Esaminare Microsoft Entra ID

• 7 minuti

Gli studenti devono avere familiarità con Active Directory Domain Services (Ad DS o tradizionalmente chiamati semplicemente "Active Directory"). Active Directory Domain Services è un servizio directory che fornisce i metodi per l'archiviazione dei dati della directory, ad esempio account utente e password, e rende questi dati disponibili per gli utenti, gli amministratori e altri dispositivi e servizi di rete. Viene eseguito come servizio in Windows Server, denominato controller di dominio.

Microsoft Entra ID fa parte dell'offerta PaaS (piattaforma distribuita come servizio) e opera come servizio directory gestito da Microsoft nel cloud. Non fa parte dell'infrastruttura di base che i clienti possiedono e gestiscono e non è un'offerta infrastruttura distribuita come servizio. Benché questo implichi un minore controllo sull'implementazione, il vantaggio è che non è necessario dedicare risorse alla distribuzione o alla manutenzione di Azure AD.

Microsoft Entra ID offre anche l’accesso a un set di funzionalità che non sono disponibili in Active Directory Domain Services, come il supporto per l'autenticazione a più fattori, la protezione delle identità e la reimpostazione della password self-service.

È possibile usare Microsoft Entra ID per fornire un accesso più sicuro alle risorse basate sul cloud per le organizzazioni e i singoli utenti:

• Configurazione dell'accesso alle applicazioni
• Configurazione del Single Sign-On alle applicazioni SaaS basate sul cloud
• Gestione di utenti e gruppi
• Provisioning di utenti
• Abilitazione della federazione tra organizzazioni
• Distribuzione di una soluzione di gestione delle identità
• Identificazione delle attività di accesso irregolari
• Configurazione dell'autenticazione a più fattori
• Estensione delle implementazioni esistenti di Active Directory locali a Microsoft Entra ID
• Configurazione di Application Proxy per applicazioni cloud e locali
• Configurazione dell'accesso condizionale per utenti e dispositivi

Microsoft Entra costituisce un servizio di Azure separato. Il modulo più elementare, che include automaticamente una nuova sottoscrizione di Azure, non comporta costi aggiuntivi e viene definito livello gratuito. Sottoscrivendo un abbonamento ai servizi aziendali Microsoft Online (ad esempio, Microsoft 365 o Microsoft Intune), si ottiene automaticamente Microsoft Entra ID con accesso a tutte le funzionalità gratuite.

Alcune delle funzionalità più avanzate di gestione delle identità richiedono versioni a pagamento di Microsoft Entra ID, offerte sotto forma di livelli Basic e Premium. Alcune di queste funzionalità sono incluse automaticamente anche nelle istanze di Microsoft Entra generate come parte degli abbonamenti a Microsoft 365. Le differenze tra le versioni di Microsoft Entra sono descritte più avanti in questo modulo.

L’implementazione di Microsoft Entra ID non equivale alla distribuzione di macchine virtuali in Azure, all’aggiunta di Active Directory Domain Services (AD DS) e alla distribuzione di alcuni controller di dominio per una nuova foresta e un nuovo dominio. Microsoft Entra ID è un servizio diverso, molto più incentrato sulla fornitura di servizi di gestione delle identità alle app basate sul Web, a differenza di Active Directory Domain Services, che è più incentrato sulle app locali.

Tenant di Microsoft Entra

A differenza di Active Directory Domain Services, Microsoft Entra ID è progettato per essere multi-tenant ed è implementato specificamente per garantire l'isolamento tra le singole istanze di directory. È la directory multi-tenant più grande del mondo, che ospita più di un milione di istanze di servizi directory, con miliardi di richieste di autenticazione alla settimana. Il termine tenant in questo contesto rappresenta in genere una società o un'organizzazione che ha effettuato l'iscrizione per un abbonamento a un servizio basato sul cloud Microsoft, come Microsoft 365, Microsoft Intune o Azure, ognuno dei quali usa Azure AD. Tuttavia, da un punto di vista tecnico, il termine tenant rappresenta una singola istanza di Microsoft Entra. All'interno di una sottoscrizione di Azure, è possibile creare più tenant Microsoft Entra. Avere più tenant di Microsoft Entra può essere utile se si vuole testare la funzionalità di Microsoft Entra in un tenant senza influenzare gli altri.

