Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo spiega come comprendere il controllo degli accessi basato sui ruoli di Microsoft Entra. I ruoli di Microsoft Entra consentono di concedere autorizzazioni granulari agli amministratori, rispettando il principio dei privilegi minimi. I ruoli predefiniti e personalizzati di Microsoft Entra operano su concetti simili a quelli che si trovano nel il sistema di controllo degli accessi in base al ruolo per le risorse di Azure (ruoli di Azure). La differenza tra questi due sistemi di controllo degli accessi in base al ruolo è:
- I ruoli di Microsoft Entra controllano l'accesso alle risorse di Microsoft Entra, ad esempio utenti, gruppi e applicazioni tramite l'API Microsoft Graph
- I ruoli di Azure controllano l'accesso alle risorse di Azure, ad esempio macchine virtuali o archiviazione con Gestione risorse di Azure
Entrambi i sistemi contengono definizioni di ruolo e assegnazioni di ruolo usate in modo analogo. Tuttavia, le autorizzazioni del ruolo Microsoft Entra non possono essere usate nei ruoli personalizzati di Azure e viceversa.
Comprendere il controllo degli accessi basato sui ruoli di Microsoft Entra
Microsoft Entra ID supporta due tipi di definizioni di ruoli:
I ruoli integrati sono ruoli predefiniti con un set fisso di autorizzazioni. Queste definizioni di ruolo non possono essere modificate. Esistono molti ruoli predefiniti supportati da Microsoft Entra ID e l'elenco è in crescita. Per affinare i dettagli e soddisfare i requisiti sofisticati, Microsoft Entra ID supporta anche ruoli personalizzati. La concessione dell'autorizzazione tramite ruoli Microsoft Entra personalizzati è un processo in due passaggi che prevede la creazione di una definizione di ruolo personalizzata e quindi l'assegnazione tramite un'assegnazione di ruolo. Una definizione di ruolo personalizzata è una raccolta di autorizzazioni aggiunte da un elenco preimpostato. Queste autorizzazioni sono le stesse autorizzazioni usate nei ruoli predefiniti.
Dopo aver creato la definizione di ruolo personalizzata (o usando un ruolo predefinito), è possibile assegnarla a un utente creando un'assegnazione di ruolo. Un'assegnazione di ruolo concede all'utente le autorizzazioni in una definizione di ruolo in un ambito specificato. Questo processo in due passaggi consente di creare una singola definizione di ruolo e assegnarla più volte in ambiti diversi. Un ambito definisce il set di risorse di Microsoft Entra a cui il membro del ruolo ha accesso. L'ambito più comune è a livello di organizzazione. È possibile assegnare un ruolo personalizzato a livello di intera organizzazione, il che significa che il membro del ruolo ha le autorizzazioni del ruolo su tutte le risorse dell'organizzazione. È anche possibile assegnare un ruolo personalizzato in un ambito di oggetto. Un esempio di ambito di un oggetto è una singola applicazione. Lo stesso ruolo può essere assegnato a un utente per tutte le applicazioni dell'organizzazione e poi a un altro utente con l'ambito limitato solo all'app Contoso Expense Reports.
Come Microsoft Entra ID determina se un utente ha accesso a una risorsa
Di seguito sono riportati i passaggi generali usati da Microsoft Entra ID per determinare se si ha accesso a una risorsa di gestione. Usare queste informazioni per risolvere i problemi di accesso.
- Un utente (o un principale di servizio) acquisisce un token per l'accesso all'endpoint di Microsoft Graph.
- L'utente effettua una chiamata API all'ID Microsoft Entra tramite Microsoft Graph usando il token rilasciato.
- A seconda delle circostanze, Microsoft Entra ID esegue una delle azioni seguenti:
- Valuta le appartenenze ai ruoli dell'utente in base all'attestazione wids claim nel token di accesso dell'utente.
- Recupera tutte le assegnazioni di ruolo che si applicano all'utente, direttamente o tramite appartenenza al gruppo, alla risorsa in cui viene eseguita l'azione.
