Privileged Identity Management (PIM) per i gruppi
Microsoft Entra ID consente di concedere agli utenti l'appartenenza JIT e la proprietà dei gruppi tramite Privileged Identity Management (PIM) per i gruppi. I gruppi possono essere usati per controllare l'accesso a un'ampia gamma di scenari, tra cui ruoli di Microsoft Entra, ruoli di Azure, Azure SQL, Azure Key Vault, Intune, ruoli di altre applicazioni e applicazioni di terze parti.
Che cos'è PIM per i gruppi?
PIM per i gruppi fa parte di Microsoft Entra Privileged Identity Management; insieme ai ruoli PIM per Microsoft Entra e PIM per le risorse di Azure, PIM per i gruppi consente agli utenti di attivare la proprietà o l'appartenenza a un gruppo di sicurezza Microsoft Entra o a un gruppo di Microsoft 365. I gruppi possono essere usati per gestire l'accesso a vari scenari che includono ruoli di Microsoft Entra, ruoli di Azure, Azure SQL, Azure Key Vault, Intune, ruoli di altre applicazioni e applicazioni di terze parti.
Con PIM per i gruppi è possibile usare criteri simili a quelli usati in PIM per i ruoli di Microsoft Entra e PIM per le risorse di Azure: è possibile richiedere l'approvazione per l'attivazione dell'appartenenza o della proprietà, applicare l'autenticazione a più fattori (MFA), richiedere una giustificazione, limitare il tempo di attivazione massimo e altro ancora. Ogni gruppo in PIM per gruppi ha due criteri: uno per l'attivazione dell'appartenenza e un altro per l'attivazione della proprietà nel gruppo. Fino a gennaio 2023, la funzionalità PIM per i gruppi era denominata "Gruppi di accesso con privilegi".
Nota
Per i gruppi usati per elevare i ruoli di Microsoft Entra, è consigliabile richiedere un processo di approvazione per le assegnazioni di membri idonei. Le assegnazioni che possono essere attivate senza approvazione possono comportare un rischio per la sicurezza da parte degli amministratori con privilegi minori. Ad esempio, l'amministratore del supporto tecnico ha l'autorizzazione per reimpostare le password di un utente idoneo.
Che cosa sono i gruppi assegnabili ai ruoli di Microsoft Entra?
Quando si lavora con Microsoft Entra ID, è possibile assegnare un gruppo di sicurezza Microsoft Entra o un gruppo di Microsoft 365 a un ruolo di Microsoft Entra. Ciò è possibile solo con i gruppi creati come assegnabili a un ruolo.
Per altre informazioni sui gruppi assegnabili ai ruoli di Microsoft Entra, vedere Creare un gruppo assegnabile a un ruolo in Microsoft Entra ID.
I gruppi assegnabili ai ruoli traggono vantaggio da protezioni aggiuntive rispetto ai gruppi non assegnabili ai ruoli:
- Gruppi assegnabili a ruoli: solo Amministratore globale, Amministratore ruolo con privilegi o Proprietario del gruppo possono gestire il gruppo. Inoltre, nessun altro utente può modificare le credenziali degli utenti membri (attivi) del gruppo. Questa funzionalità consente di impedire a un amministratore di elevare a un ruolo con privilegi più elevati senza passare attraverso una procedura di richiesta e approvazione.
- Gruppi non assegnabili a ruoli: diversi ruoli di Microsoft Entra possono gestire questi gruppi, inclusi Amministratori di Exchange, Amministratori dei gruppo, Amministratori degli utenti e così via. Inoltre, vari ruoli di Microsoft Entra possono modificare le credenziali degli utenti membri (attivi) del gruppo, che includono Amministratori di autenticazione, Amministratori di help desk, Amministratori degli utenti e così via.
Per altre informazioni sui ruoli predefiniti di Microsoft Entra e sulle relative autorizzazioni, vedere Ruoli predefiniti di Microsoft Entra.
La funzionalità di gruppo assegnabile a un ruolo di Microsoft Entra non fa parte di Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Per altre informazioni sulle licenze, vedere Nozioni fondamentali sulla gestione delle licenze di Microsoft Entra ID Governance.
Relazione tra gruppi assegnabili a ruoli e PIM per i gruppi
I gruppi in Microsoft Entra ID possono essere classificati come assegnabili non assegnabili a ruoli. Inoltre, qualsiasi gruppo può essere abilitato o non abilitato per l'uso con Microsoft Entra Privileged Identity Management (PIM) per i gruppi. Si tratta di proprietà indipendenti del gruppo. Qualsiasi gruppo di sicurezza di Microsoft Entra e qualsiasi gruppo di Microsoft 365 (ad eccezione dei gruppi di appartenenza dinamica e dei gruppi sincronizzati dall'ambiente locale) può essere abilitato in PIM per i gruppi. Il gruppo non deve essere un gruppo assegnabile a ruoli per essere abilitato in PIM per i gruppi.
Se si vuole assegnare un ruolo Microsoft Entra a un gruppo, è necessario assegnarlo a un ruolo. Anche se non si intende assegnare un ruolo Microsoft Entra al gruppo, ma il gruppo fornisce l'accesso a risorse sensibili, è comunque consigliabile valutare la creazione del gruppo come assegnabile a un ruolo. Ciò è dovuto a gruppi assegnabili a ruoli aggiuntivi con protezione extra; vedere "Che cosa sono i gruppi assegnabili ai ruoli di Microsoft Entra?" nella sezione precedente.
