Passaggio 2: Proteggere le identità con privilegiStep 2: Secure your privileged identities

Proteggere gli account amministratore globaleProtect global administrator accounts

Questo passaggio è obbligatorio e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis is required and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

In questa sezione è possibile impedire attacchi digitali nell'organizzazione garantendo la massima sicurezza degli account amministratore.In this section, you'll help prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible. A tale scopo, è necessario:To do this, you must:

  • Creare account amministratore globale dedicati con password molto complesse e usarli solo se necessario.Create dedicated global administrator accounts with very strong passwords and use them only when necessary.
  • Eseguire attività di amministrazione quotidiane assegnando ruoli di amministratore specifici, come amministratore di Exchange o delle password agli account utente del personale IT in base alle esigenze.Perform day-to-day administration by assigning specific administrator roles—such as Exchange administrator or Password administrator—to user accounts of IT staff as needed.

Per gli account di amministratore globale dedicati, è necessario inoltre:For your dedicated global admin accounts, you must also:

  1. Testare l'account di ogni utente o le impostazioni dell'autenticazione a più fattori basata sull'accesso condizionale in un account utente di prova per assicurarsi che l'autenticazione a più fattori funzioni correttamente e come previsto. L'autenticazione a più fattori richiede una seconda forma di autenticazione, come il codice di verifica inviato a uno smartphone.Test per-user account or conditional access-based multi-factor authentication (MFA) settings on a test user account to ensure that MFA works correctly and predictably. MFA requires a secondary form of authentication, such as a verification code sent to a smart phone.
  2. Configurare l'autenticazione a più fattori per ogni account amministratore globale di Office 365 dedicato e usare la forma più forte di autenticazione secondaria disponibile nell'organizzazione. Vedere Autenticazione a più fattori per maggiori informazioni.Configure MFA for each of the dedicated Office 365 global administrator accounts, and use the strongest form of secondary authentication available in your organization. See Multi-factor authentication for more information.
  3. Usare un criterio di accesso condizionale per richiedere l'autenticazione a più fattori per gli account di amministratore globale. Per ulteriori informazioni, vedere Protezione degli account di amministratore.Use a conditional access policy to require MFA for global administrator accounts. See Protecting administrator accounts for more information.

Vedere Proteggere gli account di amministratore globale di Office 365 per ulteriori informazioni sulla configurazione.See Protect your Office 365 global administrator accounts for more information about configuration.

Nota

Le organizzazioni dovrebbero utilizzare identità solo cloud per creare account con privilegi, come gli amministratori globali, per scenari di intrusione durante le emergenze, come un cyberattacco. Per ulteriori informazioni, vedere Gestire gli account amministrativi per accessi di emergenza in Azure AD.Organizations should use cloud-only identities to create privileged accounts, such as global administrators, for break-glass scenarios in emergencies, such as a cyberattack. For more information, see Manage emergency-access administrative accounts in Azure AD.

I risultati di questa sezione sono:The results of this section are:

  • Gli unici account utente dell'abbonamento a cui è assegnato il ruolo di amministratore globale sono i nuovi account di amministratore globale dedicati.The only user accounts in your subscription that have the global admin role are the new set of dedicated global administrator accounts. Per verificarlo, usare il comando seguente di Azure Active Directory PowerShell for Graph:Verify this with the following Azure Active Directory PowerShell for Graph command:
    Get-AzureADDirectoryRole | Where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName
    
  • A tutti gli altri account utente quotidiani che gestiscono l'abbonamento sono assegnati ruoli di amministratore associati ai propri ruoli professionali.All other everyday user accounts that manage your subscription have admin roles assigned that are associated with their job responsibilities.

Nota

Vedere Connettersi a PowerShell di Office 365 per le istruzioni sull'istallazione del modulo Azure Active Directory PowerShell for Graph e sull'accesso.See Connect to Office 365 PowerShell for instructions on installing the Azure Active Directory PowerShell for Graph module and signing in.

Guide al lab di test per il cloud Microsoft Guida al lab di test: proteggere gli account amministratore globaleTest Lab Guide: Protect global administrator accounts

Come checkpoint provvisorio, è possibile vedere i criteri uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this section.

Configurare gli amministratori globali su richiestaSet up on-demand global administrators

Questo passaggio è facoltativo e si applica solo alla versione E5 di Microsoft 365 EnterpriseThis is optional and applies only to the E5 version of Microsoft 365 Enterprise

In questa sezione si procederà alla configurazione di Azure AD Privileged Identity Management (PIM) per ridurre la quantità di tempo per la quale gli account amministratore globale sono vulnerabili agli attacchi da parte di utenti malintenzionati.In this section, you'll set up Azure AD Privileged Identity Management (PIM) to reduce the amount of time that your global administrator accounts are vulnerable to attack by malicious users. Su richiesta, PIM fornisce l'assegnazione JIT del ruolo di amministratore globale, se necessario.PIM provides on-demand, just-in-time assignment of the global administrator role when needed.

Gli account amministratore globale non sono amministratori permanenti, ma diventano amministratori idonei. Il ruolo di amministratore globale è inattivo fino a quando un utente ne ha bisogno. A questo punto verrà completato un processo di attivazione per aggiungere il ruolo di amministratore globale all'account dell'amministratore globale per un periodo di tempo specifico. Quando il tempo scade, PIM rimuove il ruolo di amministratore globale dall'account amministratore globale.Instead of your global administrator accounts being a permanent admin, they become eligible admins. The global administrator role is inactive until someone needs it. You'll then complete an activation process to add the global administrator role to the global administrator account for a specific amount of time. When the time expires, PIM removes the global administrator role from the global administrator account.

PIM è disponibile con Azure Active Directory Premium P2, incluso con Microsoft 365 Enterprise E5. In alternativa, è possibile acquistare delle licenze singole per Azure Active Directory Premium P2 per gli account amministratore globale.PIM is available with Azure Active Directory Premium P2, which is included with Microsoft 365 Enterprise E5. Alternately, you can purchase individual Azure Active Directory Premium P2 licenses for your global administrator accounts.

Per attivare Azure PIM per gli account tenant e amministratore globale Azure Active Directory, vedere la procedura per configurare PIM.To enable Azure PIM for your Azure AD tenant and global administrator accounts, see the steps to configure PIM.

Per sviluppare una roadmap che protegga l'accesso con privilegi dagli attacchi informatici, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD.To develop a comprehensive roadmap to secure privileged access against cyber attackers, see Securing privileged access for hybrid and cloud deployments in Azure AD.

Come checkpoint provvisorio, è possibile vedere i criteri uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this section.

Passaggio successivoNext step

Configurare l'identità ibridaConfigure hybrid identity