Condivisione di account con Microsoft Entra ID

Panoramica

In Microsoft Entra ID, parte di Microsoft Entra, a volte le organizzazioni devono usare un singolo nome utente e password per più persone, che spesso si verificano nei casi seguenti:

• Quando si accede alle applicazioni che richiedono account di accesso e password univoci per ogni utente, in caso di app locali o servizi cloud di livello consumer (ad esempio, gli account aziendali di social media).
• Quando si creano ambienti multiutente. Potrebbe essere presente un singolo account locale che dispone di privilegi elevati che viene usato per attività di base, ad esempio installazione, amministrazione e ripristino. Ad esempio, l'account globale Amministrazione istrator locale per Microsoft 365 o l'account radice in Salesforce.

In genere, questi account possono essere condivisi distribuendo le credenziali (nome utente/password) agli individui appropriati o archiviandoli in un percorso condiviso a cui possono accedere più agenti attendibili.

Il modello di condivisione tradizionale presenta vari svantaggi:

• L'abilitazione dell'accesso alle nuove applicazioni richiede di distribuire le credenziali a tutti gli utenti che necessitano dell'accesso.
• Ogni applicazione condivisa potrebbe richiedere un proprio set univoco di credenziali condivise, che comporta la necessità da parte degli utenti di memorizzare più set di credenziali. Quando gli utenti devono ricordare molte credenziali, aumenta il rischio che incorrano in attività rischiose (ad esempio annotare le password).
• Non è possibile individuare gli utenti che dispongono dell'accesso a un'applicazione.
• Non è possibile individuare gli utenti che hanno effettuato l'accesso a un'applicazione.
• Per rimuovere l'accesso a un'applicazione, è necessario aggiornare le credenziali e distribuirle nuovamente a tutti gli utenti che richiedono l'accesso a tale applicazione.

Condivisione dell'account Microsoft Entra

Microsoft Entra ID offre un nuovo approccio all'uso di account condivisi che elimina questi svantaggi.

L'amministratore di Microsoft Entra configura le applicazioni a cui un utente può accedere usando il Pannello di accesso e sceglie il tipo di accesso Single Sign-On più adatto per tale applicazione. Uno di questi tipi, single sign-on basato su password, consente a Microsoft Entra ID di fungere da tipo di "broker" durante il processo di accesso per tale app.

Gli utenti accedono una volta con l'account aziendale. Si tratta dello stesso account che usano regolarmente per accedere al desktop o alla posta elettronica. Possono individuare e accedere solo alle applicazioni a cui sono assegnati. Con gli account condivisi, questo elenco di applicazioni può includere qualsiasi numero di credenziali condivise. L'utente finale non deve ricordare o annotare i vari account in uso.

Gli account condivisi non solo consentono di aumentare la supervisione e migliorare l'usabilità, ma anche di aumentare la sicurezza. Gli utenti con autorizzazioni per l'uso delle credenziali non visualizzano la password condivisa, ma ottengono autorizzazioni per l'uso della password come parte di un flusso di autenticazione orchestrato. Inoltre, alcune applicazioni SSO con password offrono la possibilità di usare Microsoft Entra ID per eseguire periodicamente il rollover delle password (aggiornamento). Il sistema usa le password complesse di grandi dimensioni e ciò incrementa la sicurezza dell'account. L'amministratore può facilmente concedere o revocare l'accesso a un'applicazione e può sapere chi può accedere all'account e chi ha avuto accesso in precedenza.

Microsoft Entra ID supporta gli account condivisi per qualsiasi piano di licenza Enterprise Mobility Suite (EMS) o Microsoft Entra ID P1 o P2, in tutti i tipi di applicazioni Single Sign-On password. È possibile condividere gli account per una qualsiasi delle numerose applicazioni già integrate nella raccolta e integrare la propria applicazione con autenticazione tramite password in app personalizzate con accesso Single Sign-On.

Le funzionalità di Microsoft Entra che abilitano la condivisione degli account includono:

• Password Single Sign-On
• Agente di password Single Sign-On
• Assegnazione di gruppi
• App personalizzate basate su password
• Dashboard/report sull'utilizzo di app
• Portali di accesso dell'utente finale
• Proxy di app
• Azure Marketplace

Condivisione di un account

Per usare Microsoft Entra ID per condividere un account, è necessario:

• Aggiungere un'applicazione alla raccolta di app o integrarla con un'applicazione personalizzata
• Configurare l'applicazione per l'accesso Single Sign-On basato su password
• Usare un' assegnazione basata su gruppi e selezionare l'opzione per immettere le credenziali condivise

È anche possibile rendere l'account condiviso più sicuro con Multi-Factor Authentication (MFA) (altre informazioni sulla protezione delle applicazioni con l'ID Microsoft Entra) ed è possibile delegare la possibilità di gestire chi può accedere all'applicazione usando la gestione dei gruppi self-service di Microsoft Entra.

Passaggi successivi

• Gestione delle applicazioni in Microsoft Entra ID
• Protezione delle app con l'accesso condizionale
• Gestione di gruppi self-service/SSAA