Progettare strategie di accesso cloud, ibride e multicloud (incluso Microsoft Entra ID)
In questa unità vengono riepilogati i consigli di progettazione relativi alla gestione delle identità e degli accessi in un ambiente cloud, in base all'area di progettazione della gestione delle identità e degli accessi di Azure del Cloud Adoption Framework. Per un'analisi approfondita di tutte le discussioni di progettazione pertinenti, vedere i seguenti articoli:
- Microsoft Entra ID e identità ibrida
- Accesso alla piattaforma
- Prerequisiti per una zona di destinazione
Confronto tra soluzioni di identità
Active Directory a confronto con Microsoft Entra ID: gestione degli utenti
| Idea | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Utenti | ||
| Provisioning: di utenti | Le organizzazioni creano utenti interni manualmente o usano un sistema di provisioning interno o automatizzato, ad esempio il Microsoft Identity Manager, per l'integrazione con un sistema HR. | Le organizzazioni di Active Directory esistenti usano Microsoft Entra Connect per sincronizzare le identità nel cloud. Microsoft Entra ID aggiunge il supporto per creare automaticamente utenti dai sistemi HR cloud. Microsoft Entra ID può effettuare il provisioning delle identità nelle app SaaS abilitate per SCIM per fornire automaticamente alle app i dettagli necessari per consentire l'accesso agli utenti. |
| Provisioning: identità esterne | Le organizzazioni creano utenti esterni manualmente come utenti regolari in una foresta di Active Directory esterna dedicata, causando un sovraccarico di amministrazione per gestire il ciclo di vita delle identità esterne (utenti guest) | Microsoft Entra ID fornisce una classe speciale di identità per supportare identità esterne. Microsoft Entra ID B2B gestirà il collegamento all'identità utente esterna per assicurarsi che sia valida. |
| Gestione entitlement e gruppi | Gli amministratori rendono gli utenti membri dei gruppi. I proprietari di app e risorse forniscono quindi ai gruppi l'accesso. | I gruppi sono disponibili anche in Microsoft Entra ID e gli amministratori possono usare anche i gruppi per concedere le autorizzazioni alle risorse. In Microsoft Entra ID gli amministratori possono assegnare l'appartenenza ai gruppi manualmente o usare una query per includere dinamicamente gli utenti in un gruppo. Gli amministratori possono usare la gestione entitlement in Microsoft Entra ID per concedere agli utenti l'accesso a una raccolta di app e risorse usando flussi di lavoro e, se necessario, criteri basati sul tempo. |
| Gestione dell’amministratore | Le organizzazioni useranno una combinazione di domini, unità organizzative e gruppi in AD per delegare i diritti amministrativi per gestire la directory e le risorse che controlla. | Microsoft Entra ID fornisce ruoli predefiniti con il sistema di controllo degli accessi in base al ruolo di Microsoft Entra (Microsoft Entra RBAC), con un supporto limitato per la creazione di ruoli personalizzati per delegare l'accesso con privilegi al sistema di gestione delle identità, alle app e alle risorse controllate. La gestione dei ruoli può essere migliorata con Privileged Identity Management (PIM) per fornire l'accesso just-in-time, con limitazioni di tempo o basato sul flusso di lavoro ai ruoli con privilegi. |
| Gestione delle credenziali | Le credenziali in Active Directory sono basate su password, autenticazione del certificato e autenticazione smart card. Le password vengono gestite usando criteri password basati sulla lunghezza della password, sulla scadenza e sulla complessità. | Microsoft Entra ID usa la protezione intelligente delle password per ambienti cloud e locali. La protezione include blocchi intelligenti e blocchi comuni e frasi password personalizzate e sostituzioni. Microsoft Entra ID aumenta significativamente la sicurezza tramite l'autenticazione a più fattori e le tecnologie senza password, come FIDO2. Microsoft Entra ID riduce i costi di supporto fornendo agli utenti un sistema di reimpostazione della password self-service. |
Servizi basati su Active Directory in Azure: Active Directory Domain Services, Microsoft Entra ID e Microsoft Entra Domain Services
Per offrire ad applicazioni, servizi o dispositivi l'accesso a un'identità centrale usando servizi basati su Active Directory in Azure, esistono tre modi comuni. Questa possibilità di scelta tra soluzioni di gestione delle identità consente di usare in modo flessibile la directory più appropriata per le esigenze dell'organizzazione. Se si gestiscono prevalentemente utenti solo cloud che eseguono dispositivi mobili, ad esempio, potrebbe non essere opportuno creare ed eseguire una propria soluzione di gestione delle identità Active Directory Domain Services. Si potrebbe invece usare solo Microsoft Entra ID.
Nonostante condividano nome e tecnologia, le tre soluzioni di gestione delle identità basate su Active Directory sono progettate per offrire servizi che soddisfano esigenze diverse dei clienti. A livello generale, queste soluzioni di gestione delle identità offrono i set di funzionalità seguenti.
