Fase 2: criteri uscita dell'infrastruttura di retePhase 2: Identity infrastructure exit criteria

Prima di passare alla Fase 3, assicurarsi che l'infrastruttura di gestione delle identità soddisfi queste condizioni. Vedere anche Prerequisiti per ulteriori elementi consigliati sull'infrastruttura di gestione delle identità.Before you move on to Phase 3, make sure that your identity infrastructure meets these conditions. Also see Prerequisites for additional recommendations on identity infrastructure.

Obbligatorio: sono stati creati tutti gli utenti, i gruppi e l'appartenenza ai gruppiRequired: All users, groups, and group memberships have been created

Gli account e i gruppi utente sono stati creati in modo che:You've created user accounts and groups so that:

  • I dipendenti dell'organizzazione e i fornitori, i terzisti e i partner della stessa abbiano un account utente corrispondente in Azure Active Directory (AD).Employees in your organization and the vendors, contractors, and partners that work for or with your organization have a corresponding user account in Azure Active Directory (AD).
  • I gruppi di Azure AD e i relativi membri contengano account utente e altri gruppi per scopi diversi, come il provisioning delle impostazioni di sicurezza per i servizi cloud Microsoft, la gestione delle licenze automatica e altri utilizzi.Azure AD groups and their members contain user accounts and other groups for various purposes, such as the provisioning of security settings for Microsoft cloud services, automatic licensing, and other uses.

Se necessario, il Passaggio 1 può aiutare a soddisfare questo requisito.If needed, Step 1 can help you meet this requirement.

Obbligatorio: gli utenti e i gruppi sono sincronizzati con Azure ADRequired: Users and groups are synchronized with Azure AD

Se si dispone di un provider di identità locale esistente, come Windows Server Active Directory (AD), è stato utilizzato Azure AD Connect per sincronizzare i gruppi e gli account utente dal provider di identità locale al tenant di Azure AD.If you have an existing on-premises identity provider, such as Windows Server Active Directory (AD), you have used Azure AD Connect to synchronize user accounts and groups from your on-premises identity provider to your Azure AD tenant.

Grazie alla sincronizzazione della directory, gli utenti possono accedere a Office 365 e agli altri servizi cloud Microsoft utilizzando le stesse credenziali che usano per l'accesso ai loro computer e alle risorse locali.With directory synchronization, your users can sign in to Office 365 and other Microsoft cloud services using the same credentials that they use to sign in to their computers and access on-premises resources.

Se necessario, il Passaggio 2 può aiutare a soddisfare questo requisito.If needed, Step 2 can help you meet this requirement.

Se si ignora questo requisito, saranno disponibili due set di account utente e gruppi:If you skip this requirement, you’ll have two sets of user accounts and groups:

  • Gli account utente e i gruppi esistenti nel provider di identità localeUser accounts and groups that exist in your on-premises identity provider
  • Gli account utente e i gruppi esistenti nel tenant di Azure ADUser accounts and groups that exist in your Azure AD tenant

In questo stato, i due set di account e gruppi utente dovranno essere gestiti manualmente sia dagli utenti che dagli amministratori IT. Questo comporterà inevitabilmente la mancata sincronizzazione di account, password e gruppi.In this state, the two sets of user accounts and groups must be manually maintained by both IT administrators and users. This will inevitably lead to unsynchronized accounts, their passwords, and groups.

Come eseguire il testHow to test specific server roles

Per verificare il corretto funzionamento dell'autenticazione con le credenziali locali, accedere al portale di Office 365 con le credenziali locali.To verify that authentication with on-premises credentials works correctly, sign in to the Office 365 portal with your on-premises credentials.

Per verificare il corretto funzionamento della sincronizzazione della directory, eseguire le operazioni seguenti:To verify that directory synchronization is working correctly, do the following:

  1. Creare un nuovo gruppo di test in Windows Server AD.Create a new test group in Windows Server AD.
  2. Attendere la sincronizzazione.Wait for the synchronization time.
  3. Controllare il tenant di Azure AD per verificare che venga visualizzato il nome del nuovo gruppo di test.Check your Azure AD tenant to verify that the new test group name appears.

