Baseline del ciclo di sincronizzazione delta di Microsoft Entra Connect

È importante conoscere il volume delle modifiche nell'organizzazione e assicurarsi che la definizione di un intervallo di sincronizzazione prevedibile non richieda troppo tempo.

La frequenza di sincronizzazione delta predefinita è di 30 minuti. Se la sincronizzazione delta richiede più di 30 minuti o se si verificano discrepanze significative tra prestazioni di sincronizzazione delta negli ambienti di gestione temporanea e di produzione, è consigliabile esaminare i fattori che influenzano le prestazioni di Microsoft Entra Connect.

Riepilogo

Esistono cinque aspetti da considerare per un'infrastruttura di identità sicura. Questo elenco consente di trovare e intraprendere rapidamente le azioni necessarie per proteggere e gestire il ciclo di vita delle identità e i relativi entitlement nell'organizzazione.

  • Assegnare proprietari alle attività principali.
  • Trovare e risolvere i problemi di sincronizzazione.
  • Definire una strategia di failover per il ripristino di emergenza.
  • Semplificare la gestione delle licenze e l'assegnazione delle app.
  • Automatizzare il provisioning utenti nelle app.

Passaggi successivi

Introduzione ai controlli e alle azioni per la gestione dell'autenticazione.