Definire una strategia di protezione dei dati per la soluzione ibrida di gestione delle identitàDefine data protection strategy for your hybrid identity solution

In questa attività verrà definita la strategia di protezione dati in modo che la soluzione ibrida di gestione delle identità soddisfi i requisiti aziendali definiti in:In this task, you’ll define the data protection strategy for your hybrid identity solution to meet the business requirements that you defined in:

Definire le opzioni di protezione datiDefine data protection options

Come descritto in Determinare i requisiti di sincronizzazione della directory, è possibile sincronizzare Microsoft Azure AD con l'istanza locale di Active Directory Domain Services.As explained in Determine directory synchronization requirements, Microsoft Azure AD can synchronize with your on-premises Active Directory Domain Services (AD DS). Questa integrazione consente alle organizzazioni di usare Azure Active Directory per verificare le credenziali degli utenti quando tentano di accedere alle risorse aziendali.This integration lets organizations use Azure AD to verify users' credentials when they are trying to access corporate resources. Questa operazione può essere eseguita per entrambi gli scenari: dati inattivi in locale e nel cloud.You can do this for both scenarios: data at rest on-premises and in the cloud. L'accesso ai dati in Azure AD richiede l'autenticazione utente tramite un servizio token di sicurezza.Access to data in Azure AD requires user authentication via a security token service (STS).

Dopo aver eseguito l'autenticazione, il nome dell'entità utente (UPN) viene letto dal token di autenticazione.Once authenticated, the user principal name (UPN) is read from the authentication token. Il sistema di autorizzazione determina quindi la partizione replicata e il contenitore corrispondenti al dominio dell'utente.Then, the authorization system determines the replicated partition and container corresponding to the user’s domain. Le informazioni relative a esistenza, stato abilitato e ruolo dell'utente vengono usate dal sistema di autorizzazione per determinare se l'accesso richiesto al tenant di destinazione è autorizzato per l'utente in questa sessione.Information on the user’s existence, enabled state, and role then helps the authorization system determine whether access to the target tenant is authorized for the user in that session. Determinate azioni autorizzate (in particolare, creazione di utenti e reimpostazione della password) creano un audit trail che può essere usato da un amministratore del tenant per la gestione della conformità o svolgere indagini.Certain authorized actions (specifically, create user and password reset) create an audit trail that a tenant administrator then uses to manage compliance efforts or investigations.

Non sempre l'operazione di spostamento di dati dal data center locale al servizio di archiviazione di Azure tramite una connessione Internet potrebbe risultare fattibile, a causa del volume di dati, della disponibilità della larghezza di banda o di altre considerazioni.Moving data from your on-premises datacenter into Azure Storage over an Internet connection may not always be feasible due to data volume, bandwidth availability, or other considerations. Il servizio di importazione/esportazione di Archiviazione di Azure fornisce un'opzione basata su hardware per spostare grandi quantità di dati nell'archivio BLOB o per recuperarli da esso.The Azure Storage Import/Export Service provides a hardware-based option for placing/retrieving large volumes of data in blob storage. Consente di inviare unità disco rigido crittografate tramite BitLocker direttamente in un data center di Azure dove gli operatori cloud caricano il contenuto nell'account di archiviazione o scaricano i dati di Azure nelle unità per restituirle all'utente.It allows you to send BitLocker-encrypted hard disk drives directly to an Azure datacenter where cloud operators upload the contents to your storage account, or they can download your Azure data to your drives to return to you. Per questo processo vengono accettati solo i dischi crittografati, tramite una chiave BitLocker generata dal servizio stesso durante la configurazione del processo.Only encrypted disks are accepted for this process (using a BitLocker key generated by the service itself during the job setup). La chiave BitLocker viene fornita ad Azure separatamente, per consentire la condivisione della chiave fuori banda.The BitLocker key is provided to Azure separately, thus providing out of band key sharing.

