Che cos'è Azure AD Privileged Identity Management?What is Azure AD Privileged Identity Management?

Con Azure Active Directory (AD) Privileged Identity Management è possibile gestire, il controllo e monitorare l'accesso all'interno dell'organizzazione.With Azure Active Directory (AD) Privileged Identity Management, you can manage, control, and monitor access within your organization. È incluso l'accesso alle risorse in Azure AD, Risorse di Azure (Anteprima) e altri Servizi online Microsoft, ad esempio Office 365 o Microsoft Intune.This includes access to resources in Azure AD, Azure Resources (Preview), and other Microsoft Online Services like Office 365 or Microsoft Intune.

Nota

Privileged Identity Management è disponibile per l'intera organizzazione quando si conferisce agli amministratori la licenza della versione Premium P2 di Azure Active Directory.Privileged Identity Management is available to your entire organization when you license your Administrators with the Premium P2 edition of Azure Active Directory. Per altre informazioni, vedere Edizioni di Azure Active Directory.For more information, see Azure Active Directory editions.

Le organizzazioni desiderano ridurre al minimo il numero di utenti che hanno accesso a informazioni o risorse protette per ridurre le probabilità che un utente malintenzionato acceda al sistema, o che un utente autorizzato abbia inavvertitamente effetto su una risorsa sensibile.Organizations want to minimize the number of people who have access to secure information or resources, because that reduces the chance of a malicious user getting that access, or an authorized user inadvertently impacting a sensitive resource. Tuttavia, gli utenti devono comunque eseguire operazioni con privilegi, nelle app di Azure AD, Azure, Office 365 o SaaS.However, users still need to carry out privileged operations in Azure AD, Azure, Office 365, or SaaS apps. Le organizzazioni possono concedere agli utenti l'accesso con privilegi alle risorse di Azure, quali le Sottoscrizioni e Azure AD.Organizations can give users privileged access to Azure resources like Subscriptions, and Azure AD. È necessario procedere con una supervisione di ciò che gli utenti fanno con i loro privilegi di amministratori.There is a need for oversight for what those users are doing with their admin privileges. Azure AD Privileged Identity Management (Gestione identità con privilegi di Azure) consente di ridurre il rischio di diritti di accesso eccessivi, non necessari o usati in modo improprio.Azure AD Privileged Identity Management helps to mitigate the risk of excessive, unnecessary or misused access rights.

Azure AD Privileged Identity Management consente all'azienda di eseguire le operazioni seguenti:Azure AD Privileged Identity Management helps your organization:

  • Vedere a quali utenti vengono assegnati i ruoli con privilegi per gestire le risorse di Azure (Anteprima), nonché a quali utenti vengono assegnati i ruoli amministrativi in Azure ADSee which users are assigned privileged roles to manage Azure resources (Preview), as well as which users are assigned administrative roles in Azure AD
  • Abilitare l'accesso come amministratore JIT su richiesta ai Microsoft Online Services, ad esempio Office 365 e, e alle risorse di Azure (Anteprima) delle sottoscrizioni, ai gruppi di risorse e alle singole risorse, ad esempio le Macchine VirtualiEnable on-demand, "just in time" administrative access to Microsoft Online Services like Office 365 and Intune, and to Azure resources (Preview) of subscriptions, resource groups, and individual resources such as Virtual Machines
  • Visualizzare una cronologia dell'attivazione dell'amministratore, comprese le modifiche che gli amministratori hanno apportato alle risorse di Azure (Anteprima)See a history of administrator activation, including what changes administrators made to Azure resources (Preview)
  • Ottenere gli avvisi sulle modifiche apportate nelle assegnazioni di amministratoreGet alerts about changes in administrator assignments
  • Richiedere l'approvazione per attivare i ruoli di amministratore con privilegi di Azure AD (Anteprima)Require approval to activate Azure AD privileged admin roles (Preview)
  • Esaminare l'appartenenza dei ruoli di amministratore e richiedere agli utenti di fornire una giustificazione per l'appartenenza continuaReview membership of administrative roles and require users to provide a justification for continued membership

In Azure AD, Azure AD Privileged Identity Management è in grado di gestire gli utenti assegnati ai ruoli aziendali predefiniti di Azure Active Directory, ad esempio Amministratore globale.In Azure AD, Azure AD Privileged Identity Management can manage the users assigned to the built-in Azure AD organizational roles, such as Global Administrator. In Azure, Azure AD Privileged Identity Management è possibile gestire gli utenti e i gruppi assegnati tramite i ruoli di Azure RBAC, compresi il Proprietario o il Collaboratore.In Azure, Azure AD Privileged Identity Management can manage the users and groups assigned via Azure RBAC roles, including Owner or Contributor.

