Fase 2: Criteri di uscita dell'infrastruttura di identitàPhase 2: Identity infrastructure exit criteria

Prima di procedere con la fase 3, assicurarsi che l'infrastruttura di identità soddisfi le condizioni. Per ulteriori suggerimenti sull'infrastruttura di identità, vedere anche i prerequisiti .Before you move on to Phase 3, make sure that your identity infrastructure meets these conditions. Also see Prerequisites for additional recommendations on identity infrastructure.

Richiesto: Tutti gli utenti, gruppi e appartenenze ai gruppi sono stati creatiRequired: All users, groups, and group memberships have been created

Creati gruppi e account utente in modo che:You've created user accounts and groups so that:

  • I dipendenti dell'organizzazione e i fornitori, consulenti e partner che lavora per o con l'organizzazione dispongano di un account utente corrispondente in Azure Active Directory (AD).Employees in your organization and the vendors, contractors, and partners that work for or with your organization have a corresponding user account in Azure Active Directory (AD).
  • Gruppi di Azure Active Directory e i relativi membri contengono gli account utente e altri gruppi per vari scopi, ad esempio il provisioning delle impostazioni di protezione per servizi cloud Microsoft, gestione automatica delle licenze e altri tipi di utilizzo.Azure AD groups and their members contain user accounts and other groups for various purposes, such as the provisioning of security settings for Microsoft cloud services, automatic licensing, and other uses.

Se necessario, il passaggio 1 consentono di soddisfare questo requisito.If needed, Step 1 can help you meet this requirement.

Richiesto: Gli utenti e gruppi vengono sincronizzati con Azure Active DirectoryRequired: Users and groups are synchronized with Azure AD

Se si dispone di un provider di identità locale esistente, ad esempio Windows Server Active Directory (AD), è stato utilizzato Connetti Azure Active Directory da sincronizzare gli account utente e gruppi dal provider di identità locale al tenant di Azure Active Directory.If you have an existing on-premises identity provider, such as Windows Server Active Directory (AD), you have used Azure AD Connect to synchronize user accounts and groups from your on-premises identity provider to your Azure AD tenant.

Con la sincronizzazione delle directory, gli utenti possono accedere a Office 365 e altri servizi cloud Microsoft utilizzando le stesse credenziali utilizzate per accedere al computer e accedere alle risorse locali.With directory synchronization, your users can sign in to Office 365 and other Microsoft cloud services using the same credentials that they use to sign in to their computers and access on-premises resources.

Se necessario, il passaggio 2 consentono di soddisfare questo requisito.If needed, Step 2 can help you meet this requirement.

Se si ignora questo requisito, sarà necessario due set di account utente e gruppi:If you skip this requirement, you’ll have two sets of user accounts and groups:

  • Gli account utente e i gruppi inclusi nel provider di identità in localeUser accounts and groups that exist in your on-premises identity provider
  • Gli account utente e i gruppi presenti nel tenant di Azure Active DirectoryUser accounts and groups that exist in your Azure AD tenant

Questo stato, i due set di account utente e i gruppi devono essere gestiti manualmente gli amministratori IT sia agli utenti. In questo inevitabilmente porterà a gruppi, le password e gli account non sincronizzati.In this state, the two sets of user accounts and groups must be manually maintained by both IT administrators and users. This will inevitably lead to unsynchronized accounts, their passwords, and groups.

Come testareHow to test

Per verificare che l'autenticazione con works le credenziali locali correttamente, accedere al portale di Office 365 con le credenziali locali.To verify that authentication with on-premises credentials works correctly, sign in to the Office 365 portal with your on-premises credentials.

Per verificare che la sincronizzazione delle directory funzioni correttamente, procedere come segue:To verify that directory synchronization is working correctly, do the following:

  1. Creare un nuovo gruppo di test in Windows Server Active Directory.Create a new test group in Windows Server AD.
  2. Attendere la fase di sincronizzazione.Wait for the synchronization time.
  3. Controllare il tenant di Azure Active Directory per verificare che venga visualizzato il nome del nuovo gruppo di test.Check your Azure AD tenant to verify that the new test group name appears.

