Condividi tramite


Configurare le impostazioni dei ruoli di Microsoft Entra in Privileged Identity Management

In Privileged Identity Management (PIM) in Microsoft Entra ID, che fa parte di Microsoft Entra, le impostazioni dei ruoli definiscono le proprietà dell'assegnazione di ruolo. Queste proprietà includono i requisiti di autenticazione a più fattori e approvazione per l'attivazione, la durata massima dell'assegnazione e le impostazioni di notifica. Questo articolo illustra come configurare le impostazioni dei ruoli e il flusso di lavoro di approvazione per specificare chi può approvare o rifiutare le richieste per elevare i privilegi.

Per gestire le impostazioni dei ruoli PIM per un ruolo di Microsoft Entra, è necessario avere almeno il ruolo di amministratore ruolo con privilegi. Le impostazioni dei ruoli sono definite per ogni ruolo. Tutte le assegnazioni per lo stesso ruolo seguono le stesse impostazioni. Le impostazioni di un ruolo sono indipendenti dalle impostazioni di un altro ruolo.

Le impostazioni del ruolo PIM sono note anche come criteri PIM.

Aprire le impostazioni del ruolo

Per aprire le impostazioni per un ruolo di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identity Governance>Privileged Identity Management>Ruoli di Microsoft Entra>Ruoli.

  3. Questa pagina contiene un elenco dei ruoli di Microsoft Entra disponibili nel tenant, inclusi i ruoli predefiniti e personalizzati. Screenshot ce mostra l'elenco dei ruoli di Microsoft Entra disponibili nel tenant, inclusi i ruoli predefiniti e personalizzati.

  4. Selezionare il ruolo di cui si intende configurare le impostazioni.

  5. Selezionare Impostazioni del ruolo. Nella pagina Impostazioni del ruolo è possibile visualizzare le impostazioni correnti del ruolo PIM per il ruolo selezionato.

    Screenshot che mostra la pagina Impostazioni dei ruoli con opzioni per aggiornare le impostazioni di assegnazione e attivazione.

  6. Selezionare Modifica per aggiornare le impostazioni del ruolo.

  7. Selezionare Aggiorna.

Impostazioni dei ruoli

Questa sezione illustra le opzioni per le impostazioni del ruolo.

Durata massima dell'attivazione

Usare il dispositivo di scorrimento Durata massima dell'attivazione per impostare il tempo massimo, espresso in ore, in cui una richiesta di attivazione di un'assegnazione di ruolo rimane attiva prima della scadenza. Questo valore può essere compreso tra 1 e 24 ore.

All'attivazione, richiedere l'autenticazione a più fattori

Prima di procedere con l'attivazione, è possibile richiedere agli utenti idonei per un ruolo di dimostrare chi sono usando la funzionalità di autenticazione a più fattori in Microsoft Entra ID. L'autenticazione a più fattori consente di proteggere l'accesso ai dati e alle applicazioni. Offre un livello di sicurezza aggiuntivo usando una seconda forma di autenticazione.

Agli utenti potrebbe non venire richiesto di eseguire l'autenticazione a più fattori se sono stati autenticati con credenziali complesse o se hanno precedentemente eseguito l'autenticazione a più fattori durante la sessione.

Se l'obiettivo è far sì che gli utenti effettuino l'autenticazione durante l'attivazione, è possibile usare la funzionalità All'attivazione, richiedere il contesto di autenticazione condizionale di Microsoft Entra insieme alla funzionalità Livelli di autenticazione. Queste opzioni richiedono agli utenti di eseguire l'autenticazione durante l'attivazione usando metodi diversi da quello usato per accedere al computer.

Ad esempio, se gli utenti accedono al computer usando Windows Hello for Business, è possibile usare le funzionalità All'attivazione, richiedere il contesto di autenticazione condizionale di Microsoft Entra e Livelli di autenticazione. Questa opzione richiede agli utenti di eseguire l'accesso senza password con Microsoft Authenticator quando attivano il ruolo.

