Gestire il ciclo di vita dell'identità con Azure AD Identity Governance

Gestire il ciclo di vita dell'identità con Azure AD Identity Governance

01/01/2025

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione e nella gestione del ciclo di vita delle identità utilizzando Azure AD Identity Governance. Nei moderni ambienti aziendali, in cui gli utenti interni ed esterni accedono a una crescente varietà di risorse e applicazioni, gestire chi ha accesso a cosa, per quanto tempo e per quale motivo è diventata una sfida complessa. Azure AD Identity Governance fornisce strumenti per garantire che le identità e il relativo accesso siano gestiti in modo efficace, sicuro e conforme ai criteri dell'organizzazione [1].

Introduzione

Il ciclo di vita di un'identità spazia dalla sua creazione, attraverso la concessione di accessi e permessi, fino alla sua disattivazione. Senza una gestione solida, le organizzazioni possono accumulare accessi eccessivi o non necessari (noto come "privilege creep"), che aumenta la superficie di attacco e il rischio di violazioni dei dati. La complessità aumenta con la necessità di gestire le identità di dipendenti, partner, fornitori e clienti, ciascuno con requisiti di accesso e periodi di validità diversi. I processi manuali per la gestione di questo ciclo di vita sono soggetti a errori, inefficienti e difficili da controllare [2].

Azure AD Identity Governance è un insieme di funzionalità Microsoft Entra ID (in precedenza Azure Active Directory) progettate per aiutare le organizzazioni a gestire e governare il ciclo di vita delle identità e degli accessi in modo automatizzato e scalabile. Include funzionalità come le revisioni degli accessi, la gestione dei diritti e i flussi di lavoro del ciclo di vita, che consentono alle organizzazioni di garantire che le persone giuste abbiano il giusto accesso alle risorse giuste al momento giusto. Ciò è fondamentale per mantenere il livello di sicurezza, ottenere la conformità normativa e ottimizzare le operazioni IT [3].

Questa guida pratica tratterà i componenti chiave della governance delle identità di Azure AD, con particolare attenzione alla configurazione e all'utilizzo delle revisioni degli accessi e della gestione dei diritti. Verranno fornite istruzioni passo passo, esempi pratici e spiegazioni concise in modo che il lettore possa implementare e convalidare queste funzionalità. Inoltre verranno discussi consigli di sicurezza, controlli di conformità e best practice per garantire una gestione delle identità e degli accessi efficace, autonoma, professionale e affidabile.

Perché la governance delle identità di Azure AD è fondamentale?

  • Principio del privilegio minimo: garantisce che gli utenti abbiano solo l'accesso necessario per le loro funzioni, riducendo il rischio di accessi eccessivi.
  • Conformità normativa: aiuta a soddisfare i requisiti di controllo e conformità (come LGPD, GDPR, HIPAA) che richiedono revisioni periodiche degli accessi e un controllo rigoroso su chi può accedere ai dati sensibili.
  • Visibilità e controllo: fornisce report dettagliati sull'accesso, consentendo alle organizzazioni di verificare e dimostrare la conformità.
  • Automazione del ciclo di vita: automatizza il provisioning, l'assegnazione degli accessi e la disattivazione delle identità, riducendo il carico amministrativo e minimizzando gli errori.
  • Gestione degli accessi ospite: semplifica la gestione delle identità e degli accessi per gli utenti esterni (partner, fornitori), garantendo che l'accesso venga concesso e revocato in modo tempestivo.
  • Riduzione del rischio: riduce al minimo il rischio di account orfani o con privilegi eccessivi che possono essere sfruttati dagli aggressori.

Prerequisiti

Per utilizzare Azure AD Identity Governance, saranno necessari i seguenti elementi:

  1. Licenza: Azure AD Identity Governance richiede una licenza Microsoft Entra ID P2 (in precedenza Azure AD Premium P2) [4].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore globale", "Amministratore di governance dell'identità" o "Amministratore utente" nel portale di Azure (https://portal.azure.com).
  3. Gruppi e applicazioni esistenti: gruppi di Azure AD e/o applicazioni aziendali per i quali si desidera gestire l'accesso.

Passo dopo passo: implementazione della governance delle identità di Azure AD

Configuriamo le revisioni degli accessi e la gestione dei diritti.

1. Accesso alla governance delle identità di Azure AD

  1. Apri il browser e vai aVedere il portale di Azure: "https://portal.azure.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel campo di ricerca in alto, digita "Identity Governance" e selezionalo dai risultati.

