Concetti fondamentali sulla gestione delle identità di Azure

Un numero crescente di risorse digitali aziendali si trova oggi all'esterno delle reti aziendali, nel cloud e nei dispositivi. Per questo motivo, una soluzione efficace di gestione degli accessi e delle identità, basata sul cloud è diventata imprescindibile. Le identità basate sul cloud rappresentano il modo migliore per mantenere il controllo e la visibilità sulle modalità e sui tempi di accesso ai dati e alle applicazioni aziendali da parte degli utenti.

Microsoft protegge le identità basate sul cloud da oltre dieci anni. Con Azure Active Directory (AD), questi stessi sistemi di protezione sono ora a disposizione dei clienti aziendali. Azure AD permette agli amministratori dell'organizzazione di assicurare facilmente la responsabilità di utenti e amministratori, migliorando notevolmente la sicurezza e la governance.

Azure AD Premium è una soluzione di gestione degli accessi e delle identità basata sul cloud con funzionalità di protezione avanzate che offre un'unica identità sicura per tutte le applicazioni, protezione delle identità migliorata dal Graph di security intelligence di Microsoft e Privileged Identity Management. Non si tratta di un semplice strumento di monitoraggio o reporting. Azure AD Premium può proteggere le identità degli utenti in tempo reale e permette di creare criteri di accesso adattivi basati sui rischi per proteggere i dati dell'organizzazione.

Questo breve video offre una rapida panoramica delle funzionalità di protezione e gestione delle identità di Azure AD:

Microsoft non offre soltanto un'identità che permette di accedere ovunque, ma anche un set di strumenti per l'automazione, la protezione e la gestione dell'IT all'interno dell'organizzazione. Nonostante l'avvento del cloud computing, è ancora necessario gestire e controllare alcune attività IT, come le chiamate al supporto tecnico per la reimpostazione delle password utente, la gestione dei gruppi di utenti e le richieste di applicazioni. A complicare ulteriormente la situazione c'è il fatto che ora i dipendenti possono portare i dispositivi personali al lavoro e usare applicazioni SaaS subito disponibili. Mantenere il controllo sulle applicazioni nei data center aziendali e nelle piattaforme cloud pubbliche diventa sempre più difficile.

Nota

Per informazioni sul supporto di funzionalità specifiche in base al tipo di licenza, vedere la pagina Prezzi di Azure Active Directory.

Connettere Active Directory locale con Azure AD e Office 365

Le organizzazioni che hanno effettuato grossi investimenti in Active Directory locale possono estendere tali investimenti al cloud, integrando le directory locali con Azure AD in una soluzione ibrida di gestione delle identità. In questo modo è possibile aumentare la produttività degli utenti grazie a un'identità comune per l'accesso alle risorse, indipendentemente dalla località. Utenti e organizzazioni possono quindi usare Single Sign-On (SSO) per accedere alle risorse locali e a servizi cloud quali Office 365.

Azure AD Connect è l'unico strumento necessario per eseguire l'integrazione. Azure AD Connect offre funzionalità a supporto delle esigenze di sincronizzazione delle identità e sostituisce le versioni precedenti di strumenti di integrazione delle identità, quali DirSync e Azure AD Sync. Con Azure AD Connect, la sincronizzazione e la gestione delle identità tra istanze locali e Azure AD è resa possibile da:

  • Sincronizzazione: questo componente è responsabile della creazione di utenti, gruppi e altri oggetti. Deve anche garantire che le informazioni sulle identità per utenti e gruppi locali corrispondano a quelle nel cloud. È anche possibile abilitare il writeback delle password per mantenere la sincronizzazione delle directory locali quando un utente aggiorna la password in Azure AD.
  • AD FS: la federazione è una funzione facoltativa di Azure AD Connect e può essere usata per configurare un ambiente ibrido usando un'infrastruttura AD FS locale. Può essere usata dalle organizzazioni per gestire distribuzioni complesse, ad esempio, l'accesso SSO, l'applicazione di criteri di accesso di Active Directory e l'autenticazione a più fattori con smart card o di terze parti.
  • Monitoraggio dell'integrità: Azure AD Connect Health può offrire un monitoraggio affidabile e una posizione centralizzata nel portale di Azure per visualizzare questa attività.

Aumentare la produttività e ridurre i costi di supporto tecnico con esperienze self-service e Single Sign-On

I dipendenti sono più produttivi quando hanno un solo nome utente e una password da ricordare e un'esperienza coerente in ogni dispositivo. Questo permette loro di risparmiare tempo quando eseguono attività self-service, come reimpostare una password dimenticata o richiedere l'accesso a un'applicazione senza dover attendere l'assistenza del supporto tecnico.

Azure AD estende Active Directory locale nel cloud, consentendo agli utenti di usare il proprio account aziendale principale sia per i dispositivi aggiunti a un dominio che per le risorse aziendali e per tutte le applicazioni Web e SaaS necessarie per svolgere il proprio lavoro. Oltre a eliminare la necessità di ricordare diversi set di nomi utente e password, permette anche di effettuare automaticamente il provisioning o il deprovisioning dell'accesso alle applicazioni degli utenti in base all'appartenenza ai gruppi dell'organizzazione e al relativo stato come dipendenti. Permette poi di controllare l'accesso ad app della raccolta o app locali sviluppate e pubblicate tramite il proxy di applicazione di Azure AD.

Gestire e controllare l'accesso alle risorse aziendali

Le soluzioni Microsoft di gestione degli accessi e delle identità consentono all'IT di proteggere l'accesso ad applicazioni e risorse nel data center aziendale e nel cloud, abilitando livelli di convalida aggiuntivi, ad esempio l'autenticazione a più fattori e i criteri di accesso condizionale. Il monitoraggio delle attività sospette tramite funzioni avanzate di report di sicurezza, controllo e avvisi consente di attenuare i potenziali problemi di sicurezza.

Il sistema di accesso condizionale in Azure AD Premium offre agli amministratori dell'organizzazione la possibilità di creare regole di accesso basate sui criteri per qualsiasi applicazione connessa ad Azure AD, come app SaaS, applicazioni personalizzate in esecuzione nel cloud o applicazioni Web locali. Azure AD valuta tali criteri in tempo reale e li applica ogni volta che un utente tenta l'accesso a un'applicazione. I criteri di protezione delle identità di Azure consentono di agire automaticamente in caso di attività sospette, ad esempio bloccando l'accesso per gli utenti ad alto rischio, applicando l'autenticazione a più fattori e reimpostando le password utente se si ritiene che le credenziali siano state compromesse.

Azure Active Directory Privileged Identity Management

Privileged Identity Management, incluso nell'offerta Azure Active Directory Premium P2, consente di identificare, limitare e monitorare gli account amministrativi e il relativo accesso alle risorse in Azure Active Directory e in altri servizi online di Microsoft. Permette anche di gestire l'accesso amministrativo su richiesta per l'esatto periodo di tempo necessario.

Privileged Identity Management può applicare diritti di amministratore su richiesta, permettendo agli amministratori di richiedere l'elevazione temporanea dei privilegi con autenticazione a più fattori per periodi di tempo preconfigurati, prima che l'account torni a uno stato di utente normale.

Vantaggi della gestione delle identità di Azure

La gestione delle identità di Azure permette di:

Passaggi successivi

Altre informazioni sulle soluzioni per la gestione delle identità di Azure