Capire come funzionano i ruoli in Entra ID assume un'importanza cruciale in un contesto in cui la sicurezza informatica e l'efficienza operativa sono prioritarie. Questi ruoli definiscono le responsabilità e i permessi assegnati agli utenti, consentendo di gestire le identità, l'accesso alle risorse e la conformità alle normative. In questo articolo, esploreremo i ruoli disponibili, le loro funzioni principali e le best practice per utilizzarli in modo efficace in azienda.
Nella cybersecurity, il principio del minimo privilegio è un pilastro fondamentale, che promuove l'accesso minimo necessario affinché gli utenti possano svolgere le loro funzioni.
Tuttavia, in ambienti IT complessi, alcuni ruoli richiedono privilegi elevati per gestire e mantenere efficacemente i sistemi.
Gli amministratori di Entra ID sono ben consapevoli dei rischi associati agli account utente che detengono le "chiavi del regno", come quando vengono assegnati al ruolo di Amministratore Globale o ad altri ruoli di amministratore dei servizi.
È altrettanto importante ricordare che anche le applicazioni e gli utenti delegati alla loro gestione sono a rischio e devono essere protetti con attenzione.
Tra i ruoli privilegiati all'interno di Microsoft Entra si trovano il ruolo di Amministratore delle Applicazioni (Application Administrator), quello di Amministratore delle Applicazioni Cloud (Cloud Application Administrator) e il ruolo di Proprietario (Owner).
Questi ruoli in Microsoft Entra conferiscono un potere significativo e, di conseguenza, comportano rischi elevati. È fondamentale gestire e supervisionare questi ruoli con la massima cura.
Vediamo quindi di esaminare cosa sono i ruoli e come la scorretta gestione dei ruoli amministrativi può renderli il punto focale di attacchi mirati al furto di credenziali. Il controllo su di essi può garantire un accesso illimitato a dati sensibili e sistemi critici.
L'accesso con privilegi eccessivi può rappresentare un rischio significativo per le Microsoft Entra Enterprise Apps e i dati della tua organizzazione. I ruoli di Microsoft Entra che concedono accesso amministrativo comportano grande responsabilità e rischio.
I rischi associati all'accesso amministrativo sono molteplici. Gli amministratori con privilegi elevati possono apportare modifiche a livello di sistema, installare software e accedere a dati sensibili.
Quando agli utenti vengono concessi più privilegi del necessario, seppur utili per manutenzione e gestione, si crea una condizione nota come "accesso con privilegi eccessivi", che rappresenta un rischio significativo per le organizzazioni perché apre diverse vulnerabilità di sicurezza.
Questo eccesso di privilegi può essere sfruttato da attori malevoli o portare a minacce interne non intenzionali. I rischi associati all'accesso con privilegi eccessivi includono accesso non autorizzato ai dati, manipolazione dei dati e potenziali interruzioni estese dei sistemi.
Una recente guida sulle operazioni di sicurezza di Microsoft Entra per le applicazioni sottolinea l'importanza di monitorare gli eventi delle applicazioni per prevenire violazioni. La guida evidenzia che, sebbene le applicazioni non siano spesso prese di mira quanto gli account utente, esse presentano una superficie di attacco che deve essere sorvegliata con attenzione.
Si raccomanda un monitoraggio continuo e l'attivazione di avvisi sugli eventi delle applicazioni per prevenire che applicazioni malevole ottengano accesso ai dati non autorizzato e per proteggerle da compromissioni da parte di attori malevoli.
Un altro aspetto del rischio è l'escalation dei privilegi, in cui i malintenzionati abusano di registrazioni di applicazioni altamente privilegiate per passare rapidamente da account di livello inferiore a account di amministratore globale. Questo tipo di attacco può essere particolarmente dannoso, poiché consente un accesso rapido ed esteso all'ambiente IT di un'organizzazione.
Gli attaccanti hanno sfruttato registrazioni di applicazioni altamente privilegiate per ottenere un'escalation dei privilegi all'interno dell'ambiente IT di un'organizzazione. Passando da account di livello inferiore ad account di amministratore globale, hanno ottenuto accesso esteso a dati e sistemi sensibili.