2. Configurazione di una verifica di accesso

Le revisioni degli accessi consentono alle organizzazioni di rivedere periodicamente l'accesso degli utenti a gruppi, applicazioni o funzioni privilegiate, garantendo che l'accesso sia ancora necessario e appropriato.

  1. Nel riquadro di navigazione sinistro Governance dell'identità, selezionare Revisioni di accesso.

  2. Fare clic su "+Revisione nuovo accesso".

  3. Seleziona cosa recensire: scegli il tipo di risorsa da recensire:

    • Squadre + gruppi
    • "Applicazioni".
    • "Ruoli di Azure AD" (per ruoli di directory come amministratore globale)
    • "Ruoli delle risorse di Azure" (per i ruoli RBAC di Azure come il proprietario della sottoscrizione)
    • Per questo esempio, seleziona "Squadre + gruppi".

  4. Ambito della revisione: seleziona "Seleziona gruppi" e aggiungi un gruppo specifico (ad esempio "Gruppo_finanza") o "Tutti i gruppi ospiti".

  5. Ambito revisione: seleziona "Solo utenti invitati" o "Tutti gli utenti".

  6. Revisori: definire chi effettuerà la revisione:

    • Proprietari di gruppi (consigliato per i gruppi)
    • "Manager" (per verificare l'accesso dei tuoi subordinati)
    • "Utenti selezionati".
    • Per questo esempio, seleziona "Proprietari gruppo".

  7. Frequenza: definire la frequenza della revisione (es: "Mensile", "Trimestrale", "Annuale", "Una volta").

  8. Durata: Definisci per quanti giorni la revisione sarà attiva.
  9. Data di inizio: imposta la data di inizio della revisione.

  10. Fare clic su "Avanti: Impostazioni".

  11. Impostazioni:

    • Applica automaticamente i risultati alla risorsa: seleziona "Abilita" per fare in modo che il sistema rimuova automaticamente l'accesso per gli utenti che non sono stati approvati.
    • Azione da intraprendere al completamento: seleziona "Rimuovi accesso".
    • Se i revisori non rispondono: seleziona "Rimuovi accesso" (per garantire che l'accesso venga rimosso se non c'è risposta).
    • Assistenza decisionale: attiva "Consigli" e imposta "Nessun accesso in X giorni" per aiutare i revisori a prendere decisioni informate.
    • Notifiche: configura se i revisori devono essere avvisati via email.
    • Promemoria: attiva Promemoria.

  12. Fare clic su "Avanti: Rivedi + crea".

  13. Recensione + creazione: assegna un nome alla recensione (es: Revisao_Acesso_Financeiro_Trimestral) e una descrizione. Fare clic su Crea.

    • Spiegazione: questa verifica dell'accesso verrà eseguita trimestralmente per Finance_Group. I proprietari del gruppo riceveranno una notifica e dovranno verificare l'accesso dei membri. Se un membro non viene approvato o il revisore non risponde, il suo accesso al gruppo verrà automaticamente rimosso.

3. Configurazione della gestione dei diritti

Rights Management consente alle organizzazioni di gestire il ciclo di vita dell'accesso alle risorse per utenti interni ed esterni automatizzando il processo di richiesta, approvazione, provisioning e deprovisioning dell'accesso tramite "pacchetti di accesso".

  1. Nel riquadro di navigazione sinistro di Governance dell'identità, seleziona Gestione dei diritti.

  2. Cataloghi: innanzitutto crea un catalogo per organizzare i tuoi pacchetti di accesso.

    • Selezionare Cataloghi > + Nuovo catalogo.
    • Nome visualizzato: Catalogo_Projetos.
    • Descrizione: Catalogo per l'accesso alle risorse specifiche del progetto.
    • Abilitato: .
    • Fare clic su Crea.

  3. Pacchetti di accesso: ora crea un pacchetto di accesso.

    • Selezionare Pacchetti di accesso > + Nuovo pacchetto di accesso.
    • Nozioni di base:
      • Nome: Acesso_Projeto_Alfa.
      • Descrizione: Accesso alle risorse di Project Alpha.
      • Catalogo: seleziona Progetto_Catalogo.
    • Fare clic su "Avanti".

  4. Risorse: aggiungi le risorse che questo pacchetto di accesso concederà.

    • Clicca su + Aggiungi gruppi e squadre e aggiungi un gruppo (es: Grupo_Projeto_Alfa).
    • Fare clic su +Aggiungi applicazioni e aggiungere un'applicazione (es: App_Projeto_Alfa).
    • Fai clic su "+ Aggiungi ruoli risorsa" (ad esempio "Collaboratore" in un gruppo di risorse specifico).
    • Fare clic su "Avanti".

