Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione delle identità e degli accessi (IAM) è un elemento fondamentale dell'architettura cloud. Nei sistemi locali, le reti interne stabiliscono limiti di sicurezza. Negli ambienti cloud, le reti perimetrali e i firewall da soli non sono sufficienti per gestire l'accesso alle app e ai dati. I sistemi cloud pubblici si basano invece sulle soluzioni di gestione delle identità per la sicurezza dei limiti.
Una soluzione di gestione delle identità controlla l'accesso alle app e ai dati di un'organizzazione. A ogni utente, dispositivo e applicazione corrisponde un'identità. I componenti IAM supportano l'autenticazione e l'autorizzazione di queste identità. L'autenticazione controlla chi o cosa usa un account. L'autorizzazione controlla le operazioni che un utente può eseguire nelle applicazioni.
Servizi Azure per l'identità
Azure offre una gamma di servizi per l'identità:
Microsoft Entra ID è il servizio principale di gestione delle identità e degli accessi basato sul cloud che fornisce autenticazione, imposizione dei criteri e protezione per utenti, dispositivi, app e risorse.
Microsoft Entra Domain Services è destinato ai servizi di dominio gestiti.
Microsoft Entra per ID esterno è destinato agli scenari di identità dei clienti e dei partner.
Accesso privato Microsoft Entra è per l'accesso sicuro alla rete privata.
Accesso a Internet Microsoft Entra è per l'accesso a Internet sicuro.
Architecture
Scaricare un file di Visio di questa architettura.
Il diagramma precedente illustra una tipica implementazione di identità di base o di riferimento. Per soluzioni reali che è possibile compilare in Azure, vedere Architetture di identità.
Esplorare le guide alle identità, le architetture e le idee sulle soluzioni
Gli articoli di questa sezione includono guide e architetture completamente sviluppate che è possibile distribuire in Azure ed espandersi in soluzioni di livello di produzione. Le idee della soluzione illustrano modelli di implementazione e possibilità da considerare durante la pianificazione dello sviluppo di modelli di verifica dell'identità (POC). Questi articoli consentono di decidere come usare le tecnologie di gestione delle identità in Azure.
Guide all'identità
Scelte tecnologiche. Gli articoli seguenti consentono di valutare e selezionare le migliori tecnologie di gestione delle identità per i requisiti del carico di lavoro:
Confronta Active Directory Domain Services gestito autonomamente, Microsoft Entra ID e Microsoft Entra Domain Services gestito: Confronta tre servizi che consentono di accedere a un'identità centralizzata per stabilire quale sia la soluzione più adatta al tuo scenario.
Scegliere il metodo di autenticazione appropriato per la soluzione ibrida di gestione delle identità Microsoft Entra: valutare le opzioni di autenticazione, tra cui la sincronizzazione dell'hash delle password, l'autenticazione pass-through e la federazione.
Identità multi-tenant
Considerazioni sull'architettura per l'identità in una soluzione multi-tenant: informazioni sui requisiti di identità per le soluzioni multi-tenant, tra cui autenticazione, autorizzazione e isolamento del tenant.
Approcci architetturali per l'identità nelle soluzioni multi-tenant: esplorare gli approcci di implementazione per l'identità nelle soluzioni multi-tenant, tra cui Microsoft Entra ID e ID esterno.
Architetture di identità
Le architetture pronte per la produzione seguenti illustrano soluzioni di gestione delle identità end-to-end che è possibile distribuire e personalizzare.
Identità ibrida
Integrare i domini di Active Directory locali con Microsoft Entra ID: procedure consigliate per l'integrazione dei domini di Active Directory locali con Microsoft Entra ID per fornire l'autenticazione delle identità basata sul cloud.
Creare una foresta di risorse di AD DS in Azure: Creare un dominio Active Directory separato in Azure considerato attendibile dai domini nella foresta Active Directory locale.
Distribuire Servizi di dominio Active Directory in una rete virtuale Azure: estendere un dominio Active Directory locale a Azure per fornire servizi di autenticazione distribuiti.
Estendere AD FS locale a Azure: estendere la rete locale a Azure e usare Active Directory Federation Services (AD FS) per l'autenticazione e l'autorizzazione federate.
Identità multi-cloud
- Microsoft Entra gestione delle identità e degli accessi per AWS: distribuire Microsoft Entra soluzioni di identità e accesso per AWS per fornire la gestione centralizzata delle identità e l'autenticazione single sign-on avanzata.
