Salta al contenuto

Identity & Access Management cloud con Zero Trust e MFA

Microsoft Entra ID

Microsoft Entra ID (ex Azure Active Directory, Azure AD) è il servizio di Identity & Access Management cloud di Microsoft: gestisce le identità digitali dei dipendenti, applicazioni aziendali e dispositivi, autentica e autorizza l'accesso a Microsoft 365, Azure, app SaaS terze (Salesforce, Workday, ServiceNow, ecc.) e ad applicazioni custom interne. È il fondamento della sicurezza Zero Trust di un'organizzazione moderna.

Per le PMI italiane Entra ID è di fatto già attivo nel momento in cui si attiva Microsoft 365 — è il directory sottostante. La domanda non è 'usarlo o no', ma 'usarlo bene o male'. Una configurazione sciatta (no MFA, no conditional access, password admin condivise, account dormienti) lascia la porta aperta agli attacchi più comuni (phishing → password reuse → account takeover → lateral movement). Una configurazione fatta come si deve (MFA per tutti, conditional access per dispositivo/geografia, PIM per gli admin, sign-in risk policy) chiude i vettori di attacco principali.

In SynSphere ci occupiamo dell'assessment Entra ID iniziale (gli admin sono protetti? il MFA è esteso a tutti? esistono account dormienti?), del rollout MFA con il minor disagio per gli utenti, della configurazione di conditional access per i pattern aziendali (es. blocco accessi da paesi atipici, richiesta MFA da fuori rete aziendale), del Privileged Identity Management per gli account admin (just-in-time access, approval workflow), e dell'integrazione SSO con le app SaaS che il cliente usa.

Richiedi una consulenza Vai alle FAQ

A chi è rivolto

Profili e dimensioni aziendali per cui Microsoft Entra ID è la scelta più efficace.

  • Tutte le aziende con tenant Microsoft 365 — Entra ID è il loro IAM, sia che lo sappiano o no
  • PMI con dipendenti in smart working o multi-sede dove il "perimetro di rete" non esiste più
  • Realtà che usano molte app SaaS e gestiscono utenze separate (CRM, gestionale, e-commerce, ecc.)
  • Aziende vittime di phishing/account takeover che vogliono mettere in sicurezza l'identità
  • Organizzazioni con compliance GDPR/ISO 27001 che richiedono controlli accessi documentati

Funzionalità chiave

Cosa è incluso in Microsoft Entra ID e perché ha valore per la tua azienda.

  • Single Sign-On (SSO)

    Un login per tutto Microsoft 365 + 1.000+ app SaaS pre-integrate (Salesforce, Workday, ServiceNow, Slack, Zoom, ecc.).

  • Multi-Factor Authentication (MFA)

    App Microsoft Authenticator, SMS, hardware key (FIDO2 YubiKey), passkey passwordless, biometric.

  • Conditional Access

    Policy granulari per utente/dispositivo/geografia/risk level/app target. Sostituisce le regole VPN basate su rete.

  • Privileged Identity Management (PIM)

    Just-in-time access per gli admin con approval workflow e MFA aggiuntivo. Riduce la finestra di rischio degli account privilegiati.

  • Identity Protection

    Detection di sign-in rischiosi: impossible travel, password leak su darkweb, dispositivo sospetto, anomaly behavior.

  • B2B collaboration

    Invito guest esterni con identità propria (gmail/outlook personale), accesso controllato a Teams/SharePoint con permessi granulari.

  • External ID (B2C)

    Identità per clienti finali in app pubbliche (portale clienti, e-commerce), social login, registrazione self-service customizzata.

  • Application Proxy

    Pubblicazione sicura di app on-premise tramite Entra ID, accesso da internet senza VPN, autenticazione integrata.

  • Lifecycle management

    Provisioning automatico utenti da HR (Workday, SAP HR), deprovisioning sincronizzato cross-app alla cessazione.

Casi d'uso reali

Scenari concreti basati su clienti che abbiamo seguito o profili tipici per cui Microsoft Entra ID ha senso.

  • PMI 50 dipendenti — rollout MFA — Verona

    Situazione di partenza

    Nessun MFA attivo, password 'Estate2024!' ricorrenti, già 2 account compromessi via phishing nell'ultimo anno, contabilità aziendale a rischio.

    Soluzione SynSphere

    Rollout MFA progressivo. Settimana 1-2: comunicazione + formazione. Settimana 3: opt-in volontario per gli early adopter. Settimana 4-6: enforcement obbligatorio per tutti. App Microsoft Authenticator come metodo principale, SMS di backup. Conditional Access: MFA non richiesto da rete aziendale fissa (riduce friction), obbligatorio da fuori. Risultato: 0 account compromessi nei 6 mesi successivi.

  • Azienda multi-sede 200 utenti — accesso condizionale — Milano + Bolzano + Roma

    Situazione di partenza

    Alcuni utenti accedono da casa (smart working), altri in trasferta in vari paesi, IT non ha visibilità su pattern accessi anomali.

    Soluzione SynSphere

    Conditional Access policy multilivello. Accesso da Italia + dispositivo conforme Intune: passa senza friction. Accesso da paese estero: MFA obbligatorio + sign-in approval. Accesso da paese ad alto rischio (esclusi via geo-block): bloccato. Identity Protection segnala sign-in con risk score, alert al security team su Teams.

  • Studio legale 30 utenti — protezione account admin — Roma

    Situazione di partenza

    3 account 'admin globali' con MFA configurato ma sempre attivi, compromissione = controllo totale tenant. Best practice Microsoft: max 5 admin globali permanenti, ma siamo a 3 sempre attivi.

    Soluzione SynSphere

    Privileged Identity Management (PIM) con licenza Entra ID P2. Gli admin globali diventano 'eligible' non 'active' — possono richiedere elevation just-in-time per max 4 ore con approval del security manager + MFA aggiuntivo. Audit log centrale di ogni elevation. Riduzione finestra di rischio da 24/7 a poche ore al mese.

  • Azienda con 25+ app SaaS — gestione SSO unificata

    Situazione di partenza

    Ogni dipendente ha 25+ password diverse per app aziendali (CRM, gestionale, asana, slack, ecc.), turnover costante richiede deprovisioning su 25 sistemi diversi, processo lungo e con errori.

    Soluzione SynSphere

    Integrazione SSO Entra ID per tutte le 25 app via SAML/OIDC. Login unico, no più password app-specifiche. Provisioning automatico: nuovo assunto su Workday → account creato automaticamente nelle 25 app. Cessazione: account disabilitato in tutte le app simultaneamente in real-time.

Si integra con

Microsoft Entra ID è parte di un ecosistema. Ecco i prodotti con cui lavora nativamente.

Piani disponibili

Una panoramica delle famiglie di licenze. Per il preventivo personalizzato sul tuo mix di utenti, contattaci.

Entra ID ha 4 piani principali, dal Free a P2.

Microsoft Entra ID Free:

  • Incluso senza costo aggiuntivo nel tenant Microsoft 365 di base
  • Funzionalità essenziali: utenti, gruppi, SSO base, MFA base, self-service password reset
  • Sufficiente per scenari molto piccoli o test

Microsoft Entra ID P1 (incluso in Business Premium, E3, EMS E3):

  • Conditional Access (la feature chiave!)
  • Self-service group management
  • Application Proxy per app on-premise
  • Cloud App Discovery
  • Microsoft Entra Connect Health
  • Standard per la maggior parte delle PMI

Microsoft Entra ID P2 (incluso in E5, EMS E5):

  • Tutto P1 +
  • Identity Protection (sign-in risk, user risk, automated remediation)
  • Privileged Identity Management (PIM): just-in-time access per admin
  • Access Reviews automatizzate
  • Necessario per scenari Zero Trust avanzati e ambienti enterprise

Microsoft Entra Suite (bundle introdotto 2024):

  • Entra ID P2 + Entra ID Governance + Entra Verified ID + Entra Internet Access + Entra Private Access
  • Per organizzazioni che vogliono la security identity-centric completa

Microsoft Entra External ID (ex Azure AD B2C):

  • Identity per clienti finali / utenti esterni di app pubbliche
  • Pricing per Monthly Active Users (MAU)
  • Per portali clienti, e-commerce, app B2C

Approccio raccomandato SynSphere:

  • PMI standard: Microsoft 365 Business Premium (include Entra ID P1 + Defender for Business + Intune) — copre il 90% delle esigenze sicurezza PMI italiana.
  • Mid-market o con admin sensibili: aggiungere Entra ID P2 ai soli admin globali (~5-10 licenze) per attivare PIM. Costo marginale, beneficio enorme.
  • Enterprise: M365 E5 (include P2 per tutti) o Entra Suite per scenari Zero Trust completi.

Domande frequenti

Risposte rapide alle domande che ci fanno più spesso su Microsoft Entra ID.

Differenza tra Microsoft Entra ID e Active Directory on-premise?
Active Directory (AD on-premise) è il directory tradizionale Windows Server, basato su LDAP/Kerberos, gestisce identità in rete locale. Entra ID è il directory cloud Microsoft, basato su standard moderni (OAuth2, OpenID Connect, SAML), gestisce identità per servizi cloud (M365, Azure, app SaaS). Si possono usare insieme via Microsoft Entra Connect (sync bidirezionale) — pattern comune nelle aziende che hanno sia infrastruttura on-premise sia cloud. Le aziende cloud-native usano solo Entra ID.
Cos'è Conditional Access e perché è cruciale?
Conditional Access è il 'policy engine' di Entra ID. Permette di applicare regole su CHI accede (utente/gruppo), DA DOVE (geografia, IP, dispositivo conforme), QUANDO, A COSA (app target), CON QUALE RISK LEVEL. Esempio: 'se utente del gruppo Finance accede a SAP da fuori Italia → richiedi MFA + dispositivo Intune-compliant'. Sostituisce le vecchie regole firewall/VPN basate su perimetro di rete con un controllo identity-centric Zero Trust.
MFA è davvero efficace contro il phishing?
Sì, riduce il rischio di account takeover di oltre il 99% secondo dati Microsoft. Anche se l'utente cade in un phishing e digita password su sito finto, l'attaccante non passa il secondo fattore. ATTENZIONE però: il phishing AI moderno ha tecniche di 'MFA fatigue' (bombardamento di prompt fino a click accidentale) e 'AiTM' (man-in-the-middle che intercetta sessione). Per protezione massima: passwordless (FIDO2/passkey) + Conditional Access che blocca sessioni anomale.
Cos'è Zero Trust e come si applica?
Zero Trust è il principio 'never trust, always verify'. Ogni richiesta di accesso (interna o esterna) viene valutata su segnali in real-time: identità (MFA verificato?), dispositivo (conforme alle policy?), posizione (geografia attesa?), comportamento (pattern normale?). Sostituisce il vecchio modello 'rete interna = trust, esterna = no trust'. Entra ID + Conditional Access + Defender + Intune insieme implementano Zero Trust per identità e dispositivi.
Possiamo collegare il nostro AD on-premise?
Sì, via Microsoft Entra Connect (gratis). Sync bidirezionale di utenti, gruppi, attributi, anche password (con Password Hash Sync o Pass-through Authentication). Configurazione tipica: AD on-premise resta source of truth per HR/identità, Entra ID estende la stessa identità al cloud. Pattern 'hybrid' molto diffuso nelle PMI italiane con server AD esistenti.
Cos'è il PIM e quando serve?
Privileged Identity Management. Trasforma gli account admin da 'permanentemente attivi' a 'eligible just-in-time': l'admin richiede elevation per max X ore, motivata, con approval del responsabile, MFA aggiuntivo. Audit log centrale. Riduce drasticamente la finestra di rischio: se un admin viene compromesso, il danno è limitato alle ore di elevation attiva, non 24/7. Standard nelle aziende con compliance ISO 27001 o NIS2.
Possiamo gestire identità di clienti esterni / portale pubblico?
Sì, con Microsoft Entra External ID (ex Azure AD B2C). Pricing per Monthly Active Users (MAU), tier free fino a 50.000 MAU. Casi tipici: portale clienti, registrazione e-commerce, app mobile pubblica. Si differenzia da Entra ID standard (che gestisce dipendenti/B2B) per ottimizzare l'esperienza consumer (registrazione self-service, social login Google/Facebook/Apple, customizzazione UI completa).

Altri prodotti in Sicurezza

Continua a esplorare le tecnologie della categoria.

Vuoi capire se Microsoft Entra ID è la scelta giusta per te?

Parla con un nostro consulente: in 30 minuti analizziamo i tuoi processi attuali e ti diciamo se e come Microsoft Entra ID può aiutarti, con quale piano e con quali tempi di adozione.

Contattaci