Una buona gestione delle identità è fondamentale per garantire che le persone giuste abbiano accesso alle risorse aziendali, nel momento giusto. Entra ID (precedentemente Azure AD) offre un set completo di strumenti per la governance delle identità, aiutando le organizzazioni a gestirle, monitorarle e proteggerle su più sistemi e ambienti. Sfruttando queste funzionalità, le aziende possono semplificare la conformità, ridurre i rischi per la sicurezza e mantenere il controllo sui propri asset digitali. In questo articolo, andremo quindi ad approfondire il tema della Identity Governance in Entra ID per capire perché è una delle migliori soluzioni per rafforzare la postura di sicurezza della propria azienda.
Il mondo del lavoro di oggi è sempre più digitalizzato, fluido e decentralizzato, il che significa che un numero crescente di dispositivi e utenti accede a dati e risorse in ambienti on-premise e multi-cloud/remoti.
La gestione di chi ha accesso a cosa sta diventando una sfida critica per le organizzazioni, specialmente quelle che operano in settori altamente regolamentati.
Senza una governance forte, le organizzazioni potrebbero affrontare rischi di sicurezza come utenti con privilegi eccessivi, mancanza di visibilità su chi ha accesso ai sistemi critici e violazioni della conformità.
La complessità degli attuali ecosistemi di sicurezza informatica inoltre non aiuta e può rendere difficile la gestione efficace delle identità e degli accessi degli utenti, aumentando significativamente i rischi di concessione di accessi impropri a dati e risorse.
Ciò può comportare pesanti sanzioni finanziarie in caso di violazioni dei dati e una perdita di fiducia da parte dei clienti.
Nel panorama in continua evoluzione della sicurezza digitale e della gestione delle identità, è quindi fondamentale conoscere gli strumenti e le piattaforme che aiutano a proteggere le risorse della propria organizzazione.
Uno di questi strumenti è Entra ID Governance, una soluzione completa progettata per ottimizzare e migliorare la governance delle identità all'interno dell'ecosistema Microsoft Entra.
Tuttavia, queste funzionalità (e il concetto stesso di Identity Governance) per molti sono affari nebulosi e non particolarmente chiari, quindi nelle prossime sezioni vedremo finalmente di fare un po’ di chiarezza sull’argomento.
In cosa consiste, quindi, l’Identity Governance? Il suo scopo principale è quello di proteggere, gestire e autorizzare l'accesso ai sistemi software, approvando l'accesso solo dopo che il nome utente e la password sono stati convalidati. Apparentemente molto semplice, ma sotto c’è molto di più.
Entra ID Governance permette infatti che:
Ci sono alcune aree chiave che Entra ID Governance è specificatamente progettato per gestire. Esaminiamo come ciascuna di queste consenta un maggiore controllo sulle identità e sui loro livelli di accesso.
L’entitlement management offre la possibilità di creare "pacchetti di accesso" per raggruppare insiemi di risorse che normalmente forniresti a molti utenti. Le risorse possono includere gruppi di sicurezza o di Microsoft 365, applicazioni o siti SharePoint.
I manager possono definire come distribuire i pacchetti di accesso. Ad esempio:
Ciò significa che gli entitlement possono essere raggruppati in insiemi gestibili, semplificando l'onboarding dei dipendenti e riducendo il numero di "fili sciolti" derivanti dai processi di trasferimento o uscita del personale.
Inoltre, da marzo 2024 Microsoft ha introdotto il supporto per l'approvazione multi-stage dei pacchetti di accesso, permettendo di definire workflow di approvazione più complessi con più livelli di verifica.
Nel tempo, la quantità di membri all’interno di un gruppo può diventare eccessiva, come nel caso di un gruppo basato su un progetto.
Man mano che nuovi utenti si uniscono al progetto vengono aggiunti al gruppo e spesso, gli utenti che lasciano il progetto rimangono nel gruppo, mantenendo un accesso non necessario che è può essere sfruttato per potenziali attacchi.
Con Entra ID Governance è possibile effettuare una revisione regolare degli accessi che valuta su base periodica la membership dei gruppi o l'accesso alle applicazioni e permette ai revisori di:
Questo processo automatizza la rimozione degli accessi se gli utenti non rispondono alle email di revisione, prevenendo l'espansione incontrollata dei gruppi di sicurezza o dell'accesso ad altre risorse.
I proprietari dei gruppi, come i responsabili di progetto o delle applicazioni, sono responsabili della revisione della membership del gruppo e dell'identificazione degli utenti che non dovrebbero più farne parte. Questi utenti possono essere rimossi automaticamente dal gruppo.
Le revisioni degli accessi si applicano sia ai gruppi che alle applicazioni e possono essere programmate regolarmente per garantire una governance continua.
