Gestione delle unità amministrative in Azure Active Directory (preview)

Un’unità amministrativa è una risorsa di Azure AD che può fungere da container per altre risorse di Azure AD. Questa versione in preview, permette all’unità amministrativa di contenere solo utenti e gruppi.

Le unità amministrative consentono di concedere autorizzazioni di amministratore limitate a un dipartimento, una regione o un segmento dell’azienda definito. È possibile utilizzarle per delegare le autorizzazioni agli amministratori regionali o per impostare policy a livello granulare. Ad esempio, un amministratore dell’account utente può aggiornare le informazioni del profilo, reimpostare le password ed assegnare licenze per gli utenti solo nella sua unità amministrativa.
Può, ad esempio, delegare agli specialisti dell’assistenza regionale il ruolo di Helpdesk Administrator destinato alla sola gestione degli utenti nella regione che supportano.

Scenario di distribuzione
La limitazione dell’ambito amministrativo mediante le unità amministrative può essere utile nelle organizzazioni costituite da divisioni indipendenti di qualsiasi tipo.
Per esempio: una grande università composta da molte scuole autonome (School of Business, School of Engineering e così via) in cui ognuna ha un team di amministratori IT che controlla l’accesso, gestisce gli utenti e definisce le politiche per la loro scuola.
Un central administrator potrebbe:

  • Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Azure AD nell’unità amministrativa della business school;
  • Creare un’unità amministrativa per la business school;
  • Popolare l’unità di amministrazione solo con gli studenti e il personale della business school;
  • Aggiungere il team IT della business school al ruolo.

Requisiti di licenza

L’uso delle unità amministrative richiede una licenza di Azure Active Directory Premium per ciascun amministratore e la licenza gratuita di Azure Active Directory per i membri.
Per altre informazioni, vi rimandiamo all’articolo: Iniziare ad utilizzare Azure AD Premium

Gestire le unità amministrative
Con questa preview, è possibile gestire le unità amministrative utilizzando il portale di Azure, i cmdlet e gli script di PowerShell o Microsoft Graph.
È possibile fare riferimento alla seguente documentazione per i dettagli:

Creare, rimuovere, popolare e aggiungere ruoli alle unità amministrative: completare le procedure pratiche;
Lavorare con le unità amministrative: come lavorare con le unità amministrative usando PowerShell;
Supporto grafico all’unità amministrativa: documentazione dettagliata su Microsoft Graph per unità amministrative.

Pianificare le proprie unità amministrative
Le unità amministrative possono essere usate per raggruppare logicamente le risorse di Azure AD. Ad esempio, per un’organizzazione il cui dipartimento IT è diffuso a livello globale, potrebbe avere senso creare unità amministrative che definiscano tali confini geografici. In un altro esempio, in cui una multinazionale ha diverse “sub-organizzazioni”, che sono semi-autonome nelle operazioni, ognuna di esse può essere rappresentata da un’unità amministrativa.

I criteri su cui vengono create le unità amministrative saranno guidati dai requisiti unici di un’organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi M365. È possibile ottenere il massimo valore dalle unità amministrative quando è possibile associare risorse comuni su M365 in un’unità amministrativa.

Fasi per la creazione di unità amministrative nell’azienda:

  1. Adozione iniziale: l’organizzazione inizierà a creare unità amministrative in base a criteri iniziali e il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati;
  2. Potatura: una volta definiti i criteri, le unità amministrative non più necessarie verranno eliminate;
  3. Stabilizzazione: la struttura organizzativa è ben definita e il numero di unità amministrative non cambierà in modo significativo nel breve periodo.

Scenari attualmente supportati
Gli amministratori globali o gli amministratori con ruolo privilegiato possono usare il portale di Azure AD per creare unità amministrative, aggiungere utenti come membri di unità amministrative ed assegnare il personale IT a ruoli di amministratore. Questi amministratori potranno quindi utilizzare il portale di Office 365 per la gestione di base degli utenti nelle loro unità amministrative.