Richiesto: Gli account di amministratore globale sono protettiRequired: Your global administrator accounts are protected

Hai protetta agli account di amministratore globale di Office 365 per non compromettere le credenziali che possono causare violazioni di una sottoscrizione a Office 365.You've protected your Office 365 global administrator accounts to avoid compromising credentials that can lead to breaches of an Office 365 subscription.

Se si ignora questo requisito, l'account amministratore globale può essere soggette ad attacchi e compromesso, consentendo un utente malintenzionato ottenere l'accesso a livello di sistema per i dati per la raccolta, eliminazione o ransom.If you skip this requirement, your global administrator accounts can be susceptible to attack and compromise, allowing an attacker to gain system-wide access to your data for harvesting, destruction, or ransom.

Se necessario, il passaggio 5 consentono di soddisfare questo requisito.If needed, Step 5 can help you meet this requirement.

Come testareHow to test

Utilizzare la procedura seguente per verificare di aver protetta agli account di amministratore globale:Use these steps to verify that you've protected your global administrator accounts:

  1. Eseguire il seguente comando di Azure Active Directory V2 al prompt dei comandi di PowerShell. Verrà visualizzato solo l'elenco degli account amministratore globale dedicato.Run the following Azure AD V2 command at the PowerShell command prompt. You should see only the list of dedicated global administrator accounts. Get-AzureADDirectoryRole | where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName
  2. Accedere a Office 365 utilizzando ognuno degli account nel passaggio 1. Ogni accesso deve richiedere l'autenticazione a più fattori e la forma più sicura di autenticazione secondario disponibile nell'organizzazione.Sign in to Office 365 using each of the accounts from step 1. Each sign in must require multi-factor authentication and the strongest form of secondary authentication available in your organization.

Nota

Per istruzioni sull'installazione del modulo di Azure Active Directory V2 PowerShell e accesso a Office 365, vedere Connect to Office 365 PowerShell .See Connect to Office 365 PowerShell for instructions on installing the Azure AD V2 PowerShell module and signing in to Office 365.

Facoltativo: La schermata di accesso di Office 365 viene personalizzata per l'organizzazioneOptional: The Office 365 sign-in screen is personalized for your organization

È stato utilizzato società Add branding per l'accesso e pagine del Pannello di Access per aggiungere che l'organizzazione della personalizzazione alla pagina di accesso di Office 365.You have used Add company branding to your sign-in and Access Panel pages to add your organization’s branding to the Office 365 sign-in page.

Se questa opzione viene ignorata, gli utenti vedranno una generico Office 365 schermata di accesso e potrebbero non essere certi che si sta accedendo sito dell'organizzazione.If you skip this option, your users will see a generic Office 365 sign-in screen and might not be confident that they’re signing into your organization’s site.

Se necessario, il passaggio 3 consentono con questa opzione.If needed, Step 3 can help you with this option.

Come testareHow to test

Accedere al portale di Office 365 con il nome dell'account utente e l'autenticazione a più fattori. È consigliabile vedere agli elementi di personalizzazione personalizzati nella pagina di accesso.Sign in to the Office 365 portal with your user account name and multi-factor authentication. You should see your custom branding elements on the sign-in page.

Facoltativo: L'autenticazione a più fattori è abilitata per gli utentiOptional: Multi-factor authentication is enabled for your users

Pianificare l'autenticazione a più fattori per le distribuzioni di Office 365 e configurare l'autenticazione a più fattori per gli utenti di Office 365 è utilizzato per attivare l'autenticazione a più fattori (MFA) per gli account utente.You used Plan for multi-factor authentication for Office 365 Deployments and Set up multi-factor authentication for Office 365 users to enable multifactor authentication (MFA) for your user accounts.

