Informazioni generali sulla sicurezza della gestione delle identità di AzureAzure identity management security overview

Le soluzioni Microsoft di gestione degli accessi e delle identità consentono all'IT di proteggere l'accesso ad applicazioni e risorse nel data center aziendale e nel cloud, abilitando altri livelli di convalida, ad esempio Multi-Factor Authentication e criteri di accesso condizionale.Microsoft identity and access management solutions help IT protect access to applications and resources across the corporate datacenter and into the cloud, enabling additional levels of validation such as multi-factor authentication and conditional access policies. Il monitoraggio delle attività sospette tramite funzioni avanzate di report di sicurezza, controllo e avvisi consente di attenuare i potenziali problemi di sicurezza.Monitoring suspicious activity through advanced security reporting, auditing and alerting helps mitigate potential security issues. Azure Active Directory Premium offre l'accesso Single Sign-On a migliaia di app cloud (SaaS) e alle app Web eseguite in locale.Azure Active Directory Premium provides single sign-on to thousands of cloud (SaaS) apps and access to web apps you run on-premises.

I vantaggi della sicurezza di Azure Active Directory (AD) includono la possibilità di:Security benefits of Azure Active Directory (AD) include the ability to:

  • Creare e gestire una singola identità per ogni utente in un'azienda ibrida, mantenendo sincronizzati utenti, gruppi e dispositiviCreate and manage a single identity for each user across your hybrid enterprise, keeping users, groups, and devices in sync
  • Offrire l'accesso Single Sign-On alle applicazioni, incluse migliaia di app SaaS preintegrateProvide single sign-on access to your applications including thousands of pre-integrated SaaS apps
  • Abilitare la sicurezza dell'accesso alle applicazioni grazie a Multi-Factor Authentication basata su regole per applicazioni locali e cloudEnable application access security by enforcing rules-based Multi-Factor Authentication for both on-premises and cloud applications
  • Consentire l'accesso remoto sicuro ad applicazioni Web locali con il proxy di applicazione di Azure ADProvision secure remote access to on-premises web applications through Azure AD Application Proxy

L'obiettivo di questo articolo è offrire informazioni generali sulle funzionalità di sicurezza principali di Azure per la gestione delle identità.The goal of this article is to provide an overview of the core Azure security features that help with identity management. Sono anche disponibili collegamenti ad articoli con informazioni dettagliate su ogni funzionalità.We also provide links to articles that give details of each feature so you can learn more.

Questo articolo è incentrato sulle seguenti funzionalità principali di gestione delle identità di Azure:The article focuses on the following core Azure Identity management capabilities:

  • Single sign-onSingle sign-on
  • Proxy inversoReverse proxy
  • Autenticazione a più fattoriMulti-factor authentication
  • Monitoraggio della sicurezza, avvisi e report basati su Machine LearningSecurity monitoring, alerts, and machine learning-based reports
  • Gestione delle identità e dell'accesso degli utentiConsumer identity and access management
  • Registrazione del dispositivoDevice registration
  • Privileged Identity ManagementPrivileged identity management
  • Identity ProtectionIdentity protection
  • Gestione delle identità ibridaHybrid identity management

Single sign-onSingle sign-on

L'accesso Single Sign-On (SSO) consente di accedere a tutte le applicazioni e le risorse necessarie per le attività aziendali effettuando l'accesso una sola volta con un singolo account utente.Single sign-on (SSO) means being able to access all the applications and resources that you need to do business, by signing in only once using a single user account. Dopo aver effettuato l'accesso, è possibile accedere a tutte le applicazioni necessarie senza dover ripetere una seconda volta l'autenticazione (ad esempio, digitando una password).Once signed in, you can access all of the applications you need without being required to authenticate (for example, type a password) a second time.

Molte organizzazioni si basano sul software come un servizio (SaaS), ad esempio Office 365, Box e Salesforce, per la produttività dell'utente finale.Many organizations rely upon software as a service (SaaS) applications such as Office 365, Box and Salesforce for end user productivity. In passato, il personale IT doveva creare e aggiornare singoli account utente in ogni applicazione SaaS e gli utenti dovevano ricordare una password per ogni applicazione SaaS.Historically, IT staff needed to individually create and update user accounts in each SaaS application, and users had to remember a password for each SaaS application.

