Informazioni sui tipi di gruppo, i tipi di appartenenza e la gestione degli accessi

Microsoft Entra ID offre diversi modi per gestire l'accesso alle risorse, alle applicazioni e alle attività. Con i gruppi di Microsoft Entra è possibile concedere l'accesso e le autorizzazioni a un gruppo di utenti anziché a ogni singolo utente. La limitazione dell'accesso alle risorse di Microsoft Entra ai soli utenti che ne hanno bisogno è uno dei principi di sicurezza fondamentali di Zero Trust.

Questo articolo offre una panoramica del modo in cui i gruppi e i diritti di accesso possono essere usati insieme per semplificare la gestione degli utenti di Microsoft Entra, applicando al contempo le procedure consigliate per la sicurezza.

Panoramica dei gruppi di Microsoft Entra

Un uso efficace dei gruppi può ridurre le attività manuali, ad esempio l'assegnazione di ruoli e autorizzazioni ai singoli utenti. È possibile assegnare ruoli a un gruppo e assegnare membri a un gruppo in base alla funzione o al reparto. È possibile creare criteri di accesso condizionale applicabili a un gruppo e quindi assegnare i criteri al gruppo. A causa dei potenziali usi per i gruppi, è importante comprendere come funzionano e come vengono gestiti.

Tipi di gruppi

È possibile gestire due tipi di gruppi nell'interfaccia di amministrazione di Microsoft Entra:

• Gruppi di sicurezza: usato per gestire l'accesso alle risorse condivise.

  • I membri di un gruppo di sicurezza possono includere utenti, dispositivi entità servizio.
  • I gruppi possono essere membri di altri gruppi, talvolta noti come gruppi annidati. Vedere la nota.
  • Gli utenti e le entità servizio possono essere proprietari di un gruppo di sicurezza.

• gruppi di Microsoft 365: Offrire opportunità di collaborazione.

  • I membri di un gruppo di Microsoft 365 possono includere solo gli utenti.
  • Gli utenti e le entità servizio possono essere proprietari di un gruppo di Microsoft 365.
  • Gli utenti esterni all'organizzazione possono essere membri di un gruppo.
  • Per altre informazioni, vedere Informazioni su Gruppi di Microsoft 365.

Tipi di appartenenza

• Gruppi assegnati: consente di aggiungere utenti specifici come membri di un gruppo e di disporre di autorizzazioni univoche.
• gruppo di appartenenze dinamiche per gli utenti: consente di usare le regole per aggiungere e rimuovere automaticamente gli utenti come membri. Se gli attributi di un membro cambiano, il sistema esamina le regole per i gruppi di appartenenza dinamica relative alla directory. Il sistema verifica se il membro soddisfa i requisiti delle regole (viene aggiunto) o se non soddisfa più tali requisiti (viene rimosso).
• gruppo di appartenenze dinamiche per i dispositivi: consente di usare le regole per aggiungere e rimuovere automaticamente i dispositivi come membri. Se gli attributi di un dispositivo cambiano, il sistema esamina le regole per i gruppi di appartenenza dinamica relative alla directory per verificare se il dispositivo soddisfa i requisiti delle regole (viene aggiunto) o se non soddisfa più tali requisiti (viene rimosso).

Gestione degli accessi

Microsoft Entra ID consente di concedere l'accesso alle risorse dell'organizzazione fornendo diritti di accesso a un singolo utente o a un gruppo. L'uso dei gruppi consente al proprietario della risorsa o al proprietario della directory Microsoft Entra di assegnare un set di autorizzazioni di accesso a tutti i membri del gruppo. Il proprietario della risorsa o della directory può anche concedere diritti di gestione dei gruppi a un utente, ad esempio un responsabile del reparto o un amministratore dell'help desk, che consente a tale persona di aggiungere e rimuovere membri. Per altre informazioni su come gestire i proprietari dei gruppi, consultare l'articolo Gestire i gruppi.

Le risorse a cui i gruppi di Microsoft Entra possono gestire l'accesso possono essere:

• Parte dell'organizzazione Microsoft Entra, ad esempio le autorizzazioni per gestire utenti, applicazioni, fatturazione e altri oggetti.
• Esterna all'organizzazione, ad esempio app SaaS (Software as a Service) non Microsoft.
• Servizi di Azure
• Siti di SharePoint
• Risorse locali

Ogni applicazione, risorsa e servizio che richiede autorizzazioni di accesso deve essere gestita separatamente perché le autorizzazioni per uno potrebbero non essere uguali a un'altra. Concedere l'accesso usando il principio del privilegio minimo per ridurre il rischio di attacchi o violazioni della sicurezza.

Tipi di assegnazione

Dopo aver creato un gruppo, è necessario decidere come gestire l'accesso.

• Assegnazione diretta. Il proprietario della risorsa assegna direttamente l'utente alla risorsa.

• Assegnazione di gruppi. Il proprietario della risorsa assegna un gruppo Microsoft Entra alla risorsa, che concede automaticamente a tutti i membri del gruppo l'accesso alla risorsa. L'appartenenza a gruppi viene gestita sia dal proprietario del gruppo che dal proprietario della risorsa, consentendo a entrambi i proprietari di aggiungere o rimuovere i membri dal gruppo. Per altre informazioni sulla gestione dell'appartenenza a gruppi, consultare l'articolo Gestire i gruppi.

