Passaggio 1: pianificazione per utenti e gruppiStep 1: Plan for users and groups

Questo passaggio è obbligatorio e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis step is required and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Questo passaggio consente di creare un'infrastruttura di gestione delle identità che combina utenti, gruppi e appartenenza a gruppi con caratteristiche di sicurezza nella configurazione corretta. In questo modo è possibile:In this step, you'll create your identity infrastructure that combines users, groups, and group membership with security features in the correct configuration. This allows you to:

  • Mantenere il controllo su chi accede alle risorse nell'ambiente.Maintain control over who has access to resources in your environment.
  • Proteggere l'accesso con i controlli che assicurano delle forti garanzie di identità (gli utenti sono chi dicono di essere) e l'accesso da dispositivi sicuri.Secure access with controls that ensure strong assurances of identity (users are who they say they are) and access from safe devices.
  • Effettuare il provisioning delle risorse nell'ambiente con le autorizzazioni adeguate per ridurre i rischi di danni e perdita di dati.Provision resources in your environment with appropriate permissions to reduce the potential for harm and data leakage.
  • Monitorare l'ambiente per individuare comportamenti anomali degli utenti e intervenire automaticamente.Monitor your environment for anomalous user behavior and automatically taking action.

Pianificare il provider di identità primariaPlan your primary identity provider

Per creare l'infrastruttura di gestione delle identità, è necessario designare un provider di identità primaria. Questo servizio consente di archiviare gli account utente e i loro attributi, i gruppi e le loro appartenenze e supporta l'amministrazione in corso.To create your identity infrastructure, you'll designate a primary identity provider. This service stores user accounts and their attributes, groups and their memberships, and supports their ongoing administration.

Quando un'organizzazione utilizza Microsoft 365 Enterprise, il provider di identità primaria può essere:When your organization adopts Microsoft 365 Enterprise, your primary identity provider is either:

  • Windows Server Active Directory (AD), un provider di identità Intranet ospitato su computer che eseguono Windows Server. Questa opzione viene generalmente utilizzata dalle organizzazioni che possiedono un provider di identità locale esistente.Windows Server Active Directory (AD), an intranet identity provider hosted on computers running Windows Server. This is typically used by organizations that have an existing on-premises identity provider.
  • Azure Active Directory (Azure AD), un'identità come servizio (IDaaS) basata sul cloud che offre un'ampia gamma di funzionalità per gestire e proteggere l'ambiente. Questa opzione viene generalmente utilizzata dalle organizzazioni che non dispongono di un'infrastruttura locale.Azure Active Directory (Azure AD), a cloud-based Identity as a Service (IDaaS) that provides a broad range of capabilities for managing and protecting your environment. This is typically used by organizations that have no existing on-premises infrastructure.

Se l'organizzazione dispone di un provider di identità locale esistente, non è necessario sincronizzare gli account e i gruppi utente da Windows Server AD ad Azure AD per fornire un accesso più semplice ai servizi basati sul cloud di Microsoft 365 Enterprise. È anche possibile utilizzare Azure AD per creare e gestire gruppi presenti solo nel cloud Microsoft.If your organization has an existing on-premises identity provider, you need to synchronize your user accounts and groups from Windows Server AD to Azure AD to provide more seamless access to the cloud-based services of Microsoft 365 Enterprise. You can also use Azure AD to create and manage groups that exist only in the Microsoft cloud.

Una volta impostati gli utenti e i gruppi in Azure AD, è possibile:After you have your users and groups in Azure AD, you can:

  • Gestire tutti gli account di Azure AD per tutte le applicazioni cloud.Manage all the Azure AD accounts for all your cloud applications.
  • Utilizzare lo stesso set di controlli per proteggere l'accesso alle applicazioni all'interno dell'ambiente.Use the same set of controls to protect access to applications across your environment.
  • Collaborare con partner esterni.Collaborate with external partners.
  • Monitorare comportamenti anomali degli account, come per esempio tentativi sospetti di accesso, per poi intervenire automaticamente.Monitor anomalous account behavior, such as suspicious sign-in attempts, and automatically act.

Seguire le istruzioni nelle prossime due sezioni per pianificare e implementare gli account e i gruppi utente.Follow the instructions in the next two sections to plan for and implement your user accounts and groups.