Accesso amministratore just-in-timeJust in time administrator access

In passato, era possibile assegnare un utente a un ruolo di amministratore tramite il portale di Azure, altri portali di Microsoft Online Services o i cmdlet di Azure AD in Windows PowerShell.Historically, you could assign a user to an admin role through the Azure portal, other Microsoft Online Services portals, or the Azure AD cmdlets in Windows PowerShell. Di conseguenza l'utente diventa amministratore permanente, sempre attivo nel ruolo assegnato.As a result, that user becomes a permanent admin, always active in the assigned role. Azure AD Privileged Identity Management introduce il concetto di amministratore idoneo. Gli amministratori idonei devono essere utenti che necessitano dell'accesso con privilegi in modo occasionale, non con cadenza quotidiana, per tutto il giorno.Azure AD Privileged Identity Management introduces the concept of an eligible admin. Eligible admins should be users that need privileged access now and then, but not all-day, every day. Il ruolo è inattivo fino a quando l'utente che necessita dell'accesso non completa un processo di attivazione e diventa amministratore attivo per un periodo di tempo predeterminato.The role is inactive until the user needs access, then they complete an activation process and become an active admin for a predetermined amount of time. Sempre più organizzazioni scelgono di usare questo approccio per ridurre o eliminare l'"accesso di amministratore permanente" a ruoli con privilegi.More and more organizations are choosing to use this approach for reducing or eliminating “standing admin access” to privileged roles.

Abilitare Privileged Identity Management per la directoryEnable Privileged Identity Management for your directory

È possibile iniziare a usare Azure AD Privileged Identity Management nel portale di Azure.You can start using Azure AD Privileged Identity Management in the Azure portal.

Nota

Per abilitare Azure AD Privileged Identity Management per una directory, è necessario essere un amministratore globale, ad esempio @yourdomain.com e non un account Microsoft, ad esempio @outlook.com.You must be a global administrator with an organizational account (for example, @yourdomain.com), not a Microsoft account (for example, @outlook.com), to enable Azure AD Privileged Identity Management for a directory.

  1. Accedere al portale di Azure come amministratore globale della directory.Sign in to the Azure portal as a global administrator of your directory.
  2. Se l'organizzazione ha più directory, selezionare il proprio nome utente nell'angolo superiore destro del portale di Azure.If your organization has more than one directory, select your username in the upper right-hand corner of the Azure portal. Selezionare la directory in cui si userà Azure AD Privileged Identity Management.Select the directory where you will use Azure AD Privileged Identity Management.
  3. Selezionare Altri servizi e usare la casella di testo Filtro per cercare Azure AD Privileged Identity Management.Select More services and use the Filter textbox to search for Azure AD Privileged Identity Management.
  4. Selezionare Aggiungi al dashboard e quindi fare clic su Crea.Check Pin to dashboard and then click Create. Verrà aperta l'applicazione Privileged Identity Management.The Privileged Identity Management application opens.

Se si è la prima persona a usare Azure AD Privileged Identity Management nella directory e si naviga nei ruoli della directory di Azure AD, una procedura guidata relativa alla sicurezza illustra nel dettaglio l'esperienza di assegnazione iniziale.If you're the first person to use Azure AD Privileged Identity Management in your directory and you navigate to Azure AD directory roles, aand you navigate to Azure AD directory roles, a security wizard walks you through the initial assignment experience. Al termine della procedura guidata si diventa automaticamente primo amministratore della sicurezza e amministratore dei ruoli con privilegi della directory.After that you automatically become the first Security administrator and Privileged role administrator of the directory.

