Privileged Identity Management (PIM) per i gruppi
Microsoft Entra ID consente di concedere agli utenti l'appartenenza JIT e la proprietà dei gruppi tramite Privileged Identity Management (PIM) per i gruppi. I gruppi possono essere usati per controllare l'accesso a un'ampia gamma di scenari, tra cui ruoli di Microsoft Entra, ruoli di Azure, Azure SQL, Azure Key Vault, Intune, altri ruoli applicazione e applicazioni di terze parti.
Che cos'è PIM per i gruppi?
PIM per i gruppi fa parte di Microsoft Entra Privileged Identity Management, insieme ai ruoli PIM per Microsoft Entra e PIM per le risorse di Azure, PIM per i gruppi consente agli utenti di attivare la proprietà o l'appartenenza a un gruppo di sicurezza Microsoft Entra o a un gruppo di Microsoft 365. I gruppi possono essere usati per gestire l'accesso a vari scenari che includono ruoli di Microsoft Entra, ruoli di Azure, Azure SQL, Azure Key Vault, Intune, altri ruoli applicazione e applicazioni di terze parti.
Con PIM per i gruppi è possibile usare criteri simili a quelli usati in PIM per i ruoli di Microsoft Entra e PIM per le risorse di Azure: è possibile richiedere l'approvazione per l'appartenenza o l'attivazione della proprietà, applicare l'autenticazione a più fattori (MFA), richiedere giustificazione, limitare il tempo di attivazione massimo e altro ancora. Ogni gruppo in PIM per gruppi ha due criteri: uno per l'attivazione dell'appartenenza e un altro per l'attivazione della proprietà nel gruppo. Fino a gennaio 2023, la funzionalità PIM per i gruppi è stata denominata "Gruppi di accesso con privilegi".
Nota
Per i gruppi usati per elevare i ruoli di Microsoft Entra, è consigliabile richiedere un processo di approvazione per le assegnazioni di membri idonei. Le assegnazioni che possono essere attivate senza approvazione possono lasciare vulnerabili a un rischio di sicurezza da parte degli amministratori con privilegi minori. Ad esempio, il supporto tecnico Amministrazione istrator dispone dell'autorizzazione per reimpostare le password di un utente idoneo.
Che cosa sono i gruppi assegnabili ai ruoli di Microsoft Entra?
Quando si lavora con Microsoft Entra ID, è possibile assegnare un gruppo di sicurezza Microsoft Entra o un gruppo di Microsoft 365 a un ruolo di Microsoft Entra. Ciò è possibile solo con i gruppi creati come assegnabili al ruolo.
Per altre informazioni sui gruppi assegnabili ai ruoli di Microsoft Entra, vedere Creare un gruppo assegnabile di ruolo in Microsoft Entra ID.
I gruppi assegnabili ai ruoli traggono vantaggio da protezioni aggiuntive rispetto ai gruppi non assegnabili ai ruoli:
- Gruppi assegnabili a ruoli: solo il Amministrazione istrator globale, il ruolo con privilegi Amministrazione istrator o il proprietario del gruppo può gestire il gruppo. Inoltre, nessun altro utente può modificare le credenziali degli utenti (attivi) del gruppo. Questa funzionalità consente di impedire a un amministratore di elevare a un ruolo con privilegi più elevati senza passare attraverso una procedura di richiesta e approvazione.
- Gruppi non assegnabili a ruoli: vari ruoli di Microsoft Entra possono gestire questi gruppi, inclusi exchange Amministrazione istrator, gruppi Amministrazione istratori, Amministrazione istratori utente e così via. Inoltre, i vari ruoli di Microsoft Entra possono modificare le credenziali degli utenti (attivi) del gruppo, inclusi Authentication Amministrazione istrators, Helpdesk Amministrazione istrators, User Amministrazione istrators e così via.
Per altre informazioni sui ruoli predefiniti di Microsoft Entra e sulle relative autorizzazioni, vedere Ruoli predefiniti di Microsoft Entra.
La funzionalità microsoft Entra role-assignable group non fa parte di Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Per altre informazioni sulle licenze, vedere Nozioni fondamentali sulla gestione delle licenze di Microsoft Entra ID Governance.
Relazione tra gruppi assegnabili a ruoli e PIM per i gruppi
I gruppi in Microsoft Entra ID possono essere classificati come assegnabili a ruoli o non assegnabili. Inoltre, qualsiasi gruppo può essere abilitato o non abilitato per l'uso con Microsoft Entra Privileged Identity Management (PIM) per i gruppi. Si tratta di proprietà indipendenti del gruppo. Qualsiasi gruppo di sicurezza Di Microsoft Entra e qualsiasi gruppo di Microsoft 365 (ad eccezione dei gruppi dinamici e dei gruppi sincronizzati dall'ambiente locale) può essere abilitato in PIM per i gruppi. Il gruppo non deve essere un gruppo assegnabile a ruoli da abilitare in PIM per i gruppi.
Se si vuole assegnare un ruolo Microsoft Entra a un gruppo, è necessario assegnarlo a un ruolo. Anche se non si intende assegnare un ruolo Microsoft Entra al gruppo, ma il gruppo fornisce l'accesso alle risorse sensibili, è comunque consigliabile prendere in considerazione la creazione del gruppo come assegnabile al ruolo. Ciò è dovuto a gruppi assegnabili a ruoli aggiuntivi di protezione: vedere "Che cosa sono i gruppi assegnabili ai ruoli di Microsoft Entra?" nella sezione precedente.
