Procedure consigliate per i ruoli di Microsoft Entra

Questo articolo descrive alcune delle procedure consigliate per l'uso del controllo degli accessi in base al ruolo di Microsoft Entra .This article describes some of the best practices for using Microsoft Entra role-based access control (Microsoft Entra RBAC). Queste procedure consigliate derivano dalla nostra esperienza con il controllo degli accessi basato sui ruoli di Microsoft Entra e dalle esperienze di clienti come te. È consigliabile leggere anche le linee guida dettagliate sulla sicurezza in Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.

1. Applicare il principio dei privilegi minimi

Quando si pianifica la strategia di controllo degli accessi, è consigliabile concedere il privilegio minimo. Concedere il privilegio minimo significa concedere agli amministratori esclusivamente l'autorizzazione necessaria per eseguire il proprio lavoro. Quando si assegna un ruolo agli amministratori è necessario considerare tre aspetti: un set specifico di autorizzazioni, in un ambito specifico, per un periodo di tempo specifico. Evitare di assegnare ruoli più ampi in ambiti più ampi anche se inizialmente sembra più pratico. Limitando ruoli e ambiti, si limitano anche le risorse a rischio in caso di compromissione dell’entità di sicurezza. Microsoft Entra il controllo degli accessi in base al ruolo (RBAC) supporta più di 65 ruoli predefiniti. Sono disponibili ruoli di Microsoft Entra per gestire oggetti directory come utenti, gruppi e applicazioni e anche per gestire servizi di Microsoft 365 come Exchange, SharePoint e Intune. Per comprendere meglio i ruoli predefiniti di Microsoft Entra, vedere Informazioni sui ruoli in Microsoft Entra ID. Se non esiste un ruolo predefinito che soddisfi le esigenze, è possibile creare ruoli personalizzati.

Trovare i ruoli appropriati

Seguire questa procedura per trovare il ruolo giusto.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra.

  2. Navigare a Entra ID>Ruoli e amministratori>Tutti i ruoli.

  3. Usare il filtro Servizio per restringere l'elenco dei ruoli.

    Pagina degli Ruoli e degli Amministratori nell'interfaccia di amministrazione con filtro del Servizio aperto.

  4. Fare riferimento alla documentazione dei ruoli predefiniti di Microsoft Entra . Le autorizzazioni associate a ogni ruolo vengono elencate insieme per migliorare la leggibilità. Per comprendere la struttura e il significato delle autorizzazioni dei ruoli, vedere Come comprendere le autorizzazioni dei ruoli.

  5. Fare riferimento alla documentazione relativa al ruolo con privilegi minimi assegnati per attività.

2. Usare Privileged Identity Management per concedere l'accesso just-in-time

Uno dei principi dei privilegi minimi è che l'accesso deve essere concesso solo quando necessario. Microsoft Entra Privileged Identity Management (PIM) consente di concedere l'accesso just-in-time agli amministratori. Microsoft consiglia di usare PIM in Microsoft Entra ID. Usando PIM, un utente può essere reso idoneo per un ruolo Microsoft Entra in cui può quindi attivare il ruolo per un periodo di tempo limitato quando necessario. L'accesso con privilegi viene rimosso automaticamente al termine dell'intervallo di tempo. È anche possibile configurare le impostazioni di PIM per richiedere l'approvazione, ricevere messaggi di posta elettronica di notifica quando un utente attiva l'assegnazione di ruolo o altre impostazioni del ruolo. Con le notifiche si riceve un avviso quando vengono aggiunti nuovi utenti a ruoli con privilegi elevati. Per altre informazioni, vedere Configurare le impostazioni dei ruoli di Microsoft Entra in Privileged Identity Management.

3. Attivare l'autenticazione a più fattori per tutti gli account amministratore

In base ai nostri studi, l'account è 99,9% meno probabile che venga compromesso se si usa l'autenticazione a più fattori (MFA).

È possibile abilitare l'autenticazione a più fattori nei ruoli di Microsoft Entra usando due metodi:

4. Configurare le verifiche di accesso ricorrenti per revocare le autorizzazioni non necessarie nel tempo

Le verifiche di accesso consentono alle organizzazioni di esaminare regolarmente l'accesso degli amministratori per assicurarsi che solo le persone autorizzate abbiano accesso continuo. Il controllo regolare degli amministratori è fondamentale per i motivi seguenti:

  • Un soggetto malintenzionato può compromettere un account.
  • Le persone spostano i team all'interno di un'azienda. Senza un controllo, possono accumulare accessi non necessari nel tempo.

Microsoft consiglia di usare le verifiche di accesso per trovare e rimuovere le assegnazioni di ruolo non più necessarie. Ciò consente di ridurre il rischio di accesso non autorizzato o eccessivo e di mantenere gli standard di conformità.