• Assegnazione basata su regole. Il proprietario della risorsa crea un gruppo e usa una regola per definire quali utenti vengono assegnati a una risorsa specifica. La regola è basata su attributi che vengono assegnati ai singoli utenti. Il proprietario della risorsa gestisce la regola, determinando quali attributi e valori sono necessari per consentire l'accesso alla risorsa. Per altre informazioni, vedere Creare un gruppo dinamico.

• Assegnazione di un'autorità esterna. L'accesso proviene da un'origine esterna, ad esempio una directory locale o un'app SaaS. In questa situazione il proprietario della risorsa assegna a un gruppo il compito di fornire l'accesso alla risorsa e quindi l'origine esterna gestisce i membri del gruppo.

Procedure consigliate per la gestione dei gruppi nel cloud

Di seguito sono riportate le procedure consigliate per la gestione dei gruppi nel cloud:

• Abilitare la gestione dei gruppi self-service: Consentire agli utenti di cercare e partecipare ai gruppi o creare e gestire i propri gruppi di Microsoft 365.
  • Consente ai team di organizzarsi riducendo al contempo il carico amministrativo per l'IT.
  • Applicare un criterio di denominazione dei gruppi per bloccare l'uso di parole limitate e garantire la coerenza.
  • Impedire ai gruppi inattivi di rimanere attivi abilitando i criteri di scadenza dei gruppi, che elimina automaticamente i gruppi inutilizzati dopo un periodo specificato, a meno che non venga rinnovato da un proprietario del gruppo.
  • Configurare i gruppi per accettare automaticamente tutti gli utenti che accedono o richiedono l'approvazione.
  • Per ulteriori informazioni, consultare la sezione sulla configurazione della gestione dei gruppi self-service in Microsoft Entra ID.
• Sfruttare le etichette di riservatezza: Usare le etichette di riservatezza per classificare e gestire i gruppi di Microsoft 365 in base alle esigenze di sicurezza e conformità.
  • Fornisce controlli di accesso con granularità fine e garantisce che le risorse sensibili siano protette.
  • Per altre informazioni, vedere Assegnare etichette di riservatezza ai gruppi di Microsoft 365 in Microsoft Entra ID
• Automatizzare l'appartenenza ai gruppi dinamici: Implementare regole di appartenenza dinamica per aggiungere o rimuovere automaticamente utenti e dispositivi da gruppi in base a attributi come reparto, posizione o posizione.
  • Riduce al minimo gli aggiornamenti manuali e riduce il rischio di accesso persistente.
  • Questa funzionalità si applica ai gruppi di Microsoft 365 e ai gruppi di sicurezza.
• condurre verifiche di accesso periodiche: usare le funzionalità di Microsoft Entra Identity Governance per pianificare verifiche di accesso regolari.
  • Garantisce che l'appartenenza ai gruppi assegnati rimanga accurata e pertinente nel tempo.
  • Per altre informazioni, vedere Creare o aggiornare un gruppo di appartenenze dinamiche in Microsoft Entra ID
• Gestire l'appartenenza ai pacchetti di accesso: Creare pacchetti di accesso con Microsoft Entra Identity Governance per semplificare la gestione di più appartenenze ai gruppi. I pacchetti di accesso possono:
  • Includere flussi di lavoro di approvazione per l'adesione
  • Definire i criteri per la scadenza dell'accesso
  • Fornire un modo centralizzato per concedere, esaminare e revocare l'accesso tra gruppi e applicazioni
  • Per ulteriori informazioni, vedere Creazione di un pacchetto di accesso nella gestione delle autorizzazioni
• Assegnare più proprietari di gruppi: Assegnare almeno due proprietari a un gruppo per garantire la continuità e ridurre le dipendenze da un singolo utente.
  • Per altre informazioni, vedere Gestire i gruppi di Microsoft Entra e l'appartenenza ai gruppi
• Usare licenze basate sui gruppi: Le licenze basate sui gruppi semplificano l'approvvigionamento degli utenti e garantiscono le assegnazioni di licenze coerenti.
  • Usare i gruppi di appartenenze dinamici per gestire automaticamente le licenze per gli utenti che soddisfano criteri specifici.
  • Per altre informazioni, vedere Cosa sono le licenze basate sui gruppi in Microsoft Entra ID?
• Imponi controlli degli accessi in base al ruolo: Assegnare ruoli per controllare chi può gestire i gruppi.
  • Il controllo degli accessi in base al ruolo riduce il rischio di uso improprio dei privilegi e semplifica la gestione dei gruppi.
  • Per altre informazioni, vedere Panoramica del controllo degli accessi in base al ruolo in Microsoft Entra ID

Contenuto correlato

• Creare e gestire i gruppi e l'appartenenza a gruppi di Microsoft Entra
• Gestire l'accesso alle app SaaS con i gruppi
• Gestire le regole per i gruppi di appartenenza dinamica