Poiché gli scenari in cui vengono riscontrati dati in transito sono diversi, è importante sapere che Microsoft Azure usa reti virtuali per isolare il traffico dei tenant l'uno dall'altro, adottando misure quali firewall a livello di host e di guest, filtro dei pacchetti IP, blocco delle porte ed endpoint HTTPS.Since data in transit can take place in different scenarios, is also relevant to know that Microsoft Azure uses virtual networking to isolate tenants’ traffic from one another, employing measures such as host- and guest-level firewalls, IP packet filtering, port blocking, and HTTPS endpoints. Tuttavia, la maggior parte delle comunicazioni interne di Azure, incluse quelle da infrastruttura a infrastruttura e da infrastruttura a cliente (locale), sono crittografate.However, most of Azure’s internal communications, including infrastructure-to-infrastructure and infrastructure-to-customer (on-premises), are also encrypted. Un altro importante scenario è quello relativo alle comunicazioni tra data center di Azure. In questo caso, Microsoft gestisce le reti per assicurarsi che nessuna macchina virtuale possa rappresentare o rimanere in ascolto sull'indirizzo IP di un'altra.Another important scenario is the communications within Azure datacenters; Microsoft manages networks to assure that no VM can impersonate or eavesdrop on the IP address of another. Viene usata l'autenticazione TLS/SSL per l'accesso all'archiviazione di Azure o ai database SQL o per la connessione ai servizi cloud.TLS/SSL is used when accessing Azure Storage or SQL Databases, or when connecting to Cloud Services. In questo caso, l'amministratore del cliente dovrà ottenere un certificato TLS/SSL e distribuirlo nella propria infrastruttura tenant.In this case, the customer administrator is responsible for obtaining a TLS/SSL certificate and deploying it to their tenant infrastructure. Il traffico di dati tra macchine virtuali nella stessa distribuzione o tra tenant in una singola distribuzione tramite rete virtuale di Microsoft Azure può essere protetto usando protocolli di comunicazione crittografati, ad esempio HTTPS, SSL/TLS o altri.Data traffic moving between Virtual Machines in the same deployment or between tenants in a single deployment via Microsoft Azure Virtual Network can be protected through encrypted communication protocols such as HTTPS, SSL/TLS, or others.

A seconda delle risposte fornite alle domande nella sezione Determinare i requisiti di protezione dati, sarà possibile stabilire come si vogliono proteggere i dati e qual è il supporto che la soluzione di gestione delle identità può offrire in tal senso.Depending on how you answered the questions in Determine data protection requirements, you should be able to determine how you want to protect your data and how the hybrid identity solution can assist you with that process. La tabella seguente illustra le opzioni supportate da Azure disponibili per ogni scenario di protezione dati.The following table shows the options supported by Azure that are available for each data protection scenario.

Opzioni di protezione datiData protection options Inattivi nel cloudAt rest in the cloud Inattivi in localeAt rest on-premises In transitoIn transit
Crittografia unità BitLockerBitLocker Drive Encryption XX XX
SQL Server per la crittografia dei databaseSQL Server to encrypt databases XX XX
Crittografia da VM a VMVM-to-VM Encryption XX
SSL/TLSSSL/TLS XX
VPNVPN XX

Nota

Per altre informazioni sulle garanzie relative alla conformità per ogni servizio di Azure, vedere Conformità in base al prodotto nel Centro protezione di Microsoft Azure.Read Compliance by Feature at Microsoft Azure Trust Center to know more about the certifications that each Azure service is compliant with. Poiché le opzioni per la protezione dei dati usano un approccio multilivello, il confronto tra tali opzioni non è applicabile per questa attività.Since the options for data protection use a multilayer approach, comparison between those options are not applicable for this task. Assicurarsi di usare tutte le opzioni disponibili per ogni stato dei dati.Ensure that you are leveraging all options available for each state of the data.

Definire le opzioni di gestione del contenutoDefine content management options

Uno dei vantaggi derivanti dall'uso di Azure AD per gestire un'infrastruttura ibrida di gestione delle identità sta nel fatto che il processo è completamente trasparente dal punto di vista dell'utente finale.One advantage of using Azure AD to manage a hybrid identity infrastructure is that the process is fully transparent from the end user’s perspective. L'utente tenta di accedere a una risorsa condivisa, la risorsa richiede l'autenticazione, quindi l'utente deve inviare una richiesta di autenticazione ad Azure AD per ottenere il token e accedere alla risorsa.The user tries to access a shared resource, the resource requires authentication, the user has to send an authentication request to Azure AD in order to obtain the token and access the resource. Questo processo viene eseguito in background, senza alcuna interazione dell'utente.This entire process happens in the background, without user interaction. È anche possibile concedere l'autorizzazione a un gruppo di utenti per consentire loro di eseguire determinate azioni comuni.It is also possible to grant permission to a group of users in order to allow them to perform certain common actions.

