Piani di distribuzione di Microsoft Entra
Azure Active Directory è ora Microsoft Entra ID, che può proteggere l'organizzazione con la gestione delle identità e degli accessi cloud. La soluzione connette dipendenti, clienti e partner alle app, ai dispositivi e ai dati.
Usare le linee guida di questo articolo per creare il piano di distribuzione di Microsoft Entra ID. Informazioni di base sulla creazione di piani; poi, usare le sezioni seguenti per la distribuzione dell'autenticazione, le app e i dispositivi, gli scenari ibridi, l'identità utente e altro ancora.
Stakeholder e ruoli
Quando si iniziano i piani di distribuzione, includere gli stakeholder principali. Identificare e documentare gli stakeholder, i ruoli interessati e le aree di proprietà e le responsabilità che consentono una distribuzione efficace. I titoli e i ruoli differiscono da un'organizzazione a un'altra, ma le aree di proprietà sono simili. Vedere la tabella seguente per i ruoli comuni e influenti che incidono su qualsiasi piano di distribuzione.
| Ruolo | Responsabilità |
|---|---|
| Sponsor | Un senior leader aziendale con autorità per approvare o assegnare budget e risorse. Lo sponsor è il collegamento tra i manager e il team esecutivo. |
| Utenti finali | Persone per le quali viene implementato il servizio. Gli utenti possono partecipare a un programma pilota. |
| Responsabile del supporto IT | Fornisce input sulla supportabilità delle modifiche proposte |
| Identity architect | Definisce il modo in cui la modifica è allineata all'infrastruttura di gestione delle identità |
| Titolare dell'azienda dell'applicazione | Possiede le applicazioni interessate, che potrebbero includere la gestione degli accessi. Fornisce input sull'esperienza utente. |
| Responsabile della sicurezza | Conferma che il piano di modifica soddisfa i requisiti di sicurezza |
| Compliance Manager | Garantisce la conformità ai requisiti aziendali, industriali o governativi |
RACI
Responsible, Accountable, Consulted e Informed (RACI) è un modello per la partecipazione da parte di vari ruoli per completare attività o risultati finali per un progetto o un processo aziendale. Usare questo modello per garantire che i ruoli dell'organizzazione comprendano le responsabilità della distribuzione.
- Responsible : le persone responsabili del completamento corretto dell'attività.
- Esiste almeno un ruolo Responsible, anche se è possibile delegare altri utenti per portare a termine il lavoro.
- Accountable: chi in definitiva risponde della correttezza e il completamento del risultato finale o dell'attività. Il ruolo Accountable garantisce che i prerequisiti delle attività siano soddisfatti e i delegati lavorino ai ruoli responsible. Il ruolo Accountable approva il lavoro fornito dal Responsible. Assegnare un Accountable per ogni attività o risultato finale.
- Consulted - Il ruolo Consulted fornisce indicazioni; in genere si tratta di un esperto di dominio (SME).
- Informed : le persone sempre aggiornate sullo stato di avanzamento, in genere al completamento di un'attività o di un risultato finale.
Distribuzione dell'autenticazione
Usare l'elenco seguente per pianificare la distribuzione dell'autenticazione.
Autenticazione a più fattori (MFA) di Microsoft Entra: usando i metodi di autenticazione approvati dall'amministratore, l'autenticazione a più fattori consente di proteggere l'accesso ai dati e alle applicazioni soddisfacendo la richiesta di accesso semplice:
Accesso condizionale: implementare decisioni automatizzate di controllo degli accessi per consentire agli utenti di accedere alle app cloud, in base alle condizioni:
Reimpostazione della password self-service (SSPR) di Microsoft Entra: consente agli utenti di reimpostare una password senza l'intervento dell'amministratore:
Autenticazione senza password: implementare l'autenticazione senza password usando l'app Microsoft Authenticator o le chiavi di sicurezza FIDO2:
Applicazioni e dispositivi
Usare l'elenco seguente per distribuire applicazioni e dispositivi.