È per queste ragioni e tante, tante altre che è necessario comprendere a fondo cosa sono i ruoli, come assegnarli correttamente e come operano all’interno dell’infrastruttura di sicurezza di Entra ID. E nelle prossime sezioni vedremo di fare esattamente questo.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Quindi, che cos’è un ruolo esattamente? Altro non è che una raccolta di autorizzazioni. Un ruolo elenca le operazioni che possono essere eseguite sulle risorse di Microsoft Entra, come creare, leggere, aggiornare ed eliminare.
Al momento, esistono circa 80 ruoli predefiniti (ma in costante aumento) in Microsoft Entra, ossia ruoli con un set fisso di autorizzazioni.
Per integrare i ruoli predefiniti, Microsoft Entra ID supporta anche l’aggiunta di custom roles da parte degli amministratori per esigenze particolari; tuttavia, questi richiedono una licenza Entra ID P1 o P2.
Si possono usare i custom roles per selezionare le autorizzazioni di ruolo che si desiderano e sono al momento limitati a 500 per tenant.
Concedere autorizzazioni usando i custom roles di Microsoft Entra è un processo in due fasi:
Una custom role definition è una raccolta di autorizzazioni che puoi aggiungere da un elenco predefinito. Queste autorizzazioni sono le stesse utilizzate nei ruoli predefiniti.
Una volta creata una custom role definition (o utilizzato un ruolo predefinito), è possibile assegnarla a un utente creando una nuova role assignment.
Una role assignment concede all'utente le autorizzazioni contenute in una role definition per uno specifico scope. Questo processo in due fasi consente di creare una singola role definition e assegnarla più volte a diversi scope.
Uno scope definisce l'insieme di risorse Microsoft Entra a cui il membro del ruolo ha accesso.
Lo scope più comune è l'organization-wide scope (org-wide), che assegna le autorizzazioni di ruolo su tutte le risorse dell'organizzazione. Un custom role può anche essere assegnato a livello di object scope. Un esempio di object scope potrebbe essere una singola applicazione.
Una role assignment è una risorsa di Microsoft Entra che collega una role definition a un security principal in uno specifico scope per concedere accesso alle risorse di Microsoft Entra. L'accesso viene concesso creando una role assignment e revocato rimuovendola.
Alla base, una role assignment è composta da tre elementi:
Puoi creare e visualizzare le role assignments utilizzando il Microsoft Entra admin center, Microsoft Graph PowerShell, Microsoft Graph API e Azure CLI (attraverso l’estensione “az entra”).
Microsoft Entra ID offre diverse opzioni per assegnare ruoli:
Comprendere le capacità e il potenziale impatto di ciascun ruolo amministrativo è fondamentale. Le autorizzazioni con l’etichetta PRIVILEGED aiutano a identificare le autorizzazioni che possono elevare i privilegi se non utilizzate in modo previsto e sicuro.
Quali sono alcuni di questi ruoli privilegiati in Microsoft Entra ID relativi alle Enterprise Applications e alle App Registrations?
Se accedi all’Admin Center di Entra e si procede su Identity > Roles and Admins, è possibile filtrare i ruoli per servizio (in questo caso, "Applications") e ottenere un elenco filtrato dei ruoli applicabili alle applicazioni. Dopo aver filtrato la visualizzazione, si otterrà un elenco di ruoli, alcuni dei quali sono privilegiati.
Vediamo adesso di fare una breve panoramica dei principali ruoli amministrativi per capire qual è il loro funzionamento.
Il primo built-in role nell'elenco è il ruolo di Application Administrator. Questo ruolo si occupa tipicamente di gestire l'accesso degli utenti, configurare le impostazioni dell'applicazione e garantire la disponibilità e la sicurezza dell'applicazione.
Si tratta di un ruolo a livello di directory che ha accesso ereditato a tutte le enterprise apps e le app registrations e può essere assegnato solo a livello di directory.
Questo ruolo è privilegiato e può concedere consenso per delegated permissions e application permissions, ad eccezione delle application permissions relative a tenant-level graph permissions, che richiedono un ruolo più privilegiato, come il Global Administrator.
Il ruolo di Application Administrator può aggiungere credenziali a un'applicazione, consentendo di impersonare l'identità dell'applicazione.
Se un'applicazione dispone di abilità privilegiate, un utente assegnato al ruolo di Application Administrator potrebbe impersonarla ed eseguire azioni elevate, come creare o aggiornare utenti o altri oggetti.