Idee sulla soluzione di gestione delle identità
Le idee seguenti sulla soluzione di gestione delle identità illustrano modelli di implementazione e possibilità da esplorare:
Creare il primo livello di difesa usando Azure servizi di sicurezza: usare Azure servizi di sicurezza, inclusi i servizi di gestione delle identità, ad esempio il controllo degli accessi in base al ruolo, l'autenticazione a più fattori e l'accesso condizionale, per creare un livello di sicurezza fondamentale per l'infrastruttura.
Protezione multilivello per l'accesso alle macchine virtuali di Azure: implementare l'accesso just-in-time basato sull'identità alle macchine virtuali di Azure tramite Microsoft Entra ID, Accesso condizionale e Privileged Identity Management.
Idoneità dell'organizzazione
Le organizzazioni all'inizio del processo di adozione del cloud possono usare il Cloud Adoption Framework per Azure per accedere a indicazioni comprovate che accelerano l'adozione del cloud.
Area di progettazione della gestione delle identità e degli accessi: valutare le opzioni per l'identità e le basi di accesso, tra cui autenticazione, autorizzazione, separazione dei compiti e sincronizzazione ibrida delle identità con Microsoft Entra ID.
Offerte di fatturazione di Azure e tenant di Microsoft Entra: Informazioni su come le offerte di fatturazione sono associate ai tenant di Microsoft Entra e su come le sottoscrizioni sono correlate alla struttura del tenant.
Organizzazione delle risorse: stabilire modelli coerenti per la denominazione, l'assegnazione di tag, la progettazione delle sottoscrizioni e la gerarchia dei gruppi di gestione per organizzare l'identità e altre risorse distribuite nel cloud.
Per garantire la qualità della soluzione di gestione delle identità in Azure, seguire le indicazioni in Azure Well-Architected Framework. Il framework Well-Architected fornisce indicazioni prescrittive per le organizzazioni che cercano l'eccellenza dell'architettura e descrive come progettare, effettuare il provisioning e monitorare soluzioni di Azure ottimizzate per i costi. Per indicazioni specifiche sull'identità, vedere Strategie di architettura per la gestione delle identità e degli accessi, che illustra l'autenticazione, l'autorizzazione, l'accesso condizionale e la gestione del ciclo di vita delle identità in tutti e cinque i pilastri di Framework Well-Architected.
Procedure consigliate
Seguire queste procedure consigliate per migliorare la sicurezza, l'affidabilità, le prestazioni e la qualità operativa dei carichi di lavoro di identità in Azure.
Integrare domini Active Directory locale con Microsoft Entra ID: procedure consigliate per l'integrazione di domini Active Directory locale con Microsoft Entra ID, incluse indicazioni per l'accesso utente remoto, le funzionalità self-service e gli ambienti ibridi senza VPN o connettività Azure ExpressRoute.
Cinque passaggi per proteggere l'infrastruttura di identità: un elenco di controllo per rafforzare il comportamento di sicurezza delle identità dell'organizzazione con Microsoft Entra ID. Illustra la protezione avanzata delle credenziali, la riduzione della superficie di attacco, l'automazione delle risposte alle minacce, il controllo e l'abilitazione self-service.
Microsoft Entra guida alle operazioni di sicurezza: linee guida per il monitoraggio e il rilevamento delle minacce alla sicurezza per l'ambiente Microsoft Entra ID. Vengono illustrate le linee di base, gli account, le applicazioni, i dispositivi e l'infrastruttura.
Configurare Microsoft Entra per una maggiore sicurezza: elenco di controllo completo per la configurazione della sicurezza per Microsoft Entra ID. È organizzato in base a temi Zero Trust, tra cui protezione delle identità, isolamento del tenant, protezione della rete e rilevamento delle minacce.
Piani di distribuzione di Microsoft Entra: piani di distribuzione per le principali funzionalità di Microsoft Entra, tra cui l'autenticazione a più fattori, l'Accesso Condizionale, il provisioning degli utenti, il Single Sign-On senza interruzioni e la reimpostazione self-service della password.
Informazioni sulle fasi della migrazione dell'autenticazione dell'applicazione da AD FS a Microsoft Entra ID: indicazioni sulla pianificazione e sull'implementazione di una migrazione in più fasi dell'autenticazione dell'applicazione da AD FS a Microsoft Entra ID.
Pianificare la migrazione delle applicazioni a Microsoft Entra ID: panoramica del processo di migrazione in quattro fasi per lo spostamento dell'autenticazione dell'applicazione da AD FS a Microsoft Entra ID, inclusa la pianificazione del progetto e la comunicazione degli stakeholder.
Risorse per la migrazione di applicazioni a Microsoft Entra ID: raccolta di risorse, inclusi playbook di migrazione, script di idoneità e piani di distribuzione, per facilitare la migrazione dell'accesso e dell'autenticazione delle applicazioni a Microsoft Entra ID.
