Nicola FerriniMicrosoft Entra ID Governance – Configurare le verifiche degli accessi (Access Reviews)
Le verifiche degli accessi (access reviews) di Microsoft Entra Identity Governance (precedentemente noto come Azure AD Identity Governance) sono un’importante funzionalità di sicurezza e conformità. Questo strumento consente agli amministratori di IT e ai responsabili della sicurezza di revisionare e controllare periodicamente gli accessi degli utenti a risorse aziendali critiche, applicazioni e gruppi. L’obiettivo è garantire che solo gli utenti autorizzati abbiano l’accesso necessario per eseguire le loro funzioni lavorative, riducendo così il rischio di esposizione a violazioni dei dati o altri rischi di sicurezza.
Le verifiche degli accessi in Microsoft Entra ID Governance offrono i seguenti vantaggi:
- Automazione delle revisioni: Le verifiche degli accessi permettono di automatizzare il processo di revisione degli accessi agli utenti, ai gruppi, alle applicazioni e ai dati. Ciò include la possibilità di pianificare revisioni periodiche e di inviare automaticamente richieste di revisione agli revisori appropriati.
- Delega della revisione: Gli amministratori possono delegare la responsabilità della revisione degli accessi ad altri utenti all’interno dell’organizzazione, solitamente ai manager o ai responsabili della sicurezza, che hanno una migliore comprensione delle esigenze di accesso specifiche per il loro team o dipartimento.
- Raccolta di feedback: Durante una verifica dell’accesso, ai revisori viene chiesto di confermare se l’accesso di un utente è ancora necessario. Possono scegliere di approvare, rifiutare o revocare l’accesso, in base alle loro valutazioni.
- Rapporti e analisi: Al termine di una verifica, Microsoft Entra ID Governance genera rapporti dettagliati che mostrano le decisioni prese durante il processo di revisione. Questi rapporti aiutano a identificare tendenze, rischi potenziali e aree che richiedono maggiore attenzione.
- Integrazione con altre funzionalità di sicurezza: Le verifiche degli accessi si integrano strettamente con altre funzionalità di Microsoft Entra e Azure AD, come le politiche di accesso condizionale e la governance delle identità, per fornire un approccio olistico alla sicurezza e alla gestione delle identità.
Implementando regolarmente verifiche degli accessi, le organizzazioni possono ridurre significativamente il rischio di accesso inappropriato alle risorse aziendali, migliorare la conformità alle normative di sicurezza e garantire che le politiche di accesso siano seguite in modo efficace.
Licenze
Per utilizzare le funzionalità di verifica degli accessi (access reviews) di Microsoft Entra Identity Governance, sono necessarie specifiche licenze di abbonamento. Queste licenze devono essere assegnate agli utenti che beneficeranno delle funzionalità di governance o che saranno soggetti a revisione. La funzionalità è inserita nelle seguenti licenze
- Microsoft 365 E5
- Entra ID Piano 2
- Microsoft Entra ID Governance
Dal portale di Microsoft Entra, navigate nel menù Identity Governance e scegliete Access Reviews. Come si può notare dalla figura sotto, un banner vi avviserà che ci sono state delle modifiche al licensing di questa funzionalità.
Figura 1: Banner con l’avviso che ci sono delle modifiche al licensing di Access Reviews
Verrete reindirizzati alla pagina Microsoft Entra ID Governance licensing fundamentals – Microsoft Entra ID Governance | Microsoft Learn dove troverete maggiori informazioni sulle funzionalità inserite nelle diverse licenze di Microsoft Entra.
Figura 2: Tabella con le funzionalità previste dalle licenze di Microsoft Entra+
Per iniziare la creazione di una nuova Access Review fate clic su + New access review.
Figura 3: Creazione di una nuova Access Review
Nel wizard di creazione di una nuova verifica degli accessi (access review), la scheda “Review Type” (Tipo di revisione) è uno dei passaggi iniziali dove definisci il focus e l’ambito della vostra verifica degli accessi. Questa scheda vi permette di specificare cosa sarà oggetto della revisione, stabilendo così la base per le decisioni che i revisori dovranno prendere. Le opzioni disponibili sono Teams + Groups oppure Applications.