Importante
Fino a gennaio 2023, era necessario che ogni gruppo con accesso privilegiato (nome precedente di questa funzionalità PIM per i gruppi) fosse un gruppo assegnabile ai ruoli. Attualmente, questa restrizione è stata rimossa. Per questo motivo, è ora possibile abilitare più di 500 gruppi per tenant in PIM, ma solo 500 gruppi possono essere assegnabili a ruoli.
Rendere il gruppo di utenti idoneo per il ruolo Microsoft Entra
Esistono due modi per rendere un gruppo di utenti idonei per il ruolo Microsoft Entra:
- Effettuare assegnazioni attive degli utenti al gruppo per poi assegnare il gruppo a un ruolo come idoneo per l'attivazione.
- Rendere attiva l'assegnazione di un ruolo a un gruppo e assegnare agli utenti l'idoneità all'appartenenza a gruppi.
Per fornire a un gruppo di utenti l'accesso JIT ai ruoli di Microsoft Entra con autorizzazioni in SharePoint, Exchange o nel portale di conformità di Microsoft Purview o di sicurezza (ad esempio, ruolo di amministratore di Exchange), assicurarsi di effettuare assegnazioni attive di utenti al gruppo, quindi assegnare il gruppo a un ruolo idoneo per l'attivazione (opzione 1 sopra). Se si sceglie di effettuare l'assegnazione attiva di un gruppo a un ruolo e assegnare agli utenti l'idoneità all'appartenenza al gruppo, potrebbe essere necessario molto tempo per avere tutte le autorizzazioni del ruolo attivate e pronte per l'uso.
Annidamento di gruppo e Privileged Identity Management
In Microsoft Entra ID, i gruppi assegnabili a ruoli non possono avere altri gruppi annidati all'interno di essi. Per altre informazioni, vedere Usare gruppi di Microsoft Entra per gestire le assegnazioni di ruolo. Ciò vale per l'appartenenza attiva: un gruppo non può essere un membro attivo di un altro gruppo che è assegnabile ai ruoli.
Un gruppo può essere un membro idoneo di un altro gruppo, anche se uno di questi gruppi è assegnabile a ruoli.
Se un utente è un membro attivo del gruppo A e il gruppo A è un membro idoneo del gruppo B, l'utente può attivare l'appartenenza al gruppo B. Questa attivazione è solo per l'utente che ha richiesto l'attivazione, non significa che l'intero gruppo A diventa un membro attivo del gruppo B.
Privileged Identity Management e provisioning di app
Se il gruppo è configurato per il provisioning delle app, l'attivazione dell'appartenenza al gruppo attiverà il provisioning dell'appartenenza al gruppo (e l'account utente stesso se non è stato sottoposto a provisioning in precedenza) all'applicazione usando il protocollo SCIM.
È disponibile una funzionalità che attiva il provisioning subito dopo l'attivazione dell'appartenenza al gruppo in PIM. La configurazione del provisioning dipende dall'applicazione. In genere, è consigliabile avere almeno due gruppi assegnati all'applicazione. A seconda del numero di ruoli nell'applicazione, è possibile scegliere di definire altri "gruppi con privilegi".
Raggruppa | Scopo | Membri | Appartenenza al gruppo | Ruolo assegnato nell'applicazione |
---|---|---|---|---|
Gruppo di tutti gli utenti | Assicurarsi che venga eseguito costantemente il provisioning di tutti gli utenti che devono accedere all'applicazione. | Tutti gli utenti che devono accedere all'applicazione. | Attive | Nessun ruolo con privilegi limitati o senza privilegi |
Gruppo con privilegi | Fornire l'accesso JIT al ruolo con privilegi nell'applicazione. | Utenti che devono avere accesso JIT al ruolo con privilegi nell'applicazione. | Idoneo | Ruolo con privilegi |
Considerazioni essenziali
- Quanto tempo è necessario per inserire un utente sottoposto a provisioning nell'applicazione?
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID al di fuori dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra Privileged Identity Management (PIM):
- Il provisioning dell'appartenenza al gruppo viene effettuato nell'applicazione durante il ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti.
- Quando un utente attiva l'appartenenza al gruppo in Microsoft Entra PIM:
- Viene effettuato il provisioning dell'appartenenza al gruppo in 2-10 minuti. Quando si verifica una frequenza elevata di richieste contemporaneamente, le richieste vengono limitate a una velocità di cinque richieste ogni 10 secondi.
- Per i primi cinque utenti entro un periodo di 10 secondi dall'attivazione dell'appartenenza a un gruppo specifico per un'applicazione specifica, l'appartenenza al gruppo viene sottoposta a provisioning nell'applicazione entro 2-10 minuti.
- Per il sesto utente e oltre un periodo di 10 secondi dall'attivazione dell'appartenenza al gruppo per un'applicazione specifica, viene effettuato il provisioning dell'appartenenza al gruppo all'applicazione nel ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti. La limitazione delle richieste vale per ogni applicazione aziendale.
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID al di fuori dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra Privileged Identity Management (PIM):
- Se l'utente non è in grado di accedere al gruppo necessario nell'applicazione di destinazione, esaminare i registri di PIM e i registri di provisioning per assicurarsi che l'appartenenza al gruppo sia stata aggiornata correttamente. A seconda dell'architettura dell'applicazione di destinazione, l'applicazione di destinazione potrebbe richiedere tempo aggiuntivo per rendere effettiva l'appartenenza al gruppo nell'applicazione.
- Usando Monitoraggio di Azure, i clienti possono creare avvisi per gli errori.