Azure AD estende gli ambienti locali di Active Directory nel cloud, consentendo agli utenti di usare il proprio account aziendale principale non solo per accedere ai dispositivi appartenenti a un dominio e alle risorse della società, ma anche a tutte le applicazioni Web e SaaS necessarie per svolgere il proprio lavoro.Azure AD extends on-premises Active Directory environments into the cloud, enabling users to use their primary organizational account to not only sign in to their domain-joined devices and company resources, but also all the web and SaaS applications needed for their job.

Non solo gli utenti non devono più gestire diversi set di nomi utente e password, ma è anche possibile eseguire il provisioning o deprovisioning automatico dell'accesso alle applicazioni in base ai gruppi aziendali e al relativo stato di dipendente.Not only do users not have to manage multiple sets of usernames and passwords, application access can be automatically provisioned or de-provisioned based on organizational groups and their status as an employee. Azure AD introduce controlli della governance di sicurezza e accesso che consentono di gestire in modo centralizzato l'accesso degli utenti tra le applicazioni SaaS.Azure AD introduces security and access governance controls that enable you to centrally manage users' access across SaaS applications.

Altre informazioni:Learn more:

Proxy inversoReverse proxy

Il proxy di applicazione di Azure AD consente di pubblicare applicazioni locali, ad esempio siti di SharePoint e app basate su Outlook Web App e IIS, all'interno della rete privata e offre un accesso sicuro agli utenti esterni alla rete.Azure AD Application Proxy lets you publish on-premises applications, such as SharePoint sites, Outlook Web App, and IIS-based apps inside your private network and provides secure access to users outside your network. Il proxy di applicazione offre l'accesso remoto e Single Sign-On (SSO) per molti tipi di applicazioni Web locali, con le migliaia di applicazioni SaaS supportate da Azure AD.Application Proxy provides remote access and single sign-on (SSO) for many types of on-premises web applications with the thousands of SaaS applications that Azure AD supports. I dipendenti possono accedere alle app dalla propria abitazione e con i propri dispositivi ed eseguire l'autenticazione tramite questo proxy basato sul cloud.Employees can log in to your apps from home on their own devices and authenticate through this cloud-based proxy.

Altre informazioni:Learn more:

Autenticazione a più fattoriMulti-factor authentication

Azure Multi-Factor Authentication (MFA) è un metodo di autenticazione che richiede più di un metodo di verifica e con il quale viene aggiunto un secondo livello di sicurezza critico agli accessi e alle transazioni degli utenti.Azure Multi-factor authentication (MFA) is a method of authentication that requires the use of more than one verification method and adds a critical second layer of security to user sign-ins and transactions. MFA consente di proteggere l'accesso ai dati e alle applicazioni dell'utente, garantendo al tempo stesso una procedura di accesso semplice.MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Offre autenticazione avanzata tramite diverse opzioni di verifica, ad esempio una telefonata, un SMS, una notifica dell'app per dispositivi mobili o un codice di verifica e token OAuth di terze parti.It delivers strong authentication via a range of verification options—phone call, text message, or mobile app notification or verification code and third party OAuth tokens.

Altre informazioni:Learn more:

Monitoraggio della sicurezza, avvisi e report basati su Machine LearningSecurity monitoring, alerts, and machine learning-based reports

Monitoraggio della sicurezza, avvisi e report basati su Machine Learning che identificano i modelli di accesso non coerenti per contribuire alla protezione dell'azienda.Security monitoring and alerts and machine learning-based reports that identify inconsistent access patterns can help you protect your business. È possibile usare i report di utilizzo e accesso di Azure Active Directory per ottenere informazioni sull'integrità e sicurezza della directory dell'organizzazione.You can use Azure Active Directory's access and usage reports to gain visibility into the integrity and security of your organization’s directory. Con queste informazioni un amministratore di directory può stabilire meglio dove potrebbero esserci possibili rischi per la sicurezza in modo da poterne pianificare adeguatamente la riduzione.With this information, a directory admin can better determine where possible security risks may lie so that they can adequately plan to mitigate those risks.