Obbligatorio: gli account di amministratore globale sono protettiRequired: Your global administrator accounts are protected

Gli account di amministratore globale di Office 365 sono stati protetti per evitare che vengano compromesse le credenziali e che quindi possa esserci la violazione di una sottoscrizione a Office 365.You've protected your Office 365 global administrator accounts to avoid compromising credentials that can lead to breaches of an Office 365 subscription.

Se si ignora questo requisito, gli account di amministratore globale potrebbero essere soggetti ad attacchi e violazioni, consentendo a terzi l'acquisizione di dati e l'utilizzo di tali informazioni per scopi di raccolta, distruzione o ricatto.If you skip this requirement, your global administrator accounts can be susceptible to attack and compromise, allowing an attacker to gain system-wide access to your data for harvesting, destruction, or ransom.

Se necessario, il Passaggio 5 può aiutare a soddisfare questo requisito.If needed, Step 5 can help you meet this requirement.

Come eseguire il testHow to test specific server roles

Utilizzare questa procedura per verificare che gli account di amministratore globale siano protetti:Use these steps to verify that you've protected your global administrator accounts:

  1. Eseguire il seguente comando di Azure AD v2 dal prompt dei comandi di PowerShell. Dovrebbe essere visualizzato solo l'elenco degli account di amministratore globale dedicati.Run the following Azure AD V2 command at the PowerShell command prompt. You should see only the list of dedicated global administrator accounts. Get-AzureADDirectoryRole | where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName
  2. Accedere a Office 365 utilizzando ognuno degli account del Passaggio 1. Ogni accesso dovrà richiedere l'autenticazione a più fattori e la forma più avanzata di autenticazione secondaria disponibile nell'organizzazione.Sign in to Office 365 using each of the accounts from step 1. Each sign in must require multi-factor authentication and the strongest form of secondary authentication available in your organization.

Nota

Vedere Connettersi a PowerShell di Office 365 per le istruzioni sull'istallazione del modulo Azure AD PowerShell v2 e sull'accesso a Office 365.See Connect to Office 365 PowerShell for instructions on installing the Azure AD V2 PowerShell module and signing in to Office 365.

Facoltativo: la schermata di accesso a Office 365 è personalizzata per l'organizzazioneOptional: The Office 365 sign-in screen is personalized for your organization

È stata utilizzata la procedura descritta in Aggiungere il marchio dell'azienda alla pagina di accesso e alle pagine del riquadro di accesso per aggiungere le informazioni personalizzate distintive dell'azienda nella pagina di accesso di Office 365.You have used Add company branding to your sign-in and Access Panel pages to add your organization’s branding to the Office 365 sign-in page.

Se si ignora questa opzione, gli utenti visualizzeranno una schermata generica di accesso a Office 365 e non avranno la certezza di effettuare l'accesso al sito dell'organizzazione.If you skip this option, your users will see a generic Office 365 sign-in screen and might not be confident that they’re signing into your organization’s site.

Se necessario, il Passaggio 3 può aiutare con questa opzione.If needed, Step 3 can help you with this option.

Come eseguire il testHow to test specific server roles

Accedere al portale di Office 365 con il nome dell'account utente e l'autenticazione a più fattori. Dovrebbero essere visualizzati gli elementi di personalizzazione nella pagina di accesso.Sign in to the Office 365 portal with your user account name and multi-factor authentication. You should see your custom branding elements on the sign-in page.

Facoltativo: l'autenticazione a più fattori è abilitata per gli utentiOptional: Multi-factor authentication is enabled for your users

È stata utilizzata la procedura descritta in Pianificare l'autenticazione a più fattori per le distribuzioni di Office 365 e Configurare l'autenticazione a più fattori per gli utenti di Office 365 per abilitare l'autenticazione a più fattori (MFA) per gli account utente.You used Plan for multi-factor authentication for Office 365 Deployments and Set up multi-factor authentication for Office 365 users to enable multifactor authentication (MFA) for your user accounts.

