Creare una verifica di accesso delle risorse di Azure e dei ruoli di Microsoft Entra in PIM

  • Articolo

La necessità di accedere ai ruoli con privilegi delle risorse di Azure e di Microsoft Entra da parte degli utenti cambia nel tempo. Per ridurre il rischio associato ad assegnazioni di ruolo obsolete, è consigliabile verificare regolarmente l'accesso. È possibile usare Microsoft Entra Privileged Identity Management (PIM) per creare verifiche di accesso per l'accesso con privilegi ai ruoli delle risorse di Azure e di Microsoft Entra. È anche possibile configurare verifiche di accesso ricorrenti che vengono eseguite automaticamente. Questo articolo illustra come creare una o più verifiche di accesso.

Prerequisiti

Per usare Privileged Identity Management occorrono le licenze. Per altre informazioni sulle licenze, vedere Nozioni fondamentali sulla gestione delle licenze di Microsoft Entra ID Governance.

Per altre informazioni sulle licenze per PIM, vedere Requisiti di licenza per l'uso di Privileged Identity Management.

Per creare verifiche di accesso per le risorse di Azure, è necessario essere assegnati al ruolo Proprietario o Accesso utenti Amministrazione istrator per le risorse di Azure. Per creare verifiche di accesso per i ruoli di Microsoft Entra, è necessario essere assegnati al Amministrazione istrator globale o al ruolo Amministrazione istrator con privilegi.

L'uso delle verifiche di accesso per le entità servizio richiede un piano ID dei carichi di lavoro di Microsoft Entra Premium oltre a una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance.

  • Licenze Premium delle identità del carico di lavoro: è possibile visualizzare e acquisire licenze nel pannello Identità del carico di lavoro nell'interfaccia di amministrazione di Microsoft Entra.

Nota

Le verifiche di accesso acquisiscono uno snapshot dell'accesso all'inizio di ogni istanza di revisione. Tutte le modifiche apportate durante il processo di revisione verranno riflesse nel ciclo di revisione successivo. Essenzialmente, con l'inizio di ogni nuova ricorrenza, i dati pertinenti relativi agli utenti, alle risorse in fase di revisione e ai rispettivi revisori vengono recuperati.

Creare verifiche di accesso

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come utente assegnato a uno dei ruoli prerequisiti.

  2. Passare a Identity Governance>Privileged Identity Management.

  3. Per i ruoli di Microsoft Entra selezionare Ruoli di Microsoft Entra. Per le risorse di Azure selezionare Risorse di Azure

    Selezionare Identity Governance (Governance delle identità) nello screenshot dell'interfaccia di amministrazione di Microsoft Entra.

  4. Per i ruoli di Microsoft Entra selezionare di nuovo ruoli di Microsoft Entra in Gestisci. Per le risorse di Azure selezionare la sottoscrizione che si vuole gestire.

  5. In Gestisci selezionare Verifiche di accesso e quindi selezionare Nuovo per creare una nuova verifica di accesso.

    Ruoli di Microsoft Entra - Elenco delle verifiche di accesso che mostra lo stato di tutte le recensioni screenshot.

  6. Assegnare un nome alla verifica di accesso. Facoltativamente è possibile assegnare una descrizione alla verifica. Il nome e la descrizione vengono visualizzati dai revisori.

    Creare una verifica di accesso- Esaminare il nome e lo screenshot della descrizione.

  7. Impostare un valore per Data di inizio. Per impostazione predefinita, la verifica di accesso viene eseguita una sola volta, viene avviata lo stesso giorno in cui viene creata e termina entro un mese. È possibile cambiare le date di inizio e di fine per iniziare la verifica di accesso in futuro e impostare la durata sul numero di giorni desiderato.

    Data di inizio, frequenza, durata, fine, numero di volte e screenshot della data di fine.

  8. Per rendere ricorrente la verifica di accesso, modificare l'impostazione Frequenza da Singola a Settimanale, Mensile, Trimestrale o Annuale o Semestrale. Usare il dispositivo di scorrimento Durata o la casella di testo per definire il numero di giorni per cui ogni revisione della serie ricorrente verrà aperta per l'input dai revisori. La durata massima che è possibile impostare per una verifica mensile, ad esempio, è di 27 giorni, per evitare la sovrapposizione delle verifiche.

