Come gestire le impostazioni di attivazione del ruolo in Azure AD Privileged Identity ManagementHow to manage role activation settings in Azure AD Privileged Identity Management

Un amministratore dei ruoli con privilegi può personalizzare Azure AD Privileged Identity Management (PIM) nell'organizzazione, ad esempio modificando l'esperienza di un utente che attiva l'assegnazione di idoneo al ruolo.A privileged role administrator can customize Azure AD Privileged Identity Management (PIM) in their organization, including changing the experience for a user who is activating an eligible role assignment.

Gestire le impostazioni di attivazione del ruoloManage the role activation settings

  1. Accedere al portale di Azure e selezionare l'app Azure AD Privileged Identity Management dal dashboard.Go to the Azure portal and select the Azure AD Privileged Identity Management app from the dashboard.
  2. Selezionare Gestione dei ruoli con privilegi > Impostazioni > Ruoli con privilegi.Select Manage privileged roles > Settings > Privileged Roles.
  3. Selezionare il ruolo del quale gestire le impostazioni.Choose the role whose settings you want to manage.

La pagina Impostazioni per ogni ruolo contiene numerose impostazioni che è possibile configurare.On the settings page for each role, there are a number of settings you can configure. Queste impostazioni incidono solo sugli utenti che sono amministratori idonei, non sugli amministratori permanenti.These settings only affect users who are eligible admins, not permanent admins.

Attivazioni: tempo in ore per cui un ruolo rimane attivo prima della scadenza.Activations: The time, in hours, that a role stays active before it expires. Questo valore può essere compreso tra 1 e 72 ore.This can be between 1 and 72 hours.

Notifiche: è possibile scegliere se il sistema invia messaggi di posta elettronica agli amministratori per confermare che hanno attivato un ruolo.Notifications: You can choose whether or not the system sends emails to admins confirming that they have activated a role. Questa opzione può essere utile per il rilevamento di attivazioni non autorizzate o dannose.This can be useful for detecting unauthorized or illegitimate activations.

Ticket di evento imprevisto/richiesta: è possibile scegliere se si vuole richiedere che gli amministratori idonei includano un numero di ticket quando attivano il proprio ruolo.Incident/Request Ticket: You can choose whether or not to require eligible admins to include a ticket number when they activate their role. Questa opzione può essere utile quando si eseguono i controlli di accesso dei ruoli.This can be useful when you perform role access audits.

Multi-Factor Authentication: è possibile scegliere se richiedere agli utenti di verificare la propria identità con MFA prima di attivare i ruoli.Multi-Factor Authentication: You can choose whether or not to require users to verify their identity with MFA before they can activate their roles. La verifica è necessaria solo una volta per ogni sessione, non ogni volta che si attiva un ruolo.They only have to verify this once per session, not every time they activate a role. Tenere presente due suggerimenti quando si abilita l'autenticazione MFA:There are two tips to keep in mind when you enable MFA:

  • Gli utenti che dispongono di account Microsoft per i relativi indirizzi di posta elettronica (in genere @outlook.com) non possono eseguire la registrazione per Azure MFA.Users who have Microsoft accounts for their email addresses (typically @outlook.com, but not always) cannot register for Azure MFA. Se si vuole assegnare ruoli agli utenti con account Microsoft, renderli amministratori permanenti o disabilitare l'autenticazione MFA per il ruolo.If you want to assign roles to users with Microsoft accounts, you should either make them permanent admins or disable MFA for that role.
  • Non è possibile disabilitare l'autenticazione MFA per i ruoli con privilegi elevati per Azure AD e Office365.You cannot disable MFA for highly privileged roles for Azure AD and Office365. Si tratta di una funzionalità di sicurezza poiché è necessaria una protezione elevata per questi ruoli:This is a safety feature because these roles should be carefully protected:

    • Amministratore di applicazioniApplication administrator
    • Amministratore server proxy applicazioneApplication Proxy server administrator
    • Amministratore fatturazioneBilling administrator
    • Amministratore di conformitàCompliance administrator
    • Amministratore del servizio CRMCRM service administrator
    • Responsabile approvazione per l'accesso a Customer LockboxCustomer LockBox access approver
    • Ruolo con autorizzazioni di scrittura nella directoryDirectory writer
    • Amministratore di ExchangeExchange administrator
    • Amministratore globaleGlobal administrator
    • Amministratore del servizio IntuneIntune service administrator
    • Amministratore della cassetta postaleMailbox administrator
    • Supporto partner - Livello 1Partner tier1 support
    • Supporto partner - Livello 2Partner tier2 support
    • Amministratore dei ruoli con privilegiPrivileged role administrator
    • Amministratore della sicurezzaSecurity administrator
    • Amministratore di SharePointSharePoint administrator
    • Amministratore di Skype for BusinessSkype for Business administrator
    • Amministratore account utenteUser account administrator

Per ulteriori informazioni sull'utilizzo dell’MFA con PIM, vedere Come richiedere l’MFA.For more information about using MFA with PIM see How to Require MFA.

Passaggi successiviNext steps