Se si ignora questa opzione, gli account utente saranno vulnerabili alla violazione delle credenziali ad opera di possibili attacchi informatici. In caso di violazione della password di un account utente, tutte le risorse e le funzionalità dell'account (come i ruoli di amministratore) saranno a disposizione dell'utente malintenzionato, che potrà copiare, distruggere o conservare a scopo di ricatto documenti interni o altri dati.If you skip this option, your user accounts are vulnerable to credential compromise by cyber attackers. If a user account’s password is compromised, all the resources and capabilities of the account, such as administrator roles, are available to the attacker. This allows the attacker to copy, destroy, or hold for ransom internal documents and other data.

Se necessario, il Passaggio 7 può aiutare con questa opzione.If needed, Step 7 can help you with this option.

Come eseguire il testHow to test specific server roles

  1. Creare un account utente di test nel portale di amministrazione di Office 365 e assegnargli una licenza.Create a test user account in the Office 365 Admin portal and assign them a license.
  2. Configurare l'autenticazione a più fattori per l'account utente di test con il metodo di verifica aggiuntivo in uso per gli account utente effettivi, come per esempio l'invio di un messaggio al telefono.Configure multi-factor authentication for the test user account with the additional verification method that you are using for actual user accounts, such as sending a message to your phone.
  3. Accedere al portale di Office 365 o di Azure con l'account utente di test.Sign in to the Office 365 or Azure portal with the test user account.
  4. Verificare che l'autenticazione a più fattori richieda all'utente ulteriori informazioni di verifica e abbia esito positivo.Verify that MFA prompts you for the additional verification information and results in a successful authentication.
  5. Eliminare l'account utente di test.Delete the test user account.

Facoltativo: la sincronizzazione delle directory viene monitorataOptional: Directory synchronization is monitored

È stata consultata la documentazione disponibile in Uso di Azure AD Connect Health per la sincronizzazione (per la sincronizzazione delle password) o in Uso di Azure AD Connect Health con AD FS (per l'autenticazione federata) ed è stato implementato Azure AD Connect Health, che implica quanto segue:You've used Azure AD Connect Health with sync (for password synchronization) or Using Azure AD Connect Health with AD FS (for federated authentication) and have deployed Azure AD Connect Health, which involves:

  • L'installazione dell'agente di Azure AD Connect Health su ciascuno dei server di identità locale.Installing the Azure AD Connect Health agent on each of your on-premises identity servers.
  • L'utilizzo del portale di Azure AD Connect Health per monitorare lo stato della sincronizzazione in corso.Using the Azure AD Connect Health portal to monitor the state of the ongoing synchronization.

Se si ignora questa opzione, è possibile valutare in maniera più precisa lo stato dell'infrastruttura di gestione delle identità basata sul cloud.If you skip this option, you can more accurately assess the state of your cloud-based identity infrastructure.

Se necessario, il Passaggio 4 può aiutare con questa opzione.If needed, Step 4 can help you with this option.

Come eseguire il testHow to test specific server roles

Il portale di Azure AD Connect Health mostra lo stato attuale e corretto dei server di identità locale e la sincronizzazione in corso.The Azure AD Connect Health portal shows the current and correct state of your on-premises identity servers and the ongoing synchronization.

Facoltativo: gli utenti remoti hanno accesso sicuroOptional: Remote users have secure access

Sono state utilizzate le informazioni contenute in Come garantire un accesso remoto sicuro nelle applicazioni locali per implementare Azure AD Application Proxy, che implica quanto segue:You've used the information at How to provide secure remote access to on-premises apps to deploy the Azure AD Application Proxy, which involves:

  • La configurazione di un'istanza del servizio Proxy di applicazione in Azure per trasferire il traffico Web tra gli utenti su Internet e un server che esegue il connettore Proxy di applicazione.Configuring an instance of the Application Proxy Service in Azure to transfer web traffic between users on the Internet and a server running the Application Proxy Connector.
  • La configurazione del connettore Proxy di applicazione su un server con connessione Internet per trasferire il traffico Web tra il servizio Proxy di applicazione in Azure e le applicazioni locali basate sul Web.Configuring the Application Proxy Connector on an Internet-facing server to transfer web traffic between Application Proxy Service in Azure and on-premises web-based applications.