Le organizzazioni che si preoccupano circa la privacy dei dati, richiedono in genere la classificazione dei dati per la soluzione da adottare.Organizations that are concern about data privacy usually require data classification for their solution. Se l'infrastruttura locale corrente adotta già la classificazione dei dati, è possibile usare Azure AD come repository principale per le identità degli utenti.If their current on-premises infrastructure is already using data classification, it is possible to use Azure AD as the main repository for the user’s identity. Uno strumento comune usato in locale per la classificazione dati è Data Classification Toolkit per Windows Server 2012 R2.A common tool that it is used on-premises for data classification is called Data Classification Toolkit for Windows Server 2012 R2. Questo strumento consente di identificare, classificare e proteggere i dati nei file server del cloud privato.This tool can help to identify, classify, and protect data on file servers in your private cloud. Per questo scopo, è anche possibile usare la funzionalità di classificazione file automatica in Windows Server 2012.It is also possible to use the Automatic File Classification in Windows Server 2012 to accomplish this task.

Se l'organizzazione non ha implementato una soluzione di classificazione dei dati ma ha la necessità di proteggere i file sensibili senza aggiungere nuovi server locali, è disponibile Microsoft Azure Rights Management Service.If your organization doesn’t have data classification in place but needs to protect sensitive files without adding new Servers on-premises, they can use Microsoft Azure Rights Management Service. Azure RMS usa infatti criteri di crittografia, identità e autorizzazione in grado di proteggere file e posta elettronica e può essere usato su più dispositivi, inclusi telefoni, tablet e PC.Azure RMS uses encryption, identity, and authorization policies to help secure your files and email, and it works across multiple devices—phones, tablets, and PCs. Poiché Azure RMS è un servizio cloud, per poter condividere contenuti protetti con altre organizzazioni non è necessario configurare esplicitamente dei trust con queste ultime.Because Azure RMS is a cloud service, there’s no need to explicitly configure trusts with other organizations before you can share protected content with them. Se queste organizzazioni dispongono già di una directory di Office 365 o di Azure AD, la collaborazione tra organizzazioni è supportata automaticamente.If they already have an Office 365 or an Azure AD directory, collaboration across organizations is automatically supported. È anche possibile sincronizzare solo gli attributi della directory richiesti da Azure RMS per supportare un'identità comune per gli account Active Directory locali usando i servizi di sincronizzazione di Azure Active Directory (AAD Sync) o Azure AD Connect.You can also synchronize just the directory attributes that Azure RMS needs to support a common identity for your on-premises Active Directory accounts, by using Azure Active Directory Synchronization Services (AAD Sync) or Azure AD Connect.

Per un'efficace gestione del contenuto, è necessario sapere chi accede a una determinata risorsa, di conseguenza la soluzione di gestione delle identità deve includere funzionalità di registrazione avanzate.A vital part of content management is to understand who is accessing which resource, therefore a rich logging capability is important for the identity management solution. Azure AD fornisce la registrazione delle informazioni seguenti per un periodo di oltre 30 giorni:Azure AD provides log over 30 days including:

  • Modifiche all'appartenenza dei ruoli, ad esempio utenti aggiunti al ruolo amministratore globaleChanges in role membership (ex: user added to Global Admin role)
  • Aggiornamenti delle credenziali, ad esempio modifiche delle passwordCredential updates (ex: password changes)
  • Gestione dei domini, ad esempio verifica di un dominio personalizzato, rimozione di un dominioDomain management (ex: verifying a custom domain, removing a domain)
  • Aggiunta o rimozione di applicazioniAdding or removing applications
  • Gestione di utenti, ad esempio aggiunta, rimozione o aggiornamento di un utenteUser management (ex: adding, removing, updating a user)
  • Aggiunta o rimozione di licenzeAdding or removing licenses

Nota

Per altre informazioni sulle funzionalità di registrazione in Azure, vedere l'articolo relativo alla gestione dei log di controllo e sicurezza di Microsoft Azure .Read Microsoft Azure Security and Audit Log Management to know more about logging capabilities in Azure. A seconda delle risposte fornite alle domande nella sezione Determinare i requisiti di gestione del contenuto, sarà possibile stabilire come si vuole che il contenuto venga gestito nella soluzione ibrida di gestione delle identità.Depending on how you answered the questions in Determine content management requirements, you should be able to determine how you want the content to be managed in your hybrid identity solution. Sebbene tutte le opzioni esposte nella tabella 6 possano essere integrate con Azure AD, è importante definire quella più appropriata in base alle esigenze aziendali.While all options exposed in Table 6 are capable of integrating with Azure AD, it is important to define which is more appropriate for your business needs.

