Che cos'è Azure AD Privileged Identity Management?
Privileged Identity Management (PIM) di Azure Active Directory (Azure AD) è un servizio che permette di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione. Queste risorse sono incluse in Azure AD, in Azure e in altri Microsoft Online Services, ad esempio Microsoft 365 o Microsoft Intune. Il video seguente illustra concetti e funzionalità importanti di PIM.
Vantaggi
Le organizzazioni vogliono ridurre al minimo il numero di persone che hanno accesso a informazioni o risorse sicure, perché riduce la possibilità di
- un attore malintenzionato che ottiene l'accesso
- un utente autorizzato influisce inavvertitamente su una risorsa sensibile
Tuttavia, gli utenti devono comunque eseguire operazioni con privilegi, nelle app di Azure AD, Azure, Microsoft 365 o SaaS. Le organizzazioni possono concedere agli utenti l'accesso con privilegi just-in-time alle risorse di Azure e Azure AD e può controllare ciò che gli utenti stanno facendo con l'accesso con privilegi.
Requisiti relativi alle licenze
L'uso di questa funzionalità richiede licenze di Azure AD Premium P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Azure AD disponibili a livello generale.
Per altre informazioni sulle licenze per gli utenti, vedere Requisiti di licenza per usare Privileged Identity Management.
Funzione
Privileged Identity Management fornisce l'attivazione del ruolo basata sul tempo e sull'approvazione per attenuare i rischi di autorizzazioni di accesso eccessive, inutili o usate in modo improprio per le risorse di importanza strategica. Di seguito sono riportate alcune delle funzionalità principali di Privileged Identity Management:
- Concedere l'accesso con privilegi JIT ad Azure AD e alle risorse di Azure
- Assegnare l'accesso con vincoli di tempo alle risorse usando dati di inizio e fine
- Richiedere l'approvazione per attivare i ruoli con privilegi
- Applicare l'autenticazione a più fattori per attivare qualsiasi ruolo
- Usare la giustificazione per comprendere i motivi delle attivazioni da parte degli utenti
- Ricevere notifiche all'attivazione dei ruoli con privilegi
- Condurre verifiche di accesso per assicurarsi che gli utenti necessitino ancora dei ruoli
- Scaricare la cronologia di controllo per il controllo interno o esterno
- Impedisce la rimozione dell'ultima assegnazione di ruolo amministratore globale e amministratore ruolo con privilegi
Che si può fare con questa funzionalità?
Dopo aver configurato Privileged Identity Management, saranno visibili le opzioni Attività, Gestisci e Attività nel menu di spostamento a sinistra. Come amministratore, si sceglierà tra opzioni, ad esempio la gestione dei ruoli di Azure AD, la gestione dei ruoli delle risorse di Azure o PIM per i gruppi. Quando si sceglie ciò che si vuole gestire, verrà visualizzato il set di opzioni appropriato in base all'opzione.
Chi può fare cosa?
Per i ruoli di Azure AD in Privileged Identity Management, solo un utente che si trova nel ruolo Amministratore ruolo con privilegi o amministratore globale può gestire le assegnazioni per altri amministratori. Gli amministratori globali, gli amministratori della sicurezza, i lettori globali e i lettori di sicurezza possono visualizzare anche le assegnazioni ai ruoli di Azure AD in Privileged Identity Management.
Per i ruoli delle risorse di Azure in Privileged Identity Management, le assegnazioni per altri amministratori possono essere gestite solo da un amministratore della sottoscrizione, da un proprietario della risorsa o da un amministratore Accesso utenti della risorsa. Gli utenti che sono amministratori del ruolo con privilegi, amministratori di sicurezza o lettori di sicurezza non hanno accesso per impostazione predefinita alle assegnazioni di risorse di Azure in Privileged Identity Management.
