Proteggere il controllo di accesso usando i gruppi in Microsoft Entra ID
Microsoft Entra ID consente l'uso di gruppi per gestire l'accesso alle risorse in un'organizzazione. Usare i gruppi per il controllo di accesso per gestire e ridurre al minimo l'accesso alle applicazioni. Quando si usano i gruppi, solo i membri di tali gruppi possono accedere alla risorsa. L'uso dei gruppi abilita anche le funzionalità di gestione seguenti:
- Gruppi dinamici basati su attributi
- Gruppi esterni sincronizzati da Active Directory locale
- Amministrazione istrator gestiti o gruppi gestiti in modalità self-service
Per altre informazioni sui vantaggi dei gruppi per il controllo di accesso, vedere Gestire l'accesso a un'applicazione.
Durante lo sviluppo di un'applicazione, autorizzare l'accesso con l'attestazione gruppi. Per altre informazioni, vedere come configurare le attestazioni di gruppo per le applicazioni con Microsoft Entra ID.
Attualmente molte applicazioni selezionano un subset di gruppi con il securityEnabled flag impostato per true evitare problemi di scalabilità, ovvero per ridurre il numero di gruppi restituiti nel token. L'impostazione del securityEnabled flag su true per un gruppo non garantisce che il gruppo sia gestito in modo sicuro.
Procedure consigliate per ridurre i rischi
La tabella seguente presenta diverse procedure consigliate per la sicurezza per i gruppi di sicurezza e i potenziali rischi per la sicurezza che ogni pratica riduce.
| Procedura di sicurezza consigliata | Rischio di sicurezza mitigato |
|---|---|
Verificare che il proprietario della risorsa e il proprietario del gruppo siano la stessa entità. Le applicazioni devono creare un'esperienza di gestione dei gruppi personalizzata e creare nuovi gruppi per gestire l'accesso. Ad esempio, un'applicazione può creare gruppi con l'autorizzazione Group.Create e aggiungersi come proprietario del gruppo. In questo modo l'applicazione ha il controllo sui gruppi senza privilegi elevati per modificare altri gruppi nel tenant. |
Quando i proprietari di gruppi e i proprietari di risorse sono entità diverse, i proprietari del gruppo possono aggiungere utenti al gruppo che non devono accedere alla risorsa, ma possono accedervi involontariamente. |
| Creare un contratto implicito tra il proprietario della risorsa e il proprietario del gruppo. Il proprietario della risorsa e il proprietario del gruppo devono essere allineati allo scopo, ai criteri e ai membri del gruppo che possono essere aggiunti al gruppo per ottenere l'accesso alla risorsa. Questo livello di fiducia non è tecnico e si basa su un contratto umano o aziendale. | Quando i proprietari dei gruppi e i proprietari delle risorse hanno intenzioni diverse, il proprietario del gruppo può aggiungere utenti al gruppo a cui il proprietario della risorsa non intendeva concedere l'accesso. Questa azione può comportare l'accesso non necessario e potenzialmente rischioso. |
| Usare gruppi privati per il controllo di accesso. I gruppi di Microsoft 365 vengono gestiti dal concetto di visibilità. Questa proprietà controlla i criteri di join del gruppo e la visibilità delle risorse del gruppo. I gruppi di sicurezza hanno criteri di join che consentono a chiunque di partecipare o richiedere l'approvazione del proprietario. I gruppi sincronizzati in locale possono anche essere pubblici o privati. Gli utenti che si uniscono a un gruppo sincronizzato in locale possono anche ottenere l'accesso alle risorse cloud. | Quando si usa un gruppo pubblico per il controllo di accesso, qualsiasi membro può partecipare al gruppo e ottenere l'accesso alla risorsa. Il rischio di elevazione dei privilegi esiste quando viene usato un gruppo pubblico per concedere l'accesso a una risorsa esterna. |
| Annidamento dei gruppi. Quando si usa un gruppo per il controllo di accesso e ha altri gruppi come membri, i membri dei sottogruppi possono ottenere l'accesso alla risorsa. In questo caso, sono presenti più proprietari del gruppo padre e dei sottogruppi. | L'allineamento con più proprietari di gruppi allo scopo di ogni gruppo e come aggiungere i membri corretti a questi gruppi è più complesso e più soggetto a concedere accidentalmente l'accesso. Limitare il numero di gruppi annidati o non usarli affatto, se possibile. |