  9. Usare l'impostazione Fine per specificare come terminare la serie di verifiche di accesso ricorrenti. La serie può terminare in tre modi: può essere eseguita in modo continuo per avviare le verifiche per un periodo illimitato o fino a una data specifica oppure terminare dopo che è stato completato un numero definito di occorrenze. L'utente o un altro amministratore che può gestire le revisioni può arrestare la serie dopo la creazione modificando la data in Impostazioni, in modo che termini in tale data.

  10. Nella sezione Ambito utenti selezionare l'ambito della revisione. Per i ruoli di Microsoft Entra, la prima opzione di ambito è Utenti e gruppi. In questa selezione verranno inclusi gli utenti assegnati direttamente e i gruppi assegnabili a ruoli. Per i ruoli delle risorse di Azure, il primo ambito sarà Utenti. Quando si usa questa selezione, i gruppi assegnati ai ruoli delle risorse di Azure vengono espansi in modo che nella verifica compaiano le assegnazioni utente transitive. È anche possibile selezionare Entità servizio per esaminare gli account del computer con accesso diretto alla risorsa di Azure o al ruolo Microsoft Entra.

    Ambito degli utenti per verificare l'appartenenza al ruolo dello screenshot.

  11. In alternativa, è possibile creare verifiche di accesso solo per gli utenti inattivi. Nella sezione Ambito utenti impostare gli utenti inattivi (a livello di tenant) solo su true. Se l'interruttore è impostato su true, l'ambito della revisione sarà incentrato solo sugli utenti inattivi. Specificare quindi Giorni inattivi con un numero di giorni inattivi fino a 730 giorni (due anni). Gli utenti inattivi per il numero specificato di giorni saranno gli unici inclusi nella verifica.

  12. In Rivedi l'appartenenza ai ruoli selezionare la risorsa di Azure con privilegi o i ruoli di Microsoft Entra da esaminare.

    Nota

    Se si seleziona più di un ruolo, vengono create più verifiche di accesso. Se ad esempio si selezionano cinque ruoli, vengono create cinque verifiche di accesso separate.

    Esaminare lo screenshot delle appartenenze ai ruoli.

  13. In Tipo di assegnazione definire l'ambito della verifica in base al modo in cui l'entità è stata assegnata al ruolo. Scegliere assegnazioni idonee solo per esaminare le assegnazioni idonee (indipendentemente dallo stato di attivazione quando viene creata la verifica) o le assegnazioni attive solo per esaminare le assegnazioni attive. Scegliere tutte le assegnazioni attive e idonee per esaminare tutte le assegnazioni indipendentemente dal tipo.

    Screenshot dell'elenco dei tipi di assegnazione dei revisori.

  14. Nella sezione Revisori selezionare una o più persone per la verifica di tutti gli utenti. In alternativa è possibile fare in modo che i membri verifichino il proprio accesso.

    Elenco dei revisori degli utenti o membri selezionati (autonomo)

    • Utenti selezionati: usare questa opzione per designare un utente specifico per il completamento della verifica. Questa opzione è disponibile indipendentemente dall'ambito della verifica e i revisori selezionati possono sottoporre a verifica utenti, gruppi ed entità servizio.
    • Membri (autonomo): usare questa opzione per fare in modo che gli utenti verifichino le proprie assegnazioni di ruolo. Questa opzione è disponibile solo se l'ambito della revisione è Utenti e gruppi o Utenti. Per i ruoli di Microsoft Entra, i gruppi assegnabili a ruoli non faranno parte della revisione quando questa opzione è selezionata.
    • Manager: usare questa opzione per fare in modo che il manager dell'utente ne verifichi l'assegnazione di ruolo. Questa opzione è disponibile solo se l'ambito della revisione è Utenti e gruppi o Utenti. Quando si seleziona Manager, sarà anche possibile specificare un revisore di fallback. Ai revisori di fallback viene chiesto di eseguire una verifica su un utente quando l'utente non ha un manager specificato nella directory. Per i ruoli di Microsoft Entra, i gruppi assegnabili ai ruoli verranno esaminati dal revisore di fallback, se selezionato.

Impostazioni al completamento

  1. Per specificare cosa succede dopo il completamento di una verifica, espandere la sezione Impostazioni al completamento.

    Screenshot che mostra le impostazioni al completamento per l'applicazione automatica e le scelte non devono rispondere al revisore.