Il Privileged Identity Management permette di gestire i diritti di accesso degli utenti con privilegi, come amministratori o sviluppatori per prevenire il possibile uso non autorizzato dei loro account e dei privilegi amministrativi ad essi associati.
È possibile applicare l'accesso just-in-time (JIT), concedendo accesso temporaneo e limitato nel tempo a risorse o ruoli privilegiati in base a una richiesta o un flusso di approvazione specifico.
Si possono anche consentire politiche di just-enough-access (JEA) per questi utenti, limitando l'ambito e le azioni degli utenti privilegiati applicando permessi o restrizioni dettagliate in base al loro ruolo o compito.
Le funzionalità di PIM riducono anche l'impatto potenziale di errori umani o configurazioni errate, richiedendo agli account di attivare i loro ruoli privilegiati quando necessario e disattivandoli automaticamente dopo un tempo o una condizione specificata. Questo riduce l'esposizione di dati e sistemi sensibili a potenziali minacce.
Di recente, sono state poi introdotte diverse novità legate al monitoraggio e alla gestione degli utenti con privilegi:
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Una delle caratteristiche distintive della Governance di Microsoft Entra ID è l'implementazione di workflow che regolano il ciclo di vita delle identità digitali. Questi flussi di lavoro sono progettati per automatizzare le attività in base al ciclo joiner-mover-leaver (JML), un modello comune nei dipartimenti HR e IT che categorizza le attività per gli utenti in base al loro stato all'interno dell'organizzazione.
Questo processo copre l'intero periodo, dal giorno in cui l'utente entra in azienda fino al giorno in cui la lascia. L'obiettivo della gestione del ciclo di vita delle identità è automatizzare e semplificare l'intero processo di gestione delle identità digitali.
La gestione, come menzionavamo prima, si articola in tre fasi ben distinte:
I workflow di Entra ID Governance permettono di automatizzare le attività legate a questo ciclo, riducendo lo sforzo manuale richiesto e minimizzando il rischio di errori o dimenticanze.
Questi flussi di lavoro si estendono in modelli che possono essere rapidamente personalizzati per soddisfare le esigenze degli utenti nella tua organizzazione, offrendo una soluzione flessibile e adattabile per la gestione del ciclo di vita dell'identità.
I flussi di lavoro vengono valutati ogni ora (con la possibilità di configurare intervalli personalizzati più brevi) per determinare se devono essere eseguiti o meno in base alle condizioni di esecuzione.
Questo garantisce che i cambiamenti nello stato dell'utente siano prontamente riflessi nei suoi diritti di accesso e in altre proprietà dell'account, mantenendo la gestione dell'identità della tua organizzazione aggiornata e sicura.
Microsoft Entra ID offre funzionalità come la creazione e l'aggiornamento automatico degli account utente, il provisioning basato su HR, l'assegnazione automatica degli utenti ai gruppi, i gruppi dinamici e la propagazione degli aggiornamenti utente a varie applicazioni tramite il provisioning delle app.
Il provisioning consiste nella creazione e nell'aggiornamento delle identità digitali su più sistemi per garantirne la coerenza.
Quando un nuovo dipendente entra in azienda, le informazioni HR vengono utilizzate per creare un account utente in Azure AD, concedendo l'accesso alle applicazioni necessarie. Le modifiche nel sistema HR vengono sincronizzate con Azure AD e altre applicazioni.
Entra ID offre feature che permettono di automatizzare le operazioni di provisioning in tre ambiti:
Per il primo le opzioni di implementazione dipendono dai sistemi HR e dall'uso di Active Directory.
Il provisioning delle applicazioni in Entra ID crea e gestisce identità utente in archivi dati separati e supporta il provisioning per applicazioni locali e ospitate su macchine virtuali. Le applicazioni abilitate per SCIM possono essere automatizzate utilizzando l'agente di provisioning di Entra ID.
Il provisioning tra directory invece collega:
Il provisioning garantisce la coerenza delle identità digitali tra i sistemi, semplificando la gestione degli accessi.
Abbiamo fatto un gran parlare di “identità” ma alcuni potrebbero ancora non sapere in cosa consiste o quali sono quelle gestibili attraverso le feature di governance di Entra ID.
L'identità in Entra ID rappresenta l'insieme delle credenziali, attributi e permessi assegnati a un utente, un'applicazione o un dispositivo all'interno di un ambiente Microsoft.
Ogni identità è univoca e consente l'autenticazione e l'autorizzazione per accedere a risorse e servizi, sia in cloud che on-premises.
Esistono 3 diversi tipi di identità che è possibile implementare, a seconda delle esigenze della propria azienda e dell'infrastruttura che si ha a disposizione: identità solo cloud, identità sincronizzate e identità federate.
Vediamole meglio qui sotto.
