Usare Microsoft Entra ID Governance per esaminare e rimuovere utenti esterni che non hanno più accesso alle risorse

  • Articolo

Questo articolo descrive le funzionalità e i metodi che consentono di individuare e selezionare identità esterne in modo che sia possibile esaminarle e rimuoverle dall'ID Microsoft Entra, se non sono più necessarie. Il cloud semplifica la collaborazione con utenti interni o esterni. L'adozione di Office 365, le organizzazioni iniziano a vedere la proliferazione di identità esterne (inclusi gli utenti guest), in quanto gli utenti interagiscono tra dati, documenti o aree di lavoro digitali come Teams. Le organizzazioni devono bilanciare, abilitare la collaborazione e soddisfare i requisiti di sicurezza e governance. Parte di questi sforzi deve includere la valutazione e la pulizia di utenti esterni, invitati per la collaborazione nel tenant, che provengono dalle organizzazioni partner e rimuoverli dall'ID Microsoft Entra quando non sono più necessari.

Nota

Per usare le verifiche di accesso a Microsoft Entra, è necessaria una licenza valida microsoft Entra ID P2 o Microsoft Entra ID Governance, Enterprise Mobility + Security E5 o una licenza di valutazione valida. Per altre informazioni, vedere Edizioni di Microsoft Entra.

Perché esaminare gli utenti di organizzazioni esterne nel tenant?

Nella maggior parte delle organizzazioni, gli utenti finali avviano il processo di invito di partner commerciali e fornitori per la collaborazione. La necessità di collaborare guida le organizzazioni a fornire ai proprietari delle risorse e agli utenti finali un modo per valutare e attestare regolarmente gli utenti esterni. Spesso il processo di onboarding di nuovi partner di collaborazione è pianificato e tenuto conto, ma con molte collaborazioni che non hanno una data di fine chiara, non è sempre ovvio quando un utente non ha più bisogno di accesso. Inoltre, la gestione del ciclo di vita delle identità consente alle aziende di mantenere pulito l'ID Entra Di Microsoft e rimuovere gli utenti che non hanno più bisogno di accedere alle risorse dell'organizzazione. Mantenere solo i riferimenti di identità pertinenti per i partner e i fornitori nella directory consente di ridurre il rischio dei dipendenti, selezionando e concedendo inavvertitamente l'accesso a utenti esterni che devono essere stati rimossi. Questo documento illustra diverse opzioni che vanno dai suggerimenti proattivi consigliati alle attività reattive e di pulizia per gestire le identità esterne.

Usare Entitlement Management per concedere e revocare l'accesso

Le funzionalità di gestione entitlement consentono il ciclo di vita automatizzato delle identità esterne con accesso alle risorse. Stabilendo processi e procedure per gestire l'accesso tramite Entitlement Management e pubblicando le risorse tramite i pacchetti di accesso, tenere traccia dell'accesso degli utenti esterni alle risorse diventa un problema molto meno complesso da risolvere. Quando si gestisce l'accesso tramite i pacchetti di accesso di Entitlement Management in Microsoft Entra ID, l'organizzazione può definire e gestire centralmente l'accesso per gli utenti e gli utenti di organizzazioni partner. Gestione entitlement usa le approvazioni e le assegnazioni dei pacchetti di accesso per tenere traccia della posizione in cui gli utenti esterni hanno richiesto e sono stati assegnati l'accesso. Se un utente esterno perde tutte le assegnazioni, Entitlement Management può rimuovere automaticamente questi utenti esterni dal tenant.

Trovare gli utenti guest non invitati tramite Entitlement Management

Quando i dipendenti sono autorizzati a collaborare con utenti esterni, possono invitare un numero qualsiasi di utenti dall'esterno dell'organizzazione. La ricerca e il raggruppamento di partner esterni in gruppi dinamici allineati all'azienda e la loro revisione potrebbero non essere fattibili, perché potrebbero esserci troppe aziende diverse da rivedere o non esiste alcun proprietario o sponsor per l'organizzazione. Microsoft fornisce uno script di PowerShell di esempio che consente di analizzare l'uso di identità esterne in un tenant. Lo script enumera le identità esterne e le classifica. Lo script consente di identificare e pulire le identità esterne che potrebbero non essere più necessarie. Come parte dell'output dello script, l'esempio di script supporta la creazione automatica di gruppi di sicurezza che contengono i partner esterni senza gruppo identificati, per ulteriori analisi e uso con le verifiche di accesso di Microsoft Entra. Lo script è disponibile in GitHub. Al termine dell'esecuzione dello script, genera un file di output HTML che delinea le identità esterne che:

  • Nessuna appartenenza al gruppo nel tenant
  • Avere un'assegnazione per un ruolo con privilegi nel tenant
  • Disporre di un'assegnazione a un'applicazione nel tenant

L'output include anche i singoli domini per ognuna di queste identità esterne.

Nota

Lo script a cui si fa riferimento in precedenza è uno script di esempio che verifica l'appartenenza al gruppo, le assegnazioni di ruolo e le assegnazioni di applicazioni in Microsoft Entra ID. Potrebbero essere presenti altre assegnazioni nelle applicazioni ricevute da utenti esterni all'esterno dell'ID Microsoft Entra, ad esempio SharePoint (assegnazione di appartenenza diretta) o Controllo degli accessi in base al ruolo di Azure o Azure DevOps.

Esaminare le risorse usate dalle identità esterne

Se si hanno identità esterne che usano risorse come Teams o altre applicazioni non ancora regolate da Entitlement Management, potrebbe essere necessario esaminare regolarmente l'accesso a queste risorse. Le verifiche di Microsoft Entra Access consentono di esaminare l'accesso alle identità esterne consentendo al proprietario della risorsa, alle identità esterne o a un'altra persona delegata di attestare se è necessario l'accesso continuo. Le verifiche di accesso hanno come destinazione una risorsa e creano un'attività di revisione con ambito Tutti gli utenti che hanno accesso alla risorsa o solo agli utenti guest. Il revisore visualizza quindi l'elenco risultante di utenti che devono esaminare, ovvero tutti gli utenti, inclusi i dipendenti dell'organizzazione o solo le identità esterne.

La definizione di impostazioni cultura di revisione guidate dai proprietari delle risorse consente di gestire l'accesso per le identità esterne. I proprietari delle risorse, responsabili dell'accesso, della disponibilità e della sicurezza delle informazioni di cui sono proprietari, sono, nella maggior parte dei casi, i destinatari migliori per prendere decisioni sull'accesso alle risorse e sono più vicini agli utenti che accedono a loro rispetto all'IT centrale o a uno sponsor che gestisce molti esterni.

Creare verifiche di accesso per identità esterne

Gli utenti che non hanno più accesso alle risorse nel tenant possono essere rimossi se non lavorano più con l'organizzazione. Prima di bloccare ed eliminare queste identità esterne, è consigliabile contattare questi utenti esterni e assicurarsi di non aver trascurato un progetto o di avere accesso permanente che hanno ancora bisogno. Quando si crea un gruppo che contiene tutte le identità esterne come membri che non hanno accesso ad alcuna risorsa nel tenant, è possibile usare le verifiche di accesso per avere tutte le verifiche di accesso autocertificate per verificare se hanno ancora bisogno o avere accesso oppure avranno comunque bisogno di accesso in futuro. Come parte della revisione, l'autore della revisione in Verifiche di accesso può usare la funzione Richiedi motivo per l'approvazione per richiedere agli utenti esterni di fornire una giustificazione per l'accesso continuo, tramite cui è possibile apprendere dove e come hanno ancora bisogno di accesso nel tenant. Inoltre, è possibile abilitare l'impostazione Contenuto aggiuntivo per la funzionalità di posta elettronica del revisore per informare gli utenti che perderanno l'accesso se non rispondono e, se devono comunque avere accesso, è necessaria una giustificazione. Se si vuole procedere e consentire alle verifiche di accesso di disabilitare ed eliminare identità esterne, in caso di mancata risposta o di fornire un motivo valido per l'accesso continuo, è possibile usare l'opzione Disabilita ed elimina , come descritto nella sezione successiva.

Per creare una verifica di accesso per le identità esterne, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore di Identity Governance.

  2. Passare a Gruppi>di identità>Tutti i gruppi.

  3. Cercare il gruppo che contiene membri che sono identità esterne che non hanno accesso alle risorse nel tenant e prendere nota di questo gruppo. Per automatizzare la creazione di un gruppo con membri che soddisfano questi criteri, vedere Raccolta di informazioni sulla proliferazione di identità esterne.

  4. Passare a Verifiche di accesso di Identity Governance>.

  5. Selezionare + Nuova verifica di accesso.

  6. Selezionare Teams e gruppi e quindi selezionare il gruppo annotato in precedenza contenente le identità esterne per impostare l'ambito di revisione.

  7. Impostare l'ambito solo come utenti guest. Screenshot della limitazione dell'ambito della revisione solo agli utenti guest.

  8. Nella sezione Impostazioni di completamento è possibile selezionare Blocca l'accesso degli utenti per 30 giorni, quindi rimuovere l'utente dal tenant sotto l'opzione Azione da applicare agli utenti negati. Per altre informazioni, vedere: Disabilitare ed eliminare identità esterne con le verifiche di accesso di Microsoft Entra.

  9. Dopo aver creato la verifica di accesso, l'utente guest deve certificare l'accesso prima del completamento della verifica. Questa operazione viene eseguita dall'approvazione guest o dalla mancata approvazione dell'accesso all'interno del portale di Accesso personale. Per una guida dettagliata, vedere: Esaminare l'accesso ai gruppi e alle applicazioni nelle verifiche di accesso.

Al termine della verifica, nella pagina Risultati viene visualizzata una panoramica della risposta fornita da ogni identità esterna. È possibile scegliere di applicare automaticamente i risultati e consentire alle verifiche di accesso di disabilitarle ed eliminarle. In alternativa, è possibile esaminare le risposte fornite e decidere se si vuole rimuovere l'accesso o il completamento di un utente con loro e ottenere informazioni aggiuntive prima di prendere una decisione. Se alcuni utenti hanno ancora accesso alle risorse che non sono state ancora esaminate, è possibile usare la revisione come parte dell'individuazione e arricchire il ciclo di revisione e attestazione successivo.

Per una guida dettagliata, vedere Creare una verifica di accesso di gruppi e applicazioni in Microsoft Entra ID.

Disabilitare ed eliminare identità esterne con le verifiche di accesso di Microsoft Entra

Oltre alla possibilità di rimuovere identità esterne indesiderate da risorse come gruppi o applicazioni, le verifiche di accesso di Microsoft Entra possono impedire alle identità esterne di accedere al tenant ed eliminare le identità esterne dal tenant dopo 30 giorni. Dopo aver selezionato Blocca l'accesso dell'utente per 30 giorni, quindi rimuovere l'utente dal tenant, la revisione rimane nello stato di applicazione per 30 giorni. Durante questo periodo, le impostazioni, i risultati, i revisori o i log di controllo nella verifica corrente non sono visualizzabili o configurabili.

al completamento delle impostazioni

Questa impostazione consente di identificare, bloccare ed eliminare identità esterne dal tenant di Microsoft Entra. Le identità esterne che vengono esaminate e negate l'accesso continuo da parte del revisore verranno bloccate ed eliminate, indipendentemente dall'accesso alle risorse o dall'appartenenza ai gruppi di cui dispongono. Questa impostazione viene usata in modo ottimale come ultimo passaggio dopo la convalida che gli utenti esterni in-review non conseguono più l'accesso alle risorse e possono essere rimosse in modo sicuro dal tenant o se si vuole assicurarsi che vengano rimosse, indipendentemente dal loro accesso permanente. La funzionalità "Disabilita ed elimina" blocca prima l'utente esterno, eliminando la possibilità di accedere al tenant e di accedere alle risorse. L'accesso alle risorse non viene revocato in questa fase e, nel caso in cui si voglia reinserire l'utente esterno, è possibile riconfigurare la possibilità di accedere. Dopo 30 giorni, un'identità esterna bloccata verrà eliminata dalla directory dopo 30 giorni, rimuovendo l'account e il relativo accesso.

Passaggi successivi