Categorizzare gli utentiCategorize your users

Gli utenti nelle organizzazioni possono essere categorizzati in molti modi. Per esempio, alcuni sono dipendenti e hanno un contratto permanente. Altri sono fornitori, terzisti o partner con un contratto temporaneo. Altri ancora sono utenti esterni che non dispongono di un account utente, ma che devono avere un accesso garantito a servizi e risorse specifiche per supportare l'interazione e la collaborazione. Ad esempio:Users in organizations can be categorized in a number of ways. For example, some are employees and have a permanent status. Some are vendors, contractors, or partners that have a temporary status. Some are external users that have no user accounts but must still be granted access to specific services and resources to support interaction and collaboration. For example:

  • Gli account tenant rappresentano gli utenti all'interno dell'organizzazione con la licenza per i servizi cloudTenant accounts represent users within your organization that you license for cloud services
  • Gli account Business to Business (B2B) rappresentano gli utenti esterni all'organizzazione che vengono invitati a collaborare.Business to Business (B2B) accounts represent users outside your organization that you invite to participate in collaboration

È consigliabile tener conto dei tipi di utente dell'organizzazione. Come sono raggruppati? Per esempio, è possibile raggruppare gli utenti in base alle funzioni di alto livello o all'obiettivo dell'organizzazione.Take stock of the types of users to your organization. What are the groupings? For example, you can group users by high-level function or purpose to your organization.

Inoltre, alcuni servizi cloud possono essere condivisi al di fuori dell'organizzazione senza alcun account utente. È necessario identificare anche questi gruppi di utenti.Additionally, some cloud services can be shared with users outside your organization without any user accounts. You'll need to identify these groups of users as well.

Pianificazione per i gruppi di Windows Server AD e Azure ADPlan for Windows Server AD and Azure AD groups

È possibile utilizzare i gruppi in Azure AD in molteplici modi che semplificano la gestione dell'ambiente cloud. Per esempio, per i gruppi di Azure AD è possibile:You can use groups in Azure AD for several purposes that simplify management of your cloud environment. For example, for Azure AD groups, you can:

  • Utilizzare la licenza basata su gruppo per assegnare automaticamente le licenze per Office 365 ed Enterprise Mobility + Security (EMS) agli account utente appena vengono aggiunti in Azure AD o sincronizzati da Windows Server AD.Use group-based licensing to assign licenses for Office 365 and Enterprise Mobility + Security (EMS) to your user accounts automatically as soon as they are added in Azure AD or synchronized from Windows Server AD.
  • Aggiungere account utente a gruppi specifici in modo dinamico in base agli attributi dell'account utente, come per esempio il reparto.Add user accounts to specific groups dynamically based on user account attributes, such as department.
  • Effettuare automaticamente il provisioning degli utenti per le applicazioni Software as a Service (SaaS) e proteggere l'accesso a tali applicazioni con l'autenticazione a più fattori e altre regole di accesso condizionale.Automatically provision users for Software as a Service (SaaS) applications and to protect access to those applications with multi-factor authentication and other conditional access rules.
  • Effettuare il provisioning delle autorizzazioni e dei livelli di accesso per i siti del team di SharePoint Online. I gruppi di Azure AD possono essere utilizzati anche con i criteri di Azure Information Protection per proteggere i file con crittografia e autorizzazioni.Provision permissions and levels of access for SharePoint Online team sites. Azure AD groups can also be used with scoped Azure Information Protection policies to protect files with encryption and permissions.

RisultatiResults

Dopo aver completato questo passaggio, si ottiene quanto segue:When you complete this step, you’ll have:

  • Un elenco degli account utente in Azure AD che corrispondono ai dipendenti dell'organizzazione, a fornitori, terzisti e partner esterni che collaborano con l'organizzazione.A list of user accounts in Azure AD that correspond to the employees in your organization and the vendors, contractors, and external partners that work for or with your organization.
  • Un set di gruppi e la loro relativa appartenenza in Azure AD che riflette dei set logici di account utente e altri gruppi per il provisioning automatico delle licenze delle impostazioni di sicurezza per i servizi cloud di Microsoft.A set of groups and their membership in Azure AD that reflect logical sets of user accounts and other groups for automatic licensing provisioning of security settings for Microsoft cloud services.

Come checkpoint provvisorio, è possibile vedere i criteri uscita per questo passaggio.As an interim checkpoint, you can see the exit criteria for this step.

Passaggio successivoNext step

Proteggere gli account amministratore globaleProtect global administrator accounts