- Active Directory Domain Services: server LDAP (Lightweight Directory Access Protocol) di livello aziendale che offre funzionalità chiave come identità e autenticazione, gestione di oggetti computer, Criteri di gruppo e trust.
- Active Directory Domain Services è un componente centrale in molte organizzazioni con un ambiente IT locale e offre funzionalità di base per l'autenticazione degli account utente e la gestione dei computer.
- Microsoft Entra ID - Sistema di gestione di dispositivi mobili e identità basato sul cloud che offre servizi di autenticazione e account utente per risorse come Microsoft 365, il portale di Azure o le applicazioni SaaS.
- Microsoft Entra ID può essere sincronizzato con un ambiente di Active Directory Domain Services locale per fornire un'unica identità agli utenti che lavorano in modo nativo nel cloud.
- Microsoft Entra Domain Services - Offre servizi di dominio gestiti con un sottoinsieme di funzionalità di Active Directory Domain Services tradizionali totalmente compatibili, come l'aggiunta a un dominio, Criteri di gruppo, LDAP e l'autenticazione Kerberos/NTLM.
- Microsoft Entra Domain Services si integra con Microsoft Entra ID, che può essere a sua volta sincronizzato con un ambiente di Active Directory Domain Services locale. Questa capacità estende i casi d'uso delle identità centrali alle applicazioni Web tradizionali eseguite in Azure come parte di una strategia lift-and-shift.
Per una discussione più ampia che confronta queste tre opzioni, vedereConfrontare soluzioni Active Directory Domain Services autogestite, Microsoft Entra ID e Microsoft Entra Domain Services gestite.
Raccomandazioni per la progettazione incrociata
- Usare responsabilità centralizzate e delegate in base ai requisiti di ruolo e sicurezza per gestire le risorse all'interno della zona di destinazione.
- I seguenti tipi di operazioni con privilegi richiedono autorizzazioni speciali. Considerare quali utenti gestiranno tali richieste e valutare come proteggere e monitorare in modo adeguato i loro account.
- Creazione di oggetti di entità servizio.
- Registrazione di applicazioni in Microsoft Entra ID.
- Recupero e gestione di certificati o certificati con caratteri jolly.
- Per accedere alle applicazioni che usano l'autenticazione locale in remoto tramite Microsoft Entra ID, usare il proxy dell'applicazione Microsoft Entra.
- Valutare la compatibilità dei carichi di lavoro per Microsoft Entra Domain Services e per Active Directory Domain Services in Windows Server.
- Assicurarsi di progettare la rete in modo che le risorse che richiedono Active Directory Domain Services in Windows Server per l'autenticazione locale e la gestione possano accedere ai controller di dominio. Per Active Directory Domain Services in Windows Server, prendere in considerazione gli ambienti del servizio condiviso che offrono l'autenticazione locale e la gestione degli host in un contesto di rete aziendale più ampio.
- Quando si distribuisce Microsoft Entra Domain Services o si integrano ambienti locali in Azure, usare posizioni con zone di disponibilità per una maggiore disponibilità.
- Distribuire Microsoft Entra Domain Services nell'area primaria perché è possibile progettare questo servizio solo per una sottoscrizione. È possibile espandere Microsoft Entra Domain Services ad altre aree con set di repliche.
- Usare identità gestite anziché entità servizio per l'autenticazione nei servizi Azure. Questo approccio riduce l'esposizione al furto di credenziali.
Azure e identità ibrida locale: raccomandazioni per la progettazione
Per l'hosting di soluzioni di identità ibride di tipo infrastruttura come servizio (IaaS), valutare le seguenti raccomandazioni:
- Per le applicazioni ospitate in parte in locale e in parte in Azure, verificare quale integrazione sia la più appropriata in base allo scenario in uso. Per altre informazioni, vedere Distribuire Active Directory Domain Services in una rete virtuale di Azure.
- Se si dispone di AD FS, passare al cloud per centralizzare la gestione delle identità e ridurre l'impegno operativo. Se AD FS fa ancora parte della soluzione di gestione delle identità, installare e usare Microsoft Entra Connect.
Identità per le risorse della piattaforma Azure: consigli per la progettazione
Un'identità centralizzata usa una singola posizione nel cloud e l'integrazione del servizio Active Directory, controlla l'accesso, l'autenticazione e le applicazioni. Questo approccio garantisce una gestione ottimale per il team IT. Per i servizi directory centralizzati, è consigliabile usare un unico tenant di Microsoft Entra.
Quando si concede l'accesso alle risorse, usare i gruppi solo Microsoft Entra per le risorse del piano di controllo di Azure e Microsoft Entra Privileged Identity Management. Aggiungere gruppi locali al gruppo solo Microsoft Entra se è già presente un sistema di gestione dei gruppi. Si noti che l'approccio solo Microsoft Entra è noto anche come solo cloud.