Inoltre, i gruppi potranno essere aggiunti come membri dell’unità amministrativa e l’amministratore del gruppo potrà gestirli usando PowerShell, Microsoft Graph e il portale di Azure AD.

Le seguenti tabelle descrivono il supporto corrente per gli scenari delle unità amministrative.

Gestione dell’unità amministrativa

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
Creazione/eliminazione di unità amministrativeSupportatoSupportatoNon supportato
Aggiunta/rimozione membri dell’unità amministrativa singolarmenteSupportatoSupportatoNon supportato
Aggiunta/rimozione in blocco dei membri dell’unità amministrativa utilizzando il file .csvNon supportatoSupportatoNessun piano da supportare
Assegnazione di amministratori con ambito unità amministrativaSupportatoSupportatoNon supportato
Aggiunta e rimozione di membri AU in modo dinamico in base agli attributiSupportatoNon supportatoNon supportato

Gestione Utenti

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione unità amministrative di proprietà utente, password, licenzeSupportatoSupportatoSupportato
blocco e sblocco nell’ambito delle unità amministrative degli accessi degli utentiSupportatoSupportatoSupportato
gestione nell’ambito delle unità amministrative delle credenziali MFA dell’utenteSupportatoSupportatoNon supportato

Gestione Gruppo

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione nell’ambito delle unità amministrative delle proprietà e dei membri del gruppoSupportatoSupportatoNon supportato
gestione nell’ambito delle unità amministrative delle licenze di gruppoSupportatoSupportatoNon supportato

Nota: Gli amministratori in ambito di unità amministrativa non possono gestire le regole di appartenenza al gruppo dinamico.Le unità amministrative applicano l’ambito solo alle autorizzazioni di gestione. Non impediscono ai membri o agli amministratori di utilizzare le Autorizzazioni utente predefinite per scoprire altri utenti, gruppi o risorse al di fuori dell’unità amministrativa. Nel portale di Office 365, gli utenti esterni alle unità amministrative vengono filtrati, ma è possibile scoprire altri utenti nel portale di Azure AD, PowerShell e altri servizi Microsoft.

<hr>

Le informazioni presenti in questo post, sono prese dall’articolo: Administrative units management in Azure Active Directory (preview).

Azure Active Directory Premium P1 è in arrivo su Microsoft 365 Business

Microsoft 365 Business è in continua evoluzione e cambiamento.
I primi del mese, vi abbiamo annunciato che, a partire dal 21 Aprile, il suo nome sarebbe cambiato in Microsoft 365 Business Premium.
L’obiettivo di Microsoft 365 Business è di offrire una soluzione completa di produttività e sicurezza per le aziende con meno di 300 dipendenti. Il piano integra, infatti, le note app di Office e gli strumenti di collaborazione, tra cui Microsoft Teams, con funzionalità avanzate di sicurezza e gestione dei dispositivi.
Microsoft sta aggiungendo un’altra funzionalità chiave all’abbonamento di Microsoft 365 Business: la licenza completa di Azure Active Directory Premium P1. La feature è in distribuzione su nuovi clienti ed esistenti.

Accesso sicuro in ufficio, da casa e in viaggio
In precedenza, all’interno di Microsoft 365 Business era presente solo un sottoinsieme delle funzionalità del Piano 1 di Azure AD Premium, tra cui il Conditional Access, il self-service password reset e la Multi-Factor Authentication.
Con la licenza completa, otterrete i benefici del Cloud App Discovery, dell’Application Proxy, dei gruppi dinamici, della passwordless authentication e altro ancora.
Con queste funzionalità, i dipendenti manterranno un accesso sicuro alle app di lavoro, indipendentemente dal fatto che siano a casa o in viaggio.


Gestione delle app semplice e centralizzata per abilitare l’accesso remoto con Azure AD

Di seguito, alcune delle nuove funzionalità particolarmente rilevanti per le PMI.