Dopo gli aggiornamenti dell’anno passato, il ruolo può anche gestire le certificazioni di accesso alle app a cui ha accesso, una funzionalità importantissima per le operazioni di governance.
Successivamente troviamo il ruolo di Application Developer. Gli utenti con il ruolo di Application Developer possono creare e gestire autonomamente le application registrations. Questo accesso include la configurazione dei metodi di autenticazione, delle autorizzazioni e di altre impostazioni delle applicazioni.
Anche il ruolo di Application Developer è un ruolo a livello di directory.
Gli Application Developer possono registrare web API, applicazioni mobile, single-page applications (SPA) e altro ancora.
Gli Application Developer assegnano autorizzazioni alle applicazioni. Queste autorizzazioni determinano quali risorse (come API, dati utente o altri servizi) un'applicazione può accedere.
Possono concedere delegated permissions (agendo per conto degli utenti) o application permissions (agendo in modo indipendente). Gli utenti con questo ruolo possono fornire consenso alle app permissions per sé stessi o per conto di altri.
Possono gestire i client secrets associati alle app registrations. Tuttavia, l'Application Developer non può apportare alcune modifiche alle Enterprise Applications, poiché queste richiedono autorizzazioni elevate che il ruolo non possiede.
Il ruolo di Cloud Application Administrator è simile al ruolo di Application Administrator, ma con un focus sui servizi basati sul cloud. Questo ruolo si concentra esclusivamente sulla gestione delle applicazioni ospitate nel cloud e non include la possibilità di gestire l'application proxy.
Questo ruolo consente di creare e gestire tutti gli aspetti delle enterprise applications e delle app registrations. Può essere assegnato sia a livello di directory che a livello di singola applicazione.
Il ruolo di owner spesso detiene il livello più alto di privilegi. Gli owner possono prendere decisioni cruciali sulla configurazione dell'applicazione, sui ruoli utente e sulle politiche di gestione dei dati. Il ruolo di owner ha gli stessi privilegi degli Application Administrators, ma è limitato a un'applicazione specifica.
Gli utenti vengono automaticamente assegnati come owner quando aggiungono una nuova enterprise application. Come owner, hanno la possibilità di gestire la configurazione specifica del tenant dell'applicazione, inclusi le impostazioni di Single Sign-On (SSO), il provisioning e l'assegnazione degli utenti.
Gli owner possono anche aggiungere o rimuovere altri owner. A differenza di chi ha il ruolo di Application Administrator, gli owner possono gestire solo le applicazioni che possiedono.
Attualmente, solo utenti singoli sono supportati come owner delle applicazioni. L'assegnazione di gruppi come owner non è ancora supportata.
Per elencare tutte le Enterprise applications di cui un utente è delegato come owner in Microsoft Entra ID, basterà seguire questi passaggi:
Questo mostrerà un elenco delle applicazioni associate all'owner specificato. Questi sono i built-in roles; è possibile creare custom roles e assegnare questi ruoli agli utenti, tuttavia bisogna prestare attenzione, poiché le autorizzazioni privilegiate possono essere assegnate inavvertitamente a un custom role creando possibili falle nella sicurezza dei propri sistemi.
Ora che conosciamo meglio i ruoli e il loro compito all’interno delle infrastrutture di sicurezza digitali è arrivato il momento di capire come utilizzarli al meglio.
Per mitigare i rischi associati ai privilegi amministrativi, gli Admin Entra ID dovrebbero implementare le seguenti migliori pratiche:
La comprensione del funzionamento dei propri strumenti di Cybersecurity e dei principi su cui sono basati è fondamentale per poter garantire alla propria azienda la migliore postura di sicurezza possibile in un’epoca dove le minacce alla sicurezza informatica sono più agguerrite che mai.
Comprendendo i ruoli che stanno alla base delle politiche di accesso di Entra ID e implementando le migliori pratiche per la gestione degli accessi privilegiati, le organizzazioni possono proteggere i loro sistemi dai pericoli intrinseci dei privilegi elevati.
Si tratta di un equilibrio delicato tra dare potere a coloro che mantengono i nostri sistemi e proteggere l'integrità e la sicurezza dei nostri beni digitali. Un equilibrio che va imparato a conoscere e rispettare se non si vuole perdere la propria reputazione oltre al proprio tempo e denaro.