Se optate per “Teams + Groups” come tipo di revisione nell’ambito di Microsoft Entra Identity Governance, vi state focalizzando sulla valutazione degli accessi ai Microsoft Teams e ai gruppi gestiti tramite Entra ID. Questa scelta è strategica per assicurare che solo le persone corrette abbiano accesso ai team e gruppi all’interno della vostra organizzazione. È cruciale per proteggere le informazioni e le risorse condivise, garantendo che siano accessibili esclusivamente a chi ha effettivamente bisogno o diritto di accedervi.
- Microsoft Teams: Revisionando l’accesso ai team, controllate chi può vedere e partecipare a specifici team, inclusi i membri e i loro ruoli, assicurandovi che tutti abbiano i livelli di accesso appropriati.
- Gruppi Entra ID: Con la revisione dell’appartenenza ai gruppi, potete influire sull’accesso a risorse, applicazioni e servizi gestiti attraverso Entra ID, mantenendo l’accesso ai dati e alle applicazioni aziendali strettamente regolamentato.
Se invece scegliete “Applications” come tipo di revisione, il vostro obiettivo è esaminare e gestire l’accesso a specifiche applicazioni integrate con Entra ID. Questa revisione riguarda le applicazioni SaaS che utilizzano Entra ID per l’autenticazione degli utenti e è fondamentale per assicurare che solo gli utenti autorizzati possano accedere alle applicazioni critiche per l’azienda, revocando l’accesso quando non è più necessario o appropriato.
- Questa opzione vi consente di monitorare le assegnazioni di accesso a livello di applicazione, inclusi eventuali ruoli o permessi specifici dell’applicazione, per gestire efficacemente l’accesso a dati sensibili o applicazioni cruciali per i vostri processi aziendali.
La scelta tra “Teams + Groups” e “Applications” va fatta in base agli obiettivi specifici della vostra revisione degli accessi e alle priorità di sicurezza. Entrambe le opzioni rappresentano mezzi efficaci per rafforzare la gestione degli accessi e la sicurezza delle informazioni nella vostra organizzazione attraverso Entra ID.
Figura 4: Scelta del tipo di revisione da effettuare
Io ho scelto di effettuare la revisione di appartenenza ad un particolare gruppo, chiamato Operations.
Figura 5: Scelta di revisionare l’appartenenza ad un particolare gruppo di Entra ID
Proseguite con il wizard e nella scheda Reviews selezionate i Reviewers.
I “reviewers”, o revisori, nel contesto delle verifiche degli accessi di Microsoft Entra Identity Governance, sono gli individui incaricati di esaminare e valutare le assegnazioni di accesso durante il processo di revisione. Questo ruolo è fondamentale per garantire che l’accesso alle risorse, come gruppi, applicazioni, e dati, sia appropriato e sicuro. Ecco alcuni dettagli chiave sui revisori:
- Responsabilità: I revisori hanno il compito di rivedere le assegnazioni di accesso per determinare se sono ancora necessarie e appropriate. Questo include valutare se un individuo dovrebbe continuare ad avere accesso a una risorsa, applicazione o gruppo specifico all’interno dell’organizzazione.
- Selezione: Potete selezionare i revisori in base al loro ruolo, alla loro conoscenza specifica o alla loro posizione all’interno dell’organizzazione. Spesso, i manager o i responsabili di team sono scelti come revisori perché hanno una buona comprensione delle necessità di accesso dei loro dipendenti.
-
Tipi di revisori:
- Revisori specifici: Sono individui designati direttamente per eseguire la revisione. Questo può includere manager, amministratori IT o personale della sicurezza.
- Revisori auto-assegnati: In alcuni casi, potete configurare le verifiche degli accessi in modo che gli utenti possano rivedere il proprio accesso, una pratica nota come “self-review”.
