Business | 12/5/2025 9 min di lettura Lingua dell'articolo
Lingua dell'articolo

Il modello a responsabilità condivisa di Entra ID

Kendall Gray Kendall Gray

Quando si tratta di servizi cloud come Microsoft Entra ID (in precedenza Azure Active Directory), molti presumono che Microsoft gestisca tutto, dalla sicurezza al backup dei dati. In realtà, le organizzazioni hanno ancora le proprie responsabilità. Il modello a responsabilità condivisa di Microsoft è un framework di base, che spiega quali ruoli rientrano in Microsoft e quali appartengono a un’organizzazione.

In questo blog approfondiremo tutto ciò che devi sapere sul modello a responsabilità condivisa, analizzando le divisioni dei ruoli tra la tua organizzazione e Microsoft per i componenti chiave. Verranno inoltre descritte le pratiche chiave per navigare in questo modello nella strategia di protezione dei dati di Microsoft Entra ID della tua organizzazione, e come Veeam può aiutarti a colmare le lacune.

Il modello a responsabilità condivisa

 

Man mano che il settore si sposta verso l’adozione di soluzioni Software-as-a-Service (SaaS) basate su cloud nelle proprie attività, il concetto di responsabilità condivisa è diventato più importante che mai. Sapere dove finisce il ruolo di Microsoft e dove comincia il tuo è fondamentale per proteggere il tenant di Entra ID. Esaminiamo questa suddivisione di responsabilità.

Responsabilità principale

Responsabilità di Microsoft

Il ruolo principale di Microsoft nell’ambiente Entra ID è incentrato sul mantenimento della disponibilità e dell’integrità operativa della piattaforma. Ciò significa assicurarsi che l’infrastruttura rimanga operativa a livello globale, autenticando correttamente gli utenti e consentendo l’accesso tra le applicazioni. In qualità di cloud provider, Microsoft gestisce gli host fisici, le reti e i data center nel back-end.

La tua responsabilità

In alternativa, è responsabilità principale dell’organizzazione gestire i cicli di vita delle identità, i criteri di accesso e la governance. Anche in una piattaforma basata sul cloud, rimani responsabile della configurazione e della gestione delle identità all’interno del tuo ambiente.

E i tuoi dati? Un’idea sbagliata comune con le applicazioni SaaS è che “basate sul cloud” significhi automaticamente che sono completamente sicure e protette. Ma non è proprio così. Mentre Microsoft gestisce la piattaforma che elabora i dati, la responsabilità della disponibilità, dell’integrità e dell’utilizzo appropriato dei dati spetta all’organizzazione. Mantenere la resilienza dei dati di Entra ID è fondamentale per supportare pienamente la corretta gestione e configurazione delle identità e rimanere protetti dagli incidenti relativi ai dati.

Mentre Microsoft gestisce la piattaforma che elabora i dati, la responsabilità della disponibilità, dell’integrità e dell’utilizzo appropriato dei dati spetta all’organizzazione.

Tecnologia di supporto

 

Responsabilità di Microsoft

Microsoft ha dotato la piattaforma Entra ID di funzionalità per garantire la disponibilità della piattaforma con un’infrastruttura di ridondanza e failover. Tuttavia, queste tecnologie di supporto della piattaforma non si estendono ai dati Entra ID. Ad esempio: con la ridondanza, le modifiche dell’utente vengono duplicate in tutte le repliche. Ciò significa che, se viene commesso un errore su una versione, esso si applica a tutte.

Microsoft, inoltre, investe molto nella resilienza della piattaforma Entra ID mantenendo un sistema robusto di autenticazione di backup per garantire la continuità del servizio. Queste tecnologie funzionano alla grande per mantenere la piattaforma e far funzionare le cose senza intoppi. Ma quando si tratta di proteggere il tenant Entra ID, è fondamentale implementare misure di sicurezza che consentano la continuità aziendale anche quando le cose vanno male.

La tua responsabilità

Sebbene Microsoft fornisca una piattaforma continuamente disponibile per Entra ID, la tua organizzazione sta guidando la nave da lì. I criteri di accesso condizionale, le assegnazioni di ruolo e altre impostazioni di identità sono veramente efficaci solo se sono personalizzati in base ai requisiti di sicurezza dell’organizzazione.

Ciononostante, le configurazioni realizzate meglio sono comunque vulnerabili se non possono essere ripristinate. Una cancellazione accidentale o una configurazione errata possono compromettere fortemente la continuità aziendale.

“E il cestino? Può recuperare i dati di Entra ID.”

Ecco l’inghippo: il cestino nativo di Entra ID consente il ripristino degli elementi eliminati temporaneamente solo per 30 giorni. Anche se potrebbe sembrare un tempo sufficiente, il Defense Report 2024 di Microsoft afferma che possono essere necessari in media 207 giorni per rilevare e risolvere un incidente relativo ai dati. Con il periodo di retention limitato del cestino nativo, è molto probabile che quando viene individuato un potenziale problema, si scoprirà che i dati non sono più recuperabili. Tutti i dati critici devono ora essere riconfigurati manualmente, causando notevoli battute d’arresto. È un malinteso comune (e rischioso) che il cestino sia un piano di ripristino, piuttosto che una protezione di base. E quando si tratta di configurazioni errate, non esiste un ripristino point-in-time nativo, il che significa che qualsiasi configurazione errata rilevata deve essere riconfigurata manualmente allo stato corretto. Senza un backup dell’ID Entra, le eliminazioni e le configurazioni errate possono spesso essere un processo dispendioso in termini di tempo e soggetto a errori.

 

Proprio come Microsoft esegue il backup della propria infrastruttura per sostenere la propria parte del modello a responsabilità condivisa, così la tua organizzazione dovrebbe fare lo stesso. Microsoft promuove le best practice di recuperabilità che suggeriscono alle organizzazioni di creare proattivamente processi per ripristinare il tenant a uno stato funzionante. Questo livello ottimale di recuperabilità dei dati Entra ID può essere raggiunto solo tramite una soluzione di backup adeguata.

Sicurezza

Responsabilità di Microsoft

Quando si tratta di sicurezza, Microsoft è responsabile della protezione dei propri data center, delle reti e della piattaforma Entra ID. Sfruttano varie protezioni per prevenire attacchi come DDoS (Distributed Denial of Service) ai server. Va osservato che Microsoft fornisce una crittografia limitata ai dati di Entra ID, ma solo quando tali dati sono inattivi all’interno dei data center di Azure.

La tua responsabilità

Nella tua organizzazione, spetta alla tua strategia IAM colmare le lacune di sicurezza e proteggere l’identità dei tuoi utenti. Ciò include un’ulteriore crittografia dei dati durante il transito e la gestione delle chiavi di crittografia dei dati inattivi fornite da Microsoft. Inoltre, l’organizzazione è responsabile della protezione delle identità archiviate e delle impostazioni di identità associate. Per raggiungere il miglior livello di protezione dei dati Entra ID, la tua organizzazione dovrebbe cercare una soluzione di backup completa per colmare il divario di sicurezza.

Regolamentazione

Responsabilità di Microsoft

Il ruolo di Microsoft nella gestione della conformità di Entra ID consiste nella manutenzione regolamentare della piattaforma. Garantisce che l’applicazione rimanga conforme nel back-end, ma non ha alcuna responsabilità per mantenere conformi i dati della tua organizzazione.

La tua responsabilità

In Entra ID, in cui Microsoft funge da responsabile del trattamento dei dati, l’organizzazione è il titolare del trattamento dei dati. L’utente è responsabile della conformità alle normative specifiche del settore e alle politiche interne che stabiliscono il modo in cui i dati di identità vengono raccolti, utilizzati, archiviati e protetti. L’utente è inoltre direttamente responsabile della gestione dei criteri di conservazione e dell’esportazione dei log a scopo di controllo. Con i backup di Entra ID, la facilità di recupero dei log di Entra ID rende la preparazione per gli audit un processo ottimizzato. In questo modo si elimina la necessità di una corsa all’ultimo minuto per raccogliere i dati necessari prima che arrivi il momento dell’audit.

Esempi di responsabilità condivisa di Entra ID

Conoscere il ruolo della tua organizzazione come proprietario dei tuoi dati Entra ID è essenziale per evitare malintesi, colmare le lacune di sicurezza e allineare entrambi i lati del modello a responsabilità condivisa. Sebbene Microsoft fornisca strumenti utili all’interno di Entra ID, questi non funzionano come soluzioni complete di backup e ripristino. Per comprendere meglio l’aspetto pratico di questa responsabilità condivisa, esploreremo alcuni scenari in cui possono verificarsi vulnerabilità nella strategia di protezione dei dati di identità. Gli esempi seguenti evidenziano le lacune nella protezione nativa di Microsoft Entra ID e il motivo per cui i passaggi aggiuntivi per la continuità aziendale e la conformità sono indispensabili.

Eliminazioni: quando gli oggetti Microsoft Entra ID vengono eliminati per errore o da un malintenzionato, gli effetti possono interrompere alcune funzioni aziendali.

Immagina: un gruppo di Microsoft 365 viene eliminato accidentalmente e gli utenti all’interno del gruppo alla fine perdono l’accesso a caselle postali condivise, Teams e siti di SharePoint. Nel momento in cui l’amministratore IT individua il problema, l’oggetto gruppo ha superato il periodo di eliminazione temporanea di 30 giorni ed è perso per sempre. Senza un backup, il processo di ripristino del gruppo e di tutte le altre policy associate sarà lungo.

Anche in caso di rilevamento e ripristino tempestivi del gruppo, alcune dipendenze associate, ad esempio le assegnazioni di ruolo, non vengono conservate nel cestino e diventano immediatamente irrecuperabili, richiedendo una riconfigurazione manuale per colmare tali lacune di funzionalità.

Configurazioni errate: quando si effettuano nuove configurazioni all’ambiente Entra ID, Microsoft afferma che è responsabilità dell’utente monitorare e registrare le modifiche man mano che vengono apportate. Idealmente, l’adozione di queste procedure ridurrà la possibilità di incidenti di configurazione, ma comunque: possono verificarsi incidenti o minacce esterne.

Immagina: un attacco informatico consente a un malintenzionato di accedere all’ambiente Entra ID della tua organizzazione. Una volta entrato, riconfigura i criteri di accesso condizionale per bloccare tutti gli utenti tranne se stesso. Gli utenti legittimi e gli amministratori sono esclusi dall’ambiente dell’organizzazione per un periodo di tempo sconosciuto. Questa situazione sta diventando una minaccia molto concreta per le organizzazioni, dato che ogni giorno si verificano oltre 600 milioni di attacchi basati sull’identità.

Poiché non esistono funzionalità native di controllo delle versioni o di rollback per le configurazioni, le impostazioni precedenti devono essere riconfigurate o riassegnate manualmente. Questo processo può portare a tempi di inattività variabili a seconda della portata dell’incidente. In un caso come quello sopra descritto, questo può paralizzare un’organizzazione per un periodo più lungo, in quanto il tempo per riottenere l’accesso può variare. E se la tua organizzazione non dispone di un account break-glass, aspettati che ci vogliano giorni solo per accedere al tuo ambiente Entra ID prima che la riconfigurazione sia possibile.  Vuoi saperne di più sul motivo per cui Microsoft Entra ID richiede una protezione oltre agli strumenti nativi? Esplora 6 motivi per eseguire il backup di Entra ID.

Best practice per la responsabilità condivisa di Entra ID

Per gestire la tua quota di responsabilità di Entra ID, Microsoft illustra le best practice relative alla tua strategia per i dati di Entra ID:

  • Crea regolarmente snapshot del tuo ambiente Entra ID: questo è fondamentale per mantenere la documentazione dello “stato valido noto” del tenant a cui tornare in caso di disastro dei dati.
  • Monitora attentamente le modifiche e le riconfigurazioni: esporta e monitora i registri di controllo per rilevare modifiche non autorizzate e non intenzionali. Sebbene il monitoraggio sia il primo passo, senza un backup di Entra ID spesso è impossibile ripristinare una modifica indesiderata.
  • Testare regolarmente i ripristini: Microsoft consiglia di testare i processi di ripristino per comprendere meglio i tempi di risoluzione e le eventuali problematiche. Naturalmente, ciò presuppone che i dati di Entra ID siano stati archiviati in un luogo sicuro, come una soluzione di backup di terze parti.

 

Come Veeam mantiene l’organizzazione responsabile

Abbiamo già spiegato come funziona il modello a responsabilità condivisa per Microsoft Entra ID e perché affidarsi esclusivamente a strumenti nativi può lasciare delle lacune critiche nella strategia di Identity and Access Management.

Ed è qui che entra in gioco Veeam Data Cloud for Microsoft Entra ID. La soluzione di backup di Entra ID basata su cloud di Veeam offre funzionalità di backup e ripristino specializzate per semplificare la protezione dei dati di Entra ID. In caso di incidenti relativi ai dati o di problemi di conformità, Veeam può aiutare la tua organizzazione a mantenere la continuità aziendale con facilità. Puoi anche proteggere i dati di Microsoft 365 con Veeam utilizzando la stessa soluzione.

Chi è responsabile di cosa?

  • Microsoft: garantisce la disponibilità della piattaforma, protegge l’infrastruttura di back-end e alcune funzionalità di sicurezza e ripristino integrate.
  • La tua organizzazione: configura i criteri di accesso, gestisce le identità, monitora le possibili minacce e protegge dalle modifiche indesiderate.
  • Veeam Data Cloud for Microsoft Entra ID: consente di potenziare la strategia dei dati sull’identità fornendo un backup completo, un ripristino granulare degli oggetti e una retention a lungo termine per le configurazioni e gli oggetti.

Veeam Data Cloud for Microsoft Entra ID si basa su una partnership comprovata. Veeam e Microsoft collaborano da anni per portare la resilienza dei dati negli ambienti Microsoft e questa partnership si è recentemente ampliata.

La protezione di Entra ID è solo l’inizio. Veeam Data Cloud offre una protezione completa per l’intera azienda, fornendo protezione per altri carichi di lavoro critici come Microsoft 365 e Salesforce per sbloccare un approccio unificato alla tua strategia di resilienza dei dati.

Per maggiori informazioni su ciò che offre Veeam Data Cloud for Entra ID, fai clic qui.

Se ti piace questo blog, leggi il blog sul modello a responsabilità condivisa di Microsoft 365.

Kendall Gray
Kendall Gray
Kendall Gray is a Product Marketing Associate at Veeam. She is responsible for ensuring a strong understanding of technical value while communicating the importance of data resilience. She is passionate about expanding and sharing her knowledge, and enjoys exploring the intersection between technology and storytelling. Outside of work, she loves music and theatre, and plans on traveling the world.
More about author
Post precedente Post successivo
Contenuto degli articoli
Similar Blog Posts
Business | 23/9/2024

Che cos’è Microsoft 365 Backup Storage? Panoramica del backup di Microsoft 365 di prima parte di Microsoft

Leggi di più
Business | 3/9/2024

Veeam Backup for Microsoft 365 v8: Immutabilità completa e scalabilità di livello enterprise

Leggi di più
Business | 31/7/2024

Annuncio di Veeam basato su Microsoft 365 Backup Storage

Leggi di più
Stay up to date on the latest tips and news
Con l'iscrizione, accetti che le tue informazioni personali siano gestite in conformità con i termini delle Disposizioni sulla privacy di Veeam.
You're all set!
Watch your inbox for our weekly blog updates.
OK