Introduzione alla gestione degli accessi con privilegi
Questo articolo illustra come abilitare e configurare la gestione degli accessi con privilegi nell'organizzazione. È possibile usare powershell di gestione di interfaccia di amministrazione di Microsoft 365 o exchange per gestire e usare l'accesso con privilegi.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Prima di iniziare
Prima di iniziare a usare la gestione degli accessi con privilegi, è necessario confermare l'abbonamento a Microsoft 365 ed eventuali componenti aggiuntivi.
Prima di iniziare a usare la gestione degli accessi con privilegi, è necessario confermare l'abbonamento a Microsoft 365 ed eventuali componenti aggiuntivi. Per accedere e usare la gestione degli accessi con privilegi, l'organizzazione deve avere sottoscrizioni o componenti aggiuntivi di supporto. Per altre informazioni, vedere i requisiti di sottoscrizione per la gestione degli accessi con privilegi.
Se non si ha un piano di Office 365 Enterprise E5 esistente e si vuole provare la gestione degli accessi con privilegi, è possibile aggiungere Microsoft 365 alla sottoscrizione di Office 365 esistente o iscriversi per una versione di valutazione di Microsoft 365 Enterprise E5.
Abilitare e configurare la gestione degli accessi con privilegi
Seguire questa procedura per configurare e usare l'accesso con privilegi nell'organizzazione:
Passaggio 1: Creare un gruppo di responsabili approvazione
Prima di iniziare a usare l'accesso privilegiato, determinare chi ha bisogno dell'autorità di approvazione per le richieste in arrivo per l'accesso ad attività elevate e privilegiate. Qualsiasi utente che fa parte del gruppo Responsabili approvazione può approvare le richieste di accesso. Questo gruppo viene abilitato creando un gruppo di sicurezza abilitato alla posta elettronica in Office 365.
Passaggio 2: Abilitare l'accesso con privilegi
L'accesso privilegiato deve essere abilitato in modo esplicito in Office 365 con il gruppo responsabile approvazione predefinito, incluso un set di account di sistema da escludere dal controllo di Privileged Access Management.
Passaggio 3: Creare un criterio di accesso
La creazione di criteri di approvazione consente di definire i requisiti di approvazione specifici per l'ambito delle singole attività. Sono disponibili due tipi di approvazione: Automatica e Manuale.
Passaggio 4: Inviare/approvare richieste di accesso con privilegi
Una volta abilitato, l'accesso privilegiato richiede l'approvazione per tutte le attività con un criterio di approvazione associato definito. Per le attività incluse in un criterio di approvazione, gli utenti devono richiedere e ottenere l'approvazione dell'accesso per avere le autorizzazioni necessarie per eseguire l'attività.
Una volta concessa l'approvazione, l'utente richiedente può eseguire l'attività prevista e l'accesso privilegiato autorizzerà l'esecuzione dell'attività per conto dell'utente. L'approvazione rimane valida per la durata richiesta (la durata predefinita è di 4 ore), durante la quale il richiedente può eseguire l'attività prevista più volte. Tutte queste esecuzioni vengono registrate e sono disponibili per il controllo di sicurezza e conformità.
Nota
Se si vuole usare PowerShell per la gestione di Exchange per abilitare e configurare l'accesso con privilegi, seguire la procedura descritta in Connettersi a Exchange Online PowerShell usando l'autenticazione a più fattori per connettersi a Exchange Online PowerShell con le credenziali di Office 365. Non è necessario abilitare l'autenticazione a più fattori affinché l'organizzazione usi la procedura per abilitare l'accesso con privilegi durante la connessione a Exchange Online PowerShell. La connessione con l'autenticazione a più fattori crea un token di autenticazione usato dall'accesso con privilegi per la firma delle richieste.
Passaggio 1: Creare un gruppo di responsabili approvazione
Accedere al interfaccia di amministrazione di Microsoft 365 usando le credenziali per un account amministratore nell'organizzazione.
Nell'interfaccia di amministrazione passare a Gruppi>Aggiungere un gruppo.
Selezionare il gruppo di sicurezza abilitato alla posta elettronica e quindi completare i campi Nome, Indirizzo di posta elettronica gruppo e Descrizione per il nuovo gruppo.
Salvare il gruppo. La configurazione completa del gruppo e la visualizzazione nell'interfaccia di amministrazione di Microsoft 365 possono richiedere alcuni minuti.
Selezionare il gruppo del nuovo responsabile approvazione e selezionare Modifica per aggiungere utenti al gruppo.
Salvare il gruppo.
Passaggio 2: Abilitare l'accesso con privilegi
Nel centro Amministrazione Microsoft 365
Accedere al Centro Amministrazione Microsoft 365 usando le credenziali per un account amministratore nell'organizzazione.
Nell'interfaccia di amministrazione passare a Impostazioni>Impostazioni> organizzazione Sicurezza &Accesso con privilegidi privacy.>
Abilitare il controllo Richiedi approvazioni per le attività con privilegi .
Assegnare il gruppo del responsabile approvazione creato nel passaggio 1 come gruppo Responsabili approvazione predefiniti.
Salvare e chiudere.
In PowerShell per la gestione di Exchange
Per abilitare l'accesso con privilegi e assegnare il gruppo del responsabile approvazione, eseguire il comando seguente in Exchange Online PowerShell:
Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')
Esempio:
Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')
Nota
La funzionalità Account di sistema è resa disponibile per garantire che determinate automazioni all'interno delle organizzazioni possano funzionare senza dipendere dall'accesso con privilegi, tuttavia è consigliabile che tali esclusioni siano eccezionali e che quelle consentite vengano approvate e controllate regolarmente.
Passaggio 3: Creare un criterio di accesso
È possibile creare e configurare fino a 30 criteri di accesso con privilegi per l'organizzazione.
Nel centro Amministrazione Microsoft 365
Accedere al Centro Amministrazione Microsoft 365 usando le credenziali per un account amministratore nell'organizzazione.
Nel Centro Amministrazione passare a Impostazioni>Impostazioni> organizzazione Sicurezza &Accesso con privilegidi privacy>.
Selezionare Gestisci criteri e richieste di accesso.
Selezionare Configura criteri e selezionare Aggiungi un criterio.
Nei campi a discesa selezionare i valori appropriati per l'organizzazione:
Tipo di criterio: Attività, Ruolo o Gruppo di ruoli
Ambito del criterio: Exchange
Nome del criterio: selezionare uno dei criteri disponibili
Tipo di approvazione: Manuale o Automatica
Gruppo di approvazione: selezionare il gruppo Responsabili approvazione creato nel passaggio 1
Selezionare Crea e quindi Chiudi. La configurazione e l'abilitazione dei criteri potrebbero richiedere alcuni minuti.
In PowerShell per la gestione di Exchange
Per creare e definire un criterio di approvazione, eseguire il comando seguente in Exchange Online PowerShell:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'
Esempio:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
Passaggio 4: Inviare/approvare richieste di accesso con privilegi
Richiesta di autorizzazione di elevazione per eseguire attività con privilegi
Le richieste di accesso privilegiato sono valide per un massimo di 24 ore dopo l'invio della richiesta. Se non sono approvate o negate, le richieste scadono e l'accesso non viene approvato.
Nel centro Amministrazione Microsoft 365
Accedere al Centro Amministrazione Microsoft 365 usando le credenziali.
Nel Centro Amministrazione passare a Impostazioni>Impostazioni> organizzazione Sicurezza &Accesso con privilegidi privacy>.
Selezionare Gestisci criteri e richieste di accesso.
Selezionare Nuova richiesta. Nei campi a discesa selezionare i valori appropriati per l'organizzazione:
Tipo di richiesta: Attività, Ruolo o Gruppo di ruoli
Ambito della richiesta: Exchange
Richiesta di: selezionare uno dei criteri disponibili
Durata (ore): numero di ore di accesso richiesto. Non esiste un limite al numero di ore che è possibile richiedere.
Commenti: campo di testo per i commenti correlati alla richiesta di accesso
Selezionare Salva e quindi Chiudi. La richiesta verrà inviata al gruppo del responsabile approvazione tramite posta elettronica.
