Memo 22-09 sistema di gestione delle identità a livello aziendale

M 22-09 Memorandum for Heads of Executive Departments and Agency richiede alle agenzie di sviluppare un piano di consolidamento per le loro piattaforme di identità. L'obiettivo è avere il minor numero possibile di sistemi di gestione delle identità gestiti dall'agenzia entro 60 giorni dalla data di pubblicazione (28 marzo 2022). Esistono diversi vantaggi per consolidare Identity Platform:

  • Centralizzare la gestione del ciclo di vita delle identità, l'applicazione dei criteri e i controlli controllabili
  • Funzionalità uniformi e parità di applicazione
  • Ridurre la necessità di eseguire il training delle risorse in più sistemi
  • Consentire agli utenti di accedere una sola volta e quindi accedere ad applicazioni e servizi nell'ambiente IT
  • Integrare con il maggior numero possibile di applicazioni dell'agenzia
  • Usare i servizi di autenticazione condivisa e le relazioni di trust per facilitare l'integrazione tra le agenzie

Perché Microsoft Entra ID?

Usare Microsoft Entra ID per implementare le raccomandazioni del memorandum 22-09. Microsoft Entra ID include controlli di identità che supportano le iniziative Zero Trust. Con Microsoft Office 365 o Azure, Microsoft Entra ID è un provider di identità (IdP). Connessione le applicazioni e le risorse a Microsoft Entra ID come sistema di gestione delle identità a livello aziendale.

Requisiti di Single Sign-On

Il memo richiede l'accesso degli utenti una sola volta e quindi l'accesso alle applicazioni. Con gli utenti dell'accesso Single Sign-On (SSO) Microsoft accedono una sola volta e quindi accedono a servizi e applicazioni cloud. Vedere l'accesso Single Sign-On facile di Microsoft Entra.

Integrazione tra le agenzie

Usare Microsoft Entra B2B Collaboration per soddisfare il requisito di facilitare l'integrazione e la collaborazione tra le agenzie. Gli utenti possono risiedere in un tenant Microsoft nello stesso cloud. I tenant possono trovarsi in un altro cloud Microsoft o in un tenant non Azure AD (provider di identità SAML/WS-Fed).

Con le impostazioni di accesso cross-tenant di Microsoft Entra, le agenzie gestiscono come collaborano con altre organizzazioni di Microsoft Entra e altri cloud di Microsoft Azure:

  • Limitare l'accesso degli utenti dei tenant Microsoft
  • Impostazioni per l'accesso utente esterno, tra cui l'imposizione dell'autenticazione a più fattori e il segnale del dispositivo

Altre informazioni:

Connessione applicazioni

Per consolidare e usare Microsoft Entra ID come sistema di gestione delle identità a livello aziendale, esaminare gli asset inclusi nell'ambito.

Documentare applicazioni e servizi

Creare un inventario delle applicazioni e dei servizi a cui gli utenti accedono. Un sistema di gestione delle identità protegge ciò che sa.

Classificazione degli asset:

  • Riservatezza dei dati
  • Leggi e normative per la riservatezza, l'integrità o la disponibilità di dati e/o informazioni nei principali sistemi
    • Leggi e normative che si applicano ai requisiti di protezione delle informazioni di sistema

Per l'inventario delle applicazioni, determinare le applicazioni che usano protocolli pronti per il cloud o protocolli di autenticazione legacy:

  • Le applicazioni pronte per il cloud supportano protocolli moderni per l'autenticazione:
    • SAML
    • WS-Federation/Trust
    • OpenID Connessione (OIDC)
    • OAuth 2.0.
  • Le applicazioni di autenticazione legacy si basano su metodi di autenticazione meno recenti o proprietari:
    • Kerberos/NTLM (autenticazione di Windows)
    • Autenticazione basata su intestazione
    • LDAP
    • Autenticazione di base

Altre informazioni sulle integrazioni di Microsoft Entra con i protocolli di autenticazione.