Se si ignora questa opzione, gli account utente sono vulnerabili ad attacchi di credenziali compromesso da utenti malintenzionati cyber. Se la password dell'account utente viene compromesso, tutte le risorse e funzionalità dell'account, ad esempio i ruoli di amministratore, sono disponibili per l'autore dell'attacco. In questo modo l'autore dell'attacco alla copia, eliminazione o conservazione per documenti interni ransom e altri dati.If you skip this option, your user accounts are vulnerable to credential compromise by cyber attackers. If a user account’s password is compromised, all the resources and capabilities of the account, such as administrator roles, are available to the attacker. This allows the attacker to copy, destroy, or hold for ransom internal documents and other data.

Se necessario, passaggio 7 grado di aiutarti con questa opzione.If needed, Step 7 can help you with this option.

Come testareHow to test

  1. Creare un account utente di test nel portale di amministrazione di Office 365 e assegnarli una licenza.Create a test user account in the Office 365 Admin portal and assign them a license.
  2. Configurare l'autenticazione a più fattori per l'account utente di test tramite il metodo un'ulteriore verifica che si sta utilizzando per gli account utente effettivo, ad esempio l'invio di un messaggio nel telefono.Configure multi-factor authentication for the test user account with the additional verification method that you are using for actual user accounts, such as sending a message to your phone.
  3. Accedere al portale di Office 365 o Azure con l'account utente di test.Sign in to the Office 365 or Azure portal with the test user account.
  4. Verificare che MFA vengono richieste le informazioni di un'ulteriore verifica e comporta un'autenticazione eseguita correttamente.Verify that MFA prompts you for the additional verification information and results in a successful authentication.
  5. Eliminare l'account utente di test.Delete the test user account.

Facoltativo: La sincronizzazione delle Directory viene monitorataOptional: Directory synchronization is monitored

È stato utilizzato Azure Active Directory connettersi integrità con sincronizzazione (per la sincronizzazione delle password) o Integrità connettersi con Azure Active Directory con ADFS (per l'autenticazione federata) e sono stati distribuiti Azure Active Directory connettersi sanitario, che include:You've used Azure AD Connect Health with sync (for password synchronization) or Using Azure AD Connect Health with AD FS (for federated authentication) and have deployed Azure AD Connect Health, which involves:

  • L'installazione dell'agente di Azure Active Directory connettersi integrità in ogni server identity locale.Installing the Azure AD Connect Health agent on each of your on-premises identity servers.
  • Utilizzo del portale di Azure Active Directory connettersi integrità per monitorare lo stato di sincronizzazione in corso.Using the Azure AD Connect Health portal to monitor the state of the ongoing synchronization.

Se si ignora questa opzione, è possibile valutare in modo più accurato lo stato dell'infrastruttura di identità basata su cloud.If you skip this option, you can more accurately assess the state of your cloud-based identity infrastructure.

Se necessario, il passaggio 4 grado di aiutarti con questa opzione.If needed, Step 4 can help you with this option.

Come testareHow to test

Portale di Azure Active Directory connettersi integrità Mostra lo stato corrente e corretto dei server identity locale e la sincronizzazione in corso.The Azure AD Connect Health portal shows the current and correct state of your on-premises identity servers and the ongoing synchronization.

Facoltativo: Gli utenti remoti hanno accesso protettoOptional: Remote users have secure access

Si sono utilizzato le informazioni le modalità di protezione dell'accesso remoto per le applicazioni in locale per distribuire il Proxy dell'applicazione Azure Active Directory, che include:You've used the information at How to provide secure remote access to on-premises apps to deploy the Azure AD Application Proxy, which involves:

  • Configurazione di un'istanza del servizio Proxy di applicazione in Azure per trasferire il traffico web tra utenti su Internet e un server che esegue il connettore di Proxy di applicazione.Configuring an instance of the Application Proxy Service in Azure to transfer web traffic between users on the Internet and a server running the Application Proxy Connector.
  • Configurazione del connettore di Proxy di applicazione in un server con connessione Internet per trasferire il traffico web tra il servizio Proxy dell'applicazione nelle applicazioni basate sul web Azure e locale.Configuring the Application Proxy Connector on an Internet-facing server to transfer web traffic between Application Proxy Service in Azure and on-premises web-based applications.