Gli Entra ID Roles sono ruoli amministrativi in Microsoft Entra ID che determinano i permessi e le operazioni che un utente può eseguire sulle risorse dell’organizzazione. Servono per gestire in modo sicuro l’accesso e garantire il rispetto delle policy aziendali.
Questi ruoli permettono di limitare l’accesso degli utenti alle sole risorse necessarie, riducendo il rischio di accessi non autorizzati e di attacchi informatici. Applicando il principio del minimo privilegio, si evita che utenti con privilegi eccessivi possano diventare bersagli per escalation di privilegi o violazioni di dati.
Tra i ruoli più rilevanti ci sono l’Application Administrator, che gestisce l’accesso e le impostazioni delle applicazioni aziendali, il Cloud Application Administrator, che si occupa esclusivamente delle applicazioni cloud, l’Application Developer, che può creare e configurare nuove app registrate, e l’Owner, che ha il massimo livello di controllo su un’applicazione specifica.
Gli utenti con ruoli amministrativi avanzati possono accedere a dati sensibili, modificare configurazioni di sistema e installare software, rendendo questi account obiettivi di attacchi mirati. L’accesso con privilegi eccessivi può portare a escalation di privilegi, manipolazione delle informazioni e interruzioni del servizio. Anche le applicazioni devono essere monitorate attentamente, perché possono essere sfruttate come vettori di attacco.
I ruoli possono essere assegnati direttamente a un utente oppure a un gruppo, semplificando la gestione degli accessi. Con Entra ID P2, è possibile utilizzare Privileged Identity Management per concedere accessi temporanei ai ruoli, migliorando il controllo sugli utenti con privilegi elevati.
I Custom Roles sono ruoli personalizzati creati per rispondere a esigenze specifiche dell’organizzazione. Consentono di assegnare permessi selezionati invece di utilizzare solo quelli predefiniti da Microsoft. Per creare e utilizzare i Custom Roles è necessaria una licenza Entra ID P1 o P2.
Per garantire una gestione sicura, è fondamentale eseguire audit periodici per verificare che gli utenti abbiano i privilegi adeguati, attivare l’autenticazione multi-fattore per tutti gli account amministrativi e adottare il principio del minimo privilegio per limitare l’accesso solo alle operazioni strettamente necessarie. È altrettanto importante monitorare gli accessi e attivare notifiche per rilevare attività sospette, oltre a segmentare i ruoli amministrativi per evitare che una compromissione possa avere un impatto su tutta l’infrastruttura.
Sì, gli amministratori possono gestire, modificare o rimuovere un ruolo assegnato utilizzando il Microsoft Entra admin center, Microsoft Graph PowerShell, Microsoft Graph API o Azure CLI.
L’Application Administrator ha il controllo completo sulle applicazioni aziendali ed è in grado di gestire più applicazioni, mentre un Owner ha gli stessi privilegi ma è limitato a una sola applicazione specifica.
Microsoft Entra mette a disposizione strumenti avanzati come Privileged Identity Management per assegnare ruoli in modo temporaneo, Administrative Units per segmentare i ruoli nelle grandi organizzazioni e log di monitoraggio per tracciare tutte le attività degli utenti con privilegi amministrativi.
Per verificare quali ruoli sono stati assegnati a un utente, è possibile accedere al Microsoft Entra admin center e navigare nella sezione Identity > Roles and Admins. In alternativa, si possono usare Microsoft Graph PowerShell o Azure CLI per ottenere le informazioni via riga di comando.
Attualmente Microsoft Entra ID offre circa 80 ruoli predefiniti, ma il numero è in costante crescita per adattarsi alle nuove esigenze di sicurezza e gestione.
Sì, assegnare un ruolo a un gruppo consente di semplificare la gestione degli accessi e garantire che tutti i membri del gruppo abbiano gli stessi permessi. Questa funzionalità è disponibile con Entra ID P1 ed E3/E5.
Se un account con privilegi elevati viene violato, un attaccante potrebbe ottenere accesso a informazioni critiche, modificare configurazioni aziendali o persino interrompere i servizi IT. Per mitigare questo rischio, è essenziale attivare l’autenticazione multi-fattore, limitare l’uso di account amministrativi e monitorare costantemente le attività sospette.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