Per informazioni sulle verifiche di accesso per i ruoli, vedere Creare una verifica di accesso delle risorse di Azure e dei ruoli di Microsoft Entra in PIM. Per informazioni sulle verifiche di accesso dei gruppi assegnati, vedere Creare una verifica di accesso di gruppi e applicazioni in Microsoft Entra ID.

5. Limitare il numero di amministratori globali a meno di 5

Come procedura consigliata, Microsoft consiglia di assegnare il ruolo di amministratore globale a meno di cinque persone nell'organizzazione. Gli amministratori globali hanno essenzialmente accesso senza restrizioni ed è opportuno mantenere bassa la superficie di attacco. Come indicato in precedenza, tutti questi account devono essere protetti con l'autenticazione a più fattori.

Se si dispone di 5 o più assegnazioni di ruolo amministratore globale con privilegi, viene visualizzata una scheda di avviso Amministratori globali nella pagina Panoramica di Microsoft Entra per monitorare le assegnazioni di ruolo amministratore globale.

Screenshot della pagina di Panoramica di Microsoft Entra che mostra una scheda con il numero di assegnazioni di ruoli privilegiati.

Per impostazione predefinita, quando un utente effettua l'iscrizione a un servizio cloud Microsoft, viene creato un tenant di Microsoft Entra e all'utente viene assegnato il ruolo Amministratore globale. Gli utenti a cui è assegnato il ruolo di amministratore globale possono leggere e modificare quasi tutte le impostazioni amministrative nell'organizzazione Microsoft Entra. Con alcune eccezioni, gli amministratori globali possono anche leggere e modificare tutte le impostazioni di configurazione nell'organizzazione di Microsoft 365. Gli amministratori globali hanno anche la possibilità di elevare il livello di accesso per leggere i dati.

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo di amministratore globale . Si tratta di account con privilegi elevati non assegnati a utenti specifici. Gli account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo le raccomandazioni relative all'account di accesso di emergenza.

6. Limitare il numero di assegnazioni di ruolo con privilegi a meno di 10

Alcuni ruoli includono autorizzazioni con privilegi, ad esempio la possibilità di aggiornare le credenziali. Poiché questi ruoli possono potenzialmente portare all'elevazione dei privilegi, è consigliabile limitare l'uso di queste assegnazioni di ruolo con privilegi a meno di 10 nell'organizzazione. Se si superano 10 assegnazioni di ruolo con privilegi, nella pagina Ruoli e amministratori viene visualizzato un avviso.

Screenshot della pagina Ruoli e amministratori di Microsoft Entra che mostra l'avviso delle assegnazioni di ruolo con privilegi.

È possibile identificare ruoli, autorizzazioni e assegnazioni di ruolo con privilegi cercando l'etichetta PRIVILEGED . Per altre informazioni, vedere Ruoli e autorizzazioni con privilegi in Microsoft Entra ID.

7. Utilizzare i gruppi per le assegnazioni di ruolo di Microsoft Entra e delegare l'assegnazione di ruolo

Se si dispone di un sistema di governance esterno che sfrutta i gruppi, è consigliabile assegnare ruoli ai gruppi di Microsoft Entra, anziché ai singoli utenti. È anche possibile gestire i gruppi a cui è possibile assegnare ruoli in PIM per assicurarsi che non siano presenti proprietari o membri permanenti in questi gruppi con privilegi. Per altre informazioni, vedere Privileged Identity Management (PIM) per i gruppi.

È possibile assegnare un proprietario a gruppi a cui poter assegnare ruoli. Il proprietario decide chi viene aggiunto o rimosso dal gruppo e in questo modo decide indirettamente chi ottiene l'assegnazione di ruolo. In questo modo, un amministratore del ruolo con privilegi può delegare la gestione dei ruoli in base al ruolo usando i gruppi. Per altre informazioni, vedere Usare i gruppi di Entra di Microsoft per gestire le assegnazioni di ruolo.

8. Attivare più ruoli contemporaneamente usando PIM per i gruppi

È possibile che un individuo disponga di cinque o sei assegnazioni idonee ai ruoli di Microsoft Entra tramite PIM. L'utente dovrà attivare ogni ruolo singolarmente, operazione che può ridurre la produttività. Peggio ancora, può avere anche decine o centinaia di risorse di Azure assegnate, elemento che aggrava il problema.

In questo caso, è consigliabile usare Privileged Identity Management (PIM) per i gruppi. Creare un PIM per i gruppi e concedergli l'accesso permanente a più ruoli (MICROSOFT Entra ID e/o Azure). Rendere quell'utente un membro o un proprietario idoneo di questo gruppo. Con un'unica attivazione, potrà avere accesso a tutte le risorse collegate.