Se si ignora questa opzione, i dipendenti, i fornitori, i terzisti e i partner in remoto o in roaming non potranno utilizzare Azure AD Application Proxy per accedere alle applicazioni locali basate sul Web. Devono utilizzare un metodo di accesso remoto più tradizionale come le reti private virtuali.If you skip this option, your remote or roaming employees and vendors, contractor, and partners will not be able to use Azure AD Application Proxy to access on-premises, web-based applications. They must use a more traditional remote access method such as virtual private networks.

Se necessario, il Passaggio 16 può aiutare con questa opzione.If needed, Step 16 can help you with this option.

Come eseguire il testHow to test specific server roles

Un utente può accedere in remoto alle applicazioni locali basate sul Web tramite Azure AD Application Proxy e le credenziali utente di Azure AD.A user can remotely access on-premises web-based applications using the Azure AD Application Proxy and their Azure AD user credentials.

Facoltativo: gli utenti possono reimpostare la propria passwordUsers can change their own passwords

È stata utilizzata la procedura descritta in Distribuzione rapida della reimpostazione della password self-service di Azure AD per configurare la reimpostazione della password per gli utenti.You've used Azure AD self-service password reset rapid deployment to configure password reset for your users.

Se non si soddisfa questa condizione, gli utenti dovranno dipendere dagli amministratori degli account utente per reimpostare le proprie password, con un sovraccarico sull'amministrazione IT.If you don’t meet this condition, users will be dependent on user account administrators to reset their passwords, resulting in additional IT administration overhead.

Se necessario, il Passaggio 10 può aiutare con questa opzione.If needed, Step 10 can help you with this option.

Come eseguire il testHow to test specific server roles

  1. Creare un account utente di test con una password iniziale.Create a test user account with an initial password.
  2. Utilizzare i passaggi illustrati in Consentire agli utenti di reimpostare le loro password in Office 365 per reimpostare la password dell'account utente di test.Use the steps in Let users reset their own passwords in Office 365 to reset the password on the test user account.
  3. Disconnettersi ed effettuare di nuovo l'accesso con l'account utente di test con la nuova password.Sign out and then sign in to the test user account using the reset password.
  4. Eliminare l'account utente di test.Delete the test user account.

Facoltativo: il writeback delle password è abilitato per gli utentiOptional: Password writeback is enabled for your users

Sono state utilizzate le istruzioni riportate in Reimpostazione delle password in modalità self-service di Azure AD con writeback delle password per abilitare il writeback delle password per il tenant di Azure AD per la sottoscrizione di Microsoft 365 Enterprise.You've used the instructions in Azure AD SSPR with password writeback to enable password writeback for the Azure AD tenant of your Microsoft 365 Enterprise subscription.

Se si ignora questa opzione, gli utenti che non sono connessi con il server locale devono reimpostare o sbloccare le password di Windows Server AD tramite un amministratore IT.If you skip this option, users who aren’t connected to your on-premises network must reset or unlock their Windows Server AD passwords through an IT administrator.

Se necessario, il Passaggio 9 può aiutare con questa opzione.If needed, Step 9 can help you with this option.

Nota

Il writeback delle password è necessario per utilizzare al meglio le funzioni di Azure AD Identity Protection, come la richiesta agli utenti di cambiare le password locali nel caso in cui Azure AD rilevi un alto rischio di violazione dell'account.Password writeback is required to fully utilize Azure AD Identity Protection features, such as requiring users to change their on-premises passwords when Azure AD has detected a high risk of account compromise.

Come eseguire il testHow to test specific server roles

Per testare il writeback delle password, è necessario cambiare la password in Office 365. Dovrebbe essere possibile usare l'account e la nuova password per accedere alle risorse di Windows Server AD locale.You test password writeback by changing your password in Office 365. You should be able to use your account and new password to access on-premises Windows Sever AD resources.