- Revisori di gruppo: Quando la revisione riguarda l’accesso a un gruppo o team, potete anche scegliere di far rivedere l’appartenenza al gruppo dai suoi membri attuali.
- Processo di revisione: Durante la revisione, ai revisori viene fornita una lista di utenti e le risorse a cui hanno accesso. I revisori dovranno poi approvare, rifiutare o richiedere modifiche all’accesso di ciascun utente, basandosi sulla loro necessità lavorativa e sulla politica di sicurezza.
- Risultati della revisione: Una volta completata la revisione, le decisioni dei revisori vengono applicate. Questo può comportare la conferma dell’accesso, la revoca dell’accesso o la richiesta di ulteriori informazioni per prendere una decisione.
L’efficacia delle verifiche degli accessi dipende in gran parte dalla selezione accurata dei revisori e dalla loro capacità di valutare in modo critico le necessità di accesso. Questo processo aiuta a minimizzare i rischi di sicurezza riducendo l’accesso inappropriato o eccessivo alle risorse critiche dell’organizzazione.
Figura 6: Scelta dei revisori
Nel configurare una verifica degli accessi (access review) con Microsoft Entra Identity Governance, avrete la flessibilità di stabilire sia la durata che la periodicità con cui la revisione verrà effettuata. Questi due fattori sono cruciali per garantire che le revisioni degli accessi si adattino alle esigenze di sicurezza e conformità della vostra organizzazione, consentendo al tempo stesso una gestione efficiente delle risorse. La durata di una revisione degli accessi si riferisce al lasso di tempo durante il quale i revisori possono esaminare e rispondere alle assegnazioni di accesso sotto revisione. La periodicità determina quanto frequentemente verrà avviata una nuova revisione degli accessi. Potete scegliere di impostare le revisioni per essere eseguite su base regolare, come mensilmente, trimestralmente, semestralmente o annualmente.
È importante valutare attentamente entrambi questi aspetti per ottimizzare il processo di revisione degli accessi, garantendo che sia efficace senza sovraccaricare i revisori o gli amministratori con richieste eccessive.
Figura 7: Scelta della durata e della periodicità della revisione
Potete scegliere anche una data di fine della revisione. Questa funzionalità vi permette di stabilire un limite temporale preciso per la conclusione della revisione, oltre il quale non sarà più possibile per i revisori fare modifiche o valutazioni sull’accesso degli utenti. La definizione di una data di fine è particolarmente utile in diversi contesti:
- Progetti con scadenze definite: Per progetti o iniziative che hanno una scadenza ben definita, impostare una data di fine per la revisione degli accessi può assicurare che tutti i controlli di accesso siano completati in tempo per la fine del progetto.
- Periodi di revisione basati su eventi: In situazioni in cui la revisione degli accessi è innescata da eventi specifici, come una revisione annuale della sicurezza o il completamento di una fase di un progetto, scegliere una data di fine aiuta a sincronizzare la revisione degli accessi con questi eventi.
- Gestione efficiente: Stabilire una data di fine può anche servire a garantire che la revisione sia gestita in modo efficiente, evitando che si protragga oltre il necessario e incoraggiando i revisori a completare le loro valutazioni in modo tempestivo.
Figura 8: Scelta della data di fine della revisione
Nella scheda “Settings” del wizard avrete l’opportunità di configurare vari aspetti dettagliati della revisione che state impostando. Questa sezione vi permette di personalizzare la revisione per meglio adattarla alle vostre specifiche esigenze di sicurezza e conformità.
Microsoft Entra Identity Governance può automatizzare parte del processo di revisione fornendo raccomandazioni basate sull’intelligenza artificiale e sull’analisi dell’utilizzo. In questa sezione, potete configurare come e quando vengono inviati i promemoria ai revisori e se applicare automaticamente le raccomandazioni se non viene intrapresa alcuna azione entro la fine della revisione.
Decidete cosa deve succedere alla fine della revisione e se il Revisore non risponde alla richiesta di review.
Figura 9: Configurazioni della Access Review
Scegliete anche a chi mandare una notifica della review.