Diagramma pim per gruppi che mostra l'attivazione di più ruoli contemporaneamente

9. Usare gli account nativi del cloud per i ruoli di Microsoft Entra

Evitare di usare account sincronizzati locali per le assegnazioni di ruolo Microsoft Entra. Se l'account locale è compromesso, può compromettere anche le risorse di Microsoft Entra.

10. Usare controlli a più livelli per la governance degli accessi con granularità fine

Microsoft Entra ID offre diverse funzionalità complementari che interagiscono per applicare l'accesso con privilegi minimi a un livello granulare. Nessuna singola funzionalità riguarda ogni scenario di autorizzazione, quindi combinare questi controlli nei livelli in base ai requisiti dell'organizzazione:

Controllo Funzionamento Quando usarlo
Unità amministrative Definire l'ambito delle assegnazioni di ruolo a un subset specifico di utenti, gruppi o dispositivi. Delegare l'amministrazione agli amministratori regionali o di reparto senza concedere autorizzazioni estese all'intero tenant.
Ruoli personalizzati Definisci i ruoli con i soli permessi necessari a una mansione. I ruoli predefiniti sono troppo ampi o troppo stretti per una responsabilità specifica.
Privileged Identity Management (PIM) Concedi l'attivazione dei ruoli temporanea, puntuale e basata sull'approvazione. Eliminare l'accesso con privilegi permanenti per gli utenti con ruoli con privilegi, inclusi amministratori e sviluppatori.
Accesso condizionale Valutare i segnali in tempo reale (rischio utente, conformità del dispositivo, posizione, applicazione) per applicare o bloccare l'accesso. Applicare decisioni di accesso basate sul contesto che si adattano alle condizioni di rischio mutevoli.
Gestione dei diritti Aggregare le risorse nei pacchetti di accesso con flussi di lavoro automatizzati di richiesta, approvazione e scadenza. Gestire l'accesso per progetti, team o collaborazione tra organizzazioni su larga scala.
Valutazione dell'accesso continuo (CAE) Rivalutare l'accesso durante una sessione attiva in due scenari: valutazione degli eventi critici (ad esempio disabilitazione dell'account, reimpostazione della password o revoca dei token di amministrazione) e valutazione dei criteri di accesso condizionale (ad esempio modifica del percorso di rete). Applicare le modifiche ai criteri quasi in tempo reale anziché attendere la scadenza del token.
Attributi di sicurezza personalizzati con il controllo degli accessi basato su attributi (ABAC) di Azure Contrassegna gli utenti e le entità servizio con attributi aziendali, quindi limita l'accesso alle risorse di Azure supportate (attualmente le azioni sui dati di Archiviazione BLOB di Azure e archiviazione code di Azure) tramite una condizione sugli attributi in un'assegnazione di ruolo. Sostituire un numero elevato di assegnazioni di ruolo esplicite con una singola assegnazione condizionale dell'attributo e classificare centinaia di app per l'inventario e la creazione di report.

Esempio di approccio a più livelli: Assegnare un ruolo personalizzato con ambito a un'unità amministrativa in modo che un amministratore del supporto tecnico regionale possa reimpostare solo le password per gli utenti nella propria area geografica. Richiedere l'attivazione di PIM in modo che il ruolo sia associato al tempo e basato sull'approvazione. Applicare un criterio di accesso condizionale che richiede un dispositivo conforme e l'autenticazione a più fattori quando l'amministratore attiva il ruolo. Usa le revisioni di accesso nella gestione dei diritti per verificare periodicamente che l'amministratore abbia ancora bisogno dell'assegnazione.

Note

La disponibilità dei controlli nella tabella precedente dipende dal livello di licenza Microsoft Entra. Ad esempio, i ruoli personalizzati e l'accesso condizionale richiedono Microsoft Entra ID P1 e le unità amministrative richiedono Microsoft Entra ID P1 per gli amministratori con ambito di un'unità amministrativa (la creazione e l'appartenenza di base sono disponibili con Microsoft Entra ID Gratuito). Privileged Identity Management richiede Microsoft Entra ID P2 o Microsoft Entra ID Governance, mentre la gestione entitlement e le verifiche di accesso richiedono Microsoft Entra ID Governance o Famiglia di prodotti Microsoft Entra (alcune funzionalità funzionano con Microsoft Entra ID P2). La valutazione degli eventi critici della valutazione dell'accesso continuo è disponibile in tutti i tenant; La parte di valutazione dei criteri di accesso condizionale dipende dall'accesso condizionale, che richiede Microsoft Entra ID P1. Per confrontare gli elementi inclusi in ogni livello, vedere Microsoft Entra piani e prezzi.

Per controllare ciò che questi controlli a più livelli hanno concesso, vedere Informazioni su chi può accedere a cosa.

Per altre informazioni sulla progettazione di una strategia di accesso con privilegi minimi, vedere Securing privileged access for hybrid and cloud deployments in Microsoft Entra ID.

Passaggi successivi