  1. Creare un account utente di test per Windows Server AD locale, consentire la sincronizzazione della directory e concedere una licenza di Office 365 nel portale di amministrazione di Office 365.Create a test user account in your on-premises Windows Server AD, allow directory synchronization to occur, and then grant it an Office 365 license in the Office 365 admin portal.
  2. Accedere al computer e al portale di Office 365 con le credenziali dell'account utente di test da un computer remoto nel dominio di Windows Server AD locale.From a remote computer that is joined to your on-premises Windows Server AD domain, sign in to the computer and the Office 365 portal using the credentials of the test user account.
  3. Selezionare Impostazioni > Impostazioni di Office 365 > Password > Cambia password.Select Settings > Office 365 settings > Password > Change password.
  4. Digitare la password corrente, inserirne una nuova e quindi confermarla.Type the current password, type a new password, and then confirm it.
  5. Disconnettersi dal portale di Office 365 e dal computer remoto e quindi accedere al computer utilizzando l'account utente di test e la relativa nuova password. Questo passaggio dimostra che è stato possibile cambiare la password di un account utente di Windows Server AD locale tramite il tenant di Azure AD.Sign out of the Office 365 portal and the remote computer and then sign in to the computer using the test user account and its new password. This proves that you were able to change the password of an on-premises Windows Server AD user account using the Azure AD tenant.

Facoltativo: gli utenti possono accedere utilizzando Single Sign-OnOptional: Users can sign in using single sign-on

È stato abilitato Azure AD Connect: accesso Single Sign-On facile per l'organizzazione, con lo scopo di semplificare l'accesso degli utenti alle applicazioni basate sul cloud, come Office 365.You enabled Azure AD Connect: Seamless Single Sign-On for your organization to simplify how users sign in to cloud-based applications, such as Office 365.

Se si ignora questa opzione, gli utenti potrebbero dover immettere le credenziali quando accedono alle applicazioni aggiuntive che utilizzano Azure AD.If you skip this option, your users might be prompted to provide credentials when they access additional applications that use Azure AD.

Se necessario, il Passaggio 8 può aiutare con questa opzione.If needed, Step 8 can help you with this option.

Facoltativo: gestione delle licenze basate su gruppo per assegnare e rimuovere automaticamente le licenze degli account utente in base all'appartenenza ai gruppiOptional: Group-based licensing to automatically assign and remove licenses to user accounts based on group membership

È stata abilitata la gestione delle licenze basate su gruppo per i gruppi di sicurezza di Azure AD appropriati in modo che le licenze di Office 365 ed EMS vengano assegnate o rimosse automaticamente.You enabled group-based licensing for the appropriate Azure AD security groups so that licenses for both Office 365 and EMS are automatically assigned or removed.

Se si ignora questa opzione, sarà necessario eseguire manualmente i seguenti passaggi:If you skip this option, you must manually:

  • Assegnare le licenze ai nuovi utenti che dovranno accedere a Office 365 ed EMS.Assign licenses to new users whom you intend to have access to Office 365 and EMS.
  • Rimuovere le licenze dagli utenti che non fanno più parte dell'organizzazione o non hanno accesso a Office 365 ed EMS.Remove licenses from users who are no longer with your organization or do not have access to Office 365 and EMS.

Se necessario, il Passaggio 11 può aiutare con questa opzione.If needed, Step 11 can help you with this option.

Come eseguire il testHow to test specific server roles

  1. Creare un gruppo di sicurezza in Azure AD con il portale di Azure e configurare la gestione delle licenze basate su gruppo per assegnare le licenze di Office 365 ed EMS.Create a test security group in Azure AD with the Azure portal and configure group-based licensing to assign Office 365 and EMS licenses.
  2. Creare un account utente di test in Azure AD e aggiungerlo al gruppo di sicurezza di test.Create a test user account in Azure AD and add it to the test security group.
  3. Esaminare le proprietà dell'account utente nel portale di amministrazione di Office 365 per verificare che le licenze di Office 365 e EMS siano state assegnate.Examine the properties of the user account in the Office 365 admin portal to ensure that it was assigned the Office 365 and EMS licenses.
  4. Rimuovere l'account utente di test dal gruppo di sicurezza di test.Remove the test user account from the test security group.
  5. Esaminare le proprietà dell'account utente per verificare che non disponga più delle licenze di Office 365 ed EMS.Examine the properties of the user account to ensure that it no longer has the Office 365 and EMS licenses assigned.
  6. Eliminare il gruppo di sicurezza di test e l'account utente di test.Delete the test security group and the test user account.

