Condivisione degli account con Microsoft Entra ID

Panoramica

In Microsoft Entra ID, che fa parte di Microsoft Entra, talvolta le organizzazioni devono usare un solo nome utente e una sola password per più persone; ciò si verifica spesso nei casi seguenti:

• Quando si accede alle applicazioni che richiedono account di accesso e password univoci per ogni utente, in caso di app locali o servizi cloud di livello consumer (ad esempio, gli account aziendali di social media).
• Quando si creano ambienti multiutente. Potrebbe essere presente un singolo account locale che dispone di privilegi elevati che viene usato per attività di base, ad esempio installazione, amministrazione e ripristino. Ad esempio, un account amministratore applicazione per Microsoft 365 o l'account radice in Salesforce.

In genere, questi account possono essere condivisi distribuendo le credenziali (nome utente e password) agli individui appropriati o archiviandoli in un percorso condiviso al quale possono accedere più agenti attendibili.

Il modello di condivisione tradizionale presenta vari svantaggi:

• L'abilitazione dell'accesso alle nuove applicazioni richiede di distribuire le credenziali a tutti gli utenti che necessitano dell'accesso.
• Ogni applicazione condivisa potrebbe richiedere un proprio set univoco di credenziali condivise; ciò comporta la necessità da parte degli utenti di ricordare più set di credenziali. Quando gli utenti devono ricordare molte credenziali, aumenta il rischio che incorrano in attività rischiose (ad esempio annotare le password).
• Non è possibile individuare gli utenti che dispongono dell'accesso a un'applicazione.
• Non è possibile sapere quali utenti hanno eseguito l'accesso a un'applicazione.
• Per rimuovere l'accesso a un'applicazione, è necessario aggiornare le credenziali e distribuirle nuovamente a tutti gli utenti che richiedono l'accesso a tale applicazione.

Condivisione dell'account Microsoft Entra

Microsoft Entra ID offre un nuovo approccio all'uso degli account condivisi che consente di eliminare questi svantaggi.

L'amministratore di Microsoft Entra configura le applicazioni alle quali un utente può accedere utilizzando il pannello di accesso e scegliendo il tipo di accesso Single Sign-On più adatto per la singola applicazione. Tra questi, l'accesso Single Sign-On basato su password, consente a Microsoft Entra ID di agire come una sorta di "broker " durante la procedura di accesso a tale applicazione.

Gli utenti accedono una volta con l'account aziendale. Si tratta dello stesso account che usano regolarmente per accedere al desktop o alla posta elettronica. Possono individuare e accedere solo alle applicazioni a cui sono assegnati. Con gli account condivisi, questo elenco di applicazioni può includere qualsiasi numero di credenziali condivise. L'utente finale non deve ricordare o annotare i vari account in uso.

Gli account condivisi non solo consentono di aumentare la supervisione e migliorare l'usabilità, ma anche di aumentare la sicurezza. Gli utenti con autorizzazioni per l'uso delle credenziali non visualizzano la password condivisa, ma ottengono autorizzazioni per l'uso della password come parte di un flusso di autenticazione orchestrato. Inoltre, alcune applicazioni con accesso Single Sign-On basato su password offrono la possibilità di usare Microsoft Entra ID per eseguire il rollover periodico (aggiornamento) delle password. Il sistema utilizza password complesse di grandi dimensioni che consentono di migliorare la sicurezza dell'account. L'amministratore può facilmente concedere o revocare l'accesso a un'applicazione e sa chi può accedere all'account e chi ha eseguito l'accesso in precedenza.

Microsoft Entra ID supporta gli account condivisi per qualsiasi piano di licenza Enterprise Mobility Suite (EMS) o Microsoft Entra ID P1 o P2, in tutti i tipi di applicazioni con accesso Single Sign-On basato su password. È possibile condividere gli account per una qualsiasi delle numerose applicazioni già integrate nella raccolta e integrare la propria applicazione con autenticazione tramite password in app personalizzate con accesso Single Sign-On.

Le funzionalità di Microsoft Entra che abilitano la condivisione degli account includono:

• Password Single Sign-On
• Agente di password Single Sign-On
• Assegnazione di gruppi
• App personalizzate basate su password
• Dashboard/report sull'utilizzo di app
• Portali di accesso dell'utente finale
• Proxy di app
• Azure Marketplace

Condivisione di un account

Per utilizzare Microsoft Entra ID per condividere un account, è necessario:

• Aggiungere un'applicazione alla raccolta di app o integrarla con un'applicazione personalizzata
• Configurare l'applicazione per l'accesso Single Sign-On basato su password
• Usare un' assegnazione basata su gruppi e selezionare l'opzione per immettere le credenziali condivise

Inoltre, è possibile rendere più sicuro l'account condiviso grazie all'autenticazione a più fattori (MFA); (altre informazioni sulla protezione delle applicazioni con Microsoft Entra ID). È possibile delegare la capacità di gestire gli utenti autorizzati ad accedere all'applicazione tramite la gestione dei gruppi self-service di Microsoft Entra.

Passaggi successivi

• Gestione delle applicazioni in Microsoft Entra ID
• Protezione delle app con l'accesso condizionale
• Gestione di gruppi self-service/SSAA