Garantire l'accesso sicuro con l'elenco di controllo di accesso

  • 3 minuti

In questa unità si apprenderà come garantire che il contenuto esterno importato in Microsoft 365 sia accessibile solo per utenti con privilegi.

Importare contenuto esterno con autorizzazioni corrette

Le informazioni archiviate all'esterno di Microsoft 365 sono accessibili da tutti gli utenti dell'organizzazione o solo da un gruppo selezionato di persone. Le autorizzazioni per l'accesso al contenuto esterno vengono archiviate nel sistema esterno.

Quando si importano contenuti usando i connettori di Microsoft Graph, si recuperano il contenuto e le relative autorizzazioni dal sistema esterno. Usando queste informazioni, per ogni contenuto importato si crea un elenco di controllo di accesso (ACL) e lo si include con l'elemento quando lo si importa in Microsoft 365.

Diagramma che illustra il funzionamento di un connettore Microsoft Graph personalizzato.

La configurazione dell'autorizzazione per il contenuto importato consente di assicurarsi che solo gli utenti specificati nel sistema esterno possano accedervi. Quando si importa contenuto esterno tramite connettori Graph, sono disponibili diverse opzioni per assicurarsi che sia accessibile dallo stesso gruppo di persone che possono accedervi nel sistema esterno.

Anatomia di un elenco di controllo di accesso

Un elenco di controllo di accesso è una matrice di voci di controllo di accesso. Ogni voce è costituita da tre elementi:

  1. Tipo di accesso, che specifica se la voce è per concedere o negare l'accesso alla parte di contenuto.
  2. Tipo, che specifica il tipo di entità descritto dalla voce. Può essere:
    1. un utente di Microsoft Entra,
    2. un gruppo Microsoft Entra,
    3. tutti nel tenant,
    4. tutti tranne gli utenti guest,
    5. un gruppo esterno (ovvero un gruppo definito nel sistema esterno)
  3. Valore, che identifica l'entità descritta dalla voce.

Diagramma di una visualizzazione schematica di un elenco di controllo di accesso.

Importante

Ogni elemento importato deve includere almeno una voce di controllo di accesso. È anche possibile includere più voci per rendere l'elemento accessibile da più gruppi di persone.

Verranno ora esaminati alcuni scenari comuni su come garantire l'accesso corretto al contenuto importato.

Scenario 1: Importare il contenuto disponibile per tutti gli utenti dell'organizzazione

Uno degli scenari più comuni è l'importazione di contenuto esterno disponibile per tutti gli utenti dell'organizzazione. Se si importa tale contenuto, è possibile usare la voce di controllo di accesso seguente per tutti gli elementi di contenuto:

  • Tipo di accesso: grant
  • Tipo: Tutti
  • Valore: Tutti

Scenario 2: Importare contenuto disponibile solo per un gruppo specifico di persone da un sistema esterno con Single Sign-On con Microsoft 365

Se il sistema esterno dispone dell'accesso Single Sign-On con Microsoft 365, il contenuto esterno viene protetto con utenti e gruppi da Microsoft Entra ID (in precedenza Azure Active Directory). In questi casi, è possibile definire voci di controllo di accesso di tipo Utente (se si fa riferimento a utenti singoli di Entra) o Gruppo (quando si fa riferimento ai gruppi Entra). Configurare il valore in modo che faccia riferimento all'ID oggetto dell'utente o del gruppo di Microsoft Entra, ad esempio:

  • Tipo di accesso: grant
  • Tipo: Gruppo
  • Valore: 12345678-1234-1234-1234-123456789012

Scenario 3: Importare contenuto disponibile solo per un gruppo specifico di persone da un sistema esterno senza Single Sign-On con Microsoft 365

Se si importa contenuto da un sistema che protegge il contenuto usando i propri utenti e gruppi, è comunque possibile proteggere correttamente il contenuto importato e renderlo disponibile solo agli utenti corretti. In questo caso, si definiscono gruppi esterni, che si usano per proteggere il contenuto importato. Questi gruppi riflettono le appartenenze definite nel sistema esterno, ma fanno riferimento a utenti e gruppi di Microsoft Entra o ad altri gruppi esterni.

Mantenere sincronizzate le autorizzazioni esterne e gli elenchi di controllo di accesso

Il sistema esterno da cui si importa il contenuto in Microsoft 365 contiene il riferimento principale delle autorizzazioni e chi può accedere al contenuto. Quando si creano connettori di Microsoft Graph, è necessario sincronizzare queste autorizzazioni con il contenuto importato in Microsoft 365 per garantirne la sicurezza.

Se il sistema esterno genera un evento quando le autorizzazioni cambiano, è possibile aggiornarle immediatamente sul contenuto esterno importato in Microsoft 365. Se il sistema esterno non supporta gli eventi, si compila un processo in esecuzione di frequente che analizza le autorizzazioni modificate e le aggiorna di conseguenza. È necessario includere la possibilità di aggiornare le autorizzazioni su richiesta, che consente di aggiornare immediatamente le autorizzazioni in caso di necessità.