Dopo che l'utente effettua l'accesso senza password con Microsoft Authenticator una volta in questo esempio, può eseguire l'attivazione successiva in questa sessione senza un'ulteriore autenticazione. L'accesso senza password con Microsoft Authenticator fa già parte del token.

È consigliabile abilitare la funzionalità di autenticazione a più fattori di Microsoft Entra ID per tutti gli utenti. Per altre informazioni, vedere Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra.

All'attivazione, richiedere il contesto di autenticazione dell'accesso condizionale di Microsoft Entra

È possibile richiedere agli utenti idonei per un ruolo di soddisfare i requisiti dei criteri di accesso condizionale. Ad esempio, è possibile richiedere agli utenti di usare un metodo di autenticazione specifico applicato tramite i livelli di autenticazione, elevare il ruolo da un dispositivo conforme a Intune e rispettare le condizioni per l'utilizzo.

Per applicare questo requisito, creare il contesto di autenticazione dell'accesso condizionale.

  1. Configurare criteri di accesso condizionale che applicano i requisiti per questo contesto di autenticazione.

    L'ambito dei criteri di accesso condizionale deve includere tutti gli utenti, o quelli idonei, per un ruolo. Non creare un criterio di accesso condizionale avente come ambito il contesto di autenticazione e il ruolo della directory contemporaneamente. Durante l'attivazione, l'utente non ha ancora un ruolo, quindi i criteri di accesso condizionale non verranno applicati.

    Vedere i passaggi alla fine di questa sezione per una situazione in cui potrebbero essere necessari due criteri di accesso condizionale. Uno deve avere come ambito il contesto di autenticazione e l'altro deve avere come ambito il ruolo.

  2. Configurare il contesto di autenticazione nelle impostazioni PIM per il ruolo.

    Screenshot che mostra la pagina Modificare le impostazioni del ruolo - Amministratore definizione di attributi.

Se nelle impostazioni PIM è stata configurata la funzionalità All'attivazione, richiedere il contesto di autenticazione dell'accesso condizionale di Microsoft Entra, i criteri di accesso condizionale definiscono le condizioni che un utente deve rispettare per soddisfare i requisiti di accesso.

Ciò significa che le entità di sicurezza con autorizzazioni per gestire i criteri di accesso condizionale, ad esempio amministratori di accesso condizionale o amministratori della sicurezza, possono modificare i requisiti, rimuoverli o impedire agli utenti idonei di attivare il ruolo. Le entità di sicurezza che possono gestire i criteri di accesso condizionale devono essere considerate con privilegi elevati e protette di conseguenza.

È consigliabile creare e abilitare i criteri di accesso condizionale per il contesto di autenticazione prima che il contesto di autenticazione sia configurato nelle impostazioni PIM. Come meccanismo di protezione di backup, se nel tenant non sono presenti criteri di accesso condizionale che riguardano il contesto di autenticazione configurato nelle impostazioni PIM, durante l'attivazione del ruolo PIM, la funzionalità di autenticazione a più fattori in Microsoft Entra ID è obbligatoria in quanto viene impostata l'opzione All'attivazione, richiedere l'autenticazione a più fattori.

Questo meccanismo di protezione di backup è progettato come protezione solo in presenza di uno scenario in cui le impostazioni PIM siano state aggiornate prima della creazione dei criteri di accesso condizionale a causa di un errore di configurazione. Questo meccanismo di protezione di backup non viene attivato se il criterio di accesso condizionale è disattivato, è in modalità solo report o ha un utente idoneo escluso dai criteri.

L'impostazione All'attivazione, richiedere il contesto di autenticazione dell'accesso condizionale di Microsoft Entra definisce i requisiti del contesto di autenticazione che gli utenti devono soddisfare quando attivano il ruolo. Dopo l'attivazione del ruolo, agli utenti non viene impedito di usare una sessione di esplorazione, un dispositivo o una posizione diversi per usare le autorizzazioni.