Facoltativo: le impostazioni di appartenenza a gruppi dinamici aggiungono automaticamente gli account utente ai gruppi in base agli attributi degli account utenteOptional: Dynamic group membership settings automatically add user accounts to groups based on user account attributes

È stato configurato il set di gruppi dinamici di Azure AD e sono state utilizzate le istruzioni presenti in Creare regole basate su attributi per l'appartenenza dinamica ai gruppi in Azure Active Directory per creare i gruppi e le regole che determinano il set di attributi dell'account utente e i valori di appartenenza ai gruppi.You've determined the set of Azure AD dynamic groups and used the instructions in Attribute-based dynamic group membership in Azure Active Directory to create the groups and the rules that determine the set of user account attributes and values for group membership.

Se si ignora questa opzione, l'appartenenza ai gruppi deve essere eseguita manualmente quando vengono aggiunti nuovi account o se gli attributi degli account utente cambiano con il tempo. Ad esempio, se un utente passa dal Reparto vendite al Reparto contabilità, è necessario:If you skip this option, group membership must be done manually as new accounts are added or as user account attributes change over time. For example, if someone moves from the Sales department to the Accounting department, you must:

  • Aggiornare il valore dell'attributo del reparto per quell'account utente.Update the value of the Department attribute for that user account.
  • Rimuovere manualmente l'account dal gruppo delle vendite.Manually remove them from the Sales group.
  • Aggiungere manualmente l'account al gruppo della contabilità.Manually add them to the Accounting group.

Se il gruppo delle vendite e il gruppo della contabilità erano gruppi dinamici, sarà necessario solo cambiare il valore del reparto dell'account utente.If the Sales and Accounting groups were dynamic, you would only have to change the user account’s Department value.

Se necessario, il Passaggio 12 può aiutare con questa opzione.If needed, Step 12 can help you with this option.

Come eseguire il testHow to test specific server roles

  1. Creare un gruppo di test dinamico in Azure AD con il portale di Azure e configurare una regola il reparto uguale a "test1".Create a test dynamic group in Azure AD with the Azure portal and configure a rule for the Department equals “test1”.
  2. Creare un account utente di test in Azure AD e impostare la proprietà del reparto su "test1".Create a test user account in Azure AD and set the Department property to “test1”.
  3. Esaminare le proprietà dell'account utente per verificare che sia un membro del gruppo dinamico di test.Examine the properties of the user account to ensure that it was made a member of the test dynamic group.
  4. Cambiare il valore della proprietà del reparto per l'account utente di test impostandolo su "test2".Change the value of the Department property for the test user account to “test2”.
  5. Esaminare le proprietà dell'account utente per verificare che non sia più membro del gruppo dinamico di test.Examine the properties of the user account to ensure that it is no longer a member of the test dynamic group.
  6. Eliminare il gruppo dinamico di test e l'account utente di test.Delete the test dynamic group and the test user account.

Facoltativo: la gestione dei gruppi in modalità self-service è abilitata per specifici gruppi di sicurezza di Azure AD e Office 365Optional: Self-service group management is enabled for specific Azure AD security and Office 365 groups

È stato stabilito quali gruppi soddisfano i requisiti per la gestione in modalità self-service, i relativi proprietari sono stati istruiti sulle responsabilità e sul flusso di lavoro della gestione dei gruppi ed è stata configurata la gestione in modalità self-service in Azure AD per tali gruppi.You've determined which groups are appropriate for self-service management, instructed their owners on group management workflow and responsibilities, and set up self-service management in Azure AD for those groups.

Se si ignora questa opzione, tutte le attività di gestione dei gruppi di Azure AD, dovranno essere eseguite dagli amministratori IT.If you skip this option, all Azure AD group management tasks must be done by IT administrators.