1. Cloud App Discovery
Nelle aziende moderne in cui sono frequenti le situazioni di tipo BYOD (Bring Your Own Device) e con la possibilità di lavorare da casa, i dipartimenti IT spesso non sono a conoscenza di tutte le applicazioni cloud che utilizzano i dipendenti.
Di conseguenza, gli amministratori hanno spesso preoccupazioni circa l’accesso non autorizzato alle informazioni aziendali, la possibile perdita di dati e altri rischi per la sicurezza inerenti le applicazioni.

È possibile risolvere questi problemi utilizzando Cloud App Discovery.
Cloud App Discovery è una funzionalità di Microsoft Cloud App Security (MCAS) disponibile anche con Azure Active Directory Premium P1. Consente di scoprire le applicazioni cloud utilizzate dai dipendenti dell’azienda e visualizzare report per analizzare l’ambiente.
Il rilevamento delle app cloud analizza i registri del traffico in base a un catalogo di oltre 16.000 app cloud.
Le app vengono classificate secondo più di 80 fattori di rischio per offrire una visibilità completa sull’utilizzo del cloud, sullo shadow IT e sul rischio che rappresenta quest’ultimo per l’organizzazione.

Con Cloud App Discovery è possibile:
• scoprire le applicazioni in uso e valutarne l’utilizzo per numero di utenti, volume di traffico o numero di richieste Web all’applicazione;
• identificare gli utenti che utilizzano un’applicazione;
• esportare i dati per ulteriori analisi offline;
• dare priorità alle applicazioni da sottoporre al controllo IT ed integrare facilmente le app per consentire il single sign-on e la gestione degli utenti.

2. Application Proxy
Molte organizzazioni eseguono applicazioni di tipo business-critical on-premise e, con l’avvento dello smart working, diventa importante consentire ai dipendenti di accedere in modo sicuro a queste app da qualsiasi luogo. L’Application Proxy di Azure AD è un agente leggero che consente l’accesso alle app on-premise, senza aprire un ampio accesso alla rete.

È una soluzione più sicura rispetto alle VPN e proxy inverso, ed è più facile da implementare. Gli utenti remoti possono accedere alle applicazioni on-premise nello stesso modo in cui accedono a Office 365 e ad altre app SaaS integrate con Azure AD. Con App Proxy, non è necessario modificare o aggiornare le applicazioni e non è necessario aprire connessioni in entrata tramite il firewall.
Con un unico accesso ad Azure AD, gli utenti possono accedere alle applicazioni cloud e on-premise tramite un URL esterno o un portale interno dell’applicazione. Ad esempio, Application Proxy può fornire accesso remoto ed il single sign-on ai Remote Desktop, a SharePoint, Microsoft Teams e ad altre applicazioni line of business (LOB) e SaaS.

Ne guadagnerete anche dal punto di vista economico: non dovrete infatti modificare l’infrastruttura di rete o installare dispositivi aggiuntivi nel vostro ambiente locale.
Ulteriori informazioni su Application Proxy.

3. Gruppi dinamici
Aiutano ad automatizzare i processi IT e di business aggiungendo/rimuovendo automaticamente gli utenti dai gruppi di sicurezza in base ai loro attributi, riducendo in tal modo il sovraccarico amministrativo dato da aggiunta e rimozione di utenti. Ad esempio, è possibile definire attributi come “reparto vendite” per posizionare dinamicamente un utente in un determinato gruppo. È possibile utilizzare i gruppi dinamici per assegnare automaticamente gli utenti ai gruppi e, conseguentemente, utilizzare questi gruppi per consentire l’accesso alle applicazioni.
Ulteriori informazioni sui gruppi dinamici.

