L’importanza dell’ambito di applicazione e del comportamento nelle moderne integrazioni Entra

Quando connetti un’applicazione a Microsoft Entra, non stai solo autenticando degli utenti, ma stai definendo un confine operativo. Il modo in cui un’applicazione integrata gestisce l’ambito dei dati e quali entità non deve toccare fa parte della postura di sicurezza dell’applicazione.

Pertanto, non è sufficiente dire “ci integriamo con Entra” Il modo in cui un’applicazione gestisce le integrazioni Entra è importante quanto il fatto che l’applicazione si integri. Questo blog spiega perché l’ambito e il comportamento delle applicazioni sono importanti nell’integrazione con Microsoft Entra, perché l’ambito può essere corretto oppure no e perché NinjaOne ha un’integrazione affidabile con Microsoft Intune ed Entra.

Il comportamento e l’ambito di un’applicazione sono importanti

In Microsoft Entra, l’ambito definisce le autorizzazioni e i dati specifici a cui un’applicazione è autorizzata ad accedere, assicurando che operi con l’accesso meno privilegiato possibile. Quando gli ambiti sono configurati correttamente, assicurano che l’applicazione abbia solo l’accesso minimo richiesto, impedendo l’esposizione di dati non autorizzati o privilegi troppo ampi. D’altra parte, il comportamento descrive come l’applicazione utilizza tali permessi nella pratica, delineando le azioni previste che deve eseguire all’interno dell’ambiente. Insieme, l’ambito e il comportamento aiutano gli amministratori a verificare che un’integrazione acceda solo a ciò di cui ha bisogno e che funzioni esattamente come previsto.

L’integrazione di qualsiasi applicazione o soluzione software nella piattaforma Microsoft deve essere effettuata con l’intento di migliorare l’efficienza e l’efficacia complessiva delle operazioni IT. Non è sufficiente scegliere uno strumento di terze parti per la gestione degli endpoint, il backup, il patch management, il monitoraggio della garanzia ecc. Le applicazioni devono integrarsi e lavorare bene insieme. Dovrebbero:

• Richiedere autorizzazioni
• Fornire una spiegazione sull’uso di queste autorizzazioni
• Fornire controlli amministrativi reali
• Limitare l’accesso a un ambito definito e conoscibile

Un’applicazione che non gestisce i dati in modo responsabile complica le operazioni IT, anziché semplificarle. Questo cattivo uso dei dati può includere:

• Prelevare tutti i dati che riesce a trovare, “per ogni evenienza”
• Nascondere come o dove vengono utilizzati i dati
• Scartare gran parte dei dati senza alcuna trasparenza
• Riproporre in modo indiretto i dati in un secondo momento

L’ambito giusto consente integrazioni Entra, o di altro tipo, che ti aiuteranno da subito e in futuro

È importante che l’applicazione o la soluzione che stai considerando per l’integrazione offra un equilibrio tra ciò che è necessario nell’immediato e ciò che sarà ragionevolmente necessario in futuro, a breve termine. Se un ambito troppo ampio è un problema, lo è anche un ambito troppo ristretto. Un’applicazione che richiede le autorizzazioni una alla volta, in modo reattivo, innesca ripetuti flussi di richiesta di consenso. Nel corso del tempo, questo crea un aumento del tasso di abbandono dell’app, un churn operativo, e un eccessivo numero di richieste con conseguente stress da richiesta.

1. Il churn operativo si verifica quando gli amministratori iniziano ad avere la sensazione che l’applicazione non abbia una direzione precisa, ma si limiti a creare bolt-ons incrementali per rispondere alle esigenze che si presentano.
2. Lo stress da richiesta si verifica quando le richieste di autorizzazione vengono fatte così spesso che smettono di essere considerate un metodo di controllo serio e gli amministratori si limitano a cliccare “consenti” senza verificare se le autorizzazioni richieste sono valide.

Il modello di integrazione ideale è quello progettato per soddisfare le tue esigenze attuali e per essere scalabile in caso di crescita futura. Un’applicazione con il corretto ambito fornisce il giusto supporto oggi, anticipando e adattandosi alle esigenze future e creando fiducia nei team IT che la utilizzano.

Riducendo al minimo il numero di richieste di ri-autenticazione necessarie per concedere o rimuovere gli ambiti di accesso, il tenant mantiene una struttura delle autorizzazioni più coerente e forte e l’integrazione continua a funzionare a pieno regime. Di seguito è riportato un grafico che riassume le caratteristiche principali delle integrazioni con applicazioni ridotte, ampie e di dimensioni adeguate.

Perché i gruppi sono il modo giusto di gestire la fiducia

Mentre gli ambiti definiscono ciò a cui un’applicazione può accedere, l’ambito di gruppo può determinare chi può utilizzare l’applicazione. Lo scoping di gruppo consente di mantenere un accesso intenzionale, modificabile e corretto agli ambienti Microsoft-first. Entra e Intune includono i gruppi nel loro piano di controllo nativo. In questo modo, i gruppi Entra e Intune:

• Mappano chiaramente la proprietà e la responsabilità
• Riflettono il modo in cui gli MSP segmentano i tenant
• Supportano sia l’appartenenza per assegnazione manuale che quella dinamica
• Scalano senza difficoltà fino a migliaia di elementi

NinjaOne utilizza anche il group scoping per supportare meglio i nostri partner che operano su scala più ampia. Non ci concentriamo solo sulla correttezza, ma anche sulla velocità dell’esperienza, sull’elencazione rapida dei gruppi, sulla ricerca veloce e sulla multi-selezione. Queste funzionalità sono fondamentali quando ti trovi a gestire ambienti reali.

Come posso verificare che il comportamento di un’applicazione corrisponda agli ambiti concessi in Entra?

Il monitoraggio del comportamento dell’integrazione in Microsoft Entra consente di verificare che utilizzi gli ambiti corretti, si autentichi come previsto e acceda solo alle API approvate. Entra fornisce i log che consentono agli amministratori IT di tenere traccia dei tentativi di autenticazione, dell’utilizzo delle autorizzazioni e di eventuali anomalie.

1. Nel centro di amministrazione Entra, vai su Identità > Applicazioni > Applicazioni enterprise (o registrazioni di applicazioni) e individua il service principal utilizzato dall’integrazione.
2. Prendi nota del nome dell’applicazione integrata e dell’ID oggetto, che verranno utilizzati per filtrare i log.
3. Quindi vai su Identità > Monitoraggio e integrità > Identità del carico di lavoro > Log di accesso. Qui potrai vedere i tentativi di autenticazione e individuare i comportamenti inaspettati, come fallimenti ripetuti, tentativi da posizioni insolite o l’uso di credenziali su cui non intendevi fare affidamento per l’integrazione.
4. Usa l’opzione Aggiungi filtro e filtra per Service principal o ID applicazione per concentrarti solo sulle voci di log relative alle tua specifica integrazione. Esamina i risultati dell’accesso, i dettagli dell’Accesso condizionale e gli eventuali codici di errore.
5. Vai su Identità > Monitoraggio e integrità > Log di audit, quindi filtra per Destinazione o Inizializzato da per trovare gli eventi relativi all’applicazione. Cerca modifiche come l’aggiornamento delle autorizzazioni, i nuovi consensi degli amministratori o le modifiche ai criteri che potrebbero avere un impatto sul comportamento dell’integrazione nel tempo.

Insieme, questi log forniscono un quadro chiaro del comportamento dell’integrazione delle applicazioni e consentono ai team di identificare rapidamente le configurazioni errate o i potenziali problemi di sicurezza prima che interrompano le operazioni.

NinjaOne: Progettare per essere pronti al futuro

Man mano che NinjaOne continua a espandere le proprie integrazioni, manterremo la nostra portata trasparente e di proprietà dell’amministrazione. La nostra integrazione con Entra migliorerà e snellirà le tue operazioni IT, riducendo la complessità e l’inefficienza. NinjaOne richiede solo le autorizzazioni necessarie affinché l’integrazione funzioni senza problemi, rispettando i limiti assegnati ai dati. Saprai esattamente cosa aspettarti quando dovrai sfruttare l’integrazione con Entra o Intune.

Realizziamo le nostre integrazioni con intenzione, perché crediamo che i nostri clienti e partner debbano sempre essere in grado di vedere cosa è incluso, perché è incluso e cosa è intenzionalmente fuori portata. Questa è la differenza tra la semplice connessione a Microsoft Entra e l’integrazione responsabile. È così che si guadagna la fiducia.

I feedback dei clienti ci aiutano sempre a definire le prossime novità

NinjaOne mette il successo dei clienti al primo posto, ed è per questo che progettiamo i prodotti con i nostri clienti e rendiamo pubblica la nostra roadmap. Le nostre integrazioni fanno parte di questo approccio. Ascoltiamo sempre i nostri partner e clienti per scoprire i casi d’uso che trarrebbero vantaggio da ulteriori modelli di autorizzazione, da una granularità più fine o da una maggiore automazione su vasta scala.

Se hai commenti su questa o altre integrazioni (attuali o future) che vuoi condividere con noi, contattaci all’indirizzo [email protected] o visita il nostro canale Discord per i feedback e partecipa alla conversazione. Saremo felici di ascoltarti.

Scopri di più sull’integrazione di NinjaOne con Microsoft Intune