Usando i gruppi solo Microsoft Entra ID, è possibile aggiungere utenti e gruppi sincronizzati dall'ambiente locale usando Microsoft Entra Connect. È anche possibile aggiungere utenti e gruppi solo Microsoft Entra a un singolo gruppo solo Microsoft Entra, inclusi gli utenti guest.
I gruppi sincronizzati dall'ambiente locale possono essere gestiti e aggiornati solo dall'origine di riferimento dell'identità, ovvero da Active Directory locale. Questi gruppi possono contenere solo membri dalla stessa origine di identità, il che limita la flessibilità rispetto ai gruppi solo Microsoft Entra.
Integrare i log di Microsoft Entra con l'area di lavoro Log Analytics centralizzata per la piattaforma. Questo approccio crea un’unica origine di riferimento per tutti i dati di log e di monitoraggio in Azure. Questa origine offre alle organizzazioni opzioni native del cloud per soddisfare i requisiti per la raccolta e la conservazione dei log.
I criteri utente personalizzati possono applicare qualsiasi requisito di sovranità dei dati per l'organizzazione.
Se la protezione delle identità viene usata come parte della soluzione di gestione delle identità, assicurarsi di escludere l'account amministratore di emergenza.
Raccomandazioni di progettazione - Identità e accesso Azure per le zone di destinazione
Distribuire i criteri di accesso condizionale di Microsoft Entra per qualsiasi utente con diritti per gli ambienti di Azure. L’accesso condizionale un altro meccanismo per proteggere un ambiente di Azure controllato da accessi non autorizzati.
Applicare l'autenticazione a più fattori per gli utenti con diritti per gli ambienti Azure. L'uso dell'autenticazione a più fattori è un requisito di molti framework di conformità. L'autenticazione a più fattori riduce notevolmente il rischio di furto di credenziali e accesso non autorizzato.
È consigliabile usare le entità servizio per gli accessi alle risorse non interattive, in modo che l'autenticazione a più fattori e l'aggiornamento dei token non interferiscano con le operazioni.
Usare le identità gestite di Microsoft Entra per le risorse di Azure per evitare l'autenticazione basata su credenziali. Molte violazioni della sicurezza delle risorse del cloud pubblico hanno origine dal furto di credenziali incorporate nel codice o in altro testo. L'applicazione delle identità gestite per l'accesso a livello di codice riduce notevolmente il rischio di furto delle credenziali.
Usare l'accesso just-in-time di Microsoft Defender per il cloud per tutte le risorse dell'infrastruttura distribuita come servizio (IaaS). Defender per il cloud consente di abilitare la protezione a livello di rete per l'accesso temporaneo degli utenti alle macchine virtuali IaaS.
Privileged Identity Management (PIM)
Usare Microsoft Entra Privileged Identity Management (PIM) per stabilire l'accesso Zero Trust e con privilegi minimi. Eseguire il mapping dei ruoli dell'organizzazione ai livelli di accesso minimi necessari. Microsoft Entra PIM può usare gli strumenti nativi di Azure, estendere gli strumenti e i processi correnti o usare sia gli strumenti correnti che quelli nativi in base alle esigenze.
Usare le verifiche di accesso PIM di Microsoft Entra per convalidare periodicamente gli entitlement delle risorse. Le verifiche di accesso sono incluse in numerosi framework di conformità, pertanto molte organizzazioni hanno già un processo di verifica di accesso.
Usare le identità con privilegi per runbook di automazione che richiedono autorizzazioni di accesso elevate. Usare gli stessi strumenti e criteri per gestire i flussi di lavoro automatizzati che interagiscono con i livelli di sicurezza critici, così come si farebbe per gli utenti con privilegi equivalenti.
Raccomandazioni per il controllo degli accessi in base al ruolo
Se possibile, usare il controllo degli accessi in base al ruolo di Azure per regolare l'accesso al piano dati delle risorse. Alcuni esempi di endpoint del piano dati includono Azure Key Vault, un account di archiviazione o un database SQL.
Non aggiungere utenti direttamente agli ambiti delle risorse di Azure. Le assegnazioni dirette agli utenti eludono la gestione centralizzata, rendendo complicato impedire l'accesso non autorizzato a dati con restrizioni. Invece, aggiungere gli utenti ai ruoli definiti e assegnare i ruoli agli ambiti delle risorse.
Usare i ruoli predefiniti di Microsoft Entra per gestire le seguenti impostazioni di identità:
| Ruolo | Utilizzo | Nota |
|---|---|---|
| Amministratore globale | Non assegnare più di cinque persone a questo ruolo. | |
| Ambiente ibrido | Amministratore delle identità ibride | |
| Authentication | Amministratore della sicurezza | |
| Applicazione aziendale o Application Proxy | Amministratore di applicazioni | Nessun consenso da parte dell'amministratore globale. |
Se i ruoli predefiniti di Azure non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati.