Informazioni sulle verifiche di accesso di Azure ADWhat are Azure AD Access Reviews?

Le verifiche di accesso di Azure Active Directory (Azure AD) consentono alle organizzazioni di gestire in modo efficiente l'appartenenza a gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruoli.Azure Active Directory (Azure AD) Access Reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. È possibile verificare regolarmente l'accesso degli utenti per assicurarsi che solo le persone appropriate dispongano di accesso continuo.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Il video seguente presenta una rapida panoramica delle verifiche di accesso:Here's a video that provides a quick overview of access reviews:

Perché le verifiche di accesso sono importanti?Why are access reviews important?

Azure AD consente di collaborare internamente nell'organizzazione e con utenti di organizzazioni esterne, ad esempio i partner.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Gli utenti possono unirsi ai gruppi, invitare utenti guest, connettersi alle app cloud e lavorare in remoto dai loro dispositivi personali o di lavoro.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. La praticità di sfruttare le capacità self-service ha portato alla necessità di funzionalità migliori di gestione dell'accesso.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Quando viene assunto un nuovo dipendente, come è possibile garantire che abbia i diritti di accesso appropriati per lavorare in modo produttivo?As new employees join, how do you ensure they have the right access to be productive?
  • Quando le persone passano da un team a un altro o lasciano l'azienda, come è possibile garantire che l'accesso precedente venga rimosso, in particolare se riguarda utenti guest?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Diritti di accesso eccessivi possono portare a violazioni e mancato superamento dei controlli, in quanto indicano la mancanza di controllo sull'accesso.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • È necessario coinvolgere in modo proattivo i proprietari delle risorse per assicurarsi che verifichino regolarmente chi può accedere alle loro risorse.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Quando è opportuno usare le verifiche di accesso?When to use access reviews?

  • Troppi utenti nei ruoli con privilegi: è opportuno verificare quanti utenti hanno accesso amministrativo, quanti sono amministratori globali e se sono presenti utenti guest o partner invitati che non sono stati rimossi dopo l'assegnazione a un'attività amministrativa.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Admininistrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. È possibile ricertificare gli utenti a cui sono assegnati i ruoli di Azure Active Directory, ad esempio gli amministratori globali, o i ruoli delle risorse di Azure, ad esempio il ruolo Amministratore Accesso utenti, tramite l'esperienza di Azure AD Privileged Identity Management (PIM).You can recertify the role assignment users in Azure AD directory roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Quando l'automazione non è realizzabile: è possibile creare regole per l'appartenenza dinamica ai gruppi di sicurezza o ai gruppi di Office 365, ma cosa accade se i dati delle risorse umane non si trovano in Azure AD o se gli utenti necessitano ancora dell'accesso dopo aver lasciato il gruppo per aiutare nella formazione del loro sostituto?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? È possibile creare una verifica per tale gruppo per assicurarsi che gli utenti che necessitano ancora dell'accesso dispongano di accesso continuo.You can then create a review on that group to ensure those who still need access should have continued access.
  • Quando un gruppo viene usato per un nuovo scopo: se c'è un gruppo che deve essere sincronizzato con Azure AD o se si prevede di abilitare l'applicazione Salesforce per tutti gli utenti nel gruppo del team di vendita, può essere utile chiedere al proprietario del gruppo di verificare l'appartenenza al gruppo prima che il gruppo venga usato in un ambito di rischio diverso.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Accesso ai dati business critical: per determinate risorse, può essere necessario chiedere alle persone esterne all'IT di disconnettersi regolarmente e di fornire una giustificazione in merito al motivo per cui devono eseguire l'accesso a scopo di controllo.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign off and give a justification on why they need access for auditing purposes.
  • Per mantenere l'elenco eccezioni dei criteri: In una situazione ideale, tutti gli utenti seguono gli stessi criteri di accesso per proteggere l'accesso alle risorse dell'organizzazione.To maintain a policy's exception list: In an ideal world, all users would follow the access polices to secure access to your organization's resources. Esistono tuttavia casi aziendali che richiedono di introdurre eccezioni.However, sometimes there are business cases that require you to make exceptions. L'amministratore IT può gestire questa attività, evitare problemi di supervisione delle eccezioni dei criteri e fornire ai revisori una prova che queste eccezioni vengono esaminate periodicamente.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Chiedere ai proprietari dei gruppi di confermare che hanno ancora bisogno di guest nei loro gruppi: l'accesso dei dipendenti potrebbe essere automatizzato con qualche IAM locale, ma non con guest invitati.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on-prem IAM, but not invited guests. Se un gruppo assegna a utenti guest l'accesso a contenuti aziendali sensibili, è responsabilità del proprietario del gruppo confermare che gli utenti abbiano ancora un'esigenza aziendale legittima per tale accesso.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Impostare verifiche periodiche: è possibile configurare verifiche di accesso periodiche per gli utenti in base a una frequenza specifica, ad esempio settimanale, mensile, trimestrale o annuale, e i revisori riceveranno una notifica all'inizio di ogni verifica.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. I revisori possono approvare o negare l'accesso con un'interfaccia utente semplice da usare e con l'aiuto di consigli intelligenti.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Dove si creano le verifiche?Where do you create reviews?

A seconda di ciò che si vuole verificare, è possibile creare una verifica di accesso in Verifiche di accesso di Azure AD, App aziendali di Azure AD (in anteprima) o Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD Access Reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Diritti di accesso degli utentiAccess rights of users I revisori possono essereReviewers can be Verifica creata inReview created in Esperienza di verificaReviewer experience
Membri di gruppi di sicurezzaSecurity group members
Membri di gruppi di OfficeOffice group members
Revisori specificatiSpecified reviewers
Proprietari del gruppoGroup owners
Revisori self-serviceSelf review
Verifiche di accesso di Azure ADAzure AD Access Reviews
Gruppi di Azure ADAzure AD groups
Pannello di accessoAccess panel
Assegnati a un'app connessaAssigned to a connected app Revisori specificatiSpecified reviewers
Revisori self-serviceSelf review
Verifiche di accesso di Azure ADAzure AD Access Reviews
App aziendali di Azure AD (in anteprima)Azure AD enterprise apps (in preview)
Pannello di accessoAccess panel
Ruolo della directory di Azure ADAzure AD directory role Revisori specificatiSpecified reviewers
Revisori self-serviceSelf review
Azure AD PIMAzure AD PIM Portale di AzureAzure portal
Ruolo delle risorse di AzureAzure resource role Revisori specificatiSpecified reviewers
Revisori self-serviceSelf review
Azure AD PIMAzure AD PIM Portale di AzureAzure portal

PrerequisitiPrerequisites

Per usare le verifiche di accesso, è necessario avere una delle licenze seguenti:To use access reviews, you must have one of the following licenses:

  • Azure AD Premium P2Azure AD Premium P2
  • Licenza di Enterprise Mobility + Security (EMS) E5Enterprise Mobility + Security (EMS) E5 license

Per ulteriori informazioni, consultare Come effettuare l'iscrizione alle edizioni Azure Active Directory Premium o Versione di valutazione di Enterprise Mobility + Security E5.For more information, see How to: Sign up for Azure Active Directory Premium or Enterprise Mobility + Security E5 Trial.

Introduzione alle verifiche di accessoGet started with access reviews

Per altre informazioni sulla creazione e sull'esecuzione di verifiche di accesso, guardare questa breve demo:To learn more about creating and performing access reviews, watch this short demo:

Se si è pronti per distribuire le verifiche di accesso nell'organizzazione, seguire questi passaggi nel video per l'onboarding, la formazione degli amministratori e la creazione della prima verifica di accesso.If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Abilitare le verifiche di accessoEnable access reviews

Per abilitare le verifiche di accesso, seguire questa procedura.To enable access reviews, follow these steps.

  1. Accedere come Amministratore globale o Amministratore account utente al portale di Azure in cui usare le verifiche di accesso.As a Global Administrator or User Account Administrator, sign in to the Azure portal where you want to use access reviews.

  2. Fare clic su Tutti i servizi e trovare il servizio Verifiche di accesso.Click All services and find the access reviews service.

    Tutti i servizi - Verifiche di accesso

  3. Fare clic su Verifiche di accesso.Click Access Reviews.

    Onboarding delle verifiche di accesso

  4. Nell'elenco di spostamento fare clic su Onboarding per aprire la pagina Onboarding delle verifiche di accesso.In the navigation list, click Onboard to open the Onboard access reviews page.

    Onboarding delle verifiche di accesso

  5. Fare clic su Crea per abilitare le verifiche di accesso nella directory corrente.Click Create to enable access reviews in the current directory. Al successivo avvio delle verifiche di accesso, le opzioni saranno abilitate.The next time you start access reviews, the options will be enabled.

    Verifiche di accesso abilitate

Passaggi successiviNext steps