Configurare gli avvisi di sicurezza per i ruoli di Microsoft Entra in Privileged Identity Management
Privileged Identity Management (PIM) genera avvisi in caso di attività sospette o non sicure nell'organizzazione in Microsoft Entra ID. Quando viene attivato un avviso, viene visualizzato nel dashboard di Privileged Identity Management. Selezionare l'avviso per visualizzare un report che elenca gli utenti o i ruoli che hanno attivato l'avviso.
Nota
Un evento in Privileged Identity Management può generare notifiche tramite posta elettronica a più destinatari: assegnatari, responsabili approvazione o amministratori. Il numero massimo di notifiche inviate per un evento è 1000. Se il numero di destinatari supera 1000, solo i primi 1000 destinatari riceveranno una notifica tramite posta elettronica. Ciò non impedisce ad altri assegnatari, amministratori o responsabili approvazione di usare le relative autorizzazioni in Microsoft Entra ID e Privileged Identity Management.
Requisiti di licenza
Per usare Privileged Identity Management occorrono le licenze. Per altre informazioni sulle licenze, vedere Nozioni fondamentali sulla gestione delle licenze di Microsoft Entra ID Governance.
Avvisi di sicurezza
Questa sezione elenca tutti gli avvisi di sicurezza per i ruoli di Microsoft Entra, insieme a come correggere e come evitare. Ecco il significato dei vari livelli di gravità:
- Elevata: richiede un'azione immediata a causa di una violazione dei criteri.
- Media: non richiede un'azione immediata, ma segnala una potenziale violazione dei criteri.
- Basso: non richiede un'azione immediata, ma suggerisce una modifica dei criteri preferibile.
Nota
Solo i ruoli seguenti sono in grado di leggere gli avvisi di sicurezza pim per i ruoli di Microsoft Entra: Global Amministrazione istrator, Privileged Role Amministrazione istrator, Global Reader, Security Amministrazione istrator e Security Reader.
Gli amministratori non usano i ruoli con privilegi
Gravità: Bassa
| Descrizione | |
|---|---|
| Perché viene visualizzato questo avviso? | Se sono presenti utenti a cui sono stati assegnati ruoli con privilegi non necessari, le probabilità di un attacco aumentano. È anche più facile che gli utenti malintenzionati rimangano inosservati negli account che non vengono usati attivamente. |
| Come correggerlo? | Esaminare gli utenti nell'elenco e rimuoverli dai ruoli con privilegi non necessari. |
| Prevenzione | Assegnare ruoli con privilegi solo agli utenti che dispongono di una giustificazione aziendale. Pianificare verifiche di accesso regolari per verificare che gli utenti necessitino ancora dell'accesso. |
| Azione di mitigazione nel portale | Rimuove l'account dal ruolo con privilegi. |
| Trigger | Attivato se un utente supera un numero specificato di giorni senza attivare un ruolo. |
| Numero di giorni | Questa impostazione specifica il numero massimo di giorni, da 0 a 100, che un utente può andare senza attivare un ruolo. |
I ruoli non richiedono l'autenticazione a più fattori per l'attivazione
Gravità: Bassa
| Descrizione | |
|---|---|
| Perché viene visualizzato questo avviso? | Senza l'autenticazione a più fattori, gli utenti compromessi possono attivare i ruoli con privilegi. |
| Come correggerlo? | Esaminare l'elenco dei ruoli e richiedere l'autenticazione a più fattori per ogni ruolo. |
| Prevenzione | Richiedere l'autenticazione a più fattori per ogni ruolo. |
| Azione di mitigazione nel portale | Rende necessaria l'autenticazione a più fattori per l'attivazione del ruolo con privilegi. |
L'organizzazione non ha Microsoft Entra ID P2 o Microsoft Entra ID Governance
Gravità: Bassa
| Descrizione | |
|---|---|
| Perché viene visualizzato questo avviso? | L'organizzazione Microsoft Entra corrente non ha Microsoft Entra ID P2 o Microsoft Entra ID Governance. |
| Come correggerlo? | Rivedere le informazioni sulle edizioni di Microsoft Entra. Eseguire l'aggiornamento a Microsoft Entra ID P2 o Microsoft Entra ID Governance. |
Possibili account non aggiornati in un ruolo con privilegi
Gravità: medio
| Descrizione | |
|---|---|
| Perché viene visualizzato questo avviso? | Questo avviso non viene più attivato in base alla data dell'ultima modifica della password di per un account. Questo avviso riguarda gli account in un ruolo con privilegi che non hanno eseguito l'accesso negli ultimi n giorni, dove n è molti giorni configurabile tra 1 e 365 giorni. Questi account potrebbero essere account di servizio o condivisi che non vengono mantenuti aggiornati e sono vulnerabili agli attacchi. |
| Come correggerlo? | Esaminare gli account nell'elenco. Se l'accesso non è più necessario, rimuovere gli account dai ruoli con privilegi. |
| Prevenzione | Assicurarsi che gli account condivisi ruotano password complesse quando si verifica una modifica agli utenti che conoscono la password. Esaminare regolarmente gli account con ruoli con privilegi usando le verifiche di accesso e rimuovere le assegnazioni di ruolo che non sono più necessarie. |
| Azione di mitigazione nel portale | Rimuove l'account dal ruolo con privilegi. |
| Procedure consigliate | Gli account di accesso condiviso, di servizio e di emergenza che eseguono l'autenticazione con una password e vengono assegnati a ruoli amministrativi con privilegi elevati, ad esempio l'amministratore globale o l'amministratore della sicurezza, devono avere le password ruotate per i casi seguenti:
|
I ruoli vengono assegnati all'esterno di Privileged Identity Management
Gravità: alta
| Descrizione | |
|---|---|
| Perché viene visualizzato questo avviso? | Le assegnazioni di ruolo con privilegi eseguite all'esterno di Privileged Identity Management non vengono monitorate correttamente e possono indicare un attacco attivo. |
| Come correggerlo? | Esaminare gli utenti nell'elenco e rimuoverli dai ruoli con privilegi assegnati all'esterno di Privileged Identity Management. È anche possibile abilitare o disabilitare sia l'avviso che la notifica di posta elettronica associata nelle impostazioni di avviso. |
| Prevenzione | Esaminare la posizione in cui gli utenti vengono assegnati ruoli con privilegi all'esterno di Privileged Identity Management e proibire assegnazioni future da questa posizione. |
| Azione di mitigazione nel portale | Rimuove l'utente dal ruolo con privilegi. |
Nota
PIM invia notifiche tramite posta elettronica per il ruolo assegnato all'esterno dell'avviso PIM quando l'avviso è abilitato dalle impostazioni di avviso Per i ruoli di Microsoft Entra in PIM, i messaggi di posta elettronica vengono inviati a ruoli con privilegi Amministrazione istrator, sicurezza Amministrazione istrator e Amministrazione istratori globali che hanno abilitato Privileged Identity Gestione. Per le risorse di Azure in PIM, i messaggi di posta elettronica vengono inviati ai proprietari e agli Amministrazione istrator di accesso utente.
Il numero di amministratori globali presenti è eccessivo
Gravità: Bassa
| Descrizione | |
|---|---|
| Perché viene visualizzato questo avviso? | L'amministratore globale è il ruolo con privilegi più elevati. Se un Amministrazione istrator globale viene compromesso, l'utente malintenzionato ottiene l'accesso a tutte le autorizzazioni, che comportano il rischio per l'intero sistema. |
| Come correggerlo? | Esaminare gli utenti nell'elenco e rimuovere tutti gli utenti che non necessitano assolutamente del ruolo di amministratore globale. Assegnare ruoli con privilegi inferiori a questi utenti. |
| Prevenzione | Assegnare agli utenti il ruolo con privilegi minimo di cui hanno bisogno. |
| Azione di mitigazione nel portale | Rimuove l'account dal ruolo con privilegi. |
| Trigger | L'avviso viene attivato se sono soddisfatti due diversi criteri ed è possibile configurarli entrambi. Prima di tutto, è necessario raggiungere una determinata soglia di assegnazioni di ruolo amministratore globale. In secondo luogo, una determinata percentuale delle assegnazioni di ruolo totali deve essere amministratori globali. Se si soddisfa solo una di queste misurazioni, l'avviso non viene visualizzato. |
| Numero minimo di amministratori globali | Questa impostazione specifica il numero di assegnazioni di ruolo Amministrazione istrator globali, da 2 a 100, che si considerano troppo poche per l'organizzazione Microsoft Entra. |
| Percentuale di amministratori globali | Questa impostazione specifica la percentuale minima di amministratori che sono amministratori globali, dal 0% al 100%, al di sotto del quale non si vuole che l'organizzazione Di Microsoft Entra si diffa. |
I ruoli vengono attivati con una frequenza eccessiva
Gravità: Bassa
| Descrizione | |
|---|---|
| Perché viene visualizzato questo avviso? | L'attivazione ripetuta dello stesso ruolo con privilegi da parte dello stesso utente è indicativa di un attacco. |
| Come correggerlo? | Esaminare gli utenti nell'elenco e verificare che la durata di attivazione dei ruoli con privilegi sia sufficiente per consentire agli utenti di eseguire le proprie attività. |
| Prevenzione | Assicurarsi che la durata dell'attivazione per i ruoli con privilegi sia impostata abbastanza a lungo per consentire agli utenti di eseguire le proprie attività.Richiedere l'autenticazione a più fattori per i ruoli con privilegi con account condivisi da più amministratori. |
| Azione di mitigazione nel portale | N/D |
| Trigger | Questo avviso viene attivato se un utente attiva lo stesso ruolo con privilegi più volte entro l'intervallo di tempo specificato. È possibile configurare il periodo di tempo e il numero di attivazioni. |
| Intervallo di tempo per il rinnovo delle attivazioni | Questa impostazione specifica in giorni, ore, minuti e secondi il periodo per cui si vogliono rilevare i rinnovi sospetti. |
| Numero di rinnovi di attivazioni | Questa impostazione specifica il numero di attivazioni, da 2 a 100, in cui si desidera ricevere una notifica entro l'intervallo di tempo scelto. È possibile modificare questa impostazione spostando il dispositivo di scorrimento o digitando un numero nella casella di testo. |
Personalizzare le impostazioni degli avvisi di sicurezza
Seguire questa procedura per configurare gli avvisi di sicurezza per i ruoli di Microsoft Entra in Privileged Identity Management:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identity Governance>Privileged Identity Management>Impostazioni avvisi> ruoli>di Microsoft Entra. Per informazioni su come aggiungere il riquadro Privileged Identity Management al dashboard, vedere Iniziare a usare Privileged Identity Management.
Personalizzare le impostazioni per i diversi avvisi adattandole all'ambiente e agli obiettivi di sicurezza specifici.