  2. Se si vuole rimuovere automaticamente l'accesso per gli utenti rifiutati, impostare l'opzione Applica automaticamente i risultati alla risorsa su Abilita. Per applicare manualmente i risultati al termine della verifica, impostare l'opzione su Disabilita.

  3. Usare l'elenco Se il revisore non risponde per specificare cosa accade agli utenti che non vengono esaminati dal revisore entro il periodo di revisione. Questa impostazione non influisce sugli utenti che sono stati esaminati dai revisori.

    • Nessuna modifica: non viene apportata alcuna modifica all'accesso dell'utente
    • Rimuovi accesso: l'accesso dell'utente viene rimosso
    • Approva accesso: l'accesso dell'utente viene approvato
    • Accetta i consigli: vengono applicati i consigli del sistema per rifiutare o approvare l'accesso continuo dell'utente

  4. Usare l'azione per applicare l'elenco utenti guest negati per specificare cosa accade per gli utenti guest negati. Questa impostazione non è modificabile per microsoft Entra ID e le revisioni dei ruoli delle risorse di Azure in questo momento; gli utenti guest, come tutti gli utenti, perderanno sempre l'accesso alla risorsa se negata.

    Al termine delle impostazioni: azione da applicare allo screenshot degli utenti guest negati.

  5. È possibile inviare notifiche ad altri utenti o gruppi per ricevere aggiornamenti sul completamento della verifica. Questa funzionalità consente agli stakeholder diversi dall'autore della verifica di restare aggiornati sullo stato di avanzamento della verifica. Per usare questa funzionalità, selezionare Seleziona utenti o gruppi e aggiungere un altro utente o gruppo al momento della ricezione dello stato di completamento.

    Al termine delle impostazioni: aggiungere altri utenti per ricevere lo screenshot delle notifiche.

Impostazioni avanzate

  1. Per specificare impostazioni aggiuntive, espandere la sezione Impostazioni avanzate.

    Le impostazioni avanzate per visualizzare le raccomandazioni richiedono un motivo per l'approvazione, le notifiche di posta elettronica e lo screenshot dei promemoria.

  2. Impostare Mostra i consigli su Abilita per mostrare ai revisori i consigli del sistema basati sulle informazioni di accesso dell'utente. Consigli si basano su un periodo di 30 giorni. Gli utenti che hanno eseguito l'accesso negli ultimi 30 giorni vengono visualizzati con l'approvazione consigliata dell'accesso, mentre gli utenti che non hanno eseguito l'accesso vengono visualizzati con la negazione consigliata dell'accesso. Il fatto che questi accessi siano stati o meno interattivi è irrilevante. Insieme al consiglio viene visualizzato anche l'ultimo accesso dell'utente.

  3. Impostare Richiedi il motivo all'approvazione su Abilita per richiedere al revisore di specificare un motivo per l'approvazione.

  4. Impostare Notifiche tramite posta elettronica su Abilita per fare in modo che Microsoft Entra ID invii notifiche tramite posta elettronica ai revisori all'avvio di una verifica di accesso e agli amministratori al completamento di una verifica.

  5. Impostare Promemoria su Abilita per fare in modo che Microsoft Entra ID invii promemoria delle verifiche di accesso in corso ai revisori che non hanno completato la verifica.

  6. Il contenuto del messaggio di posta elettronica inviato ai revisori viene generato automaticamente in base ai dettagli della revisione, ad esempio il nome della revisione, il nome della risorsa, la data di scadenza e così via. Se è necessario un modo per comunicare informazioni aggiuntive, ad esempio istruzioni aggiuntive o informazioni di contatto, è possibile specificare questi dettagli nel contenuto aggiuntivo per il messaggio di posta elettronica del revisore che verrà incluso nei messaggi di posta elettronica di invito e promemoria inviati ai revisori assegnati. La sezione evidenziata di seguito è la posizione in cui verranno visualizzate queste informazioni.

    Contenuto del messaggio di posta elettronica inviato ai revisori con evidenziazioni

Gestire la verifica di accesso

È possibile tenere traccia dello stato di avanzamento man mano che i revisori completano le revisioni nella pagina Panoramica della verifica di accesso. Nessun diritto di accesso viene modificato nella directory fino al completamento della verifica. Di seguito è riportato uno screenshot che mostra la pagina di panoramica per le risorse di Azure e le verifiche di accesso ai ruoli di Microsoft Entra.