Terminologia
Per una migliore comprensione di Privileged Identity Management e della documentazione, esaminare la terminologia seguente.
| Termine o concetto | Categoria di assegnazione di ruolo | Descrizione |
|---|---|---|
| idoneo | Type | Un'assegnazione di ruolo che richiede a un utente di eseguire una o più azioni per usare il ruolo. Se un utente è stato reso idoneo per un ruolo, potrà attivare il ruolo quando avrà bisogno di svolgere le attività con privilegi. Non esiste alcuna differenza sostanziale tra l'accesso concesso a un utente con l'assegnazione permanente e quello con l'assegnazione di idoneità al ruolo. L'unica differenza è che alcuni utenti non necessitano dell'accesso continuo. |
| active | Type | Un'assegnazione di ruolo che non richiede a un utente di eseguire alcuna azione per usare il ruolo. Gli utenti con questo tipo di assegnazione hanno i privilegi assegnati al ruolo. |
| activate | Il processo di esecuzione di una o più azioni per usare un ruolo per cui un utente è idoneo. Le azioni possono includere il completamento di un controllo di autenticazione a più fattori (MFA), l'indicazione di una motivazione aziendale e la richiesta di approvazione da parte di responsabili dell'approvazione designati. | |
| assegnato | State | Un utente che ha un'assegnazione di ruolo attiva. |
| attivato | State | Un utente che ha un'assegnazione di ruolo idonea, ha eseguito le azioni per attivare il ruolo ed è ora attivo. Dopo l'attivazione, l'utente può usare il ruolo per un periodo di tempo preconfigurato prima di dover attivare di nuovo. |
| idonea permanente | Duration | Un'assegnazione di ruolo in cui un utente è sempre idoneo ad attivare il ruolo. |
| attiva permanente | Duration | Un'assegnazione di ruolo in cui un utente può sempre usare il ruolo senza eseguire alcuna azione. |
| idoneo associato a tempo | Durata | Assegnazione di ruolo in cui un utente è idoneo per attivare il ruolo solo all'interno delle date di inizio e fine. |
| attivo associato a tempo | Durata | Assegnazione di ruolo in cui un utente può usare il ruolo solo all'interno di date di inizio e fine. |
| accesso JIT (Just-In-Time) | Un modello in base al quale gli utenti ricevono autorizzazioni temporanee per eseguire attività con privilegi, che impedisce a utenti non autorizzati o malintenzionati di ottenere l'accesso dopo la scadenza delle autorizzazioni. L'accesso viene concesso solo quando l'utente ne ha necessità. | |
| principio di accesso con privilegi minimi | Una procedura di sicurezza consigliata in cui ogni utente viene fornito con solo i privilegi minimi necessari per eseguire le attività che sono autorizzate a eseguire. Ciò consente di ridurre al minimo il numero di amministratori globali usando in alternativa ruoli di amministratore specifici per determinati scenari. |
Panoramica dell'assegnazione dei ruoli
Le assegnazioni di ruolo PIM offrono un modo sicuro per concedere l'accesso alle risorse nell'organizzazione. Questa sezione descrive il processo di assegnazione. Include l'assegnazione di ruoli ai membri, l'attivazione di assegnazioni, l'approvazione o la negazione delle richieste, l'estensione e il rinnovo delle assegnazioni.
PIM ti mantiene informati inviando notifiche tramite posta elettronica e altri partecipanti. Questi messaggi di posta elettronica possono includere anche collegamenti a attività pertinenti, ad esempio attivazione, approvazione o negazione di una richiesta.
Lo screenshot seguente mostra un messaggio di posta elettronica inviato da PIM. Il messaggio di posta elettronica informa Patti che Alex ha aggiornato un'assegnazione di ruolo per Emily.
Assegna
Il processo di assegnazione inizia assegnando ruoli ai membri. Per concedere l'accesso a una risorsa, l'amministratore assegna ruoli a utenti, gruppi, entità servizio o identità gestite. L'assegnazione include i dati seguenti:
- Membri o proprietari per assegnare il ruolo.
- Ambito dell'assegnazione. L'ambito limita il ruolo assegnato a un determinato set di risorse.
- Tipo dell'assegnazione
- Le assegnazioni di tipo Idoneo richiedono al membro del ruolo di eseguire un'azione per usare il ruolo. Le azioni possono includere l'attivazione o richiedere l'approvazione dai responsabili di approvazione designati.
- Le assegnazioni attive non richiedono che il membro esegua alcuna azione per usare il ruolo. I membri assegnati come attivi hanno i privilegi assegnati al ruolo.
- Durata dell'assegnazione, usando date di inizio e fine o permanente. Per le assegnazioni idonee, i membri possono attivare o richiedere l'approvazione durante le date di inizio e fine. Per le assegnazioni attive, i membri possono usare il ruolo di assegnazione durante questo periodo di tempo.
Lo screenshot seguente mostra come l'amministratore assegna un ruolo ai membri.