Tutti gli account utente di Microsoft 365 e le relative password sono memorizzati, gestiti e verificati in Entra ID.
Poiché Entra ID non si sincronizza con altri sistemi aziendali, ogni volta che un utente reimposta la propria password di Microsoft 365, ciò non influisce sugli accessi ad altri account.
L'identità sincronizzata dovrebbe essere utilizzata se stai già utilizzando Active Directory per la tua lista centrale di account utente o se desideri sfruttare l'Autenticazione a più fattori (MFA) con Entra ID.
Entra ID Connect sincronizza gli account utente di Active Directory Domain Services (AD DS) in Entra ID. In questo modo, gli utenti accedono a Microsoft 365 con le stesse credenziali.
Ciò offre una migliore esperienza utente, ma la sincronizzazione avviene in un solo senso. Gli account utente devono sempre essere gestiti in AD DS con strumenti come Active Directory admin center o Microsoft PowerShell.
Inoltre, è necessario decidere dove avviene l'autenticazione:
L'Identità Federata richiede l'implementazione di Active Directory Federation Services (AD FS). È più adatta per grandi organizzazioni aziendali con infrastrutture scalabili e aziende con requisiti di sicurezza avanzati (come carte smart, restrizioni sugli orari di lavoro o identificazione tramite impronta digitale).
Con l'identità federata, si forma una partnership o federazione tra il proprio Active Directory on-premises e Entra ID nel cloud. AD FS sincronizza automaticamente gli account utente e gli attributi con Entra ID Connect, ma gli account sono mantenuti tramite Active Directory o uno strumento di terze parti.
L'esperienza utente migliora con l'identità federata, poiché gli utenti utilizzano il single sign-on, come l'autenticazione PTA descritta sopra. Tuttavia, a differenza dell'identità nel cloud, l'identità federata dipende dall'ambiente, quindi eventuali problemi on-premises influenzeranno la connettività con Microsoft 365.
Per questo motivo, sia le identità sincronizzate che quelle federate dovrebbero avere un account di amministratore cloud configurato per garantire che Microsoft 365 sia sempre accessibile.
Microsoft, dal canto suo, raccomanda agli utenti di limitare l’uso di AD FS solo a scenari che richiedono specificatamente la federazione e raccomanda come soluzione preferita l’utilizzo della metodologia di Password Hash Syncronization.
Abbiamo visto nelle sezioni precedenti la menzione di alcuni possibili scenari di applicazione delle funzionalità di Identity Governance, ma senza andare mai davvero nel dettaglio.
In questa sezione presenteremo dunque un elenco dei principali scenari in cui Entra ID Governance può aiutarci con le nostre esigenze di gestione delle identità digitali, come ad esempio:
Le minacce informatiche sono diventate per le aziende ancora più pervasive e dannose di quanto non fossero in passato e, per ogni business che si rispetti, una corretta gestione delle identità digitali non va considerata come una questione di secondaria importanza.
Le credenziali degli utenti che hanno accesso ai nostri dati sono infatti il primo e più vulnerabile punto d’accesso per agenti malevoli intenzionati a rubarli o manipolarli per i loro scopi. Pertanto, è necessario rendere la propria postura di sicurezza il più efficace possibile con i migliori strumenti di management delle identità digitali che il mercato offre.
Entra ID Governance, con le sue funzionalità avanzate, si qualifica come una delle soluzioni più solide che è possibile implementare al momento disponibili e garantisce una protezione a 360 gradi delle identità digitali dei propri dipendenti, amministratori e utenti guest per prevenire e tappare potenziali falle che possano compromettere la sicurezza dei propri dati.
Entra ID Governance è una soluzione di Microsoft Entra progettata per la gestione e la protezione delle identità digitali. Il suo scopo è garantire che solo le persone autorizzate abbiano accesso alle risorse aziendali, riducendo i rischi di sicurezza e assicurando la conformità alle normative.
Entra ID Governance offre strumenti per semplificare la gestione degli accessi e delle identità all'interno di un'organizzazione. Permette di creare pacchetti di accesso per assegnare risorse in modo strutturato, eseguire revisioni periodiche degli accessi per rimuovere utenti non più autorizzati e gestire l’accesso just-in-time per utenti con privilegi. Inoltre, consente di automatizzare il ciclo di vita delle identità digitali attraverso workflow personalizzabili e di gestire la creazione e l’aggiornamento degli account su più sistemi e applicazioni.
L’adozione di Entra ID Governance permette di applicare il principio del minimo privilegio, garantendo che ogni utente abbia solo i permessi necessari per svolgere il proprio lavoro. Consente di automatizzare le revisioni degli accessi, mantenendo i permessi aggiornati senza interventi manuali. Facilita la gestione centralizzata delle identità, integrando ambienti cloud e on-premises. Contribuisce a rispettare le normative di sicurezza grazie a funzionalità avanzate di audit e reporting. Inoltre, riduce i rischi di esposizione a minacce informatiche limitando l’accesso ai dati sensibili.