Opzioni di gestione del contenutoContent management options VantaggiAdvantages Svantaggi:Disadvantages
Centralizzata locale (server Active Directory Rights Management)Centralized on-premises (Active Directory Rights Management Server) Controllo completo sull'infrastruttura server responsabile della classificazione dei dati Full control over the server infrastructure responsible for classifying the data
Funzionalità predefinita in Windows Server, senza necessità di licenza o sottoscrizione supplementareBuilt-in capability in Windows Server, no need for extra license or subscription
Può essere integrato con Azure AD in uno scenario ibridoCan be integrated with Azure AD in a hybrid scenario
Supporta la funzionalità Information Rights Management (IRM) nei servizi Microsoft Online come Exchange Online e SharePoint Online, nonché Office 365Supports information rights management (IRM) capabilities in Microsoft Online services such as Exchange Online and SharePoint Online, as well as Office 365
Supporta i prodotti server Microsoft locali, ad esempio Exchange Server, SharePoint Server e file server che eseguono Windows Server e Infrastruttura di classificazione file.Supports on-premises Microsoft server products, such as Exchange Server, SharePoint Server, and file servers that run Windows Server and File Classification Infrastructure (FCI).
Manutenzione più elevata (aggiornamenti, configurazioni e potenziali aggiornamenti di versione), poiché il server è di proprietà del reparto ITHigher maintenance (keep up with updates, configuration and potential upgrades), since IT owns the Server
Richiede un'infrastruttura di server localeRequire a server infrastructure on-premises
Non usa le funzionalità di Azure in modo nativoDoesn’t leverage Azure capabilities natively
Centralizzata nel cloud (Azure RMS)Centralized in the cloud (Azure RMS) Più facile da gestire rispetto alla soluzione locale Easier to manage compared to the on-premises solution
Può essere integrato con Servizi di dominio Active Directory in uno scenario ibridoCan be integrated with AD DS in a hybrid scenario
Completamente integrato con Azure Active DirectoryFully integrated with Azure AD
Non richiede un server locale per distribuire il servizioDoesn’t require a server on-premises in order to deploy the service
Supporta i prodotti server Microsoft locali, ad esempio Exchange Server, SharePoint Server e file server che eseguono Windows Server e Infrastruttura di classificazione fileSupports on-premises Microsoft server products such as Exchange Server, SharePoint, Server, and file servers that run Windows Server and File Classification, Infrastructure (FCI)
Il reparto IT ha il controllo completo sulla chiave del tenant grazie alla funzionalità BYOK (Bring Your Own Key).IT, can have complete control over their tenant’s key with BYOK capability.
L'organizzazione deve avere una sottoscrizione cloud che supporta RMS Your organization must have a cloud subscription that supports RMS
L'organizzazione deve avere una directory di Azure AD per supportare l'autenticazione utente per RMSYour organization must have an Azure AD directory to support user authentication for RMS
Ibrida (soluzione Azure RMS integrata con un server Active Directory Rights Management locale)Hybrid (Azure RMS integrated with, On-Premises Active Directory Rights Management Server) Questo scenario combina i vantaggi di entrambe le opzioni precedenti, centralizzata locale e nel cloud.This scenario accumulates the advantages of both, centralized on-premises and in the cloud. L'organizzazione deve avere una sottoscrizione cloud che supporta RMS Your organization must have a cloud subscription that supports RMS
L'organizzazione deve avere una directory di Azure AD per supportare l'autenticazione utente per RMS,Your organization must have an Azure AD directory to support user authentication for RMS,
Richiede una connessione tra il servizio cloud di Azure e l'infrastruttura localeRequires a connection between Azure cloud service and on-premises infrastructure