Per i ruoli di Azure AD, solo un utente che appartiene al ruolo di amministratore con privilegi di ruolo può gestire le assegnazioni per altri amministratori di Azure AD PIM.For Azure AD roles, only a user who is in the Privileged Role Administrator role can manage assignments for other administrators in Azure AD PIM. È possibile consentire ad altri utenti di gestire ruoli della directory in PIM.You can give other users the ability to manage directory roles in PIM. Gli amministratori globali, gli amministratori della sicurezza e il Ruolo con autorizzazioni di lettura per la sicurezza possono visualizzare le assegnazioni ai ruoli di Azure AD in Azure AD PIM.Global Administrators, Security Administrators and Security Readers can view assignments to Azure AD roles in Azure AD PIM. Per i ruoli di Azure RBAC, le assegnazioni per altri amministratori di Azure AD PIM possono essere gestite solo da un amministratore della sottoscrizione, da un proprietario della risorsa o da un amministratore dell'accesso dell'utente delle risorse.For Azure RBAC roles, only a subscription administrator, a resource owner, or a resource user access administrator can manage assignments for other administrators in Azure AD PIM. Gli utenti che sono amministratori con privilegi di ruolo, gli amministratori della sicurezza o i Ruoli con autorizzazioni di lettura per la sicurezza non dispongono, per impostazione predefinita, dell'accesso per visualizzare le assegnazioni ai ruoli di Azure RBAC in Azure AD PIM.Users who are Privileged Role Administrators, Security Administrators or Security Readers do not by default have access to view assignments to Azure RBAC roles in Azure AD PIM.

Panoramica di Privileged Identity Management (Punto di ingresso)Privileged Identity Management Overview (Entry Point)

Azure AD Privileged Identity Management supporta l'amministrazione dei ruoli della directory di Azure AD e le risorse di Azure (Anteprima).Azure AD Privileged Identity Management supports administration of Azure AD directory roles, and roles for Azure Resources (Preview). La funzione di ruoli per le risorse di Azure differisce dai ruoli amministrativi in Azure AD.The function of roles for Azure resources differ from administrative roles in Azure AD. I ruoli delle risorse di Azure forniscono le autorizzazioni di granularità per la risorsa in cui sono assegnati e tutte le risorse subordinate nella gerarchia di risorse (nota come ereditarietà).Azure resource roles provide granular permissions for the resource at which they are assigned, and all subordinate resources in the resource hierarchy (known as inheritance). Altre informazioni su RBAC, gerarchia delle risorse ed ereditarietà.Learn more about RBAC, resource hierarchy and inheritance. È possibile amministrare PIM sia per i ruoli della directory di Azure AD che per le Risorse di Azure (Anteprima) accedendo al collegamento appropriato nella sezione Gestisci del menu di spostamento a sinistra del punto di ingresso della Panoramica di PIM.PIM for both Azure AD directory roles, and Azure Resources (Preview) can be administered by accessing the appropriate link under the Manage section of the PIM Overview entry point left navigation menu.

PIM offre un comodo accesso per l'attivazione di ruoli, la visualizzazione delle attivazioni/richieste in sospeso, delle approvazioni in sospeso (per i ruoli della directory di Azure AD) e delle verifiche in sospeso in attesa della risposta dell'utente dalla sezione Attività nel menu di spostamento a sinistra.PIM provides convenient access to activate roles, view pending activations/requests, pending approvals (for Azure AD directory roles), and reviews pending your response from the Tasks section of the left navigation menu.

Quando si accede a una delle voci del menu Attività dal punto di ingresso Panoramica, la visualizzazione risultante contiene i risultati per i ruoli della directory di Azure AD e per i ruoli delle risorse di Azure (Anteprima).When accessing any of the Tasks menu items from the Overview entry point, the resulting view contains results for both Azure AD directory roles and Azure Resource roles (Preview).

Avvio rapido

Ruoli personali contiene un elenco delle assegnazioni a ruoli attivi e idonei dell'utente per i ruoli della directory di Azure AD e per i ruoli delle risorse di Azure (Anteprima).My roles contain a list of active and eligible role assignments for Azure AD directory roles, and Azure Resource roles (Preview). Altre informazioni sull'attivazione di assegnazioni di ruolo idonee.Learn more about activating eligible role assignments.

L'attivazione dei ruoli per Risorse di Azure (Anteprima) introduce una nuova esperienza che consente ai membri di un ruolo idoneo di pianificare l'attivazione per una data/ora futura e selezionare una durata di attivazione specifica entro il valore massimo, consentito dagli amministratori.Activating roles for Azure Resources (Preview) introduces a new experience that allows eligible members of a role to schedule activation for a future date/time and select a specific activation duration within the maximum allowed by administrators.

