Qual è la differenza tra i gruppi di accesso con privilegi e i gruppi assegnabili al ruolo?

Privileged Identity Management (PIM) supporta la possibilità di abilitare l'accesso con privilegi nei gruppi assegnabili al ruolo. Tuttavia, poiché un gruppo assegnabile al ruolo disponibile è un prerequisito per la creazione di un gruppo di accesso con privilegi, questo articolo illustra le differenze e come sfruttarle.

Cosa sono Azure AD gruppi assegnabili al ruolo?

Azure AD consente di assegnare un gruppo di sicurezza Azure AD cloud a un Azure AD ruolo. Gli amministratori globali e gli amministratori dei ruoli con privilegi devono creare un nuovo gruppo di sicurezza e rendere il gruppo assegnabile al ruolo al momento della creazione. Solo gli utenti nei ruoli Amministratore globale, Amministratore ruolo con privilegi o Proprietario del gruppo possono modificare l'appartenenza del gruppo. Inoltre, nessun altro utente può reimpostare la password degli utenti membri del gruppo. Questa funzionalità consente di impedire agli amministratori di elevare a un ruolo con privilegi più elevati senza eseguire una procedura di richiesta e approvazione.

Che cosa sono i gruppi di accesso con privilegi?

I gruppi di accesso con privilegi consentono agli utenti di elevare al ruolo proprietario o membro di un Azure AD di sicurezza. Questa funzionalità consente di configurare flussi di lavoro JUST-IN-TIME non solo per i ruoli di Azure AD e Azure in batch e consente anche scenari JUST-IN-TIME per altri casi d'uso come Azure SQL, Azure Key Vault, Intune o altri ruoli applicazione. Per altre informazioni, vedere Funzionalità di gestione per i gruppi di accesso con privilegi.

Nota

Per i gruppi di accesso con privilegi usati per elevare in ruoli Azure AD, Microsoft consiglia di richiedere un processo di approvazione per le assegnazioni di membri idonee. Le assegnazioni che possono essere attivate senza approvazione possono lasciare l'utente vulnerabile a un rischio per la sicurezza da parte di amministratori con privilegi inferiori. Ad esempio, l'amministratore del supporto clienti ha l'autorizzazione per reimpostare le password di un utente idoneo.

Quando usare ogni tipo di gruppo

È possibile configurare l'accesso just-in-time alle autorizzazioni e ai ruoli oltre Azure AD risorse di Azure. Se si dispone di altre risorse la cui autorizzazione può essere connessa a un gruppo di sicurezza Azure AD (per Azure Key Vault, Intune, Azure SQL o altre app e servizi), è necessario abilitare l'accesso con privilegi nel gruppo e assegnare gli utenti come idonei per l'appartenenza al gruppo.

Se si vuole assegnare un gruppo a un ruolo Azure AD o Risorsa di Azure e richiedere l'elevazione dei privilegi tramite un processo PIM, è possibile procedere in due modi:

  • Assegnare il gruppo in modo permanente a un ruolo. Concedere quindi agli utenti l'accesso ai membri idonei al gruppo in PIM. Gli utenti idonei devono quindi attivare l'appartenenza per accedere al gruppo assegnato in modo permanente al ruolo. Questo percorso richiede che un gruppo assegnabile al ruolo sia abilitato in PIM come gruppo di accesso con privilegi per il Azure AD ruolo.

  • Assegnare il gruppo come idoneo per un ruolo tramite PIM. Tutti gli utenti del gruppo devono attivare l'assegnazione per ottenere l'accesso al ruolo. Questo percorso richiede un gruppo assegnabile al ruolo per il Azure AD e un gruppo di sicurezza per le risorse di Azure.

    Diagramma che illustra due modi per assegnare un ruolo usando gruppi di accesso con privilegi in PIM.

Uno di questi metodi funzionerà per lo scenario end-to-end. Nella maggior parte dei casi è consigliabile usare il primo metodo. È consigliabile usare il secondo metodo solo se si sta tentando di:

  • Assegnare un gruppo a più Azure AD o ai ruoli delle risorse di Azure e fare in modo che gli utenti si attivino una sola volta per ottenere l'accesso a più ruoli.
  • Gestire criteri di attivazione diversi per diversi set di utenti per accedere a un ruolo Azure AD o delle risorse di Azure. Ad esempio, se si vuole che alcuni utenti siano approvati prima di diventare un amministratore globale consentendo l'approvazione automatica di altri utenti, è possibile configurare due gruppi di accesso con privilegi, assegnarli entrambi in modo permanente (un'assegnazione "permanente" in Privileged Identity Management) al ruolo Amministratore globale e quindi usare criteri di attivazione diversi per il ruolo membro per ogni gruppo.

Passaggi successivi