Eleva i privilegi usando Microsoft Entra Privileged Identity Management

200 XP

5 minuti

Microsoft Entra Privileged Identity Management (PIM) consente alle organizzazioni di gestire, controllare e monitorare l'accesso degli utenti. PIM consente l'accesso alle risorse in Microsoft Entra ID, Risorse di Azure e altri servizi online di Microsoft come Microsoft 365 e Microsoft Intune.

Microsoft Entra Privileged Identity Management offre alle organizzazioni i vantaggi seguenti:

Identifica gli utenti a cui sono stati assegnati ruoli con privilegi per gestire le risorse di Azure.
Identifica gli utenti a cui sono stati assegnati ruoli amministrativi per gestire le risorse di Azure.
Consente l'accesso amministrativo "Just in time" su richiesta a:
- Servizi online Microsoft come Microsoft 365 e Intune
- Risorse di Azure
- Gruppi di risorse
- Singole risorse, ad esempio macchine virtuali
L'organizzazione può visualizzare una cronologia dell'attivazione dell'amministratore, incluse le modifiche apportate dagli amministratori alle risorse di Azure.
Le organizzazioni ricevono avvisi sulle modifiche nelle assegnazioni degli amministratori.
Gli utenti richiedono l'approvazione per attivare Microsoft Entra ruoli di amministratore con privilegi.
Le organizzazioni possono esaminare l'appartenenza ai ruoli amministrativi e richiedere agli utenti di fornire una giustificazione per l'appartenenza continua.

Nota

Esaminare Privileged Identity Management in modo più dettagliato nel percorso di apprendimento intitolato Esplorare le metriche di sicurezza in Microsoft Defender XDR.

Accesso just-in-time come amministratore

Un amministratore ha sempre assegnato gli utenti ai ruoli di amministratore tramite l’Interfaccia di amministrazione di Microsoft Entra, altri portali di servizi online Microsoft o i cmdlet Microsoft Entra in Windows PowerShell. Di conseguenza, l'utente diventa un amministratore permanente, sempre attivo nel ruolo assegnato.

Oltre a questi ruoli di amministratore Microsoft 365 tradizionali, il servizio Microsoft Entra PIM introduce il concetto di amministratore idoneo. Gli amministratori idonei sono utenti che necessitano di un accesso privilegiato periodicamente, ma non tutto il giorno, tutti i giorni. Il ruolo è inattivo finché l'utente non ha bisogno di accedervi. A quel punto, l'utente deve completare un processo di attivazione per diventare un amministratore attivo per un periodo di tempo predeterminato. L'uso di questo approccio sta diventando sempre più comune per le organizzazioni per ridurre o eliminare “l’accesso amministratore permanente" ai ruoli con privilegi.

Il diagramma seguente mostra come un utente normale può usare PIM per elevare i privilegi ai ruoli amministrativi selezionati.

Diagramma che mostra come un utente normale può usare PIM per elevare i privilegi e accedere alle interfacce di amministrazione.

Amministratore del ruolo con privilegi

L'amministratore dei ruoli con privilegi (PRA) gestisce Microsoft Entra PIM e aggiorna le assegnazioni di ruolo per altri utenti. Questo ruolo è fondamentale per mantenere una gestione efficace degli accessi con privilegi e garantire la sicurezza e l'integrità di risorse e dati sensibili all'interno di un'organizzazione. Le responsabilità e le funzionalità associate al ruolo PRA includono:

Gestione dei ruoli con privilegi
- Il PRA è responsabile della definizione e della gestione dei ruoli con privilegi all'interno dell'organizzazione.
- Identificano i ruoli che richiedono privilegi elevati e determinano gli utenti o i gruppi appropriati che devono detenere questi ruoli.
- Il PRA può assegnare, modificare e rimuovere i ruoli con privilegi in base ai requisiti aziendali e al principio dei privilegi minimi.
Concessione dell'accesso JIT (Just-in-Time)
- L'accesso JIT è una funzionalità di PIM che consente l'elevazione temporanea dei privilegi per eseguire attività specifiche per un periodo di tempo limitato.
- Il PRA configura i criteri JIT per definire le attività che richiedono l'accesso con privilegi elevati e le condizioni per la concessione dell'accesso.
- Esaminano e approvano o rifiutano le richieste di accesso da parte degli utenti che necessitano di accesso con privilegi temporanei.
Accesso con privilegi di monitoraggio e controllo
- Il PRA è responsabile del monitoraggio e del controllo dell'accesso con privilegi all'interno dell'organizzazione.
- Esaminano i log e i report di accesso per garantire la conformità e identificare eventuali attività non autorizzate o sospette correlate agli account con privilegi.
- Il PRA esegue le azioni necessarie, come la revoca dell'accesso o l'esecuzione di ulteriori indagini, se l'organizzazione rileva anomalie o incidenti di sicurezza.
Sicurezza e conformità
- Il PRA allinea l'accesso con privilegi ai criteri di sicurezza e conformità.
- Collaborano con i team di sicurezza per stabilire e applicare controlli di accesso, criteri e procedure correlati agli account con privilegi.
- Il PRA funziona per ridurre al minimo i rischi di sicurezza associati all'accesso con privilegi e mantiene un ambiente sicuro e conforme.
Formazione e documentazione
- Il PRA può anche creare documentazione, linee guida e materiali di formazione relativi alla gestione degli accessi con privilegi.
- Vengono fornite informazioni ad altri amministratori e utenti sulle procedure consigliate, sulle misure di sicurezza e sull'uso corretto di account e ruoli con privilegi.

L'amministratore dei ruoli con privilegi, in quanto amministratore designato all'interno di PIM, ha l'autorità per assegnare ruoli di amministratore specifici agli utenti all'interno dell'organizzazione. Il PRA gestisce e controlla l'accesso con privilegi definendo e assegnando ruoli tramite PIM. Determinano quali utenti richiedono privilegi elevati per specifiche attività amministrative e assegnano loro i ruoli appropriati.

PIM offre una gamma di ruoli predefiniti per attività amministrative comuni, ad esempio amministratore globale, amministratore di Exchange, amministratore di SharePoint e altro ancora. Il PRA può assegnare questi ruoli predefiniti agli utenti o creare ruoli personalizzati in base alle esigenze specifiche dell'organizzazione.

Tramite l'interfaccia PIM, il PRA può:

Esaminare le richieste di accesso degli utenti.
Approvare o rifiutare le richieste di accesso in base ai criteri stabiliti.
Impostare la durata per cui un utente dispone di privilegi elevati.

Il PRA garantisce che le organizzazioni seguano il principio dei privilegi minimi, concedendo l'accesso con privilegi elevati solo quando necessario e per un periodo di tempo limitato. L'unità successiva esamina il principio dei privilegi minimi.

In sintesi, l'amministratore del ruolo con privilegi all'interno di PIM è responsabile di:

Assegnazione di ruoli di amministratore agli utenti.
Gestione delle richieste di accesso degli utenti.
Garantire la delega sicura e controllata dell'accesso con privilegi in Microsoft 365.

Letture aggiuntive. Per saperne di più, vedi Assegnare ruoli della directory agli utenti usando Microsoft Entra PIM.

Richiedere l'attivazione del ruolo

Se sei idoneo per un ruolo amministrativo, devi attivare l'assegnazione di ruolo quando è necessario eseguire azioni con privilegi. Ad esempio, se gestissi occasionalmente le funzionalità di Microsoft 365, gli amministratori dei ruoli con privilegi dell'organizzazione potrebbero non diventare un amministratore globale permanente, poiché tale ruolo influisce anche su altri servizi. In alternativa, l'utente potrebbe essere idoneo per i ruoli di Microsoft Entra, ad esempio amministratore di Exchange Online. Puoi richiedere di attivare tale ruolo quando sono necessari i relativi privilegi in modo da avere il controllo amministratore per un periodo di tempo predeterminato.

Importante

Quando PRA attiva un ruolo, Microsoft Entra PIM aggiunge temporaneamente l'assegnazione attiva per il ruolo. PIM crea l'assegnazione attiva (assegna l'utente a un ruolo) in pochi secondi. Quando si verifica la disattivazione (manuale o con scadenza del tempo di attivazione), PIM rimuove anche l'assegnazione attiva in pochi secondi. L'applicazione può fornire l'accesso in base al ruolo dell'utente. In alcune situazioni, l'accesso alle applicazioni potrebbe non riflettere immediatamente il fatto che all'utente è stato assegnato o rimosso un ruolo. Se un'applicazione in precedenza memorizzava nella cache il fatto che l'utente non dispone di un ruolo, l'utente potrebbe non ricevere l'accesso quando tenta di accedere di nuovo all'applicazione. Analogamente, se un'applicazione in precedenza memorizzava nella cache il fatto che l'utente ha un ruolo, l'utente potrebbe comunque ricevere l'accesso se il ruolo viene disattivato. Ogni situazione specifica dipende dall'architettura dell'applicazione. Per alcune applicazioni, la disconnessione e l'accesso possono aiutare a ottenere l'accesso aggiunto o rimosso.

Quando è necessario assumere un ruolo di Microsoft Entra, puoi richiedere l'attivazione completando i passaggi seguenti:

Accedi all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore del ruolo con privilegi.
Nell’Interfaccia di amministrazione di Microsoft Entra seleziona Privileged Identity Management nel gruppo di governance delle identità nel riquadro di spostamento.
Nella Privileged Identity Management | Pagina Avvio rapido, nel riquadro di spostamento centrale nel gruppo Attività seleziona Ruoli personali.
Nella pagina Ruoli personali viene visualizzata la scheda Assegnazioni idonee per impostazione predefinita. In questa scheda viene visualizzato l'elenco dei ruoli idonei.
Trova il nome dell'assegnazione di ruolo che desideri modificare. Nella colonna Azione per tale ruolo seleziona Attiva.
Nel riquadro Attiva visualizzato seleziona Verifica aggiuntiva necessaria e segui le istruzioni per fornire la verifica di sicurezza. Devi eseguire l'autenticazione una sola volta per sessione.
Dopo l'autenticazione a più fattori, seleziona Attiva prima di procedere.
Se vuoi specificare un ambito ridotto, seleziona Ambito per aprire il riquadro filtro. Nel riquadro dei filtri puoi specificare le risorse Microsoft Entra a cui devi accedere. È consigliabile richiedere l'accesso al minor numero di risorse necessarie.
Se necessario, specifica un'ora di inizio personalizzata per l'attivazione. Quando specifichi un'ora di inizio, il sistema attiva il ruolo dopo l'ora selezionata.
Nella casella Motivo immetti il motivo della richiesta di attivazione.
Selezionare Attiva.
Se il ruolo richiede l'approvazione per l'attivazione, nell'angolo superiore destro del browser viene visualizzata una notifica che informa che la richiesta è in attesa di approvazione.

Letture aggiuntive. Per altre informazioni, vedere Come attivare o disattivare i ruoli in Privileged Identity Management.

Verifica delle conoscenze

Scegliere la risposta migliore per ognuna delle domande seguenti.

Verificare le conoscenze

Quale delle seguenti voci descrive il processo di amministrazione ammissibile?

L'amministratore globale deve assegnare a un utente idoneo l'accesso come amministratore permanente per diventare un amministratore attivo.

Un utente idoneo deve registrarsi per diventare un amministratore attivo per una data specifica.

Un utente con un ruolo inattivo deve completare un processo di attivazione per attivare il ruolo per un periodo di tempo predeterminato.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.

Unità successiva: Esaminare le procedure consigliate durante la configurazione dei ruoli amministrativi

Indietro Prossima

Serve aiuto? Vedi la guida alla risoluzione dei problemi o fornisci commenti specifici segnalando un problema.