Pagina di panoramica delle verifiche di accesso che mostra i dettagli della verifica di accesso per lo screenshot dei ruoli di Microsoft Entra.

Se si tratta di una verifica una tantum, dopo che il periodo di verifica di accesso è terminato o l'amministratore interrompe la verifica di accesso, seguire la procedura descritta in Completare una verifica di accesso delle risorse di Azure e dei ruoli di Microsoft Entra per visualizzare e applicare i risultati.

Per gestire una serie di verifiche di accesso, passare alla verifica di accesso e trovare le occorrenze future nelle verifiche pianificate e modificare la data di fine o aggiungere/rimuovere revisori di conseguenza.

In base alle selezioni in Al termine delle impostazioni, l'applicazione automatica verrà eseguita dopo la data di fine della revisione o quando si arresta manualmente la revisione. Lo stato della revisione passerà da Completato a stati intermedi, ad esempio Applicazione e infine allo stato Applicato. È consigliabile che vengano visualizzati utenti negati, se presenti, rimossi dai ruoli in pochi minuti.

Impatto dei gruppi assegnati ai ruoli di Microsoft Entra e ai ruoli delle risorse di Azure nelle verifiche di accesso

• Per i ruoli di Microsoft Entra, i gruppi assegnabili a ruoli possono essere assegnati al ruolo usando gruppi assegnabili a ruoli. Quando viene creata una revisione in un ruolo Microsoft Entra con gruppi assegnabili a ruoli assegnati, il nome del gruppo viene visualizzato nella verifica senza espandere l'appartenenza al gruppo. Il revisore può approvare o negare l'accesso dell'intero gruppo al ruolo. I gruppi negati perderanno l'assegnazione al ruolo quando vengono applicati i risultati della revisione.

• Per i ruoli delle risorse di Azure, qualsiasi gruppo di sicurezza può essere assegnato al ruolo. Quando viene creata una verifica in un ruolo risorsa di Azure con un gruppo di sicurezza assegnato, gli utenti assegnati a tale gruppo di sicurezza verranno espansi completamente e visualizzati al revisore del ruolo. Quando un revisore nega un utente assegnato al ruolo tramite il gruppo di sicurezza, l'utente non verrà rimosso dal gruppo. Ciò è dovuto al fatto che un gruppo potrebbe essere stato condiviso con altre risorse di Azure o non di Azure. Pertanto, le modifiche risultanti dall'accesso negato devono essere eseguite dall'amministratore.

Nota

È possibile che a un gruppo di sicurezza siano assegnati altri gruppi. In questo caso, solo gli utenti assegnati direttamente al gruppo di sicurezza assegnato al ruolo verranno visualizzati nella revisione del ruolo.

Aggiornare la verifica di accesso

Dopo l'avvio di una o più verifiche di accesso, è possibile modificare o aggiornare le impostazioni delle verifiche di accesso esistenti. Ecco alcuni scenari comuni da considerare:

  • Aggiunta e rimozione di revisori : quando si aggiornano le verifiche di accesso, è possibile scegliere di aggiungere un revisore di fallback oltre al revisore primario. I revisori primari possono essere rimossi durante l'aggiornamento di una verifica di accesso. Tuttavia, i revisori di fallback non sono rimovibili per impostazione predefinita.

    Nota

    I revisori di fallback possono essere aggiunti solo quando il tipo di revisore è manager. I revisori primari possono essere aggiunti quando è selezionato il tipo di revisore.

  • Promemoria dei revisori: quando si aggiornano le verifiche di accesso, è possibile scegliere di abilitare l'opzione promemoria in Advanced Impostazioni. Una volta abilitato, gli utenti riceveranno una notifica tramite posta elettronica al punto intermedio del periodo di revisione, indipendentemente dal fatto che abbiano completato o meno la revisione.

    Screenshot dell'opzione promemoria nelle impostazioni delle verifiche di accesso.

  • Aggiornamento delle impostazioni : se una verifica di accesso è ricorrente, esistono impostazioni separate in "Current" rispetto a "Series". L'aggiornamento delle impostazioni in "Corrente" applicherà solo le modifiche alla verifica di accesso corrente durante l'aggiornamento delle impostazioni in "Serie" aggiornerà l'impostazione per tutte le ricorrenze future.

    Screenshot della pagina delle impostazioni in Verifiche di accesso.

Passaggi successivi