La sottoscrizione di Azure deve essere associata a uno e un solo tenant Microsoft Entra in qualsiasi momento. Questa associazione consente di concedere le autorizzazioni alle risorse della sottoscrizione di Azure (tramite RBAC) a utenti, gruppi e applicazioni esistenti in quel particolare tenant di Microsoft Entra.

A ogni tenant di Microsoft Entra viene assegnato il nome di dominio DNS (Domain Name System) predefinito, costituito da un prefisso univoco. Il prefisso, derivato dal nome dell'account Microsoft usato per creare una sottoscrizione di Azure o fornito esplicitamente durante la creazione di un tenant Microsoft Entra, è seguito dal suffisso onmicrosoft.com. L'aggiunta di almeno un nome di dominio personalizzato allo stesso tenant di Microsoft Entra è possibile ed è anche frequente. Questo nome usa lo spazio dei nomi di dominio DNS di proprietà della società o dell'organizzazione corrispondente. Il tenant di Microsoft Entra funge da limite di sicurezza e da contenitore per gli oggetti di Microsoft Entra, quali utenti, gruppi e applicazioni. Un singolo tenant di Microsoft Entra può supportare più sottoscrizioni di Azure.

Schema Di Microsoft Entra

Lo schema di Microsoft Entra contiene meno tipi di oggetti rispetto a quello di Active Directory Domain Services. In particolare, non include una definizione della classe computer, anche se include la classe del dispositivo. Il processo di aggiunta dei dispositivi a Microsoft Entra differisce notevolmente dal processo di aggiunta dei computer ad Active Directory Domain Services. Lo schema di Microsoft Entra è anche facilmente estendibile e le relative estensioni sono completamente reversibili.

La mancanza di supporto per l'appartenenza al dominio del computer tradizionale significa che non è possibile usare Microsoft Entra ID per gestire i computer o le impostazioni utente usando tecniche di gestione tradizionali, come ad esempio gli oggetti Criteri di gruppo (GPO). Microsoft Entra ID e i suoi servizi definiscono invece un concetto di gestione moderna. Il punto di forza principale di Microsoft Entra ID è la fornitura di servizi directory, l'archiviazione e la pubblicazione di dati utente, dispositivi e applicazioni e la gestione dell'autenticazione e dell'autorizzazione di utenti, dispositivi e applicazioni. L'efficacia e l'efficienza di queste funzionalità sono evidenti sulla base delle distribuzioni esistenti di servizi cloud come Microsoft 365, che si affidano a Microsoft Entra ID come provider di identità e supportano milioni di utenti.

Microsoft Entra ID non include la classe dell'unità organizzativa (OU), il che significa che non è possibile disporre gli oggetti in una gerarchia di contenitori personalizzati, spesso usati nelle distribuzioni di Active Directory Domain Services locali. Non si tratta comunque di un problema significativo, perché le unità organizzative in Active Directory Domain Services vengono usate principalmente per la definizione dell'ambito e la delega dei Criteri di gruppo. È possibile ottenere disposizioni equivalenti organizzando gli oggetti in base all'appartenenza a un gruppo.

Gli oggetti delle classi Application e servicePrincipal rappresentano le applicazioni in Microsoft Entra ID. L’oggetto della classe Application contiene una definizione dell’applicazione e l’oggetto della classe ServicePrincipal costituisce la relativa istanza nel tenant Microsoft Entra corrente. La separazione di questi due set di caratteristiche consente di definire un'applicazione in un unico tenant e usarla in più tenant creando un oggetto entità servizio per questa applicazione in ogni tenant. Microsoft Entra ID crea l'oggetto entità servizio quando si registra l'applicazione corrispondente nel tenant Microsoft Entra.