- Microsoft Entra ID determina se l'azione nella chiamata API è inclusa nei ruoli che l'utente ha per questa risorsa.
- Se l'utente non ha un ruolo con l'azione nell'ambito richiesto, l'accesso non viene concesso. In caso contrario, viene concesso l'accesso.
Assegnazione di ruolo
Un'assegnazione di ruolo è una risorsa di Microsoft Entra che collega una definizione di ruolo a un'entità di sicurezza in un determinato ambito per concedere l'accesso alle risorse di Microsoft Entra. L'accesso viene concesso creando un'assegnazione di ruolo e l'accesso viene revocato rimuovendo un'assegnazione di ruolo. Al suo interno, un'assegnazione di ruolo è costituita da tre elementi:
- Entità di sicurezza: identità che riceve le autorizzazioni. Può trattarsi di un utente, un gruppo o un'entità servizio.
- Definizione del ruolo: raccolta di autorizzazioni.
- Ambito: un modo per vincolare la posizione in cui tali autorizzazioni sono applicabili.
È possibile creare assegnazioni di ruolo e elencare le assegnazioni di ruolo usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShello l'API Microsoft Graph. La CLI di Azure non è supportata per l'assegnazione dei ruoli di Microsoft Entra.
Il diagramma seguente mostra un esempio di assegnazione di ruolo. In questo esempio, a Chris è stato assegnato il ruolo personalizzato di Amministratore della registrazione delle app nel contesto della registrazione dell'app Contoso Widget Builder. L'assegnazione concede a Chris le autorizzazioni del ruolo di Amministratore della registrazione app solo per questa specifica registrazione.
Entità di sicurezza
Un'entità di sicurezza rappresenta un utente, un gruppo o un ente servizio che ha accesso alle risorse di Microsoft Entra. Un utente è un utente che ha un profilo utente in Microsoft Entra ID. Un gruppo è un nuovo gruppo Microsoft 365 o di sicurezza impostato come gruppo assegnabile al ruolo . Un'entità servizio è un'identità creata per l'uso con applicazioni, servizi ospitati e strumenti automatizzati per accedere alle risorse di Microsoft Entra.
Definizione del ruolo
Una definizione di ruolo, o ruolo, è una raccolta di permessi. Una definizione di ruolo elenca le operazioni che possono essere eseguite sulle risorse di Microsoft Entra, ad esempio creare, leggere, aggiornare ed eliminare. Esistono due tipi di ruoli in Microsoft Entra ID:
- Ruoli predefiniti creati da Microsoft che non possono essere modificati.
- Ruoli personalizzati creati e gestiti dall'organizzazione.
Ambito
Un ambito è un modo per limitare le azioni consentite a un determinato set di risorse come parte di un'assegnazione di ruolo. Ad esempio, se si vuole assegnare un ruolo personalizzato a uno sviluppatore, ma solo per gestire una registrazione specifica dell'applicazione, è possibile includere la registrazione dell'applicazione specifica come ambito nell'assegnazione di ruolo.
Quando si assegna un ruolo, specificare uno dei tipi di ambito seguenti:
- Inquilino
- L'unità amministrativa
- Risorsa Microsoft Entra
Se si specifica una risorsa Microsoft Entra come ambito, può essere una delle seguenti:
- Gruppi di Microsoft Entra
- Applicazioni aziendali
- Registrazioni dell'applicazione
Quando un ruolo viene assegnato nel contesto di un contenitore, come un Tenant o un'unità amministrativa, concede le autorizzazioni sugli oggetti che vi sono contenuti ma non sul contenitore stesso. Al contrario, quando un ruolo viene assegnato a un ambito di risorsa, concede le autorizzazioni sulla risorsa stessa, ma non si estende oltre (in particolare, non si estende ai membri di un gruppo Microsoft Entra).
Per ulteriori informazioni, consultare Assegnare ruoli di Microsoft Entra.
Opzioni di assegnazione dei ruoli
Microsoft Entra ID offre più opzioni per l'assegnazione dei ruoli:
- È possibile assegnare ruoli direttamente agli utenti, ovvero il modo predefinito per assegnare i ruoli. I ruoli predefiniti e personalizzati di Microsoft Entra possono essere assegnati agli utenti, in base ai requisiti di accesso. Per ulteriori informazioni, consultare Assegnare ruoli di Microsoft Entra.