Ad esempio, gli utenti potrebbero usare un dispositivo conforme a Intune per attivare il ruolo. Dopo l'attivazione del ruolo, potrebbero quindi accedere allo stesso account utente da un altro dispositivo non conforme a Intune e usare il ruolo attivato in precedenza da questa posizione.

Per evitare questa situazione, creare due criteri di accesso condizionale:

  1. Il primo criterio di accesso condizionale riguarda il contesto di autenticazione. L'ambito deve includere tutti gli utenti o gli utenti idonei. Questo criterio specifica i requisiti che gli utenti devono soddisfare per attivare il ruolo.
  2. Il secondo criterio di accesso condizionale riguarda i ruoli della directory. Questo criterio specifica i requisiti che gli utenti devono soddisfare per accedere con il ruolo della directory attivato.

Entrambi i criteri possono applicare gli stessi requisiti o requisiti diversi a seconda delle esigenze.

Un'altra opzione consiste nel definire l'ambito dei criteri di accesso condizionale che applica direttamente determinati requisiti agli utenti idonei. Ad esempio, è possibile richiedere agli utenti idonei per determinati ruoli di usare sempre i dispositivi conformi a Intune.

Per altre informazioni sul contesto di autenticazione dell'accesso condizionale, vedere Accesso condizionale: app cloud, azioni e contesto di autenticazione.

Richiedi la giustificazione all'attivazione

È possibile richiedere agli utenti di immettere una motivazione aziendale quando attivano l'assegnazione idonea.

Richiedi l'informazione sul ticket all'attivazione

È possibile richiedere agli utenti di immettere un numero di ticket di supporto quando attivano l'assegnazione idonea. Questa opzione è un campo il cui scopo è solo informativo. Non viene applicata la correlazione con le informazioni in qualsiasi sistema di generazione di ticket.

Richiedere l'approvazione per l'attivazione

È possibile richiedere l'approvazione dell'attivazione di un'assegnazione idonea. Il responsabile approvazione non deve avere ruoli. Quando si usa questa opzione, è necessario selezionare almeno un responsabile approvazione. È consigliabile selezionare almeno due responsabili approvazione. Se non viene specificato alcun responsabile approvazione, l'amministratore ruolo con privilegi o gli amministratori globali diventeranno i responsabili approvazione predefiniti.

Per altre informazioni sulle approvazioni, vedere Approvare o rifiutare le richieste per i ruoli di Microsoft Entra in Privileged Identity Management.

Durata dell'assegnazione

Quando si configurano le impostazioni per un ruolo, è possibile scegliere tra due opzioni di durata dell'assegnazione per ogni tipo di assegnazione (idoneo e attivo). Queste opzioni diventano la durata massima predefinita quando un utente viene assegnato al ruolo in Privileged Identity Management.

È possibile scegliere una delle opzioni seguenti per la durata dell'assegnazione idonea.

Impostazione Descrizione
Consenti le assegnazioni idonee permanenti Gli amministratori delle risorse possono attribuire assegnazioni idonee permanenti.
Scadenza delle assegnazioni attive dopo Gli amministratori delle risorse possono richiedere che per tutte le assegnazioni idonee venga specificata una data di inizio e fine.

È anche possibile scegliere una delle opzioni di durata dell'assegnazione attiva.

Impostazione Descrizione
Consenti l'assegnazione permanente attiva Gli amministratori delle risorse possono attribuire assegnazioni attive permanenti.
Scadenza delle assegnazioni attive dopo Gli amministratori delle risorse possono richiedere che per tutte le assegnazioni attive venga specificata una data di inizio e fine.

Tutte le assegnazioni con una data di fine specificata possono essere rinnovate dagli amministratori globali e dagli amministratori ruolo con privilegi. Gli utenti possono anche avviare richieste self-service per estendere o rinnovare le assegnazioni di ruolo.

Richiedere l'autenticazione a più fattori in caso di assegnazione attiva

È possibile richiedere agli amministratori di fornire l'autenticazione a più fattori quando creano un'assegnazione attiva (anziché idonea). Privileged Identity Management non può applicare l'autenticazione a più fattori quando l'utente usa l'assegnazione di ruolo, perché questi è già attivo nel ruolo dal momento dell'assegnazione.

All'amministratore potrebbe non venire richiesto di eseguire l'autenticazione a più fattori se gli utenti sono stati autenticati con credenziali complesse o se hanno precedentemente eseguito l'autenticazione a più fattori durante questa sessione.

Richiedi giustificazione all'assegnazione attiva

È possibile richiedere agli utenti di immettere una motivazione aziendale quando creano un'assegnazione attiva (anziché idonea).

Nella scheda Notifiche della pagina Impostazioni ruolo, Privileged Identity Management consente un controllo granulare sugli utenti che ricevono notifiche e sulle notifiche ricevute. Sono disponibili le seguenti opzioni:

  • Disattivazione di un messaggio di posta elettronica: è possibile disattivare messaggi di posta elettronica specifici deselezionando la casella di controllo dei destinatari predefiniti ed eliminando eventuali altri destinatari.
  • Limitare i messaggi di posta elettronica agli indirizzi di posta elettronica specificati: è possibile disattivare i messaggi di posta elettronica inviati ai destinatari predefiniti deselezionando la casella di controllo dei destinatari predefiniti. È quindi possibile aggiungere altri indirizzi di posta elettronica come destinatari. Se si intende aggiungere più indirizzi di posta elettronica, separarli con un punto e virgola (;).
  • Inviare messaggi di posta elettronica sia a destinatari predefiniti che a più destinatari: è possibile inviare messaggi di posta elettronica sia a destinatari predefiniti che ad altri destinatari. Selezionare la casella di controllo dei destinatari predefiniti e aggiungere indirizzi di posta elettronica per altri destinatari.
  • Solo messaggi di posta elettronica critici: per ogni tipo di messaggio di posta elettronica, è possibile selezionare la casella di controllo per ricevere solo messaggi di posta elettronica critici. Con questa opzione, Privileged Identity Management continua a inviare messaggi di posta elettronica ai destinatari specificati solo quando il messaggio richiede un'azione immediata. Ad esempio, i messaggi di posta elettronica che chiedono agli utenti di estendere l'assegnazione di ruolo non vengono attivati. Vengono attivati i messaggi di posta elettronica che richiedono agli amministratori di approvare una richiesta di estensione.

Nota

Un evento in Privileged Identity Management può generare notifiche inviate tramite posta elettronica a più destinatari: assegnatari, responsabili approvazione o amministratori. Il numero massimo di notifiche inviate per un evento è 1000. Se il numero di destinatari supera 1000, solo i primi 1000 destinatari riceveranno una notifica tramite posta elettronica. Ciò non impedisce ad altri assegnatari, amministratori o responsabili approvazione di usare le relative autorizzazioni in Microsoft Entra ID e Privileged Identity Management.

Gestire le impostazioni dei ruoli con Microsoft Graph

Per gestire le impostazioni dei ruoli di Microsoft Entra usando le API PIM in Microsoft Graph, usare il tipo di risorsa unifiedRoleManagementPolicy e i relativi metodi.

In Microsoft Graph le impostazioni dei ruoli vengono definite regole. Vengono assegnati ai ruoli di Microsoft Entra tramite i criteri dei contenitori. A ogni ruolo di Microsoft Entra viene assegnato un oggetto criteri specifico. È possibile recuperare tutti i criteri aventi come ambito i ruoli di Microsoft Entra. Per ogni criterio, è possibile recuperare la raccolta associata di regole usando un parametro di query $expand. La sintassi per la richiesta è la seguente:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

Per altre informazioni su come gestire le impostazioni dei ruoli tramite le API PIM in Microsoft Graph, vedere Impostazioni dei ruoli e PIM. Per esempi di come aggiornare le regole, vedere Aggiornare le regole in PIM usando Microsoft Graph.

Passaggi successivi