Nel portale di Azure i report sono classificati nei modi seguenti:In the Azure portal, reports are categorized in the following ways:

  • Report anomalie: contengono eventi di accesso considerati anomali.Anomaly reports – contain sign in events that we found to be anomalous. L'obiettivo è rendere gli utenti consapevoli di tale attività e consentire loro di essere in grado di stabilire se un evento è sospetto.Our goal is to make you aware of such activity and enable you to be able to make a determination about whether an event is suspicious.
  • Report applicazioni integrate: offrono informazioni dettagliate sull'uso delle applicazioni cloud nell'organizzazione.Integrated Application reports – provide insights into how cloud applications are being used in your organization. Azure Active Directory offre l'integrazione con migliaia di applicazioni cloud.Azure Active Directory offers integration with thousands of cloud applications.
  • Report di errori: segnalano gli errori che possono verificarsi durante il provisioning di account in applicazioni esterne.Error reports – indicate errors that may occur when provisioning accounts to external applications.
  • Report specifici dell'utente: visualizzano i dati del dispositivo/dell'attività di accesso per un utente specifico.User-specific reports – display device/sign in activity data for a specific user.
  • Log attività: contengono un record di tutti gli eventi controllati nelle ultime 24 ore, negli ultimi 7 giorni o negli ultimi 30 giorni, nonché le modifiche alle attività del gruppo e le attività di registrazione e di reimpostazione password.Activity logs – contain a record of all audited events within the last 24 hours, last 7 days, or last 30 days, and group activity changes, and password reset and registration activity.

Altre informazioni:Learn more:

Gestione delle identità e dell'accesso degli utentiConsumer identity and access management

Azure Active Directory B2C è un servizio di gestione delle identità globale a disponibilità elevata per le applicazioni rivolte agli utenti, con scalabilità fino a centinaia di milioni di identità.Azure Active Directory B2C is a highly available, global, identity management service for consumer-facing applications that scales to hundreds of millions of identities. Il servizio può essere integrato tra piattaforme mobili e Web.It can be integrated across mobile and web platforms. Gli utenti possono accedere a tutte le applicazioni attraverso esperienze personalizzabili usando gli account dei propri social network esistenti o creando nuove credenziali.Your consumers can log on to all your applications through customizable experiences by using their existing social accounts or by creating new credentials.

In passato, gli sviluppatori di applicazioni che desideravano iscriversi e accedere ai consumer nelle proprie applicazioni dovevano scrivere il proprio codice.In the past, application developers who wanted to sign up and sign in consumers into their applications would have written their own code. E dovevano utilizzare database locali o sistemi per archiviare nomi utente e password.And they would have used on-premises databases or systems to store usernames and passwords. Azure Active Directory B2C offre all'organizzazione un modo migliore per integrare la gestione delle identità degli utenti nelle applicazioni con una piattaforma sicura, basata su standard e un set completo di criteri estendibili.Azure Active Directory B2C offers your organization a better way to integrate consumer identity management into applications with the help of a secure, standards-based platform and a large set of extensible policies.

Con Azure Active Directory B2C, gli utenti possono registrarsi alle applicazioni usando gli account di social networking esistenti (Facebook, Google, Amazon, LinkedIn) o creando nuove credenziali (indirizzo di posta elettronica e password o nome utente e password).When you use Azure Active Directory B2C, your consumers can sign up for your applications by using their existing social accounts (Facebook, Google, Amazon, LinkedIn) or by creating new credentials (email address and password, or username and password).

Altre informazioni:Learn more:

Registrazione del dispositivoDevice registration

Registrazione dispositivo Azure AD rappresenta il fondamento per gli scenari di accesso condizionale basato su dispositivo.Azure AD Device Registration is the foundation for device-based conditional access scenarios. Quando un dispositivo viene registrato, Registrazione dispositivo Azure Active Directory fornisce al dispositivo un'identità che viene usata per autenticare il dispositivo quando l'utente esegue l'accesso.When a device is registered, Azure Active Directory Device Registration provides the device with an identity that is used to authenticate the device when the user signs in. Il dispositivo autenticato e gli attributi del dispositivo possono quindi essere usati per imporre criteri di accesso condizionale per le applicazioni locali e ospitate nel cloud.The authenticated device, and the attributes of the device, can then be used to enforce conditional access policies for applications that are hosted in the cloud and on-premises.