Nel caso in cui un'attivazione pianificata non sia più necessaria, gli utenti possono annullare la richiesta in sospeso passando alle richieste in sospeso dal menu di spostamento a sinistra e scegliendo il pulsante Annulla in linea con la richiesta.In the event a scheduled activation is no longer required, users can cancel their pending request by navigating to pending requests from the left navigation menu and clicking the Cancel button in-line with that request.

Richieste in sospeso

Dashboard amministratore di Privileged Identity ManagementPrivileged Identity Management admin dashboard

In Azure AD Privileged Identity Management è disponibile un dashboard dell'amministratore che visualizza informazioni importanti, tra cui:Azure AD Privileged Identity Manager provides an admin dashboard that gives you important information such as:

  • Avvisi che segnalano opportunità di miglioramento della sicurezzaAlerts that point out opportunities to improve security
  • Numero di utenti assegnati a ogni ruolo con privilegiThe number of users who are assigned to each privileged role
  • Numero di amministratori permanenti e idoneiThe number of eligible and permanent admins
  • Un grafo di attivazioni del ruolo con privilegi nella directoryA graph of privileged role activations in your directory
  • Il numero di JIT, del limite di tempo e delle assegnazioni permanenti per i ruoli delle risorse di Azure (Anteprima)The number of Just-In-Time, Time-bound, and Permanent assignments for Azure Resource roles (Preview)
  • Utenti e gruppi con nuove assegnazioni di ruolo negli ultimi 30 giorni (Ruoli delle risorse di Azure)Users and groups with new role assignments in the last 30 days (Azure Resource roles)

Dashboard PIM - Schermata

Gestione dei ruoli con privilegiPrivileged role management

Con Azure AD Privileged Identity Management è possibile gestire gli amministratori tramite l'aggiunta o la rimozione di amministratori permanenti o idonei a ogni ruolo per i ruoli della directory di Azure AD.With Azure AD Privileged Identity Management, you can manage the administrators by adding or removing permanent or eligible administrators to each role for Azure AD directory roles. Con PIM per le Risorse di Azure (Anteprima), i proprietari, gli amministratori dell'accesso utente e gli amministratori globali che consentono la gestione delle sottoscrizioni al proprio tenant possono assegnare utenti o gruppi ai ruoli delle risorse di Azure come ad esempio idoneo (accesso JIT), Limite di tempo (attivazione non necessaria) con una data/ora di inizio e di fine o permanente (se abilitato nelle impostazioni del ruolo).With PIM for Azure Resources (Preview), Owners, User Access Administrators, and Global Administrators that enable management of Subscriptions in their tenant can assign users or groups to Azure resource roles as eligible (Just-In-Time access), or Time-bound (activation not required) access with a start and end date/time, or permanent (if enabled in the role settings).

Aggiunta/Rimozione di amministratori PIM - Schermata

Configurare le impostazioni di attivazione del ruoloConfigure the role activation settings

L'uso delle impostazioni del ruolo consente di configurare le proprietà di attivazione del ruolo idoneo per le regole della directory di Azure AD, comprese:Using the role settings you can configure the eligible role activation properties for Azure AD directory roles including:

  • Durata del periodo di attivazione del ruoloThe duration of the role activation period
  • Notifica di attivazione del ruoloThe role activation notification
  • Informazioni che l'utente deve specificare durante il processo di attivazione del ruoloThe information a user needs to provide during the role activation process
  • Ticket di servizio o numero dell'evento imprevistoService ticket or incident number
  • Requisiti del flusso di lavoro di approvazione - AnteprimaApproval workflow requirements - Preview

Impostazioni di PIM - Attivazione dell'amministratore - Schermata

Nell'immagine notare che i pulsanti per Multi-Factor Authentication sono disabilitati.Note that in the image, the buttons for Multi-Factor Authentication are disabled. Per determinati ruoli con privilegi elevati, è necessaria l'autenticazione MFA per una protezione avanzata.For certain, highly privileged roles, we require MFA for heightened protection.

Le impostazioni di ruolo per i ruoli di risorse di Azure (Anteprima) consentono agli amministratori di configurare delle impostazioni JIT e dirette, tra cui:Role settings for Azure Resource roles (Preview) allow administrators to configure Just-In-Time and Direct assignment settings including:

  • La possibilità di assegnare l'utente o i gruppi ai ruoli senza una data/ora di fine (assegnazione permanente)The ability to assign user or groups to roles without an end date/time (permanent assignment)
  • La durata predefinita di un'assegnazione (quando non permanente)The default duration of an assignment (when not permanent)
  • La durata massima di attivazione (quando si attiva un membro del ruolo idoneo)The maximum activation duration (when an eligible role member activates)
  • Le informazioni che un utente ha bisogno di fornire durante l'attivazione del ruolo (assegnazioni JIT) o il processo di assegnazione (assegnazioni dirette)The information a user needs to provide during the role activation (Just-In-Time assignments) or the assignment process (direct assignments)

Attivazione del ruoloRole activation

Per attivare un ruolo, un amministratore idoneo richiede una "attivazione" con vincoli di tempo per il ruolo.To activate a role, an eligible admin requests a time-bound "activation" for the role. È possibile richiedere l'attivazione usando l'opzione Attiva il mio ruolo in Gestione identità con privilegi di Azure AD.The activation can be requested using the Activate my role option in Azure AD Privileged Identity Management.

Un amministratore che vuole attivare un ruolo deve inizializzare Azure AD Privileged Identity Management nel portale di Azure.An admin who wants to activate a role needs to initialize Azure AD Privileged Identity Management in the Azure portal.

L'attivazione del ruolo è personalizzabile.Role activation is customizable. Nelle impostazioni di PIM è possibile impostare la durata dell'attivazione e le informazioni che l'amministratore deve specificare per attivare il ruolo.In the PIM settings, you can determine the length of the activation and what information the admin needs to provide to activate the role.

Richiesta di attivazione del ruolo dell'amministratore PIM - Schermata

Verificare l'attività del ruoloReview role activity

È possibile verificare l'uso dei ruoli con privilegi da parte di dipendenti e amministratori in due modi.There are two ways to track how your employees and admins are using privileged roles. La prima opzione consiste nell'uso della Cronologia di controllo dei ruoli della directory.The first option is using Directory Roles audit history. La cronologia di controllo registra il rilevamento delle modifiche nelle assegnazioni di ruolo con privilegi, nella cronologia di attivazione del ruolo, e nelle modifiche alle impostazioni per i ruoli di risorse di Azure (Anteprima).The audit history logs track changes in privileged role assignments, role activation history, and and changes to settings for Azure Resource roles (Preview).

Cronologia di attivazione PIM - Schermata

La seconda opzione consiste nel configurare verifiche di accessoregolari.The second option is to set up regular access reviews. Queste verifiche di accesso possono essere eseguite e assegnate da un revisore, ad esempio il responsabile del team, o dai dipendenti stessi.These access reviews can be performed by and assigned reviewer (like a team manager) or the employees can review themselves. Questo è il modo migliore per monitorare gli utenti che necessitano ancora dell'accesso e gli utenti che non devono più accedere.This is the best way to monitor who still requires access, and who no longer does.

Azure AD PIM alla scadenza della sottoscrizioneAzure AD PIM at subscription expiration

Un tenant deve avere una sottoscrizione di valutazione o a pagamento Azure AD Premium P2 (o EMS E5) nel proprio tenant prima di usare Azure AD PIM.A tenant must have an Azure AD Premium P2 (or EMS E5) trial or paid subscription in their tenant before using Azure AD PIM. È anche necessario assegnare le licenze per gli amministratori del tenant.Furthermore, licenses must be assigned to the administrators of the tenant. In particolare, le licenze devono essere assegnate agli amministratori nei ruoli di Azure AD gestiti tramite Azure AD PIM, gli amministratori nei ruoli di Azure RBAC gestiti tramite Azure AD PIM e gli utenti senza privilegi di amministratore che eseguono verifiche di accesso.Specifically, licenses must be assigned to administrators in Azure AD roles managed through Azure AD PIM, administrators in Azure RBAC roles managed through Azure AD PIM, and any non-administrator users who perform access reviews. Se l'azienda non rinnova Azure AD Premium P2 o la versione di valutazione scade, le funzionalità di Azure AD PIM non saranno più disponibili nel tenant, le assegnazioni di ruolo idonee verranno rimosse e gli utenti non saranno più in grado di attivare i ruoli.If your organization does not renew Azure AD Premium P2 or your trial expires, the Azure AD PIM features will no longer be available in your tenant, eligible role assignments will be removed and users will no longer be able to activate roles. Per altre informazioni, vedere Requisiti di sottoscrizione di Azure Active Directory Privileged Identity ManagementYou can read more in the Azure AD PIM subscription requirements

Passaggi successiviNext steps