Strumenti di individuazione di applicazioni e servizi

Microsoft offre gli strumenti seguenti per supportare l'individuazione di applicazioni e servizi.

Strumento Utilizzo
Analisi di utilizzo per Active Directory Federation Services (AD FS) Analizza il traffico di autenticazione del server federato. Vedere Monitorare AD FS con Microsoft Entra Connessione Health
Microsoft Defender for Cloud Apps Analizza i log del firewall per rilevare le app cloud, i servizi IaaS (Infrastructure as a Service) e i servizi PaaS (Platform as a Service). Integrare Defender per il cloud Apps con Defender per endpoint ai dati di individuazione analizzati dai dispositivi client Windows. Vedere Panoramica delle app Microsoft Defender per il cloud
Foglio di lavoro individuazione applicazioni Documentare gli stati correnti delle applicazioni. Vedere il foglio di lavoro Individuazione applicazioni

Le app potrebbero trovarsi in sistemi diversi da Microsoft e gli strumenti Microsoft potrebbero non individuare tali app. Verificare un inventario completo. I provider necessitano di meccanismi per individuare le applicazioni che usano i propri servizi.

Assegnare priorità alle applicazioni per la connessione

Dopo aver scoperto le applicazioni nell'ambiente in uso, assegnarle le priorità per la migrazione. Tenere in considerazione:

  • Criticità aziendale
  • Profili utente
  • Utilizzo
  • Durata

Altre informazioni: Eseguire la migrazione dell'autenticazione dell'applicazione all'ID Microsoft Entra.

Connessione le app pronte per il cloud in ordine di priorità. Determinare le app che usano protocolli di autenticazione legacy.

Per le app che usano protocolli di autenticazione legacy:

  • Per le app con autenticazione moderna, riconfigurarle per l'uso di Microsoft Entra ID
  • Per le app senza autenticazione moderna, sono disponibili due opzioni:
    • Aggiornare il codice dell'applicazione per usare i protocolli moderni integrando Microsoft Authentication Library (MSAL)
    • Usare il proxy dell'applicazione Microsoft Entra o l'accesso sicuro ai partner ibridi per l'accesso sicuro
  • Rimuovere le autorizzazioni di accesso alle app non più necessarie o non supportate

Altre informazioni

Connessione dispositivi

Parte della centralizzazione di un sistema di gestione delle identità consente agli utenti di accedere a dispositivi fisici e virtuali. È possibile connettere i dispositivi Windows e Linux nel sistema Microsoft Entra centralizzato, eliminando così più sistemi di identità separati.

Durante l'inventario e la definizione dell'ambito, identificare i dispositivi e l'infrastruttura da integrare con Microsoft Entra ID. L'integrazione centralizza l'autenticazione e la gestione usando i criteri di accesso condizionale con l'autenticazione a più fattori applicata tramite Microsoft Entra ID.

Strumenti per individuare i dispositivi

È possibile usare gli account Automazione di Azure per identificare i dispositivi tramite la raccolta di inventario connessa a Monitoraggio di Azure. Microsoft Defender per endpoint dispone di funzionalità di inventario dei dispositivi. Individuare i dispositivi con Defender per endpoint configurati e quelli che non lo fanno. L'inventario dei dispositivi proviene da sistemi locali come System Center Configuration Manager o altri sistemi che gestiscono dispositivi e client.

Altre informazioni:

Integrare i dispositivi con Microsoft Entra ID

I dispositivi integrati con Microsoft Entra ID sono dispositivi aggiunti all'ambiente ibrido o dispositivi aggiunti a Microsoft Entra. Separare l'onboarding dei dispositivi in base ai dispositivi client e utente e alle macchine virtuali fisiche e virtuali che operano come infrastruttura. Per altre informazioni sulla strategia di distribuzione per i dispositivi utente, vedere le indicazioni seguenti.

Passaggi successivi

Gli articoli seguenti fanno parte di questo set di documentazione: