Individuare le risorse di Azure da gestire in Privileged Identity Management
È possibile usare Privileged Identity Management (PIM) in Microsoft Entra ID per migliorare la protezione delle risorse di Azure. Ciò consente di:
- Organizzazioni che usano già Privileged Identity Management per proteggere i ruoli di Microsoft Entra
- Gruppi di gestione e proprietari di sottoscrizioni che tentano di proteggere le risorse di produzione
Quando si configura Privileged Identity Management per le risorse di Azure per la prima volta, è necessario individuare e selezionare le risorse da proteggere con Privileged Identity Management. Quando si individuano risorse tramite Privileged Identity Management, PIM crea l'entità servizio PIM (MS-PIM) assegnata come accesso utente Amministrazione istrator nella risorsa. Non è previsto alcun limite al numero di risorse che è possibile gestire con Privileged Identity Management. È tuttavia consigliabile iniziare con le risorse di produzione più critiche.
Nota
PIM può ora gestire automaticamente le risorse di Azure in un tenant senza necessità di onboarding. L'esperienza utente aggiornata usa l'API ARM pim più recente, consentendo prestazioni e granularità migliorate nella scelta dell'ambito corretto che si vuole gestire.
Autorizzazioni necessarie
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
È possibile visualizzare e gestire i gruppi di gestione o le sottoscrizioni a cui si dispone di autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio i ruoli Accesso utenti Amministrazione istrator o Proprietario. Se non si è un proprietario della sottoscrizione, ma si è un Amministrazione istrator globale e non vengono visualizzati sottoscrizioni o gruppi di gestione di Azure da gestire, è possibile elevare l'accesso per gestire le risorse.
Individuare le risorse
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del ruolo con privilegi.
Passare a Identity Governance>Privileged Identity Management>Risorse di Azure.
Se è la prima volta che si usa Privileged Identity Management per le risorse di Azure, verrà visualizzata una pagina Individua risorse .
Se un altro amministratore dell'organizzazione gestisce già le risorse di Azure in Privileged Identity Management, verrà visualizzato un elenco delle risorse attualmente gestite.
Selezionare Individua le risorse per avviare l'individuazione.
Nella pagina Individuazione usare il filtro stato risorsa e Selezionare il tipo di risorsa per filtrare i gruppi di gestione o le sottoscrizioni a cui si dispone dell'autorizzazione di scrittura. Probabilmente è più semplice iniziare selezionando Tutti.
È possibile cercare e selezionare le risorse del gruppo di gestione o della sottoscrizione da gestire in Privileged Identity Management. Quando si gestisce un gruppo di gestione o una sottoscrizione in Privileged Identity Management, è anche possibile gestire le risorse figlio.
Nota
Quando si aggiunge una nuova risorsa di Azure figlio a un gruppo di gestione gestito da PIM, è possibile impostare la risorsa figlio per la gestione cercandola in PIM.
Selezionare le risorse non gestite e che sono da gestire.
Selezionare Gestisci risorsa per iniziare a gestire le risorse selezionate. L'entità servizio PIM (MS-PIM) viene assegnata come accesso utente Amministrazione istrator nella risorsa.
Nota
Quando una sottoscrizione o un gruppo di gestione è stato impostato come gestito, non può più tornare a essere non gestito. In questo modo si impedisce che un altro amministratore delle risorse rimuova le impostazioni di Privileged Identity Management.
Se viene visualizzato un messaggio per confermare l'onboarding della risorsa selezionata per la gestione, selezionare Sì. PIM verrà quindi configurato per gestire tutti gli oggetti figlio nuovi ed esistenti nelle risorse.