Individuare le risorse di Azure da gestire in Privileged Identity Management

È possibile usare Privileged Identity Management (PIM) in Azure Active Directory (Azure AD), parte di Microsoft Entra, per migliorare la protezione delle risorse di Azure. Ciò consente di:

  • Organizzazioni che usano già Privileged Identity Management per proteggere i ruoli di Azure AD
  • Gruppi di gestione e proprietari di sottoscrizioni che tentano di proteggere le risorse di produzione

Quando si configura Privileged Identity Management per le risorse di Azure, è necessario individuare e selezionare le risorse da proteggere con Privileged Identity Management. Quando si individuano le risorse tramite Privileged Identity Management, PIM crea l'entità servizio PIM (MS-PIM) assegnata come amministratore accesso utente nella risorsa. Non ci sono limiti al numero di risorse che è possibile gestire con Privileged Identity Management. È tuttavia consigliabile iniziare con le risorse di produzione più cruciali.

Autorizzazioni necessarie

È possibile visualizzare e gestire i gruppi di gestione o le sottoscrizioni a cui si dispone di autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio Amministratore accesso utente o ruoli proprietario. Se non si è un proprietario della sottoscrizione, ma si è un amministratore globale e non vengono visualizzate sottoscrizioni o gruppi di gestione di Azure da gestire, è possibile elevare l'accesso per gestire le risorse.

Individuare le risorse

  1. Accedere al portale di Azure.

  2. Aprire Azure AD Privileged Identity Management.

  3. Selezionare Risorse di Azure.

    Se si tratta della prima volta che si usa Privileged Identity Management per le risorse di Azure, verrà visualizzata una pagina Individua risorse.

    Discover resources pane with no resources listed for first time experience

    Se un altro amministratore dell'organizzazione gestisce già le risorse di Azure in Privileged Identity Management, verrà visualizzato un elenco delle risorse attualmente gestite.

    Discover resources pane listing resources that are currently being managed

  4. Selezionare Individua le risorse per avviare l'individuazione.

    Discovery pane lists resources that can be managed, such as subscriptions and management groups

  5. Nella pagina Individuazione usare filtro stato risorsa e Selezionare il tipo di risorsa per filtrare i gruppi di gestione o le sottoscrizioni a cui si dispone dell'autorizzazione di scrittura. Probabilmente è più semplice iniziare selezionando Tutti.

    È possibile cercare e selezionare i gruppi di gestione o le risorse di sottoscrizione da gestire in Privileged Identity Management. Quando si gestisce un gruppo di gestione o una sottoscrizione in Privileged Identity Management, è anche possibile gestire le relative risorse figlio.

    Nota

    Quando si aggiunge una nuova risorsa di Azure figlio a un gruppo di gestione gestito da PIM, è possibile impostare la risorsa figlio per la gestione cercandola in PIM.

  6. Selezionare le risorse non gestite e che sono da gestire.

  7. Selezionare Gestisci risorsa per iniziare a gestire le risorse selezionate. L'entità servizio PIM (MS-PIM) viene assegnata come amministratore accesso utente nella risorsa.

    Nota

    Quando una sottoscrizione o un gruppo di gestione è stato impostato come gestito, non può più tornare a essere non gestito. In questo modo si impedisce che un altro amministratore delle risorse rimuova le impostazioni di Privileged Identity Management.

    Discovery pane with a resource selected and the Manage resource option highlighted

  8. Se viene visualizzato un messaggio per confermare l'onboarding della risorsa selezionata per la gestione, selezionare . PIM verrà quindi configurato per gestire tutti gli oggetti figlio nuovi e esistenti sotto le risorse.

    Message confirming to onboard the selected resources for management

Passaggi successivi