Entra ID Governance supporta tre tipi di identità. Le identità solo cloud vengono gestite interamente in Entra ID senza sincronizzazione con altri sistemi. Le identità sincronizzate permettono di mantenere un collegamento con Active Directory on-premises, consentendo agli utenti di accedere con le stesse credenziali sia in locale che nel cloud. Le identità federate utilizzano Active Directory Federation Services per fornire un’esperienza di autenticazione avanzata, spesso impiegata in ambienti con requisiti di sicurezza elevati.
Privileged Identity Management consente di applicare l’accesso just-in-time, riducendo il tempo in cui un utente dispone di privilegi amministrativi. Offre la possibilità di definire politiche di just-enough-access, limitando le azioni che un utente privilegiato può eseguire. Introduce meccanismi di disattivazione automatica dei ruoli privilegiati dopo un certo periodo di tempo, riducendo il rischio di accessi non autorizzati. Grazie all’integrazione con Microsoft Defender for Cloud, permette anche di rilevare comportamenti sospetti e anomalie negli accessi amministrativi.
Entra ID Governance consente di assegnare automaticamente le risorse ai nuovi utenti grazie alla gestione dei pacchetti di accesso. I dipendenti possono ricevere i permessi necessari in base al loro ruolo o dipartimento, mentre per i partner esterni e i contrattisti è possibile definire regole specifiche per limitare la durata e l’estensione dei loro accessi. La gestione dei gruppi dinamici permette di aggiungere o rimuovere utenti in modo automatico in base agli attributi del loro profilo.
Entra ID Governance aiuta le aziende a rispettare le normative di sicurezza attraverso processi automatizzati di revisione degli accessi, consentendo di verificare periodicamente che ogni utente disponga solo dei permessi effettivamente necessari. Offre strumenti per condurre audit dettagliati sugli accessi e sulle modifiche ai diritti degli utenti, migliorando il controllo e la tracciabilità. Inoltre, fornisce integrazioni con strumenti di sicurezza avanzati per monitorare eventuali anomalie e prevenire violazioni.
La gestione del ciclo di vita delle identità in Entra ID Governance si articola in tre fasi. Quando un nuovo utente entra in azienda, viene creata un’identità digitale con i permessi necessari per svolgere il suo lavoro. Se l’utente cambia ruolo, le autorizzazioni vengono aggiornate in base alle nuove esigenze operative. Quando l’utente lascia l’organizzazione, gli accessi vengono revocati automaticamente per evitare potenziali rischi di sicurezza. Questi processi possono essere automatizzati attraverso workflow personalizzabili, riducendo il rischio di errori e ottimizzando la gestione delle identità.
Entra ID Governance è utile in diversi scenari aziendali. Può essere impiegato per semplificare l’onboarding di nuovi dipendenti, garantendo loro l’accesso immediato alle risorse necessarie. È particolarmente efficace per la gestione di partner e contrattisti, grazie alla possibilità di definire accessi temporanei e regolamentati. Supporta il lavoro remoto, consentendo agli utenti di accedere in modo sicuro alle applicazioni aziendali da qualsiasi luogo. Può facilitare le fusioni e acquisizioni aziendali, semplificando l’integrazione delle identità dei nuovi dipendenti. Infine, è un elemento chiave per la trasformazione digitale, accelerando l’adozione di servizi cloud senza compromettere la sicurezza.
L’assenza di un sistema efficace di Identity Governance può esporre un’azienda a gravi rischi di sicurezza. Utenti con privilegi eccessivi possono rappresentare un pericolo, aumentando le possibilità di accessi non autorizzati a dati sensibili. Il mancato controllo sugli accessi può portare a violazioni di conformità, con conseguenti sanzioni finanziarie e danni reputazionali. Una gestione inefficace delle identità può inoltre creare difficoltà operative, rallentando il lavoro dei dipendenti e aumentando il rischio di errori umani. Senza un sistema centralizzato, il monitoraggio e la protezione degli accessi diventano più complessi, lasciando l’organizzazione vulnerabile a minacce informatiche.
Entra ID Governance offre un’integrazione completa con l’ecosistema Microsoft, garantendo una gestione delle identità digitale sicura ed efficiente. Le sue funzionalità avanzate permettono di automatizzare la gestione degli accessi, ridurre il rischio di esposizione ai dati sensibili e semplificare il rispetto delle normative aziendali. La capacità di adattarsi alle esigenze specifiche di ogni organizzazione lo rende una delle soluzioni più affidabili per proteggere le identità digitali e migliorare la sicurezza aziendale.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
