Principio dei privilegi minimi con Microsoft Entra ID Governance

Un concetto che deve essere affrontato prima di adottare una strategia di governance delle identità è il principio del privilegio minimo (PLOP). Il privilegio minimo è un principio nella governance delle identità che prevede l'assegnazione di utenti e gruppi solo al livello minimo di accesso e autorizzazioni necessarie per svolgere le proprie mansioni. L'idea è limitare i diritti di accesso in modo che un utente o un gruppo possa completare il proprio lavoro, ma anche ridurre al minimo i privilegi non necessari che potrebbero essere sfruttati da utenti malintenzionati o causare violazioni della sicurezza.

Per quanto riguarda la governance di Microsoft Entra ID, l'applicazione del principio dei privilegi minimi consente di migliorare la sicurezza e ridurre i rischi. Questo approccio garantisce che agli utenti e ai gruppi venga concesso l'accesso solo alle risorse, ai dati e alle azioni rilevanti per i ruoli e le responsabilità e non oltre a tale approccio.

Concetti chiave del principio dei privilegi minimi

  • Accesso solo alle risorse necessarie: agli utenti viene concesso l'accesso alle informazioni e alle risorse solo se hanno un'effettiva necessità di eseguire le proprie attività. Ciò impedisce l'accesso non autorizzato ai dati sensibili e riduce al minimo l'impatto potenziale di una violazione della sicurezza. L'automazione del provisioning utenti consente di ridurre la concessione non necessaria dei diritti di accesso. I flussi di lavoro del ciclo di vita sono una funzionalità di governance delle identità che consente alle organizzazioni di gestire gli utenti di Microsoft Entra automatizzando i processi di base del ciclo di vita.

  • Controllo degli Controllo di accesso accessi in base al ruolo : i diritti di accesso vengono determinati in base ai ruoli specifici o alle funzioni dei processi degli utenti. A ogni ruolo vengono assegnate le autorizzazioni minime necessarie per soddisfare le proprie responsabilità. Il controllo degli accessi in base al ruolo di Microsoft Entra gestisce l'accesso alle risorse di Microsoft Entra.

  • Privilegio JUST-In-Time: i diritti di accesso vengono concessi solo per il periodo di tempo necessario e vengono revocati quando non sono più necessari. In questo modo si riduce la finestra di opportunità per gli utenti malintenzionati di sfruttare privilegi eccessivi. Privileged Identity Management (PIM) è un servizio in Microsoft Entra ID che consente di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione e può fornire l'accesso JIT.

  • Controllo e revisione regolari: vengono eseguite verifiche periodiche dell'accesso utente e delle autorizzazioni per garantire che gli utenti richiedano comunque l'accesso a cui sono stati concessi. Ciò consente di identificare e correggere eventuali deviazioni dal principio dei privilegi minimi. Le verifiche di accesso in Microsoft Entra ID, parte di Microsoft Entra, consentono alle organizzazioni di gestire in modo efficiente le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo. È possibile verificare l'accesso dell'utente regolarmente per assicurarsi che solo gli utenti corretti possano continuare ad accedere.

  • Nega predefinita: la posizione predefinita consiste nel negare l'accesso e l'accesso viene concesso in modo esplicito solo per scopi approvati. Ciò contrasta con un approccio "consenti predefinito", che può comportare la concessione di privilegi non necessari. La gestione entitlement è una funzionalità di governance delle identità che consente alle organizzazioni di gestire il ciclo di vita delle identità e degli accessi su larga scala, automatizzando i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le verifiche e la scadenza.

Seguendo il principio dei privilegi minimi, l'organizzazione può ridurre il rischio di problemi di sicurezza e assicurarsi che i controlli di accesso siano allineati alle esigenze aziendali.

Ruoli con privilegi minimi per la gestione nelle funzionalità di Identity Governance

Come procedura consigliata, usare il ruolo con privilegi minimi per eseguire attività amministrative in Identity Governance. È consigliabile usare Microsoft Entra PIM per attivare un ruolo in base alle esigenze per eseguire queste attività. Di seguito sono riportati i ruoli della directory con privilegi minimi per configurare le funzionalità di Identity Governance:

Funzionalità Ruolo con privilegi minimi
Gestione dei diritti Amministratore di Identity Governance
Verifiche di accesso Amministratore utenti (ad eccezione delle verifiche di accesso dei ruoli di Azure o Microsoft Entra, che richiedono l'amministratore del ruolo con privilegi)
Flussi di lavoro del ciclo di vita Amministratore flussi di lavoro del ciclo di vita
Privileged Identity Management Amministratore dei ruoli con privilegi
Condizioni per l'utilizzo Amministratore della sicurezza o Amministratore accesso condizionale

Nota

Il ruolo con privilegi minimi per la gestione entitlement è stato modificato dal ruolo Amministratore utenti al ruolo Di amministratore di Identity Governance.