In PowerShell per la gestione di Exchange
Eseguire il comando seguente in Exchange Online PowerShell per creare e inviare una richiesta di approvazione al gruppo del responsabile approvazione:
New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>
Esempio:
New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
Visualizzare lo stato delle richieste di elevazione
Dopo aver creato una richiesta di approvazione, lo stato della richiesta di elevazione dei privilegi può essere esaminato nell'interfaccia di amministrazione o in PowerShell di gestione di Exchange usando l'ID richiesta associato.
Nell'interfaccia di amministrazione di Microsoft 365
Accedere al interfaccia di amministrazione di Microsoft 365 con le credenziali.
Nell'interfaccia di amministrazione passare a Impostazioni>Impostazioni> organizzazione Sicurezza &Accesso con privilegidi privacy.>
Selezionare Gestisci criteri e richieste di accesso.
Selezionare Visualizza per filtrare le richieste inviate in base allo stato In sospeso, Approvato, Negato o Customer Lockbox .
In PowerShell per la gestione di Exchange
Eseguire il comando seguente in Exchange Online PowerShell per visualizzare lo stato di una richiesta di approvazione per un ID richiesta specifico:
Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus
Esempio:
Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus
Approvazione di una richiesta di autorizzazione di elevazione
Quando viene creata una richiesta di approvazione, i membri del gruppo responsabile approvazione pertinente ricevono una notifica tramite posta elettronica e possono approvare la richiesta associata all'ID richiesta. Il richiedente riceve notifica dell'approvazione o rifiuto della richiesta tramite posta elettronica.
Nell'interfaccia di amministrazione di Microsoft 365
Accedere al interfaccia di amministrazione di Microsoft 365 con le credenziali.
Nell'interfaccia di amministrazione passare a Impostazioni>Impostazioni> organizzazione Sicurezza &Accesso con privilegidi privacy.>
Selezionare Gestisci criteri e richieste di accesso.
Selezionare una richiesta elencata per visualizzare i dettagli e intervenire sulla richiesta.
Selezionare Approva per approvare la richiesta o selezionare Nega per negare la richiesta. Le richieste approvate in precedenza possono revocare l'accesso selezionando Revoca.
In PowerShell per la gestione di Exchange
Per approvare una richiesta di autorizzazione di elevazione dei privilegi, eseguire il comando seguente in Exchange Online PowerShell:
Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'
Esempio:
Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'
Per negare una richiesta di autorizzazione di elevazione dei privilegi, eseguire il comando seguente in Exchange Online PowerShell:
Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'
Esempio:
Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'
Eliminare un criterio di accesso con privilegi in Office 365
Se non è più necessario nell'organizzazione, è possibile eliminare un criterio di accesso con privilegi.
Nell'interfaccia di amministrazione di Microsoft 365
Accedere al interfaccia di amministrazione di Microsoft 365 usando le credenziali per un account amministratore nell'organizzazione.
Nell'interfaccia di amministrazione passare a Impostazioni>Impostazioni> organizzazione Sicurezza &Accesso con privilegidi privacy.>
Selezionare Gestisci criteri e richieste di accesso.
Selezionare Configura criteri.
Selezionare il criterio da eliminare e quindi selezionare Rimuovi criterio.
Selezionare Chiudi.
In PowerShell per la gestione di Exchange
Per eliminare un criterio di accesso con privilegi, eseguire il comando seguente in Exchange Online PowerShell:
Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>
Disabilitare l'accesso con privilegi in Office 365
Se necessario, è possibile disabilitare la gestione degli accessi con privilegi per l'organizzazione. La disabilitazione dell'accesso con privilegi non elimina i criteri di approvazione o i gruppi responsabili approvazione associati.
Nell'interfaccia di amministrazione di Microsoft 365
Accedere al interfaccia di amministrazione di Microsoft 365 con le credenziali per un account amministratore nell'organizzazione.
Nel Centro Amministrazione passare a Impostazioni>Impostazioni> organizzazione Sicurezza &Accesso con privilegidi privacy>.
Abilitare l'opzione Richiedi approvazioni per il controllo di accesso con privilegi .
In PowerShell per la gestione di Exchange
Per disabilitare l'accesso con privilegi, eseguire il comando seguente in Exchange Online PowerShell:
Disable-ElevatedAccessControl
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per