Insieme a una soluzione di gestione dei dispositivi mobili (MDM) come Intune, gli attributi del dispositivo in Azure Active Directory vengono aggiornati con informazioni aggiuntive sul dispositivo.When combined with a mobile device management (MDM) solution such as Intune, the device attributes in Azure Active Directory are updated with additional information about the device. Ciò permette di creare regole di accesso condizionale che subordinano l'accesso dai dispositivi al rispetto dei propri standard di sicurezza e conformità.This allows you to create conditional access rules that enforce access from devices to meet your standards for security and compliance.

Altre informazioni:Learn more:

Privileged Identity ManagementPrivileged identity management

Azure Active Directory (AD) Privileged Identity Management consente di gestire, controllare e monitorare le identità con privilegi e l'accesso alle risorse in Azure AD e in altri Microsoft Online Services, ad esempio Office 365 o Microsoft Intune.Azure Active Directory (AD) Privileged Identity Management lets you manage, control, and monitor your privileged identities and access to resources in Azure AD as well as other Microsoft online services like Office 365 or Microsoft Intune.

In alcuni casi gli utenti hanno la necessità di eseguire operazioni privilegiate in risorse di Azure o Office 365 o altre app SaaS.Sometimes users need to carry out privileged operations in Azure or Office 365 resources, or other SaaS apps. Per questa ragione, è spesso necessario che le organizzazioni concedano agli utenti l'accesso con privilegi permanente in Azure AD.This often means organizations have to give them permanent privileged access in Azure AD. Questo rappresenta un rischio di sicurezza crescente per le risorse ospitate nel cloud poiché le organizzazioni non sono in grado di monitorare completamente le operazioni eseguite dagli utenti con i privilegi amministrativi.This is a growing security risk for cloud-hosted resources because organizations can't sufficiently monitor what those users are doing with their admin privileges. Inoltre, se un account utente con accesso privilegiato è compromesso, tale singola violazione può compromettere la sicurezza dell'intero cloud.Additionally, if a user account with privileged access is compromised, that one breach could impact their overall cloud security. Gestione identità con privilegi di Azure AD consente di risolvere questo rischio.Azure AD Privileged Identity Management helps to resolve this risk.

Azure AD Privileged Identity Management consente di effettuare le operazioni seguenti:Azure AD Privileged Identity Management lets you:

  • Individuare gli utenti amministratori di Azure ADSee which users are Azure AD admins
  • Abilitare l'accesso come amministratore Just-In-Time su richiesta ai Microsoft Online Services, ad esempio Office 365 e IntuneEnable on-demand, "just in time" administrative access to Microsoft Online Services like Office 365 and Intune
  • Ottenere report sulla cronologia degli accessi degli amministratori e sulle modifiche alle assegnazioni degli amministratoriGet reports about administrator access history and changes in administrator assignments
  • Ricevere avvisi relativi all'accesso a un ruolo con privilegiGet alerts about access to a privileged role

Altre informazioni:Learn more:

Identity ProtectionIdentity protection

Azure AD Identity Protection è un servizio di sicurezza che offre un quadro consolidato degli eventi di rischio e delle potenziali vulnerabilità che interessano le identità dell'organizzazione.Azure AD Identity Protection is a security service that provides a consolidated view into risk events and potential vulnerabilities affecting your organization’s identities. Identity Protection si avvale delle funzionalità esistenti di rilevamento anomalie di Azure Active Directory, disponibili tramite i report Anomalie dell'attività di Azure AD, e introduce nuovi tipi di eventi di rischio che consentono di rilevare anomalie in tempo reale.Identity Protection leverages existing Azure Active Directory’s anomaly detection capabilities (available through Azure AD’s Anomalous Activity Reports), and introduces new risk event types that can detect anomalies in real-time.

Altre informazioni:Learn more:

Gestione delle identità ibridaHybrid identity management

L'approccio di Microsoft alle identità abbraccia funzionalità locali e basate sul cloud, creando una singola identità utente per l’autenticazione e l’autorizzazione per tutte le risorse, indipendentemente dalla loro posizione.Microsoft’s approach to identity spans on-premises and the cloud, creating a single user identity for authentication and authorization to all resources, regardless of location.

Altre informazioni:Learn more: