Proteggere gli account amministratore globale nell'ambiente di test di Microsoft 365 for enterprise

Questa Guida al lab di test può essere usata solo per gli ambienti di test di Microsoft 365 per le aziende.

È possibile evitare attacchi digitali all'organizzazione assicurandosi che gli account amministratore siano il più sicuri possibile.

Questo articolo descrive come usare i criteri di accesso condizionale di Azure Active Directory (Azure AD) per proteggere gli account amministratore globale.

La protezione degli account amministratore globale nell'ambiente di test di Microsoft 365 for enterprise prevede due fasi:

Guide al lab di test per il cloud Microsoft.

Mancia

Per una mappa visiva a tutti gli articoli dello stack di guide ai lab di test di Microsoft 365 per le aziende, passare a Microsoft 365 for enterprise Test Lab Guide Stack.

Fase 1: Compilare l'ambiente di test di Microsoft 365 for enterprise

Se si vuole testare la protezione degli account amministratore globale in modo leggero con i requisiti minimi, seguire le istruzioni in Configurazione di base leggera.

Se si vuole testare la protezione dell'account amministratore globale in un'organizzazione simulata, seguire le istruzioni riportate in Autenticazione pass-through.

Nota

Il test della protezione dell'account amministratore globale non richiede l'ambiente di test aziendale simulato, che include una intranet simulata connessa a Internet e la sincronizzazione della directory per un Active Directory Domain Services (AD DS). Viene fornito qui come opzione in modo da poter testare la protezione degli account amministratore globale e sperimentarla in un ambiente che rappresenta un'organizzazione tipica.

Fase 2: Configurare i criteri di accesso condizionale

Creare prima di tutto un nuovo account utente come amministratore globale dedicato.

  1. In una scheda separata aprire il interfaccia di amministrazione di Microsoft 365.
  2. Selezionare Utenti>utenti attivi e quindi selezionare Aggiungi un utente.
  3. Nel riquadro Aggiungi utente immettere DedicatedAdmin nelle caselle Nome, Nome visualizzato e Nome utente .
  4. Selezionare Password, selezionare Consenti la creazione della password e quindi immettere una password complessa. Registrare la password per questo nuovo account in una posizione sicura.
  5. Seleziona Avanti.
  6. Nel riquadro Assegna licenze del prodotto selezionare Microsoft 365 E5 e quindi selezionare Avanti.
  7. Nel riquadro Impostazioni facoltative selezionare Ruoli>Amministrazione accedere all'amministratore>>globaleAvanti.
  8. Nel riquadro Completamento quasi completato selezionare Fine aggiunta e quindi selezionare Chiudi.

Creare quindi un nuovo gruppo denominato GlobalAdmins e aggiungervi l'account DedicatedAdmin.

  1. Nella scheda interfaccia di amministrazione di Microsoft 365 selezionare Gruppi nel riquadro di spostamento a sinistra e quindi selezionare Gruppi.
  2. Selezionare Aggiungi un gruppo.
  3. Nel riquadro Scegliere un tipo di gruppo selezionare Sicurezza e quindi selezionare Avanti.
  4. Nel riquadro Configura le nozioni di base selezionare Crea gruppo e quindi selezionare Chiudi.
  5. Nel riquadro Rivedi e completa l'aggiunta del gruppo immettere GlobalAdmins e quindi selezionare Avanti.
  6. Nell'elenco dei gruppi selezionare il gruppo GlobalAdmins .
  7. Nel riquadro GlobalAdmins selezionare Membri, quindi selezionare Visualizza tutti e gestisci membri.
  8. Nel riquadro GlobalAdmins selezionare Aggiungi membri, selezionare l'account DedicatedAdmin e l'account amministratore globale e quindi selezionare Salva>chiudi chiudi>.

Creare quindi criteri di accesso condizionale per richiedere l'autenticazione a più fattori per gli account amministratore globale e negare l'autenticazione se il rischio di accesso è medio o elevato.

Questo primo criterio richiede che tutti gli account amministratore globale usno MFA.

  1. In una nuova scheda del browser passare a https://portal.azure.com.
  2. Fare clic suAccesso condizionaledi sicurezza>di Azure Active Directory>.
  3. Nel riquadro Accesso condizionale - Criteri selezionare Criteri di base: Richiedi autenticazione a più fattori per gli amministratori (anteprima).
  4. Nel riquadro Criteri di base selezionare Usa criteri immediatamente > Salva.

Questo secondo criterio blocca l'accesso all'autenticazione dell'account amministratore globale quando il rischio di accesso è medio o elevato.

  1. Nel riquadro Accesso condizionale - Criteri selezionare Nuovo criterio.
  2. Nel riquadro Nuovo immettere Amministratori globali in Nome.
  3. Nella sezione Assegnazioni selezionare Utenti e gruppi.
  4. Nella scheda Includi del riquadro Utenti e gruppi selezionare Seleziona utenti e gruppi>Utenti e gruppi>Seleziona.
  5. Nel riquadro Seleziona selezionare il gruppo GlobalAdmins e quindi selezionare Seleziona>fatto.
  6. Nella sezione Assegnazioni selezionare Condizioni.
  7. Nel riquadro Condizioni selezionare Rischio di accesso, selezionare per Configura, selezionare Alto e Medio e quindi selezionare Seleziona e Fine.
  8. Nella sezione Controlli di accesso del riquadro Nuovo selezionare Concedi.
  9. Nel riquadro Concedi selezionare Blocca accesso e quindi selezionare Seleziona.
  10. Nel riquadro Nuovo selezionare per Abilita criterio e quindi selezionare Crea.
  11. Chiudere le schede portale di Azure e interfaccia di amministrazione di Microsoft 365.

Per testare il primo criterio, disconnettersi e accedere con l'account DedicatedAdmin. Verrà richiesto di configurare L'autenticazione a più fattori. Ciò dimostra che il primo criterio viene applicato.

Passaggio successivo

Esplorare altre caratteristiche e funzionalità identità nell'ambiente di test.

Vedere anche

Distribuire l'identità

Guide ai lab di test di Microsoft 365 per le aziende

Panoramica di Microsoft 365 per le aziende

Documentazione di Microsoft 365 for enterprise