- Con Microsoft Entra ID P1, è possibile creare gruppi assegnabili a ruoli e assegnare ruoli a questi gruppi. L'assegnazione di ruoli a un gruppo anziché a singoli utenti consente di aggiungere o rimuovere facilmente gli utenti da un ruolo e di creare autorizzazioni coerenti per tutti i membri del gruppo. Per ulteriori informazioni, consultare Assegnare ruoli di Microsoft Entra.
- Con Microsoft Entra ID P2, è possibile usare Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) per fornire l'accesso just-in-time ai ruoli. Questa funzionalità consente di concedere l'accesso limitato al tempo a un ruolo agli utenti che lo richiedono, anziché concedere l'accesso permanente. Offre anche funzionalità dettagliate di creazione di report e controllo. Per ulteriori informazioni, vedere Assegnare ruoli Microsoft Entra in Privileged Identity Management.
Capire chi può accedere a cosa
Elencare le assegnazioni di ruolo fa parte della risposta alla domanda più ampia: "chi ha accesso a cosa nell'organizzazione?" Microsoft Entra ID fornisce diversi strumenti che, se usati insieme, offrono visibilità sull'accesso all'interno del tenant.
- Assegnazioni di ruoli. Usa le procedure in Elencare le assegnazioni di ruolo di Microsoft Entra per elencare chi detiene ruoli di Microsoft Entra a livello di tenant, applicazione o unità amministrativa. È possibile scaricare le assegnazioni di ruolo come file CSV per l'analisi offline oppure eseguire query a livello di codice con l'List unifiedRoleAssignments Microsoft API Graph.
- Assegnazioni di ruolo dell'app e concessioni di consenso. Usare Assegnare utenti e gruppi a un'applicazione per vedere quali utenti e gruppi possono accedere a una determinata applicazione aziendale. Usare le autorizzazioni di revisione concesse alle applicazioni per controllare le autorizzazioni delegate e dell'applicazione a cui gli utenti o gli amministratori hanno acconsentito.
- Attributi di sicurezza personalizzati. Usare attributi di sicurezza personalizzati per contrassegnare gli utenti e le entità servizio con attributi specifici dell'azienda definiti per il tenant. È quindi possibile filtrare ed eseguire query sulla directory in base all'attributo per creare una visualizzazione degli attributi business dell'accesso che integra le query basate sui ruoli.
- Verifiche di accesso. Usare le verifiche di accesso per verificare periodicamente che gli utenti debbano ancora avere le appartenenze ai gruppi e le assegnazioni correnti alle applicazioni aziendali. Usa le verifiche di accesso di Privileged Identity Management (PIM) per rivedere gli utenti e le entità servizio assegnati ai ruoli di Microsoft Entra o delle risorse di Azure. I revisori approvano o negano l'accesso continuo per ogni utente. Le verifiche di accesso richiedono Microsoft Entra ID Governance o Famiglia di prodotti Microsoft Entra; alcune funzionalità funzionano con Microsoft Entra ID P2. Per informazioni dettagliate, vedere Requisiti di licenza. La revisione delle entità servizio tramite PIM richiede inoltre ID dei carichi di lavoro di Microsoft Entra Premium.
- Gestione delle autorizzazioni. Usare la gestione delle assegnazioni per vedere quali utenti hanno ricevuto l'accesso tramite pacchetti di accesso. I pacchetti di accesso sono organizzati in cataloghi, ovvero contenitori di risorse correlate e pacchetti di accesso che è possibile usare per delegare e gestire l'accesso. La gestione dei diritti richiede Microsoft Entra ID Governance o Famiglia di prodotti Microsoft Entra; alcune funzionalità sono disponibili con Microsoft Entra ID P2. Per informazioni dettagliate, vedere Requisiti di licenza.