4. Autenticazione passwordless
Con la moltitudine di app che utilizziamo quotidianamente, può essere frustrante ricordarsi tutte le password. Inoltre, la password non è più un metodo sicuro in quanto può facilmente essere violata. L’autenticazione passwordless semplifica la vita sostituendo la password con qualcosa che tutti abbiamo o conosciamo.

Microsoft offre le seguenti tre opzioni di autenticazione passwordless che si integrano con Azure AD:
Windows Hello for Business
– l’app Microsoft Authenticator
– le FIDO2 security keys.
Altre informazioni sulle opzioni di autenticazione passwordless per Azure Active Directory.

Queste nuove funzionalità renderanno più semplice la transizione della vostra azienda verso uno smart working sicuro.
Per un elenco completo delle funzionalità di Azure Active Directory Premium P1 in Microsoft 365 Business, fate riferimento alla pagina Prezzi di Azure Active Directory.


Le informazioni presenti in questo post, sono prese dall’articolo: Azure Active Directory Premium P1 is coming to Microsoft 365 Business.

Public preview del supporto di Azure AD per le security keys di FIDO2 in ambienti ibridi

Siamo felici di annunciarvi la preview pubblica del supporto di Azure AD per le FIDO2 security keys in ambienti ibridi.
Gli utenti possono ora utilizzare le FIDO2 security keys per accedere al loro Hybrid Azure AD joinato a dispositivi Windows 10 ed ottenere un sign-in senza interruzioni alle loro risorse on-premises e cloud.
Sin da lancio della public preview del supporto di FIDO2 per i dispositivi joinati ad Azure AD e per il sign in dei browser, questa era la funzionalità maggiormente richiesta dai clienti senza password.

Sappiamo tutti che le password non sono più efficaci per proteggere i clienti dalle minacce alla cybersecurity.
Infatti, le password compromesse sono la causa più frequente di attacchi a sicurezza di tipo enterprise.
In alternativa, l’autenticazione senza password che utilizza tecnologie avanzate quali la biometrica e la crittografia di chiavi pubblica/privata, fornisce un’esperienza dedicata, di semplice utilizzo e sicurezza di prim’ordine.

Con l’espansione del supporto di FIDO2 agli ambienti ibridi, Microsoft offre un sign-in senza interruzioni ai dispositivi Windows ed accesso virtuale alle risorse cloud ed on-premises utilizzando potenti credenziali pubbliche/private di tipo hardware-backed.

Public preview del supporto di Azure AD per le security keys di FIDO2 in ambienti ibridi

I clienti hanno confermato il fatto che un più semplice deployment sia essenziale per un percorso di successo verso un mondo senza password.
Microsoft ha tenuto in seria considerazione i feedback degli utenti ed ha abilitato le FIDO2 security keys per gli ambienti ibridi.

Gli unici prerequisiti per il deployment dei componenti, sono:
Windows Server patch per i Domain controllers (Server 2016/Server 2019)
Windows Insider Builds 18945 o successive per i PC
Versione 1.4.32.0 o successive di Azure AD Connect

Per iniziare il vostro percorso verso FIDO2, dovete:

1. Abilitare le chiavi di sicurezza quale metodo di autenticazione senza password per il vostro tenant e far si che i vostri utenti forniscano le loro FIDO2 security keys.
Per ulteriori informazioni, vi rimandiamo agli articoli: Enable passwordless security key e User registration and management of FIDO2 security keys.

2. Assicurarvi che i dispositivi Windows siano abilitati all’utilizzo delle FIDO2 security keys per il sign in.
Per ulteriori informazioni, vi rimandiamo all’articolo: Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory.

3. Configurare i componenti richiesti per il sign in ai vostri dispositivi ibridi AADJ ed il single sign-on (SSO) alle vostre risorse on-premises e cloud.
Per ulteriori informazioni, vi rimandiamo all’articolo: Enable passwordless security key sign-in to on-premises resources with Azure Active Directory.