Se si ignora questa opzione, i dipendenti remoti o mobili e fornitori, dei consulenti e partner non sarà in grado di utilizzare Azure Active Directory Proxy dell'applicazione access locale, le applicazioni basate sul web. È necessario utilizzare un metodo più tradizionale accesso remoto, ad esempio le reti private virtuali.If you skip this option, your remote or roaming employees and vendors, contractor, and partners will not be able to use Azure AD Application Proxy to access on-premises, web-based applications. They must use a more traditional remote access method such as virtual private networks.

Se necessario, passaggio 16 grado di aiutarti con questa opzione.If needed, Step 16 can help you with this option.

Come testareHow to test

Un utente può accedere in remoto applicazioni basate sul web locale utilizzando il Proxy dell'applicazione Azure Active Directory e le loro credenziali Azure Active Directory.A user can remotely access on-premises web-based applications using the Azure AD Application Proxy and their Azure AD user credentials.

Facoltativo: Gli utenti possono reimpostare le proprie passwordOptional: Users can reset their own passwords

Si è utilizzato distribuzione rapida di reimpostazione password self-service di Azure Active Directory per configurare la reimpostazione della password per gli utenti.You've used Azure AD self-service password reset rapid deployment to configure password reset for your users.

Se si non soddisfa questa condizione, gli utenti saranno dipendenti da parte degli amministratori account utente per reimpostare le password, causando un ulteriore sovraccarico amministrazione IT.If you don’t meet this condition, users will be dependent on user account administrators to reset their passwords, resulting in additional IT administration overhead.

Se necessario, passaggio 10 grado di aiutarti con questa opzione.If needed, Step 10 can help you with this option.

Come testareHow to test

  1. Creare un account utente di test con una password iniziale.Create a test user account with an initial password.
  2. Utilizzare la procedura di consentire agli utenti di reimpostare le password in Office 365 per reimpostare la password dell'account utente di test.Use the steps in Let users reset their own passwords in Office 365 to reset the password on the test user account.
  3. Disconnettersi e quindi effettuare l'accesso all'account utente di test utilizzando la reimpostazione della password.Sign out and then sign in to the test user account using the reset password.
  4. Eliminare l'account utente di test.Delete the test user account.

Facoltativo: Writeback Password è abilitato per gli utentiOptional: Password writeback is enabled for your users

Si sono utilizzato le istruzioni in Azure Active Directory SSPR con password writeback per abilitare il writeback password per il tenant di Azure Active Directory dell'abbonamento Microsoft 365 Enterprise.You've used the instructions in Azure AD SSPR with password writeback to enable password writeback for the Azure AD tenant of your Microsoft 365 Enterprise subscription.

Se si ignora questa opzione, gli utenti che non sono connessi alla rete locale devono reimpostare o sblocca le password di Windows Server Active Directory a un amministratore IT.If you skip this option, users who aren’t connected to your on-premises network must reset or unlock their Windows Server AD passwords through an IT administrator.

Se necessario, il passaggio 9 grado di aiutarti con questa opzione.If needed, Step 9 can help you with this option.

Nota

Writeback password è necessario al meglio le funzionalità di protezione di Azure Active Directory identità, ad esempio richiedere agli utenti di modificare le password locali quando Azure Active Directory è stata rilevata un ad alto rischio di compromissione account.Password writeback is required to fully utilize Azure AD Identity Protection features, such as requiring users to change their on-premises passwords when Azure AD has detected a high risk of account compromise.

Come testareHow to test

Per verificare il writeback password, la modifica della password in Office 365. È possibile utilizzare l'account e la nuova password per accedere a risorse di Windows Server Active Directory in locale.You test password writeback by changing your password in Office 365. You should be able to use your account and new password to access on-premises Windows Sever AD resources.