Rimanere aggiornati sull'identità digitale
Azure i servizi di gestione delle identità si evolvono per affrontare le sfide moderne dei dati. Rimanere informati sugli aggiornamenti e sulle funzionalità più recenti.
Per rimanere aggiornati sui servizi di identità chiave, vedere gli articoli seguenti:
Novità e annunci di Microsoft Entra: Resta aggiornato sugli sviluppi recenti nell’intera famiglia di prodotti Microsoft Entra, incluse nuove funzionalità, annunci relativi alle modifiche pianificate e deprecazioni.
Azure aggiornamenti: roadmap che mostra le nuove funzionalità, gli aggiornamenti e gli annunci principali per i servizi di gestione delle identità Azure.
Altre risorse
Le risorse seguenti consentono di ottenere altre informazioni sui servizi di gestione delle identità Azure.
Microsoft Entra ID in ambienti didattici
Queste risorse forniscono indicazioni per la progettazione e la distribuzione di Microsoft Entra ID negli istituti di istruzione. Riguardano l'architettura del tenant, il governo delle identità e la gestione delle credenziali per studenti e docenti.
Introduzione ai tenant di Microsoft Entra: informazioni sui tenant Microsoft Entra in ambienti didattici, tra cui la creazione di tenant, i limiti di sicurezza delle identità, gli oggetti directory e l'amministrazione.
Progettare un'architettura multi-tenant per istituti di grandi dimensioni: principi di progettazione e linee guida per organizzazioni didattiche con più di 1 milione di utenti e necessitano di un'architettura multi-tenant Microsoft Entra.
Progettare la configurazione del tenant: configurare i criteri di sicurezza e accesso tra Microsoft Entra tenant, tra cui identità esterne, accesso condizionale, gestione dei dispositivi e opzioni self-service.
Progettare strategie di autenticazione e gestione delle credenziali: metodi di autenticazione e gestione delle credenziali per istituzioni educative, tra cui l'autenticazione senza password, la reimpostazione self-service della password (SSPR) e l'autenticazione a più fattori per studenti e docenti.
Progettare una strategia per gli account: pianificare strategie di creazione degli account solo cloud e ibride per grandi istituti di istruzione, incluso il provisioning tramite Microsoft Entra Connect e School sincronizzazione dati.
Progettare la governance delle identità: gestione del ciclo di vita delle identità, gestione dei diritti di accesso, revisioni degli accessi e Privileged Identity Management per le organizzazioni educative.
Guida alla soluzione Microsoft Education: Linee guida per la distribuzione per Microsoft 365 Education. Include la configurazione, l'identità, le applicazioni, la sicurezza e la gestione dei dispositivi dei tenant nei livelli di licenza A1, A3 e A5.
Amazon Web Services (AWS) o i professionisti di Google Cloud
Per iniziare rapidamente, gli articoli seguenti confrontano Azure opzioni di identità con altri servizi cloud e forniscono indicazioni sulla migrazione:
Confronto tra i servizi
Confrontare AWS e Azure soluzioni di gestione delle identità: un confronto completo tra AWS e Azure servizi di gestione delle identità, tra cui l'identità principale, l'autenticazione e il controllo di accesso, la governance delle identità, la gestione degli accessi con privilegi, l'identità ibrida e l'autenticazione delle applicazioni.
Microsoft Entra gestione delle identità e degli accessi per AWS: indicazioni dettagliate per la distribuzione di soluzioni di identità e accesso Microsoft Entra per AWS, tra cui integrazione SSO, mapping dei ruoli, accesso condizionale e Privileged Identity Management.
Confronto tra Google Cloud e servizi di Azure: sicurezza e identità: confronto tra Google Cloud e servizi di sicurezza e identità Azure, tra cui autenticazione, autorizzazione, crittografia e rilevamento delle minacce.
Indicazioni sulla migrazione
Se si esegue la migrazione da un'altra piattaforma cloud, vedere gli articoli seguenti:
Eseguire la migrazione dei servizi di sicurezza da AWS a Azure: linee guida per la migrazione dei servizi di sicurezza AWS a Azure, inclusa la migrazione SIEM a Microsoft Sentinel e la migrazione delle identità dei clienti a Microsoft Entra per ID esterno.
Pianificare la migrazione del carico di lavoro da AWS a Azure: include indicazioni sulla pianificazione della gestione delle identità durante la migrazione, tra cui il mapping dei ruoli IAM di AWS ai ruoli Microsoft Entra ID, alle identità gestite e alle entità servizio.