Figura 10: Invio della notifica della fine della revisione
Proseguite con il wizard, inserite il nome della Access Review e fate clic su Create.
Figura 11: Schermata finale del wizard di creazione della Access Review
Nel giro di pochi secondi l’Access Review sarà creata e inizierà il processo di revisione.
Figura 12: Access review creata
Dopo aver configurato e avviato una nuova verifica degli accessi in Microsoft Entra Identity Governance, lo stato della revisione attraverserà diversi stadi che riflettono il suo progresso. Inizialmente, vedrete lo stato della revisione impostato su “Initializing” (Inizializzazione), che indica che il sistema sta preparando e configurando la revisione in base alle impostazioni che avete specificato. Questo stadio include la preparazione dell’ambiente, la selezione degli utenti e delle risorse oggetto di revisione, e l’assegnazione dei revisori.
Dopo alcuni secondi o qualche minuto, a seconda della complessità della revisione e della dimensione dell’ambito definito, lo stato passerà ad “Active“Lo stato “Active” significa che la revisione degli accessi è ora in corso e i revisori possono iniziare a esaminare le assegnazioni di accesso. Durante questo periodo:
- I revisori ricevono le notifiche: I revisori designati saranno notificati (generalmente via email) che una revisione degli accessi è pronta per essere eseguita, con istruzioni su come procedere.
- Accesso al portale di revisione: I revisori possono accedere al portale Microsoft Entra Identity Governance per vedere le informazioni di revisione assegnate a loro, comprese le raccomandazioni automatizzate, se abilitate.
- Revisione e decisioni: I revisori esaminano le assegnazioni di accesso e prendono decisioni su ciascuna di esse, approvando, negando o segnalando l’accesso per ulteriori azioni.
Figura 13: Lo stato della revisione è in modalità Initializing
Figura 14: Lo stato della revisione è in modalità Active
Cliccando su una revisione specifica all’interno del portale di Microsoft Entra, avrete accesso a una serie di dettagli e funzionalità che vi permettono di monitorare e gestire efficacemente la revisione. Ecco cosa potete fare:
- Verificare lo Stato: Potrete vedere immediatamente se la revisione è ancora attiva, se è in fase di inizializzazione, o se è stata completata. Questo vi dà un’idea chiara di dove si trova la revisione nel suo ciclo di vita.
- Esaminare i Risultati: Avrete accesso ai risultati delle decisioni prese dai revisori, inclusi gli accessi approvati, negati, o quelli per i quali non è stata presa alcuna decisione. Questo vi aiuta a capire meglio come stanno venendo gestiti gli accessi all’interno della vostra organizzazione.
- Modificare le Configurazioni: Se necessario, potete apportare modifiche alle configurazioni della revisione, come aggiustare la data di fine, aggiungere o rimuovere revisori, o modificare l’ambito della revisione (a seconda delle limitazioni e delle funzionalità disponibili al momento della vostra revisione).
- Agire sui Risultati: Basandovi sui risultati della revisione, potete decidere di intraprendere azioni specifiche, come revocare l’accesso, richiedere ulteriori informazioni, o anche pianificare una nuova revisione se ci sono stati cambiamenti significativi.
- Filtri e Ricerca: Per facilitare la gestione di grandi quantità di dati, potrete utilizzare filtri e funzioni di ricerca per trovare rapidamente informazioni specifiche relative a utenti, gruppi, o decisioni di accesso.
- Accesso ai Report: Per le revisioni completate, avrete la possibilità di generare e scaricare report che sintetizzano le decisioni prese, le azioni intraprese, e altre metriche chiave. Questo è utile per l’analisi post-revisione e per la documentazione di conformità.
Figura 15: Scheda overview della Access Review
Io ho deciso di verificare l’appartenenza ad un gruppo di Entra ID e ho delegato l’owner del gruppo alla verifica degli accessi.
Quando configurate una revisione degli accessi in Microsoft Entra Identity Governance e designate l’owner (proprietario) di un gruppo come revisore, quest’ultimo riceverà automaticamente un’email di notifica. Questa e-mail serve come invito a iniziare il processo di revisione degli accessi per il gruppo o le risorse di cui è responsabile.
L’email di notifica conterrà le informazioni essenziali per guidare l’owner del gruppo attraverso il processo di revisione, tra cui:
- Scopo della revisione: Una breve descrizione del motivo per cui la revisione degli accessi è stata avviata, evidenziando l’importanza della partecipazione attiva.
- Istruzioni per la revisione: Passaggi dettagliati su come accedere al portale di Microsoft Entra e come procedere con la revisione degli accessi.
- Scadenza: Informazioni sulla data di fine della revisione, sottolineando l’importanza di completare la revisione entro tale data per assicurare la conformità e mantenere la sicurezza delle informazioni aziendali.
Le azioni che l’owner del gruppo dovrà intraprendere dopo aver ricevuto l’e-mail sono:
- Accesso al portale: L’owner del gruppo dovrà accedere al portale di Microsoft Entra utilizzando il link fornito nell’email.
- Revisione degli accessi: Seguirà le istruzioni per rivedere gli accessi al gruppo, decidendo quali membri dovrebbero mantenere il loro accesso, quali dovrebbero essere rimossi e se ci sono accessi che richiedono ulteriori indagini.
- Finalizzazione della revisione: Una volta completate le sue valutazioni, l’owner del gruppo sottometterà le decisioni attraverso il portale, dove verranno registrate e attuate in base alle politiche configurate per la revisione.
Figura 16: Mail ricevuta dall’owner del gruppo quando inizia la Access Review
Durante il processo di revisione degli accessi in Microsoft Entra Identity Governance, l’owner di un gruppo ha diverse opzioni per gestire le richieste di accesso. Queste opzioni gli consentono di prendere decisioni informate su chi dovrebbe mantenere l’accesso alle risorse aziendali critiche. Ecco le azioni che un owner può compiere:
- Approvare l’accesso: L’owner può scegliere di approvare le richieste di accesso o l’accesso corrente degli utenti. Questo significa che l’owner ritiene che l’utente in questione necessiti ancora dell’accesso al gruppo o alla risorsa per svolgere le sue funzioni lavorative.
- Negare l’accesso: L’owner ha anche l’opzione di negare le richieste di accesso o di revocare l’accesso corrente. Questa decisione viene presa quando si ritiene che l’utente non abbia necessità di accedere alla risorsa, contribuendo così a ridurre il rischio di esposizione a violazioni della sicurezza.
- Accettare le raccomandazioni: Microsoft Entra Identity Governance può fornire raccomandazioni basate sull’analisi dell’utilizzo e altri parametri. Queste raccomandazioni sono progettate per aiutare l’owner a prendere decisioni più informate. Accettando le raccomandazioni, l’owner si affida all’intelligenza artificiale e agli algoritmi di Microsoft per automatizzare parte del processo di revisione, semplificando la gestione degli accessi.
- Richiedere ulteriori informazioni: Se non è chiaro se un utente debba mantenere l’accesso, l’owner può richiedere ulteriori dettagli prima di prendere una decisione.
- Delegare la decisione: In alcuni casi, l’owner può delegare la decisione a un altro membro del team o a un responsabile che possiede una migliore comprensione del ruolo e delle necessità di accesso dell’utente.
Figura 17: Approvazione dell’accesso da parte del proprietario del gruppo
Figura 18: Motivazione per l’approvazione
Figura 19: Appartenenza al gruppo approvata
Figura 20: Accettazione delle raccomandazioni per gli altri membri del gruppo
Le decisioni prese dall’owner del gruppo hanno un impatto diretto sulla sicurezza e sulla conformità delle risorse aziendali. È cruciale che queste decisioni siano ponderate e basate su una chiara comprensione delle necessità di accesso in relazione ai ruoli e alle responsabilità degli utenti all’interno dell’organizzazione.
Attraverso questo processo di revisione, Microsoft Entra Identity Governance fornisce agli owner degli strumenti per mantenere l’accesso alle risorse aziendali strettamente allineato con le politiche di sicurezza e le esigenze operative, contribuendo a minimizzare i rischi associati alla gestione degli accessi.
Figura 21: Decisioni prese dal proprietario del gruppo
È possibile interrompere una revisione degli accessi prima della sua scadenza in Microsoft Entra Identity Governance. Questo può essere necessario per vari motivi, come la necessità di aggiornare l’ambito della revisione, modificare i revisori assegnati o correggere le configurazioni a seguito di cambiamenti organizzativi. Per farlo basterà selezionare la revisione e dalla scheda Results cliccare su Stop.
Dopo aver confermato l’intenzione di interrompere la revisione, lo stato della revisione cambierà per riflettere che è stata interrotta. A seconda delle impostazioni del sistema e della natura della revisione, potreste avere la possibilità di riprendere la revisione in un secondo momento o di doverne avviare una nuova da capo.
Figura 22: Termine della revisione prima della sua scadenza
Al termine del processo di revisione degli accessi in Microsoft Entra Identity Governance, i revisori e, a seconda della configurazione, anche gli owner dei gruppi o delle applicazioni oggetto della revisione, riceveranno un’e-mail di notifica. Questa e-mail li informa che la revisione è stata completata.
Figura 23: Il reviewer riceverà una mail che lo avviserà che il processo di revisione è completato
Cliccando sul link presente nella mail il reviewer verrà reindirizzato al portale di Microsoft Entra dove potrà visualizzare i dettagli sulle azioni finali intraprese in base alle decisioni della revisione, come la revoca dell’accesso per determinati utenti o la conferma degli accessi esistenti.
Figura 24: Dettagli sullo stato della revisione e
sulle azioni finali intraprese
Ala fine della revisione, gli utenti approvati sono soltanto due, rispetto ai 16 iniziali.
Figura 25: Utenti approvati che sono rimasti nel gruppo Operations
Conclusioni
Il processo di revisione degli accessi in Microsoft Entra Identity Governance rappresenta un pilastro fondamentale per la sicurezza e la conformità delle organizzazioni moderne. Attraverso un meccanismo dettagliato e configurabile, permette di esaminare periodicamente e con precisione chi ha accesso a quali risorse, assicurando che solo gli utenti appropriati mantengano l’accesso necessario per le loro funzioni lavorative. Dall’inizializzazione della revisione fino alla sua conclusione, ogni passo è progettato per massimizzare l’efficacia della governance delle identità e degli accessi, riducendo al contempo il rischio di esposizione a violazioni dei dati e altri rischi di sicurezza.
L’impiego di revisori selezionati e la possibilità di agire basandosi su raccomandazioni intelligenti aggiungono un ulteriore strato di precisione e automazione al processo. Inoltre, la flessibilità offerta dalla piattaforma permette di interrompere e riprendere le revisioni secondo necessità, garantendo che le operazioni di revisione possano adattarsi ai cambiamenti organizzativi e alle esigenze di business.
La comunicazione è un aspetto cruciale in ogni fase del processo. Dall’invio di notifiche per iniziare la revisione fino alle e-mail di conclusione, Microsoft Entra assicura che tutti i partecipanti siano costantemente informati sullo stato della revisione e sulle azioni richieste o compiute. Questo non solo facilita una gestione efficace delle revisioni degli accessi ma promuove anche una cultura di sicurezza e responsabilità tra gli utenti.
Il successo del processo di revisione degli accessi dipende dalla collaborazione attiva tra tutti gli stakeholder coinvolti e dalla loro volontà di utilizzare gli strumenti e le informazioni fornite per prendere decisioni informate. La continua evoluzione di Microsoft Entra Identity Governance e la sua capacità di integrarsi con altre soluzioni di sicurezza amplificano il suo valore, rendendolo un alleato indispensabile nella lotta contro le minacce alla sicurezza informatica e nel mantenimento della conformità normativa.