Per altre informazioni, vedere gli articoli seguenti: Assegnare ruoli di Azure AD, Assegnare ruoli delle risorse di Azure e Assegnare l'idoneità per un PIM per i gruppi
Activate
Se gli utenti sono stati resi idonei per un ruolo, devono attivare l'assegnazione di ruolo prima di usare il ruolo. Per attivare il ruolo, gli utenti selezionano una durata di attivazione specifica entro il massimo (configurato dagli amministratori) e il motivo della richiesta di attivazione.
Lo screenshot seguente mostra come i membri attivano il proprio ruolo in un periodo di tempo limitato.
Se il ruolo richiede l'attivazione , verrà visualizzata una notifica nell'angolo superiore destro del browser dell'utente che informa che la richiesta è in sospeso. Se non è necessaria un'approvazione, il membro può iniziare a usare il ruolo.
Per altre informazioni, vedere gli articoli seguenti: Attivare i ruoli di Azure AD, Attivare i ruoli delle risorse di Azure e Attivare i ruoli pim per i gruppi
Approvare o negare
I responsabili di approvazione delegati ricevono notifiche tramite posta elettronica quando una richiesta di ruolo è in attesa dell'approvazione. I responsabili dell'approvazione possono visualizzare, approvare o negare queste richieste in sospeso in PIM. Dopo aver approvato la richiesta, il membro può iniziare a usare il ruolo. Ad esempio, se un utente o un gruppo è stato assegnato con ruolo Di contributo a un gruppo di risorse, sarà possibile gestire tale gruppo di risorse specifico.
Per altre informazioni, vedere gli articoli seguenti: Approvare o negare le richieste per i ruoli di Azure AD, Approvare o negare le richieste per i ruoli delle risorse di Azure e Approvare le richieste di attivazione per PIM per i gruppi
Estendere e rinnovare le assegnazioni
Dopo aver configurato le assegnazioni di proprietario o membro associate al tempo, la prima domanda che si potrebbe porre è cosa accade se un'assegnazione scade? In questa nuova versione sono disponibili due opzioni per questo scenario:
- Estendere: quando un'assegnazione di ruolo si avvicina alla scadenza, l'utente può usare Privileged Identity Management per richiedere un'estensione per l'assegnazione di ruolo
- Rinnovare: quando un'assegnazione di ruolo è già scaduta, l'utente può usare Privileged Identity Management per richiedere un rinnovo per l'assegnazione di ruolo
Entrambe le azioni avviate dall'utente richiedono un'approvazione da un amministratore globale o un amministratore del ruolo con privilegi. Gli amministratori non devono trovarsi nell'azienda di gestire le scadenze delle assegnazioni. È sufficiente attendere che le richieste di estensione o rinnovo arrivino per l'approvazione o la negazione semplici.
Per altre informazioni, vedere gli articoli seguenti: Estendere o rinnovare le assegnazioni di ruolo di Azure AD, Estendereo rinnovare le assegnazioni di ruolo delle risorse di Azure e Estendere o rinnovare PIM per le assegnazioni di gruppi
Scenari
Privileged Identity Management supporta gli scenari seguenti:
Autorizzazioni per l'amministratore dei ruoli con privilegi
- Abilitare l’approvazione per ruoli specifici
- Specificare gli utenti o i gruppi di responsabili approvazione per l'approvazione delle richieste
- Visualizzare la cronologia delle richieste e delle approvazioni per tutti i ruoli con privilegi
Autorizzazioni del responsabile approvazione
- Visualizzare le approvazioni (richieste) in sospeso
- Approvare o rifiutare le richieste di elevazione del ruolo (singolarmente e in blocco)
- Fornire una giustificazione per l'approvazione o il rifiuto
Autorizzazioni dell'utente del ruolo idonee
- Richiedere l’attivazione di un ruolo che richiede l’approvazione
- Visualizzare lo stato della richiesta da attivare
- Completare l’attività in Azure AD se l’attivazione è stata approvata
Gestione degli accessi con privilegi ai gruppi di Azure AD (anteprima)
In Privileged Identity Management (PIM) è ora possibile assegnare l'idoneità per l'appartenenza o la proprietà di PIM per i gruppi. A partire da questa versione di anteprima, è possibile assegnare i ruoli predefiniti di Azure Active Directory (Azure AD) ai gruppi cloud e usare PIM per gestire l'idoneità e l'attivazione come membri e proprietari di gruppi. Per altre informazioni sui gruppi assegnabili a ruoli in Azure AD, vedere Usare i gruppi di Azure AD per gestire le assegnazioni di ruoli.