- Single Sign-On (SSO): abilitare l'accesso utente alle app e alle risorse con un solo accesso, senza immettere nuovamente le credenziali:
- Portale app personali: individuare e accedere alle applicazioni. Abilitare la produttività degli utenti con il self-service, ad esempio richiedere l'accesso ai gruppi o gestire l'accesso alle risorse per conto di altri utenti.
- Dispositivi : valutare i metodi di integrazione dei dispositivi con Microsoft Entra ID, scegliere il piano di implementazione e altro ancora.
Scenari ibridi
L'elenco seguente descrive le funzionalità e i servizi negli scenari ibridi.
- Active Directory Federation Services (AD FS): eseguire la migrazione dell'autenticazione utente dalla federazione al cloud con l'autenticazione pass-through o la sincronizzazione dell'hash delle password:
- Proxy dell'applicazione Microsoft Entra: consente ai dipendenti di essere produttivi da un dispositivo. Informazioni sulle app SaaS (Software as a Service) nel cloud e nelle app aziendali locali. L’Application Proxy Microsoft Entra consente l'accesso senza reti private virtuali (VPN) o zone demilitarizzate (DMZ):
- Single Sign-On seamless (Seamless SSO): usare Seamless SSO per l'accesso utente nei dispositivi aziendali connessi a una rete aziendale. Gli utenti non hanno bisogno di password per accedere a Microsoft Entra ID e in genere non devono immettere nomi utente. Gli utenti autorizzati accedono alle app basate sul cloud senza componenti locali aggiuntivi:
Utenti
- Identità utente: informazioni sull'automazione per creare, gestire e rimuovere le identità utente nelle app cloud, ad esempio Dropbox, Salesforce, ServiceNow e altro ancora.
- Governance degli ID di Microsoft Entra - Creare la governance delle identità e migliorare i processi aziendali che si basano sui dati di identità. Con i prodotti HR, ad esempio Workday o Successfactors, gestire il ciclo di vita delle identità dei dipendenti e del personale dipendente con regole. Queste regole eseguono il mapping dei processi Joiner-Mover-Leaver (JLM), ad esempio New Hire, Terminate, Transfer ad azioni IT come Create, Enable, Disable. Per altre informazioni, vedere la sezione seguente.
- Collaborazione B2B di Microsoft Entra: migliorare la collaborazione degli utenti esterni con accesso sicuro alle applicazioni:
Governance delle identità e creazione di report
Microsoft Entra ID Governance consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità. Usare Microsoft Entra ID Governance per garantire agli utenti giusti l'accesso alle risorse appropriate. Migliorare l'automazione dei processi di identità e accessi, la delega ai gruppi aziendali e aumentare la visibilità. Usare l'elenco seguente per informazioni su Identity Governance e creazione di report.
Altre informazioni:
Accesso sicuro per un mondo connesso: alla scoperta di Microsoft Entra
Privileged Identity Management (PIM) consente di gestire i ruoli amministrativi con privilegi in Microsoft Entra ID, nelle risorse di Azure e in altri servizi online di Microsoft. Usarlo per l'accesso JIT (Just-In-Time), i flussi di lavoro di approvazione delle richieste e le verifiche di accesso integrate per evitare attività dannose:
Creazione di report e monitoraggio: la progettazione di soluzioni di creazione di report e monitoraggio di Microsoft Entra presenta dipendenze e vincoli: legali, di sicurezza, operazioni, ambiente e processi.
Verifiche di accesso: comprendere e gestire l'accesso alle risorse:
Procedure consigliate per un progetto pilota
Prima di apportare una modifica per gruppi più grandi o per tutti, usare i progetti pilota per eseguire il test con un piccolo gruppo. Verificare che ogni caso d'uso nell'organizzazione sia testato.
Pilota: Fase 1
Nella prima fase, identificare IT, usabilità e altri utenti che possono testare e fornire commenti e suggerimenti. Usare questo feedback per ottenere informazioni dettagliate sui potenziali problemi per il personale di supporto e per sviluppare comunicazioni e istruzioni inviate a tutti gli utenti.
Pilota: Fase 2
Ampliare la distribuzione pilota a gruppi più grandi di utenti usando l'appartenenza dinamica o aggiungendo manualmente gli utenti ai gruppi di destinazione.
Maggiori informazioni: Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID