Informazioni sulle verifiche di accesso Azure ADWhat are Azure AD access reviews?

Le verifiche di accesso Azure Active Directory (Azure AD) consentono alle organizzazioni di gestire in modo efficiente l'appartenenza ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. È possibile verificare regolarmente l'accesso degli utenti per assicurarsi che solo le persone appropriate dispongano di accesso continuo.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Il video seguente presenta una rapida panoramica delle verifiche di accesso:Here's a video that provides a quick overview of access reviews:

Perché le verifiche di accesso sono importanti?Why are access reviews important?

Azure AD consente di collaborare internamente nell'organizzazione e con utenti di organizzazioni esterne, ad esempio i partner.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Gli utenti possono unirsi ai gruppi, invitare utenti guest, connettersi alle app cloud e lavorare in remoto dai loro dispositivi personali o di lavoro.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. La praticità di sfruttare le capacità self-service ha portato alla necessità di funzionalità migliori di gestione dell'accesso.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Quando viene assunto un nuovo dipendente, come è possibile garantire che abbia i diritti di accesso appropriati per lavorare in modo produttivo?As new employees join, how do you ensure they have the right access to be productive?
  • Quando le persone passano da un team a un altro o lasciano l'azienda, come è possibile garantire che l'accesso precedente venga rimosso, in particolare se riguarda utenti guest?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Diritti di accesso eccessivi possono portare a violazioni e mancato superamento dei controlli, in quanto indicano la mancanza di controllo sull'accesso.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • È necessario coinvolgere in modo proattivo i proprietari delle risorse per assicurarsi che verifichino regolarmente chi può accedere alle loro risorse.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Quando è opportuno usare le verifiche di accesso?When to use access reviews?

  • Troppi utenti nei ruoli con privilegi: È consigliabile controllare il numero di utenti che dispongono di accesso amministrativo, il numero di amministratori globali e se sono presenti Guest o partner invitati che non sono stati rimossi dopo essere stati assegnati per eseguire un'attività amministrativa.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. È possibile ricertificare gli utenti di assegnazione di ruolo in Azure ad ruoli , ad esempio gli amministratori globali, o i ruoli delle risorse di Azure , ad esempio amministratore accesso utenti nell'esperienza Azure ad Privileged Identity Management (PIM) .You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Quando l'automazione non è realizzabile: è possibile creare regole per l'appartenenza dinamica ai gruppi di sicurezza o ai gruppi di Office 365, ma cosa accade se i dati delle risorse umane non si trovano in Azure AD o se gli utenti necessitano ancora dell'accesso dopo aver lasciato il gruppo per aiutare nella formazione del loro sostituto?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? È possibile creare una verifica per tale gruppo per assicurarsi che gli utenti che necessitano ancora dell'accesso dispongano di accesso continuo.You can then create a review on that group to ensure those who still need access should have continued access.
  • Quando un gruppo viene usato per un nuovo scopo: se c'è un gruppo che deve essere sincronizzato con Azure AD o se si prevede di abilitare l'applicazione Salesforce per tutti gli utenti nel gruppo del team di vendita, può essere utile chiedere al proprietario del gruppo di verificare l'appartenenza al gruppo prima che il gruppo venga usato in un ambito di rischio diverso.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Accesso ai dati cruciale per l'azienda: per alcune risorse, potrebbe essere necessario chiedere agli utenti esterni di disconnettersi regolarmente e fornire una giustificazione per i motivi per cui è necessario accedere ai fini del controllo.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign out and give a justification on why they need access for auditing purposes.
  • Per mantenere l'elenco eccezioni dei criteri: In un mondo ideale, tutti gli utenti seguono i criteri di accesso per proteggere l'accesso alle risorse dell'organizzazione.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. Esistono tuttavia casi aziendali che richiedono di introdurre eccezioni.However, sometimes there are business cases that require you to make exceptions. L'amministratore IT può gestire questa attività, evitare problemi di supervisione delle eccezioni dei criteri e fornire ai revisori una prova che queste eccezioni vengono esaminate periodicamente.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Chiedere ai proprietari dei gruppi di confermare che hanno ancora bisogno di guest nei loro gruppi: L'accesso dei dipendenti può essere automatizzato con alcune pagine IAM locali, ma non Guest invitati.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Se un gruppo assegna a utenti guest l'accesso a contenuti aziendali sensibili, è responsabilità del proprietario del gruppo confermare che gli utenti abbiano ancora un'esigenza aziendale legittima per tale accesso.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Impostare verifiche periodiche: è possibile configurare verifiche di accesso periodiche per gli utenti in base a una frequenza specifica, ad esempio settimanale, mensile, trimestrale o annuale, e i revisori riceveranno una notifica all'inizio di ogni verifica.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. I revisori possono approvare o negare l'accesso con un'interfaccia utente semplice da usare e con l'aiuto di consigli intelligenti.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Dove si creano le verifiche?Where do you create reviews?

A seconda di ciò che si vuole rivedere, si creerà la verifica di accesso in Azure AD verifiche di accesso, Azure AD app aziendali (in anteprima) o Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Diritti di accesso degli utentiAccess rights of users I revisori possono essereReviewers can be Verifica creata inReview created in Esperienza di verificaReviewer experience
Membri di gruppi di sicurezzaSecurity group members
Membri di gruppi di OfficeOffice group members
Revisori specificatiSpecified reviewers
Proprietari del gruppoGroup owners
Revisione automaticaSelf-review
Verifiche di accesso di Azure ADAzure AD access reviews
Gruppi di Azure ADAzure AD groups
Riquadro di accessoAccess panel
Assegnati a un'app connessaAssigned to a connected app Revisori specificatiSpecified reviewers
Revisione automaticaSelf-review
Verifiche di accesso di Azure ADAzure AD access reviews
App aziendali di Azure AD (in anteprima)Azure AD enterprise apps (in preview)
Riquadro di accessoAccess panel
Ruolo Azure ADAzure AD role Revisori specificatiSpecified reviewers
Revisione automaticaSelf-review
PIM Azure ADAzure AD PIM Portale di AzureAzure portal
Ruolo delle risorse di AzureAzure resource role Revisori specificatiSpecified reviewers
Revisione automaticaSelf-review
PIM Azure ADAzure AD PIM Portale di AzureAzure portal

Onboarding delle verifiche di accessoOnboard access reviews

Per eseguire l'onboarding delle verifiche di accesso, seguire questa procedura.To onboard access reviews, follow these steps.

  1. In qualità di amministratore globale o Amministratore utenti, accedere al portale di Azure in cui si desidera utilizzare le verifiche di accesso.As a Global administrator or User administrator, sign in to the Azure portal where you want to use access reviews.

  2. Nel menu di spostamento a sinistra fare clic su Azure Active Directory.In the left navigation, click Azure Active Directory.

  3. Nel menu a sinistra fare clic su governance identità.In the left menu, click Identity Governance.

  4. Fare clic su verifiche di accesso.Click Access reviews.

    Pagina iniziale delle verifiche di accesso

  5. Nella pagina fare clic sul pulsante onboard Now .On the page, click the Onboard now button.

    Onboarding delle verifiche di accesso

Informazioni sulle verifiche di accessoLearn about access reviews

Per altre informazioni sulla creazione e sull'esecuzione di verifiche di accesso, guardare questa breve demo:To learn more about creating and performing access reviews, watch this short demo:

Se si è pronti per distribuire le verifiche di accesso nell'organizzazione, seguire questi passaggi nel video per l'onboarding, la formazione degli amministratori e la creazione della prima verifica di accesso.If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Requisiti relativi alle licenzeLicense requirements

Per usare questa funzionalità è necessario avere una licenza di Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Per trovare la licenza adatta alle proprie esigenze, vedere il  confronto tra le funzionalità disponibili a livello generale per le edizioni Gratuita, Basic e Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Quali utenti devono avere le licenze?Which users must have licenses?