Definire le opzioni di controllo di accessoDefine access control options

Le funzionalità di autenticazione, autorizzazione e controllo di accesso disponibili in Azure AD consentono alla società di usare un repository delle identità centralizzato e al contempo permettono a utenti e partner di usare l'accesso Single Sign-On (SSO), come illustrato nella figura seguente:By leveraging the authentication, authorization and access control capabilities available in Azure AD you can enable your company to use a central identity repository while allowing users and partners to use single sign-on (SSO) as shown in the following figure:

Gestione centralizzata e integrazione completa con altre directoryCentralized management and fully integration with other directories

Azure Active Directory offre l'accesso Single Sign-On a migliaia di applicazioni SaaS e di applicazioni Web locali.Azure Active Directory provides single sign-on to thousands of SaaS applications and on-premises web applications. Per altre informazioni sull'accesso Single Sign-On con provider di terze parti testati da Microsoft, vedere l'elenco di compatibilità per la federazione di Azure Active Directory: provider di identità di terze parti che possono essere usati per implementare l'accesso Single Sign-On.See the Azure Active Directory federation compatibility list: third-party identity providers that can be used to implement single sign-on article for more details about the SSO third-party that were tested by Microsoft. Questa funzionalità consente alle organizzazioni di implementare una vasta gamma di scenari B2B mantenendo il controllo della gestione delle identità e degli accessi.This capability enables organization to implement a variety of B2B scenarios while keeping control of the identity and access management. Tuttavia, durante il processo di progettazione B2B è importante comprendere il metodo di autenticazione che verrà usato dal partner e verificare se questo metodo è supportato da Azure.However, during the B2B designing process, is important to understand the authentication method that is used by the partner and validate if this method is supported by Azure. Attualmente, i metodi seguenti sono supportati da Azure AD:Currently, the following methods are supported by Azure AD:

  • SAML (Security Assertion Markup Language)Security Assertion Markup Language (SAML)
  • OAuthOAuth
  • KerberosKerberos
  • TokensTokens
  • CertificatiCertificates

Nota

Per informazioni dettagliate su ogni protocollo e sulle relative funzionalità in Azure, leggere la pagina relativa ai protocolli di autenticazione di Azure Active Directory .read Azure Active Directory Authentication Protocols to know more details about each protocol and its capabilities in Azure.

Grazie al supporto di Azure AD, le applicazioni aziendali per dispositivi mobili possono usare la stessa esperienza di autenticazione semplificata a Servizi mobili per consentire ai dipendenti di accedere alle applicazioni per dispositivi mobili con le proprie credenziali Active Directory aziendali.Using the Azure AD support, mobile business applications can use the same easy Mobile Services authentication experience to allow employees to sign into their mobile applications with their corporate Active Directory credentials. Con questa funzionalità, Azure AD è supportato come un provider di identità in Servizi mobili, insieme agli altri provider di identità già supportati, ad esempio Account Microsoft, ID Facebook, ID Google e ID Twitter.With this feature, Azure AD is supported as an identity provider in Mobile Services alongside the other identity providers already supported (which include Microsoft Accounts, Facebook ID, Google ID, and Twitter ID). Se le app locali usano le credenziali dell'utente che risiedono nell'istanza di Active Directory Domain Services locale, l'accesso da partner e utenti provenienti dal cloud dovrebbe essere trasparente.If the on-premises apps use the user’s credential located at the company’s AD DS, the access from partners and users coming from the cloud should be transparent. È possibile gestire il controllo di accesso condizionale dell'utente alle applicazioni Web (basate sul cloud), alle API Web, ai servizi cloud Microsoft, alle applicazioni SaaS di terze parti e alle applicazioni client (per dispositivi mobili) native e usufruire al contempo delle funzionalità di sicurezza, controllo e creazione di report da un'unica posizione centralizzata.You can manage user’s conditional access control to (cloud-based) web applications, web API, Microsoft cloud services, third-party SaaS applications, and native (mobile) client applications, and have the benefits of security, auditing, reporting all in one place. È tuttavia consigliabile convalidare questa implementazione in un ambiente non di produzione o con un numero limitato di utenti.However, it is recommended to validate the implementation in a non-production environment or with a limited number of users.

Suggerimento

È importante tenere presente che in Azure AD non è disponibile la funzionalità Criteri di gruppo come in Servizi di dominio Active Directory.it is important to mention that Azure AD does not have Group Policy as AD DS has. Per imporre criteri per i dispositivi, sarà necessario adottare una soluzione per la gestione di dispositivi mobili, ad esempio Microsoft Intune.In order to enforce policy for devices, you need a mobile device management solution such as Microsoft Intune.

