Proteggere gli account amministratore
Poiché gli account amministratore dispongono di privilegi elevati, sono obiettivi preziosi per i cyberattacker. In questo articolo viene descritto:
- Come configurare un altro account amministratore per le emergenze.
- Come creare un account amministratore di emergenza.
- Come creare un account utente per sé stessi.
- Come proteggere gli account degli amministratori.
- Consigli aggiuntivi e passaggio successivo.
Quando si esegue l'iscrizione a Microsoft 365 e si immettono le proprie informazioni, si diventa automaticamente amministratore aziendale, noto anche come amministratore globale. Un amministratore globale ha il controllo finale degli account utente e di tutte le altre impostazioni nell'interfaccia di amministrazione Microsoft (https://admin.microsoft.com). Tuttavia esistono molti tipi diversi di account amministratore con diversi gradi di accesso. Per informazioni sui diversi livelli di accesso per ogni tipo di ruolo amministratore, vedere Informazioni sui ruoli di amministratore.
Creare altri account amministratore
Usare gli account amministratore solo per l'amministrazione di Microsoft 365. Gli amministratori devono avere un account utente separato per l'uso regolare di Microsoft 365 Apps e usare il proprio account amministrativo solo quando necessario per gestire account e dispositivi e durante l'uso di altre funzioni di amministratore. È anche consigliabile rimuovere la licenza di Microsoft 365 dagli account amministratore in modo che non sia necessario pagare per licenze aggiuntive.
Si deve configurare almeno un account amministratore globale aggiuntivo per concedere l'accesso amministratore a un altro dipendente affidabile. È anche possibile creare account amministratore separati per la gestione degli utenti (questo ruolo è denominato amministratore Gestione utenti). Per altre informazioni, vedere Informazioni sui ruoli di amministratore.
Importante
Sebbene sia consigliabile configurare un set di account amministratore, sarebbe meglio limitare il numero di amministratori globali per l'organizzazione. È inoltre consigliabile attenersi al concetto di accesso con privilegi minimi, ovvero concedere l'accesso solo ai dati e alle operazioni necessarie per eseguire i processi. Altre informazioni sul principio dei privilegi minimi.
Per creare altri account amministratore:
Nel interfaccia di amministrazione di Microsoft 365 scegliere Utenti>utenti attivi nel riquadro di spostamento a sinistra.
Nella pagina Utenti attivi, selezionare Aggiungi un utente nella parte superiore della pagina.
Nel pannello Aggiungi un utente immettere informazioni di base, ad esempio informazioni sul nome e sul nome utente.
Immettere e configurare le informazioni sulle licenze del prodotto .
In Impostazioni facoltative definire il ruolo dell'utente, inclusa l'aggiunta dell'accesso all'interfaccia di amministrazione, se appropriato.
Completare ed esaminare le impostazioni e selezionare Fine aggiunta per confermare i dettagli.
Creare un account amministratore di emergenza
È anche consigliabile creare un account di backup che non sia configurato con l'autenticazione a più fattori (MFA) in modo da non bloccarsi accidentalmente, ad esempio se si perde il telefono usato come seconda forma di verifica. Assicurarsi che la password per questo account sia una frase o di almeno 16 caratteri. Questo account amministratore di emergenza è spesso indicato come "account da usare in caso di emergenza".
Creare un account utente per sé stessi
Se si è un amministratore, è necessario un account utente per le normali attività lavorative, ad esempio il controllo della posta elettronica. Assegnare un nome agli account in modo da riconoscerli. Ad esempio, le credenziali di amministratore potrebbero essere simili ad Alice.Chavez@Contoso.org e l'account utente normale potrebbe essere simile ad Alice@Contoso.com.
Per creare un nuovo account utente:
Passare alla interfaccia di amministrazione di Microsoft 365 e quindi scegliere Utenti>utenti attivi nel riquadro di spostamento a sinistra.
Nella pagina Utenti attivi, selezionare Aggiungi un utente nella parte superiore della pagina e nel pannello Aggiungi un utente, immettere il nome e altre informazioni.
Nella sezione Licenze del prodotto selezionare la casella di controllo per Microsoft 365 Business Premium (nessun accesso amministrativo).
Nella sezione Impostazioni facoltative lasciare selezionato il pulsante di opzione predefinito per Utente (nessun accesso all'interfaccia di amministrazione).
Completare ed esaminare le impostazioni e selezionare Fine aggiunta per confermare i dettagli.
Proteggere gli account degli amministratori
Per proteggere tutti gli account amministratore, assicurarsi di seguire queste raccomandazioni:
Richiedere a tutti gli account amministratore di usare l'autenticazione senza password (ad esempio Windows Hello o un'app di autenticazione) oppure l’autenticazione a più fattori. Per altre informazioni sul motivo per cui l'autenticazione senza password è importante, vedere il White paper Microsoft sulla sicurezza: protezione senza password.
Evitare di usare autorizzazioni personalizzate per gli amministratori. Anziché concedere autorizzazioni a utenti specifici, assegnare le autorizzazioni tramite i ruoli nell Microsoft Entra ID. Inoltre, concedere l'accesso solo ai dati e alle operazioni necessarie per eseguire l'attività da svolgere. Informazioni sui ruoli con privilegi minimi nell Microsoft Entra ID.
Laddove possibile, usare i ruoli predefiniti per assegnare le autorizzazioni. Il controllo degli accessi in base al ruolo (RBAC) di Azure ha diversi ruoli predefiniti che è possibile usare. Altre informazioni sui ruoli predefiniti Microsoft Entra.
Consigli aggiuntivi
Prima di usare gli account amministratore, chiudere tutte le app e le sessioni del browser non correlate, inclusi gli account di posta elettronica personali. È anche possibile usare in finestre del browser private o in incognito.
Dopo aver completato le attività di amministratore, assicurarsi di disconnettersi dalla sessione del browser.
Passaggio successivo
Aumenta la protezione dalle minacce per Microsoft 365 Business Premium
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per