Importante
Fino a gennaio 2023, era necessario che ogni gruppo di accesso con privilegi (nome precedente per questa funzionalità PIM per i gruppi) fosse un gruppo assegnabile ai ruoli. Questa restrizione è attualmente stata rimossa. Per questo motivo, è ora possibile abilitare più di 500 gruppi per tenant in PIM, ma solo 500 gruppi possono essere assegnabili a ruoli.
Rendere idoneo il gruppo di utenti per il ruolo Microsoft Entra
Esistono due modi per rendere un gruppo di utenti idonei per il ruolo Microsoft Entra:
- Effettuare assegnazioni attive degli utenti al gruppo e quindi assegnare il gruppo a un ruolo come idoneo per l'attivazione.
- Rendere attiva l'assegnazione di un ruolo a un gruppo e assegnare agli utenti l'idoneità all'appartenenza a gruppi.
Per fornire a un gruppo di utenti l'accesso JIT ai ruoli di Microsoft Entra con autorizzazioni in SharePoint, Exchange o Security & Portale di conformità di Microsoft Purview (ad esempio, ruolo exchange Amministrazione istrator), assicurarsi di effettuare assegnazioni attive degli utenti al gruppo e quindi assegnare il gruppo a un ruolo come idoneo per l'attivazione (opzione 1) sopra). Se si sceglie di effettuare l'assegnazione attiva di un gruppo a un ruolo e assegnare agli utenti l'idoneità all'appartenenza al gruppo, potrebbe essere necessario molto tempo per avere tutte le autorizzazioni del ruolo attivate e pronte per l'uso.
Annidamento di Privileged Identity Management e gruppo
In Microsoft Entra ID, i gruppi assegnabili a ruoli non possono avere altri gruppi annidati all'interno di essi. Per altre informazioni, vedere Usare i gruppi di Entra di Microsoft per gestire le assegnazioni di ruolo. Questo è applicabile all'appartenenza attiva: un gruppo non può essere un membro attivo di un altro gruppo che è assegnabile ai ruoli.
Un gruppo può essere un membro idoneo di un altro gruppo, anche se uno di questi gruppi è assegnabile a ruoli.
Se un utente è un membro attivo del gruppo A e il gruppo A è un membro idoneo del gruppo B, l'utente può attivare l'appartenenza al gruppo B. Questa attivazione è solo per l'utente che ha richiesto l'attivazione, non significa che l'intero gruppo A diventa un membro attivo del gruppo B.
Privileged Identity Management e provisioning di app
Se il gruppo è configurato per il provisioning delle app, l'attivazione dell'appartenenza al gruppo attiverà il provisioning dell'appartenenza al gruppo (e l'account utente stesso se non è stato effettuato il provisioning in precedenza) all'applicazione usando il protocollo SCIM.
In Anteprima pubblica è disponibile una funzionalità che attiva il provisioning subito dopo l'attivazione dell'appartenenza a gruppi in PIM. La configurazione del provisioning dipende dall'applicazione. In genere, è consigliabile avere almeno due gruppi assegnati all'applicazione. A seconda del numero di ruoli nell'applicazione, è possibile scegliere di definire altri "gruppi con privilegi".:
| Raggruppa | Scopo | Membri | Appartenenza al gruppo | Ruolo assegnato nell'applicazione |
|---|---|---|---|---|
| Tutti i gruppi di utenti | Assicurarsi che venga eseguito costantemente il provisioning di tutti gli utenti che devono accedere all'applicazione. | Tutti gli utenti che devono accedere all'applicazione. | Attive | Nessun ruolo con privilegi limitati o nessuno |
| Gruppo con privilegi | Fornire l'accesso JIT al ruolo con privilegi nell'applicazione. | Utenti che devono avere accesso JIT al ruolo con privilegi nell'applicazione. | Idoneo | Ruolo con privilegi |
Considerazioni essenziali
- Quanto tempo è necessario per avere un utente di cui è stato effettuato il provisioning nell'applicazione?
- Quando un utente viene aggiunto a un gruppo in MICROSOFT Entra ID all'esterno dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra Privileged Identity Management (PIM):
- Il provisioning dell'appartenenza al gruppo viene effettuato nell'applicazione durante il ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti.
- Quando un utente attiva l'appartenenza al gruppo in Microsoft Entra PIM:
- Viene effettuato il provisioning dell'appartenenza al gruppo in 2-10 minuti. Quando si verifica una frequenza elevata di richieste contemporaneamente, le richieste vengono limitate a una velocità di cinque richieste per 10 secondi.
- Per i primi cinque utenti entro un periodo di 10 secondi che attivano l'appartenenza a un gruppo specifico per un'applicazione specifica, l'appartenenza al gruppo viene sottoposto a provisioning nell'applicazione entro 2-10 minuti.
- Per il sesto utente e superiore entro un periodo di 10 secondi che attiva l'appartenenza al gruppo per un'applicazione specifica, viene effettuato il provisioning dell'appartenenza al gruppo all'applicazione nel ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti. I limiti di limitazione sono per ogni applicazione aziendale.
- Quando un utente viene aggiunto a un gruppo in MICROSOFT Entra ID all'esterno dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra Privileged Identity Management (PIM):
- Se l'utente non è in grado di accedere al gruppo necessario nell'applicazione di destinazione, esaminare i log di PIM e i log di provisioning per assicurarsi che l'appartenenza al gruppo sia stata aggiornata correttamente. A seconda della modalità di progettazione dell'applicazione di destinazione, l'applicazione di destinazione potrebbe richiedere tempo aggiuntivo per rendere effettiva l'appartenenza al gruppo nell'applicazione.
- Usando Monitoraggio di Azure, i clienti possono creare avvisi per gli errori.