Inoltre, siamo felici di condividere alcune opzioni di hardware aggiuntive per le FIDO2 security keys grazie ai partner Microsoft Intelligent Security Association.
Ensurity Technologies offre ora la Thin-C USB key with storage, eWBM Inc. ha una nuova chiave Goldengate USB-C e Thales ha annunciato le integrazioni Azure AD passwordless sign-in con la sua PKI-FIDO smartcard.
Per la lista completa dei dispositivi compatibili: FIDO2 security keys.

Per iniziare il vostro percorso verso un’azienda senza password, vi rimandiamo alla pagina ufficiale Microsoft: The end of passwords, go passwordless.


Le informazioni presenti in questo post, sono prese dall’articolo: Public preview of Azure AD support for FIDO2 security keys in hybrid environments.

Portare le identità da AD disconnessi ad Azure AD in pochi e semplici click

Chi di voi lavora in una grande azienda, probabilmente sa già quante complicazioni emergano quando viene fatta un’acquisizione e vi viene chiesto di fornire servizi di cloud identity ad un nuovo business group (che solitamente ha già un suo set di domini di Active Directory).

Se vi riconoscete in questo scenario, allora sappiate che Microsoft ha annunciato la pubblic preview del cloud provisioning di Azure AD Connect.

Con il cloud provisioning, i clienti possono facilmente effettuare il provisioning delle identità da molteplici foreste AD disconnesse ad Azure AD.
Azure AD Connect provisioning cloud è progettato per soddisfare e raggiungere gli obiettivi di identità ibride per la sincronizzazione di utenti, gruppi e contatti con Azure AD.
Può essere usato assieme a Azure AD Connect Sync ed offre i seguenti vantaggi:

Aiuta il provisioning da foreste di AD disconnesse ad Azure AD –> gli scenari comuni includono l’acquisizione ed il merge, in cui le foreste di Active Directory della società acquisita sono isolate dalla società padre. Indipendentemente dalla ragione, il cloud provisioning vi permette di integrare velocemente queste foreste di AD disconnesse in un tenant Azure AD.
Riduce l’impronta locale –> l’agente di provisioning è leggero, la configurazione ed il processing vengono fatti nel cloud.
Availability di grado enterprise –> per semplificare le distribuzioni a disponibilità elevata, in particolare per le organizzazioni che si basano sulla sincronizzazione degli hash delle password da AD ad Azure AD, è possibile usare più agenti di provisioning.

Cloud provisioning
Impostare il cloud provisioning richiede due passaggi.
Il primo è quello di installare il provisioning agent su un dominio joinato al server (o server VM).
Il secondo è quello di configurare il cloud provisioning sul portale di Azure.

Step 1: Installare il provisioning agent
Prima di installare l’Azure AD Provisioning agent, controllate i prerequisiti.

1. In Azure Ad Connect, cliccare su Manage provisioning (preview).

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

2. Da un un server Windows joinato, fate click su Download Agent per scaricare l’Azure AD provisioning agent.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

3. Seguite la procedura guidata per installare il pacchetto di provisioning agent.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

4. Una volta installato l’agent, tutto è pronto per configurare il provisioning sul portale di Azure.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

Step 2: Configurare il cloud provisioning
1. All’interno di Azure AD Connect, cliccate su Manage provisioning (preview).

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

2. Cliccate + New configuration

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

3. Cliccate Enable per applicare la configurazione

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

4. Salvate la configurazione. Le modifiche dell’Acrive Directory verranno inviate ad Azure AD ogni due minuti.
Per ulteriori informazioni, vi rimandiamo al tutorial Azure AD Connect cloud provisioning.

Funzionalità di Azure AD Connect cloud provisioning
Ora che avete familiarità con il cloud provisioning, nell’immagine seguente trovate le funzionalità attualmente supportate.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

Per saperne di più, vi rimandiamo alla Documentazione ufficiale Microsoft.


Le informazioni presenti a questo post, sono prese dall’articolo: Bring identities from disconnected ADs into Azure AD with just a few clicks!.