Passaggio 5: proteggere gli account amministratore globaleStep 5: Protect global administrator accounts

Questo passaggio è obbligatorio e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis step is required and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Nel passaggio 5, è possibile impedire attacchi digitali nell'organizzazione garantendo la massima sicurezza degli account amministratore. Per farlo, è necessario:In Step 5, you'll help prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible. To do this, you must:

  • Creare account amministratore globale dedicati con password molto complesse e usarli solo se necessario.Create dedicated global administrator accounts with very strong passwords and use them only when necessary.
  • Eseguire attività di amministrazione quotidiane assegnando ruoli di amministratore specifici, come amministratore di Exchange o delle password agli account utente del personale IT in base alle esigenze.Perform day-to-day administration by assigning specific administrator roles—such as Exchange administrator or Password administrator—to user accounts of IT staff as needed.

Per gli account di amministratore globale dedicati, è necessario inoltre:For your dedicated global admin accounts, you must also:

  1. Testare l'account di ogni utente o le impostazioni dell'autenticazione a più fattori basata sull'accesso condizionale in un account utente di prova per assicurarsi che l'autenticazione a più fattori funzioni correttamente e come previsto. L'autenticazione a più fattori richiede una seconda forma di autenticazione, come il codice di verifica inviato a uno smartphone.Test per-user account or conditional access-based multi-factor authentication (MFA) settings on a test user account to ensure that MFA works correctly and predictably. MFA requires a secondary form of authentication, such as a verification code sent to a smart phone.
  2. Configurare l'autenticazione a più fattori per ogni account amministratore globale di Office 365 dedicato e usare la forma più forte di autenticazione secondaria disponibile nell'organizzazione. Vedere Autenticazione a più fattori per maggiori informazioni.Configure MFA for each of the dedicated Office 365 global administrator accounts, and use the strongest form of secondary authentication available in your organization. See Multi-factor authentication for more information.
  3. Usare un criterio di accesso condizionale per richiedere l'autenticazione a più fattori per gli account amministratore globale e per negare l'autenticazione se il rischio di accesso è medio o elevato. Vedere Informazioni sulla protezione per Microsoft 365 Enterprise per ulteriori informazioni.Use a conditional access policy to require multifactor authentication for global administrator accounts and to deny authentication if the sign-in risk is medium or high. See Information protection for Microsoft 365 Enterprise for more information.
  4. Utilizzare un criterio Office 365 Cloud App Security per monitorare l'attività dell'account amministratore globale. Per maggiori informazioni, vedere Informazioni sulla protezione per Microsoft 365 Enterprise.Use an Office 365 Cloud App Security policy to monitor global administrator account activity. See Information protection for Microsoft 365 Enterprise for more information.

Vedere Proteggere gli account di amministratore globale di Office 365 per ulteriori informazioni sulla configurazione.See Protect your Office 365 global administrator accounts for more information about configuration.

Nota

Le organizzazioni dovrebbero utilizzare identità solo cloud per creare account con privilegi, come gli amministratori globali, per scenari di intrusione durante le emergenze, come un cyberattacco.Organizations should use cloud-only identities to create privileged accounts, such as global administrators, for break-glass scenarios in emergencies, such as a cyberattack.

I risultati di questo passaggio sono:The results of this step are:

  • Gli unici account utente nell'abbonamento a cui è assegnato il ruolo di amministratore globale sono il nuovo set di account di amministratore globale dedicati. Per verificarlo, usare il comando PowerShell V2 di Windows Azure Active Directory:The only user accounts in your subscription that have the global admin role are the new set of dedicated global administrator accounts. Verify this with the following Windows Azure AD V2 PowerShell command: Get-AzureADDirectoryRole | Where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName
  • A tutti gli altri account utente quotidiani che gestiscono l'abbonamento sono assegnati ruoli di amministratore associati ai propri ruoli professionali.All other everyday user accounts that manage your subscription have admin roles assigned that are associated with their job responsibilities.

Nota

Vedere Connettersi a PowerShell di Office 365 per le istruzioni sull'installazione del modulo Azure AD V2 PowerShell e su come accedere.See Connect to Office 365 PowerShell for instructions on installing the Azure AD V2 PowerShell module and signing in to Office 365.

Guide al lab di test per il cloud Microsoft Guida al lab di test: proteggere gli account amministratore globaleTest Lab Guide: Protect global administrator accounts

Come checkpoint provvisorio, è possibile vedere i criteri uscita per questo passaggio.As an interim checkpoint, you can see the exit criteria for this step.

Passaggio successivoNext step

Configurare gli amministratori globali su richiestaSet up on-demand global administrators