Ogni utente che interagisce con le verifiche di accesso deve disporre di una licenza a pagamento Azure AD Premium P2.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. Ecco alcuni esempi:Examples include:

  • Amministratori che creano una verifica di accessoAdministrators who create an access review
  • Proprietari del gruppo che eseguono una verifica di accessoGroup owners who perform an access review
  • Utenti assegnati come revisoriUsers assigned as reviewers
  • Utenti che eseguono una verifica automaticaUsers who perform a self-review

È anche possibile chiedere agli utenti guest di verificare il proprio accesso.You can also ask guest users to review their own access. Per ogni licenza Azure AD Premium P2 a pagamento assegnata a uno degli utenti dell'organizzazione, è possibile usare Azure AD business-to-business (B2B) per invitare fino a cinque utenti Guest sotto la franchigia utente esterna.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Questi utenti guest possono anche usare le funzionalità di Azure AD Premium P2.These guest users can also use Azure AD Premium P2 features. Per altre informazioni, vedere Azure ad Guida alle licenze di collaborazione B2B.For more information, see Azure AD B2B collaboration licensing guidance.

Di seguito sono riportati alcuni scenari di esempio che consentono di determinare il numero di licenze che è necessario avere.Here are some example scenarios to help you determine the number of licenses you must have.

ScenarioScenario CalcoloCalculation Numero necessario di licenzeRequired number of licenses
Un amministratore crea una verifica di accesso del gruppo A con 500 utenti.An administrator creates an access review of Group A with 500 users. Assegna 3 proprietari del gruppo come revisori.Assigns 3 group owners as reviewers. 1 licenza per l'amministratore + 3 licenze per ogni proprietario del gruppo come revisori.1 license for the administrator + 3 licenses for each group owner as reviewers. 44
Un amministratore crea una verifica di accesso del gruppo A con 500 utenti.An administrator creates an access review of Group A with 500 users. Consente di riesaminare autonomamente.Makes it a self-review. 1 licenza per l'amministratore + 500 licenze per ogni utente come revisori.1 license for the administrator + 500 licenses for each user as self-reviewers. 501501
Un amministratore crea una verifica di accesso del gruppo B con 5 utenti e 25 utenti guest.An administrator creates an access review of Group B with 5 users and 25 guest users. Consente di riesaminare autonomamente.Makes it a self-review. 1 licenza per l'amministratore + 5 licenze per ogni utente come revisori.1 license for the administrator + 5 licenses for each user as self-reviewers.
(gli utenti Guest sono coperti dal rapporto 1:5 richiesto)(guest users are covered in the required 1:5 ratio)
66
Un amministratore crea una verifica di accesso del gruppo C con 5 utenti e 108 utenti guest.An administrator creates an access review of Group C with 5 users and 108 guest users. Consente di riesaminare autonomamente.Makes it a self-review. 1 licenza per l'amministratore + 5 licenze per ogni utente come revisori autonomi + 16 licenze aggiuntive per coprire tutti gli utenti guest di 108 nel rapporto 1:5 richiesto.1 license for the administrator + 5 licenses for each user as self-reviewers + 16 additional licenses to cover all 108 guest users in the required 1:5 ratio.
1 + 5 = 6 licenze, che coprono 5*6 = 30 utenti guest.1+5=6 licenses, which cover 5*6=30 guest users. Per gli altri (108-5*6) = 78 utenti guest, 78/5 = 16 licenze aggiuntive sono obbligatorie.For the remaining (108-5*6)=78 guest users, 78/5=16 additional licenses are required. Quindi, in totale, sono necessarie 6 + 16 = 22 licenze.Thus in total, 6+16=22 licenses are required.
2222

Per informazioni su come assegnare licenze agli utenti, vedere Assegnare o rimuovere licenze usando il portale di Azure Active Directory.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

Passaggi successiviNext steps