  5. Domenicacitazioni: definire chi può richiedere questo pacchetto e il processo di approvazione.

    • Utenti che possono richiedere l'accesso: seleziona "Per gli utenti nella tua directory" o "Per gli utenti non nella tua directory" (per gli ospiti).
    • Richiede l'approvazione: seleziona "Sì".
    • Primo approvatore: seleziona "Manager" o "Utenti selezionati" (ad esempio Alpha Project Manager).
    • Richiede una giustificazione: "Sì".
    • Richiedi l'approvazione di tutti gli approvatori selezionati: "No" (o "Sì", a seconda della policy).
    • Abilita nuove richieste: .
    • Richiedi l'approvazione del secondo approvatore: "No" (o "Sì" per l'approvazione in due fasi).
    • Fare clic su "Avanti".

  6. Informazioni sul richiedente: aggiungi domande personalizzate a cui i richiedenti devono rispondere. Fare clic su "Avanti".

  7. Ciclo di vita: definire la durata dell'accesso concesso e se deve scadere.

    • Scadenza: seleziona "In numero di giorni" (es: "30") o "Data specifica".
    • Richiedi verifica dell'accesso per estendere l'accesso: "Sì" (per verificare se l'accesso è ancora necessario prima della scadenza).
    • Consenti agli utenti di estendere l'accesso: .
    • Richiede l'approvazione per concedere l'estensione: "Sì".
    • Fare clic su "Avanti".

  8. Rivedi e crea: rivedi le impostazioni e fai clic su Crea.

    • Spiegazione: questo pacchetto di accesso consente agli utenti interni di richiedere l'accesso alle risorse di Project Alpha. La richiesta richiederà l'approvazione del Project Manager e l'accesso concesso scadrà dopo 30 giorni, con possibilità di proroga previa revisione.

4. Testare la gestione dei diritti (esperienza utente)

  1. Condividi il collegamento: dopo aver creato il pacchetto di accesso, copia il collegamento da "Il mio accesso" (Portale di accesso personale) al pacchetto di accesso.
  2. Esperienza utente: chiedi a un utente di prova (che non ha accesso alle funzionalità di Project Alfa) di accedere al collegamento "Il mio accesso" e richiedere il pacchetto Accesso_Projeto_Alfa.
  3. Esperienza approvatore: l'approvatore configurato (Alpha Project Manager) riceverà una notifica tramite posta elettronica e dovrà approvare o rifiutare la richiesta nel portale "Il mio accesso" o nel portale di Azure.
  4. Verifica: dopo l'approvazione, l'utente di prova deve avere accesso alle risorse specificate nel pacchetto di accesso. Controlla se l'utente può accedere a Grupo_Projeto_Alfa e App_Projeto_Alfa.

5. Gestione degli utenti esterni con organizzazioni connesse

Per gestire gli utenti esterni che provengono da organizzazioni partner, puoi configurare Organizzazioni connesse.

  1. Nel riquadro di navigazione sinistro di Governance dell'identità, seleziona Organizzazioni connesse.
  2. Fare clic su "+ Nuova organizzazione connessa".

  3. Nozioni di base:

    • Nome: Partner_X.
    • Descrizione: Organizzazione partner per la collaborazione.
    • Stato: Configurato.
    • Tipo di identità: "Azure AD" (se il partner utilizza Azure AD) o "Directory esterna".
    • Aggiungi directory: Cerca il dominio del partner (es: parceirox.com).
    • Fare clic su Crea.

  4. Ora, quando crei un pacchetto di accesso, puoi configurare la policy di richiesta per consentire agli utenti di "Partner_X" di richiedere l'accesso, semplificando il processo di onboarding per i collaboratori esterni.

Suggerimenti e best practice per la sicurezza

  • Principio del privilegio minimo: progetta sempre i tuoi pacchetti di accesso e le tue revisioni per garantire il privilegio minimo necessario. Esaminare regolarmente le autorizzazioni concesse.
  • Automazione ove possibile: utilizza i flussi di lavoro del ciclo di vita per automatizzare il provisioning e il deprovisioning degli utenti, in particolare per dipendenti e ospiti.
  • Revisioni di accesso regolari: pianifica revisioni di accesso periodiche per tutti i gruppi, applicazioni e ruoli privilegiati. Ciò garantisce che l'accesso venga continuamente convalidato.
  • Criteri di scadenza dell'accesso: configura la scadenza dell'accesso per i pacchetti di accesso e gli utenti ospiti. Ciò garantisce che l'accesso venga revocato automaticamente dopo un periodo prestabilito, a meno che non venga esplicitamente prorogato.
  • Approvatori idonei: seleziona approvatori che abbiano conoscenze sufficienti per prendere decisioni informate sulle esigenze di accesso (ad esempio, proprietari di risorse, gestori).
  • Documentazione chiara: conserva aDocumentazione chiara sui tuoi cataloghi, pacchetti di accesso, politiche di accesso e recensioni. Ciò rende il tuo modello di accesso più facile da controllare e comprendere.
  • Monitoraggio e avvisi: monitora i log di controllo di Azure AD per le attività correlate alla governance delle identità come creazioni di pacchetti di accesso, richieste di accesso, approvazioni e rimozioni. Imposta avvisi per attività sospette.
  • Formazione per utenti e approvatori: forma gli utenti su come richiedere l'accesso tramite il portale "Il mio accesso" e gli approvatori sulle loro responsabilità nella revisione e approvazione delle richieste.

Risoluzione dei problemi comuni

  • L'utente non è in grado di richiedere il pacchetto di accesso:
    • Controlla se l'utente è incluso nella politica di richiesta del pacchetto di accesso (ad esempio "Per gli utenti nella tua directory" o "Per gli utenti non nella tua directory").
    • Assicurati che il pacchetto di accesso sia "Abilitato" per le nuove richieste.
    • Verificare che l'utente disponga della licenza Azure AD P2 appropriata.
  • L'approvatore non riceve la notifica della richiesta:
    • Controlla le impostazioni e-mail nella politica di richiesta del pacchetto di accesso.
    • Assicurati che l'e-mail dell'approvatore sia corretta e che le notifiche non vengano filtrate dallo spam.
    • Controlla i log di controllo di Azure AD per vedere se la richiesta è stata inviata e se si sono verificati errori.
  • La verifica dell'accesso non si avvia o non invia alcuna notifica ai revisori:
    • Controlla la "Data di inizio" e la "Frequenza" della revisione dell'accesso.
    • Assicurati che le impostazioni di notifica e-mail siano abilitate in Verifica accesso.
    • Controllare i log di controllo di Azure AD per gli eventi relativi alla verifica dell'accesso.
  • L'accesso non viene rimosso automaticamente dopo la revisione:
    • Assicurati che l'opzione "Applica automaticamente i risultati alla risorsa" sia "Attiva" nella verifica dell'accesso.
    • Assicurati che "Azione da intraprendere al completamento" sia impostata su "Rimuovi accesso".
    • Potrebbe essere necessario del tempo per l'elaborazione delle rimozioni degli accessi una volta completata la revisione.
  • Problemi con utenti esterni/ospiti:
    • Verificare che l'organizzazione connessa sia configurata correttamente e che il tipo di identità corrisponda alla directory del partner.
    • Assicurarsi che le impostazioni di collaborazione esterna in Azure AD consentano l'invito e l'accesso di utenti esterni.

Conclusione

Azure AD Identity Governance è una soluzione potente per la gestione del complesso ciclo di vita delle identità e degli accessi negli ambienti moderni. Implementando revisioni degli accessi, gestione dei diritti e flussi di lavoro del ciclo di vita, le organizzazioni possono garantire che l'accesso alle risorse sia sempre appropriato, rivisto e revocato in modo tempestivo. Ciò non solo rafforza il tuo livello di sicurezza, ma ti aiuta anche a raggiungere la conformità normativa e a ottimizzare l'efficienza operativa. Con questa guida pratica, i professionisti della sicurezza e gli amministratori IT saranno ben attrezzati per configurare, convalidare e gestire la governance delle identità di Azure AD, creando un ambiente di identità e accesso più sicuro, controllato e automatizzato per le loro organizzazioni.

Riferimenti:

[1]Microsoft Learn. Che cos'è la governance dell'ID Microsoft Entra?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/identity-governance-overview [2]Microsoft Learn. Governa il ciclo di vita dei dipendenti con Microsoft Entra Identity Governance. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/govern-the-employee-lifecycle [3]Microsoft Learn. Automatizza la gestione del ciclo di vita delle identità con la governance degli ID Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/automate-identity-lifecycle [4]Microsoft Learn. Requisiti di licenza per la governance dell'ID Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/licensing [5]Microsoft Learn. Creare una verifica dell'accesso al gruppo e all'applicazione in Microsoft EntID ra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/create-access-review [6]Microsoft Learn. Che cos'è la gestione dei diritti di Microsoft Entra?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-overview [7]Microsoft Learn. Crea un pacchetto di accesso nella gestione dei diritti di Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-access-package-create [8]Microsoft Learn. Cosa sono le organizzazioni connesse nella gestione dei diritti di Microsoft Entra?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-connected-organization