  1. Creare un account utente di test in locale Windows Server Active Directory, consente la sincronizzazione delle directory per l'esecuzione e quindi concedere a tale una licenza di Office 365 nel portale di amministrazione di Office 365.Create a test user account in your on-premises Windows Server AD, allow directory synchronization to occur, and then grant it an Office 365 license in the Office 365 admin portal.
  2. Da un computer remoto appartenente al dominio di Windows Server Active Directory locale, accedere al computer e il portale di Office 365 utilizzando le credenziali dell'account utente di test.From a remote computer that is joined to your on-premises Windows Server AD domain, sign in to the computer and the Office 365 portal using the credentials of the test user account.
  3. Selezionare Impostazioni > Impostazioni di Office 365 > Password > Modifica password.Select Settings > Office 365 settings > Password > Change password.
  4. Digitare la password attuale, digitare una nuova password e confermarla.Type the current password, type a new password, and then confirm it.
  5. Disconnettersi da portale di Office 365 e il computer remoto e quindi accedere al computer utilizzando l'account utente di test e la nuova password. Ciò può rivelarsi sono stati in grado di modificare la password di un account utente di Windows Server Active Directory locale utilizzando il tenant di Azure Active Directory.Sign out of the Office 365 portal and the remote computer and then sign in to the computer using the test user account and its new password. This proves that you were able to change the password of an on-premises Windows Server AD user account using the Azure AD tenant.

Facoltativo: Gli utenti possono accedere utilizzando single sign-onOptional: Users can sign in using single sign-on

È abilitato Connetti Azure Active Directory: Single Sign-On agevole per l'organizzazione semplificare la modalità gli utenti accedono alle applicazioni basate su cloud, ad esempio Office 365.You enabled Azure AD Connect: Seamless Single Sign-On for your organization to simplify how users sign in to cloud-based applications, such as Office 365.

Se questa opzione viene ignorata, gli utenti potrebbe essere richiesto per fornire le credenziali quando accedono a ulteriori applicazioni che utilizzano Azure Active Directory.If you skip this option, your users might be prompted to provide credentials when they access additional applications that use Azure AD.

Se necessario, il passaggio 8 grado di aiutarti con questa opzione.If needed, Step 8 can help you with this option.

Facoltativo: Basata su gruppo di licenze per assegnare automaticamente e rimuovere licenze agli account utente in base all'appartenenzaOptional: Group-based licensing to automatically assign and remove licenses to user accounts based on group membership

È stato abilitato basata su gruppo di licenze per Azure AD appropriato gruppi di protezione in modo che le licenze per Office 365 ed EMS vengono automaticamente assegnate o rimossi.You enabled group-based licensing for the appropriate Azure AD security groups so that licenses for both Office 365 and EMS are automatically assigned or removed.

Se questa opzione viene ignorata, è necessario eseguire manualmente:If you skip this option, you must manually:

  • Assegnare licenze agli utenti nuovi che si prevede di disporre dell'accesso a Office 365 e questa funzionalità.Assign licenses to new users whom you intend to have access to Office 365 and EMS.
  • Rimuovere licenze dagli utenti che non sono più con l'organizzazione o non hanno accesso a Office 365 e questa funzionalità.Remove licenses from users who are no longer with your organization or do not have access to Office 365 and EMS.

Se necessario, passaggio 11 grado di aiutarti con questa opzione.If needed, Step 11 can help you with this option.

Come testareHow to test

  1. Creare un gruppo di sicurezza di test in Azure Active Directory con il portale di Azure e configurare le licenze per assegnare le licenze di Office 365 e questa funzionalità basate su gruppo.Create a test security group in Azure AD with the Azure portal and configure group-based licensing to assign Office 365 and EMS licenses.
  2. Creare un account utente di test in Azure Active Directory e aggiungerlo al gruppo di sicurezza di test.Create a test user account in Azure AD and add it to the test security group.
  3. Esaminare le proprietà dell'account utente nel portale di amministrazione di Office 365 per verificare che le licenze di Office 365 e questa funzionalità era assegnato.Examine the properties of the user account in the Office 365 admin portal to ensure that it was assigned the Office 365 and EMS licenses.
  4. Rimuovere l'account utente di test dal gruppo di sicurezza di test.Remove the test user account from the test security group.
  5. Esaminare le proprietà dell'account utente per verificare non sono più disponibili le licenze di Office 365 ed EMS assegnate.Examine the properties of the user account to ensure that it no longer has the Office 365 and EMS licenses assigned.
  6. Eliminare il gruppo di sicurezza di test e l'account utente di test.Delete the test security group and the test user account.

Facoltativo: Le impostazioni di appartenenza al gruppo dinamico aggiunta automatica degli account utente ai gruppi in base agli attributi di account utenteOptional: Dynamic group membership settings automatically add user accounts to groups based on user account attributes

Aver determinato l'insieme di gruppi dinamici Azure Active Directory e utilizzare le istruzioni riportate nell'appartenenza al gruppo dinamico basato sugli attributi di Azure Active Directory per creare i gruppi e le regole che determinano il set di attributi degli account utente e i valori per gruppo appartenenza al gruppo.You've determined the set of Azure AD dynamic groups and used the instructions in Attribute-based dynamic group membership in Azure Active Directory to create the groups and the rules that determine the set of user account attributes and values for group membership.

Se questa opzione viene ignorata l'appartenenza al gruppo deve essere eseguita manualmente quando vengono aggiunti nuovi account o come account utente utilizzato per modificano gli attributi nel tempo. Ad esempio, se un utente sposta il reparto vendite al reparto contabilità, è necessario:If you skip this option, group membership must be done manually as new accounts are added or as user account attributes change over time. For example, if someone moves from the Sales department to the Accounting department, you must:

  • Aggiornare il valore dell'attributo del reparto per tale account utente.Update the value of the Department attribute for that user account.
  • Rimuoverle dal gruppo di Sales.Manually remove them from the Sales group.
  • Manualmente aggiungerli al gruppo di contabilità.Manually add them to the Accounting group.

Se il reparto vendite e contabilità gruppi sono stati dinamici, è solo modificare il valore di reparto dell'account utente.If the Sales and Accounting groups were dynamic, you would only have to change the user account’s Department value.

Se necessario, passaggio 12 grado di aiutarti con questa opzione.If needed, Step 12 can help you with this option.

Come testareHow to test

  1. Creare un gruppo dinamico test in Azure Active Directory con il portale di Azure e configurare una regola per i "test1" uguale a reparto.Create a test dynamic group in Azure AD with the Azure portal and configure a rule for the Department equals “test1”.
  2. Creare un account utente di test in Azure Active Directory e impostare la proprietà reparto a "test1".Create a test user account in Azure AD and set the Department property to “test1”.
  3. Esaminare le proprietà dell'account utente per verificare che è stato effettuato un membro del gruppo dinamico test.Examine the properties of the user account to ensure that it was made a member of the test dynamic group.
  4. Modificare il valore della proprietà reparto per l'account utente di test a "test2".Change the value of the Department property for the test user account to “test2”.
  5. Esaminare le proprietà dell'account utente per verificare che non è più di un membro del gruppo dinamico test.Examine the properties of the user account to ensure that it is no longer a member of the test dynamic group.
  6. Eliminare il gruppo dinamico test e l'account utente di test.Delete the test dynamic group and the test user account.

Facoltativo: Gestione dei gruppi self-service è attivata per specifiche Azure Active Directory gruppi di sicurezza e Office 365Optional: Self-service group management is enabled for specific Azure AD security and Office 365 groups

Avere determinato quali gruppi è appropriati per la gestione self-service, indicato i proprietari del flusso di lavoro di gruppo Gestione e responsabilità e set up gestione self-service in Azure Active Directory per tali gruppi.You've determined which groups are appropriate for self-service management, instructed their owners on group management workflow and responsibilities, and set up self-service management in Azure AD for those groups.

Se si ignora questa opzione, tutte le attività di gestione di Azure Active Directory gruppo deve essere eseguita da amministratori IT.If you skip this option, all Azure AD group management tasks must be done by IT administrators.