Dopo aver eseguito l'autenticazione dell'utente tramite Azure AD, è importante valutare il livello di accesso che verrà assegnato all'utente.Once the user is authenticated using Azure AD, it is important to evaluate the level of access that the user has. Il livello di accesso che verrà assegnato all'utente per una risorsa può variare.The level of access that the user has over a resource can vary. Sebbene Azure AD possa aggiungere un ulteriore livello di sicurezza controllando l'accesso ad alcune risorse, tenere presente che potrebbe essere stato definito un elenco di controllo di accesso separato per la risorsa stessa, ad esempio per l'accesso ai file che risiedono in un file server.While Azure AD can add an additional security layer by controlling access to some resources, keep in mind that the resource itself can also have its own access control list separately, such as the access control for files located in a File Server. La figura seguente riassume i livelli di controllo di accesso che possono essere impostati in uno scenario ibrido:The following figure summarizes the levels of access control that you can have in a hybrid scenario:

Ogni interazione nel diagramma illustrato nella figura X rappresenta uno scenario di controllo di accesso che può essere gestito da Azure AD.Each interaction in the diagram showed in Figure X represents one access control scenario that can be covered by Azure AD. Di seguito è mostrata una descrizione di ogni scenario:Below you have a description of each scenario:

  1. Accesso condizionale alle applicazioni ospitate in locale: è possibile usare i dispositivi registrati con criteri di accesso per le applicazioni configurate per l'uso di AD FS con Windows Server 2012 R2.Conditional Access to applications that are hosted on-premises: You can use registered devices with access policies for applications that are configured to use AD FS with Windows Server 2012 R2. Per altre informazioni su come configurare l'accesso condizionale in locale, vedere Configurazione dell'accesso condizionale in locale usando il servizio Registrazione del dispositivo di Azure Active Directory.For more information about setting up conditional access for on-premises, see Setting up On-premises Conditional Access using Azure Active Directory Device Registration.

  2. Controllo di accesso al portale di Azure: Azure consente inoltre di controllare l'accesso al portale tramite il controllo di accesso basato sui ruoli (RBAC)).Access Control to the Azure portal: Azure also lets you control access to the portal by using role-based access control (RBAC)). Questo metodo permette all'azienda di limitare il numero di operazioni che possono essere eseguite da un soggetto nel portale di Azure.This method enables the company to restrict the number of operations that an individual can do in the Azure portal. L'uso del controllo degli accessi in base al ruolo per controllare gli accessi al portale, permette agli amministratori IT di delegare l'accesso tramite gli approcci di gestione dell'accesso seguenti:By using RBAC to control access to the portal, IT Admins can delegate access by using the following access management approaches:

    • Assegnazione di ruolo basata su gruppo: è possibile assegnare l'accesso ai gruppi di Azure AD che possono essere sincronizzati dall'istanza di Active Directory locale.Group-based role assignment: You can assign access to Azure AD groups that can be synced from your local Active Directory. Questo consente di sfruttare gli investimenti esistenti dell'organizzazione in termini di strumenti e processi per la gestione dei gruppi.This lets you leverage the existing investments that your organization has made in tooling and processes for managing groups. È anche possibile usare la funzionalità di delega della gestione dei gruppi disponibile in Azure AD Premium.You can also use the delegated group management feature of Azure AD Premium.
    • Uso dei ruoli predefiniti in Azure: sono disponibili tre ruoli, proprietario, collaboratore e lettore, per garantire che utenti e gruppi siano autorizzati a eseguire solo le attività necessarie per svolgere il proprio lavoro.Use built-in roles in Azure: You can use three roles — Owner, Contributor, and Reader, to ensure that users and groups have permission to do only the tasks they need to do their jobs.
    • Accesso granulare alle risorse: è possibile assegnare ruoli a utenti e gruppi per una sottoscrizione, un gruppo di risorse o una singola risorsa di Azure specifica, ad esempio un sito Web o un database.Granular access to resources: You can assign roles to users and groups for a particular subscription, resource group, or an individual Azure resource such as a website or database. In questo modo, è possibile fare in modo che gli utenti possano accedere a tutte le risorse necessarie e non abbiano accesso alle risorse che invece non devono gestire.In this way, you can ensure that users have access to all the resources they need and no access to resources that they do not need to manage.