Importante
Per assegnare un pim per i gruppi a un ruolo per l'accesso amministrativo a Exchange, al Centro conformità della sicurezza & o a SharePoint, usare l'esperienza ruoli e amministratori di portale di Azure e non nell'esperienza PIM per i gruppi per rendere l'utente o il gruppo idoneo per l'attivazione nel gruppo.
Criteri just-in-time diversi per ogni gruppo
Alcune organizzazioni usano strumenti come la collaborazione B2B (business-to-business) di Azure AD per invitare i propri partner come utenti guest nell'organizzazione di Azure AD. Anziché un singolo criterio just-in-time per tutte le assegnazioni a un ruolo con privilegi, è possibile creare due pim diversi per gruppi con i propri criteri. È possibile applicare requisiti meno stringenti per i dipendenti attendibili e requisiti più stringenti come il flusso di lavoro di approvazione per i partner che richiedono l'attivazione nel gruppo assegnato.
Attivare più assegnazioni di ruolo in una richiesta
Con l'anteprima pim per gruppi è possibile concedere agli amministratori specifici del carico di lavoro l'accesso rapido a più ruoli con una singola richiesta just-in-time. Ad esempio, per gli amministratori di Office di livello 3 potrebbe essere necessario l'accesso JIT ai ruoli di amministratore di Exchange, delle app di Office, di Teams e della ricerca per esaminare accuratamente gli eventi imprevisti giornalieri. In passato, per realizzare questo obiettivo sarebbero state necessarie quattro richieste consecutive, un processo che richiede tempo. Ora è invece possibile creare un gruppo assegnabile a ruoli denominato "Amministratori di Office di livello 3", assegnarlo a ognuno dei quattro ruoli indicati in precedenza (o a qualsiasi ruolo predefinito di Azure AD) e abilitarlo per l'accesso con privilegi nella sezione Attività del gruppo. Una volta abilitato il gruppo per l'accesso con privilegi, è possibile configurare le impostazioni JIT per i relativi membri e assegnare amministratori e proprietari come idonei. Quando gli amministratori vengono inseriti nel gruppo, diventano membri di tutti e quattro i ruoli di Azure AD.
Invitare utenti guest e assegnare ruoli delle risorse di Azure in Privileged Identity Management
Gli utenti guest di Azure Active Directory (Azure AD) fanno parte delle funzionalità di collaborazione business-to-business (B2B) all'interno di Azure AD in modo che sia possibile gestire utenti guest esterni e fornitori come guest in Azure AD. Ad esempio, è possibile usare queste funzionalità di Privileged Identity Management per le attività di identità di Azure con i guest, ad esempio l'assegnazione dell'accesso a risorse di Azure specifiche, specificando la durata dell'assegnazione e la data di fine o richiedendo la verifica in due passaggi per l'assegnazione o l'attivazione attiva. Per altre informazioni su come invitare un guest all'organizzazione e gestire l'accesso, vedere Aggiungere utenti di collaborazione B2B nell'portale di Azure.
Quando si invitano gli ospiti?
Ecco alcuni esempi di quando è possibile invitare gli ospiti all'organizzazione:
- Consentire a un fornitore esterno indipendente che ha solo un account di posta elettronica di accedere alle risorse di Azure per un progetto.
- Consentire a un partner esterno di una grande organizzazione che utilizza a livello locale Active Directory Federation Services di accedere all'applicazione di spesa.
- Consentire ai tecnici di assistenza che non fanno parte della propria organizzazione (come il supporto Microsoft) di accedere temporaneamente alla propria risorsa di Azure per la risoluzione dei problemi.
Come funziona la collaborazione con gli ospiti B2B?
Quando si usa la collaborazione B2B, è possibile invitare un utente esterno all'organizzazione come guest. Il guest può essere gestito come utente dell'organizzazione, ma un guest deve essere autenticato nell'organizzazione home e non nell'organizzazione di Azure AD. Ciò significa che se il guest non ha più accesso all'organizzazione di casa, perde anche l'accesso all'organizzazione. Ad esempio, se il guest lascia l'organizzazione, perde automaticamente l'accesso a tutte le risorse condivise in Azure AD senza dover eseguire alcuna operazione. Per altre informazioni sulla collaborazione B2B, vedere Informazioni sull'accesso utente guest in Azure Active Directory B2B?.