Se necessario, il passaggio 14 grado di aiutarti con questa opzione.If needed, Step 14 can help you with this option.

Come testareHow to test

  1. Creare un account utente di test in Azure Active Directory con il portale di Azure.Create a test user account in Azure AD with the Azure portal.
  2. Accesso come per l'account utente di test e creare un gruppo di sicurezza test Azure Active Directory.Sign-in as with the test user account and create a test Azure AD security group.
  3. Disconnettersi e quindi accesso con l'account di amministratore IT.Sign out and then sign-in with your IT administrator account.
  4. Configurare il gruppo di sicurezza di test per la gestione self-service per l'account utente di test.Configure the test security group for self-service management for the test user account.
  5. Disconnettersi e quindi accesso con l'account utente di test.Sign out and then sign-in with your test user account.
  6. Utilizzare il portale di Azure per aggiungere membri al gruppo di sicurezza di test.Use the Azure portal to add members to the test security group.
  7. Eliminare il gruppo di sicurezza di test e l'account utente di test.Delete the test security group and the test user account.

Facoltativo: Azure protezione identità Active Directory è abilitata per la protezione da violazione della credenzialeOptional: Azure AD Identity Protection is enabled to protect against credential compromise

Avere abilitato la protezione di identità di Azure Active Directory per:You've enabled Azure AD Identity Protection to:

  • Indirizzo potenziale vulnerabilità di identità.Address potential identity vulnerabilities.
  • Rileva le credenziali possibili compromesso tentativi.Detect possible credential compromise attempts.
  • Analizzare e risolvere risolte identità potenzialmente dannoso in corso.Investigate and address ongoing suspicious identity incidents.

Se si ignora questa opzione, non sarà in grado di rilevare automaticamente impedire credenziali compromesso tentativi o analizzare i problemi di protezione relative a identità. Questo potenzialmente vulnerabile dell'organizzazione a una violazione della credenziale ha esito positivo e minaccia risultante per i dati riservati dell'organizzazione.If you skip this option, you won’t be able to detect or automatically thwart credential compromise attempts or investigate identity-related security incidents. This potentially leaves your organization vulnerable to a successful credential compromise and the resulting threat to your organization’s sensitive data.

Se necessario, passaggio 15 grado di aiutarti con questa opzione.If needed, Step 15 can help you with this option.

Facoltativo: Sono state impostate privilegiato gestione dell'identità per supportare l'assegnazione di ruolo amministratore globale su richiestaOptional: You have set up Privileged Identity Management to support on-demand assignment of the global administrator role

È stato utilizzato le istruzioni di gestione delle identità configurare privilegiato Azure Active Directory per consentire personali nel tenant di Azure Active Directory e configurato gli account di amministratore globale admins idonee.You've used the instructions in Configure Azure AD Privileged Identity Management to enable PIM in your Azure AD tenant and configured your global administrator accounts as eligible admins.

Si utilizza i suggerimenti in protezione con privilegi di accesso per le distribuzioni ibride e cloud in Azure Active Directory per sviluppare un piano che viene protetto tramite accesso privilegiato dagli attacchi cyber.You've also used the recommendations in Securing privileged access for hybrid and cloud deployments in Azure AD to develop a roadmap that secures privileged access against cyber attackers.

Se questa opzione viene ignorata, gli account di amministratore globale sono soggette all'attacco in linea in corso e, se compromesso, un utente malintenzionato acquisire, eliminare o devono contenere le informazioni riservate per ransom.If you skip this option, your global administrator accounts are subject to ongoing online attack and, if compromised, can allow an attacker to harvest, destroy, or hold your sensitive information for ransom.

Se necessario, passaggio 6 grado di aiutarti con questa opzione.If needed, Step 6 can help you with this option.

Fase successivaNext phase

La fase successiva del processo di distribuzione end-to-end per Microsoft 365 è Enteprise 10 di Windows.Your next phase in the end-to-end deployment process for Microsoft 365 is Windows 10 Enteprise.