Se necessario, il Passaggio 14 può aiutare con questa opzione.If needed, Step 14 can help you with this option.

Come eseguire il testHow to test specific server roles

  1. Creare un account utente di test in Azure AD con il portale di Azure.Create a test user account in Azure AD with the Azure portal.
  2. Accedere con l'account utente di test e creare un gruppo di sicurezza di test di Azure AD.Sign-in as with the test user account and create a test Azure AD security group.
  3. Disconnettersi ed effettuare di nuovo l'accesso con l'account amministratore IT.Sign out and then sign-in with your IT administrator account.
  4. Configurare il gruppo di sicurezza di test per la gestione in modalità self-service dell'account utente di test.Configure the test security group for self-service management for the test user account.
  5. Disconnettersi ed effettuare di nuovo l'accesso con l'account utente di test.Sign out and then sign-in with your test user account.
  6. Utilizzare il portale di Azure per aggiungere membri al gruppo di sicurezza di test.Use the Azure portal to add members to the test security group.
  7. Eliminare il gruppo di sicurezza di test e l'account utente di test.Delete the test security group and the test user account.

Facoltativo: Azure AD Identity Protection è abilitato per proteggere le credenziali da eventuali violazioniOptional: Azure AD Identity Protection is enabled to protect against credential compromise

Azure AD Identity Protection è stato abilitato per:You've enabled Azure AD Identity Protection to:

  • Far fronte a potenziali vulnerabilità delle identità.Address potential identity vulnerabilities.
  • Rilevare possibili tentativi di violazione delle credenziali.Detect possible credential compromise attempts.
  • Ricercare le cause e risolvere attività sospette relative alle identità.Investigate and address ongoing suspicious identity incidents.

Se si ignora questa opzione, non sarà possibile rilevare o contrastare tentativi di violazione delle credenziali o ricercare le cause dei problemi di sicurezza relativi alle identità. Questo potrebbe rendere l'organizzazione vulnerabile alla violazione delle credenziali e alla conseguente minaccia ai dati sensibili.If you skip this option, you won’t be able to detect or automatically thwart credential compromise attempts or investigate identity-related security incidents. This potentially leaves your organization vulnerable to a successful credential compromise and the resulting threat to your organization’s sensitive data.

Se necessario, il Passaggio 15 può aiutare con questa opzione.If needed, Step 15 can help you with this option.

Facoltativo: è stato configurato Privileged Identity Management per supportare l'assegnazione su richiesta del ruolo di amministratore globaleOptional: You have set up Privileged Identity Management to support on-demand assignment of the global administrator role

Sono state utilizzate le istruzioni presenti in Configurare Azure AD Privileged Identity Management per abilitare PIM nel tenant di Azure AD e sono stati configurati gli account di amministratore globale idonei per il ruolo di amministratori.You've used the instructions in Configure Azure AD Privileged Identity Management to enable PIM in your Azure AD tenant and configured your global administrator accounts as eligible admins.

Inoltre, sono stati seguiti i consigli presenti in Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD per sviluppare una roadmap che protegga l'accesso con privilegi dagli attacchi informatici.You've also used the recommendations in Securing privileged access for hybrid and cloud deployments in Azure AD to develop a roadmap that secures privileged access against cyber attackers.

Se si ignora questa opzione, gli account di amministratore globale potranno essere soggetti ad attacco online e, se violati, un utente malintenzionato potrà raccogliere, distruggere o conservare le informazioni riservate a scopo di ricatto.If you skip this option, your global administrator accounts are subject to ongoing online attack and, if compromised, can allow an attacker to harvest, destroy, or hold your sensitive information for ransom.

Se necessario, il Passaggio 6 può aiutare con questa opzione.If needed, Step 6 can help you with this option.

Fase successivaNext phase

La fase successiva del processo di distribuzione end-to-end per Microsoft 365 Enterprise è Windows 10 Enterprise.Your next phase in the end-to-end deployment process for Microsoft 365 Enterprise is Windows 10 Enterprise.