Nota

Gli sviluppatori che creano applicazioni e che vogliono personalizzare il controllo di accesso per tali applicazioni, possono usare i ruoli applicazione di Azure AD per l'autorizzazione.If you are building applications and want to customize the access control for them, it is also possible to use Azure AD Application Roles for authorization. Per informazioni su come progettare l'app per usare questa funzionalità, vedere l' esempio WebApp-RoleClaims-DotNet .Review this WebApp-RoleClaims-DotNet example on how to build your app to use this capability.

  1. Accesso condizionale per applicazioni di Office 365 con Microsoft Intune: gli amministratori IT possono eseguire il provisioning dei criteri di accesso condizionale dei dispositivi per proteggere le risorse aziendali, consentendo allo stesso tempo agli operatori dei sistemi informativi che usano dispositivi conformi di accedere ai servizi.Conditional Access for Office 365 applications with Microsoft Intune: IT admins can provision conditional access device policies to secure corporate resources, while at the same time allowing information workers on compliant devices to access the services. Per altre informazioni, vedere Criteri di accesso condizionale dei dispositivi per i servizi di Office 365.For more information, see Conditional Access Device Policies for Office 365 services.

  2. Accesso condizionale per app SaaS: questa funzionalità consente di configurare regole di accesso con autenticazione a più fattori per ogni applicazione e di bloccare l'accesso agli utenti di reti non attendibili.Conditional Access for Saas apps: This feature allows you to configure per-application multi-factor authentication access rules and the ability to block access for users not on a trusted network. La regola di autenticazione a più fattori può essere applicata a tutti gli utenti assegnati all'applicazione oppure solo agli utenti inclusi in gruppi di sicurezza specificati.You can apply the multi-factor authentication rules to all users that are assigned to the application, or only for users within specified security groups. Gli utenti possono essere esclusi dal requisito di autenticazione a più fattori se accedono all'applicazione da un indirizzo IP all'interno della rete dell'organizzazione.Users may be excluded from the multi-factor authentication requirement if they are accessing the application from an IP address that in inside the organization’s network.

Poiché le opzioni per il controllo di accesso usano un approccio multilivello, il confronto tra tali opzioni non è applicabile per questa attività.Since the options for access control use a multilayer approach, comparison between those options are not applicable for this task. Assicurarsi di usare tutte le opzioni disponibili per ogni scenario che richiede di controllare l'accesso alle risorse.Ensure that you are leveraging all options available for each scenario that requires you to control access to your resources.

Definire le opzioni di risposta agli eventi imprevistiDefine incident response options

Azure AD può supportare il reparto IT nelle procedure di identificazione di potenziali rischi di sicurezza nell'ambiente mediante il monitoraggio delle attività dell'utente.Azure AD can assist IT to identity potential security risks in the environment by monitoring user’s activity. Il reparto IT può usare i report di uso e accesso di Azure Active Directory per ottenere informazioni sull'integrità e sicurezza della directory dell'organizzazione.IT can use Azure AD Access and Usage reports to gain visibility into the integrity and security of your organization’s directory. Con queste informazioni un amministratore della directory può determinare le aree in cui possono risiedere i potenziali rischi per la sicurezza in modo da poterne pianificare adeguatamente l'attenuazione.With this information, an IT admin can better determine where possible security risks may lie so that they can adequately plan to mitigate those risks. sottoscrizione Azure AD Premium include un set di report di sicurezza che consentono al reparto IT di ottenere tali informazioni.Azure AD Premium subscription has a set of security reports that can enable IT to obtain this information. I report di Azure AD sono classificati nel modo seguente:Azure AD reports are categorized as follows:

  • Report anomalie: contengono eventi di accesso considerati anomali.Anomaly reports: Contain sign-in events that were found to be anomalous. L'obiettivo è rendere gli utenti consapevoli di tale attività e consentire loro di essere in grado di stabilire se un evento è sospetto.The goal is to make you aware of such activity and enable you to make a determination about whether an event is suspicious.
  • Report applicazioni integrate: fornisce informazioni dettagliate sul modo in cui vengono usate le applicazioni cloud nell'organizzazione.Integrated Application report: Provides insights into how cloud applications are being used in your organization. Azure Active Directory offre l'integrazione con migliaia di applicazioni cloud.Azure Active Directory offers integration with thousands of cloud applications.
  • Report di errori: segnalano gli errori che possono verificarsi durante il provisioning di account in applicazioni esterne.Error reports: Indicate errors that may occur when provisioning accounts to external applications.
  • Report specifici dell'utente: visualizzano i dati del dispositivo/dell'attività di accesso per un utente specifico.User-specific reports: Display device/sign in activity data for a specific user.
  • Log attività: contengono un record di tutti gli eventi controllati nelle ultime 24 ore, negli ultimi 7 giorni o negli ultimi 30 giorni, nonché le modifiche alle attività del gruppo e le attività di registrazione e di reimpostazione password.Activity logs: Contain a record of all audited events within the last 24 hours, last 7 days, or last 30 days, as well as group activity changes, and password reset and registration activity.

Suggerimento

Un altro report che può risultare utile per il team che gestisce le risposte per gli eventi imprevisti è il report Utenti con credenziali perse .Another report that can also help the Incident Response team working on a case is the user with leaked credentials report. Questo report evidenzia eventuali corrispondenze tra l'elenco delle credenziali perse e il tenant in uso.This report surfaces any matches between the leaked credentials list and your tenant.

Altri importanti report predefiniti disponibili in Azure AD che possono risultare utili per fornire le risposte durante l'analisi degli eventi imprevisti sono:Other important built-in reports in Azure AD that can be used during an incident response investigation and are:

  • Attività di reimpostazione password: fornisce all'amministratore informazioni dettagliate sul modo in cui la funzionalità di reimpostazione della password viene usata all'interno dell'organizzazione.Password reset activity: provide the admin with insights into how actively password reset is being used in the organization.
  • Attività di registrazione per la reimpostazione delle password: fornisce informazioni dettagliate sugli utenti che hanno registrato i propri metodi per la reimpostazione delle password e sui metodi selezionati.Password reset registration activity: provides insights into which users have registered their methods for password reset, and which methods they have selected.
  • Attività del gruppo: fornisce la cronologia delle modifiche apportate al gruppo, ad esempio utenti aggiunti o rimossi, avviate nel pannello di accesso.Group activity: provides a history of changes to the group (ex: users added or removed) that were initiated in the Access Panel.

Oltre alle funzionalità di creazione di report principali disponibili in Azure AD Premium che possono essere usate durante un processo di analisi per fornire le risposte relative agli eventi imprevisti, il reparto IT può usare anche il report di controllo che permette di ottenere le informazioni seguenti:In addition to the core reporting capability of Azure AD Premium that you can use during an Incident Response investigation process, IT can also take advantage of the Audit Report to obtain information such as:

  • Modifiche all'appartenenza dei ruoli, ad esempio utenti aggiunti al ruolo amministratore globaleChanges in role membership (for example, user added to Global Admin role)
  • Aggiornamenti delle credenziali, ad esempio modifiche delle passwordCredential updates (for example, password changes)
  • Gestione dei domini, ad esempio verifica di un dominio personalizzato, rimozione di un dominioDomain management (for example, verifying a custom domain, removing a domain)
  • Aggiunta o rimozione di applicazioniAdding or removing applications
  • Gestione di utenti, ad esempio aggiunta, rimozione o aggiornamento di un utenteUser management (for example, adding, removing, updating a user)
  • Aggiunta o rimozione di licenzeAdding or removing licenses

Poiché le opzioni per le risposte agli eventi imprevisti usano un approccio multilivello, il confronto tra tali opzioni non è applicabile per questa attività.Since the options for incident response use a multilayer approach, comparison between those options is not applicable for this task. Assicurarsi di usare tutte le opzioni disponibili per ogni scenario che richiede l'uso della funzionalità di creazione di report di Azure AD come parte del processo di risposta agli eventi imprevisti della società.Ensure that you are leveraging all options available for each scenario that requires you to use Azure AD reporting capability as part of your company’s incident response process.

Passaggi successiviNext steps

Determinare le attività per la soluzione ibrida di gestione delle identitàDetermine hybrid identity management tasks

Vedere ancheSee Also

Panoramica delle considerazioni di progettazioneDesign considerations overview