- Log di accesso e controllo. Usare i log di accesso per vedere chi ha eseguito attivamente l'accesso alle risorse e in quali condizioni. Usare i log di controllo per tenere traccia delle modifiche apportate alle assegnazioni di ruolo, alle appartenenze ai gruppi e ad altri oggetti directory nel tempo. I log di controllo registrano le modifiche alla configurazione, mentre i log di accesso registrano gli eventi di accesso, insieme consentono di distinguere tra l'accesso concesso e l'accesso esercitato. Per una tracciabilità più dettagliata delle chiamate all’API di Microsoft Graph, vedi log attività di Microsoft Graph.
Tip
Per i tenant di grandi dimensioni, inviare i log a un'area di lavoro Log Analytics in modo da poter eseguire query e analizzare i modelli di accesso tra migliaia di utenti e ruoli.
Governare l'accesso per le identità dei carichi di lavoro
Una strategia completa di autorizzazione su larga scala deve coprire le identità del carico di lavoro, ovvero applicazioni, entità servizio e identità gestite, non solo gli utenti. Microsoft Entra supporta diversi metodi per stabilire le identità dei computer, ognuna adatta a uno scenario diverso:
- Registrazione dell'app. Registra un oggetto applicazione per creare un'entità servizio che si autentica con un segreto del client, un certificato o una credenziale federata. Uso per le applicazioni tradizionali e le integrazioni della piattaforma.
- Identità gestite. Usare le identità gestite assegnate dal sistema o assegnate dall'utente per i carichi di lavoro in esecuzione in Azure. Azure gestisce automaticamente le credenziali, quindi non vengono archiviati segreti nel codice o nella configurazione.
- Federazione dell'identità del carico di lavoro. Configura una relazione di trust tra Microsoft Entra e un provider di identità esterno in modo che i workload esterni ad Azure, o i workload in Azure che si autenticano come registrazioni di app, possano accedere alle risorse protette di Microsoft Entra senza dover archiviare segreti.
- Credenziali di identità federate flessibili (anteprima). Estendi il modello senza segreti per le registrazioni di app agli scenari che richiedono la corrispondenza basata su caratteri jolly o su claims con i token emessi da GitHub, GitLab o Terraform Cloud.
Gestire queste identità su larga scala con gli stessi controlli a più livelli applicati agli utenti:
- Applicare l'accesso condizionale per le identità del carico di lavoro per limitare dove e quando un'entità servizio può eseguire l'autenticazione. Questa funzionalità richiede licenze Premium per Workload Identities e si applica solo alle entità servizio a tenant singolo registrate nel tuo tenant; le identità gestite e le app SaaS multi-tenant o di terze parti non rientrano nell'ambito di applicazione.
- Eseguire revisioni di accesso di gruppi e applicazioni per verificare che gli utenti assegnati a tali risorse necessitino ancora dell'accesso e usare revisioni di accesso di PIM per esaminare le entità servizio assegnate ai ruoli di Microsoft Entra e ai ruoli delle risorse di Azure. Le revisioni di gruppi e applicazioni richiedono Microsoft Entra ID Governance o Famiglia di prodotti Microsoft Entra (alcune funzionalità sono disponibili con Microsoft Entra ID P2). Per informazioni dettagliate, vedere requisiti Licenza. Le verifiche delle entità servizio richiedono inoltre ID dei carichi di lavoro di Microsoft Entra Premium.
- Assegna tag alle entità servizio delle applicazioni registrate con attributi di sicurezza personalizzati in modo da poter creare un inventario filtrabile e basare le decisioni di Azure ABAC sugli attributi aziendali.
- Abilitare il blocco delle proprietà dell'istanza dell'app nelle app multi-tenant per impedire modifiche non autorizzate delle proprietà sensibili nell'entità servizio dopo il provisioning dell'app in un altro tenant.
Requisiti di licenza
L'uso dei ruoli predefiniti in Microsoft Entra ID è gratuito. L'uso di ruoli personalizzati richiede una licenza Microsoft Entra ID P1 per ogni utente con un'assegnazione di ruolo personalizzata. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità generalmente disponibili delle edizioni Gratuita e Premium.