Proteggere gli account di amministratore globale nell'ambiente di testing di Microsoft 365 per l'organizzazioneProtect global administrator accounts in your Microsoft 365 for enterprise test environment

Questa guida del laboratorio di testing può essere utilizzata solo per Microsoft 365 per gli ambienti di testing dell'organizzazione.This Test Lab Guide can only be used for Microsoft 365 for enterprise test environments.

È possibile impedire attacchi digitali all'organizzazione assicurando che gli account di amministratore siano il più sicuro possibile.You can prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible.

In questo articolo viene descritto come utilizzare i criteri di accesso condizionale di Azure Active Directory (Azure AD) per proteggere gli account di amministratore globale.This article describes how to use Azure Active Directory (Azure AD) conditional access policies to protect global administrator accounts.

La protezione degli account di amministratore globale nell'ambiente di testing di Microsoft 365 per l'organizzazione implica due fasi:Protecting global administrator accounts in your Microsoft 365 for enterprise test environment involves two phases:

Guide al lab di test per il cloud Microsoft

Suggerimento

Per una mappa visiva su tutti gli articoli della guida del laboratorio di testing di Microsoft 365 for Enterprise, accedere a microsoft 365 per la guida dello stack del laboratorio di testing dell'organizzazione.For a visual map to all the articles in the Microsoft 365 for enterprise Test Lab Guide stack, go to Microsoft 365 for enterprise Test Lab Guide Stack.

Fase 1: creare l'ambiente di testing di Microsoft 365 per l'organizzazionePhase 1: Build out your Microsoft 365 for enterprise test environment

Se si desidera testare la protezione degli account amministratore globale con i requisiti minimi, seguire le istruzioni contenute in Lightweight base Configuration.If you want to test global administrator account protection in a lightweight way with the minimum requirements, follow the instructions in Lightweight base configuration.

Se si desidera testare la protezione degli account amministratore globale in un'azienda simulata, seguire le istruzioni riportate nell' autenticazione pass-through.If you want to test global administrator account protection in a simulated enterprise, follow the instructions in Pass-through authentication.

Nota

Testing Global Administrator account Protection non richiede l'ambiente di testing dell'organizzazione simulata, che include una rete Intranet simulata connessa a Internet e la sincronizzazione della directory per un servizio di dominio Active Directory (AD DS).Testing global administrator account protection does not require the simulated enterprise test environment, which includes a simulated intranet connected to the internet and directory synchronization for an Active Directory Domain Services (AD DS). Viene fornito come opzione in modo che sia possibile testare la protezione degli account amministratore globale e sperimentarla in un ambiente che rappresenta un'organizzazione tipica.It is provided here as an option so that you can test global administrator account protection and experiment with it in an environment that represents a typical organization.

Fase 2: configurare i criteri di accesso condizionalePhase 2: Configure conditional access policies

Per prima cosa, creare un nuovo account utente come amministratore globale dedicato.First, create a new user account as a dedicated global administrator.

  1. In una scheda separata, aprire l'interfaccia di amministrazione di Microsoft 365.On a separate tab, open the Microsoft 365 admin center.
  2. Selezionare utenti > attivie quindi fare clic su Aggiungi utente.Select Users > Active users, and then select Add a user.
  3. Nel riquadro Aggiungi utente , immettere DedicatedAdmin nelle caselle nomee cognome, nome visualizzatoe nome utente .In the Add user pane, enter DedicatedAdmin in the First name, Display name, and Username boxes.
  4. Seleziona password, quindi fammi creare la passworde quindi immetti una password complessa.Select Password, select Let me create the password, and then enter a strong password. Registrare la password per il nuovo account in una posizione sicura.Record the password for this new account in a secure location.
  5. Selezionare Avanti.Select Next.
  6. Nel riquadro assegna licenze di prodotto , selezionare Microsoft 365 E5, quindi fare clic su Avanti.In the Assign product licenses pane, select Microsoft 365 E5, and then select Next.
  7. Nel riquadro impostazioni facoltative , selezionare ruoliamministratore dell'interfaccia di amministrazione di > accesso > globale > successivo.In the Optional settings pane, select Roles > Admin center access > Global admin > Next.
  8. Nel riquadro quasi finito , selezionare fine aggiunta, quindi selezionare Chiudi.On the You're almost done pane, select Finish adding, and then select Close.

Successivamente, creare un nuovo gruppo denominato GlobalAdmins e aggiungere l'account di DedicatedAdmin.Next, create a new group named GlobalAdmins and add the DedicatedAdmin account to it.

  1. Nella scheda dell'interfaccia di amministrazione di Microsoft 365 selezionare gruppi nel riquadro di spostamento sinistro e quindi selezionare gruppi.On the Microsoft 365 admin center tab, select Groups in the left navigation, and then select Groups.
  2. Selezionare Aggiungi un gruppo.Select Add a group.
  3. Nel riquadro scegliere un tipo di gruppo , selezionare sicurezza, quindi fare clic su Avanti.In the Choose a group type pane, select Security, and then select Next.
  4. Nel riquadro Configura le nozioni di base , selezionare Crea gruppoe quindi Chiudi.In the Set up the basics pane, select Create group, and then select Close.
  5. Nel riquadro revisione e termina aggiunta gruppo , immettere GlobalAdmins, quindi fare clic su Avanti.In the Review and finish adding group pane, enter GlobalAdmins, and then select Next.
  6. Nell'elenco dei gruppi, selezionare il gruppo GlobalAdmins .In the list of groups, select the GlobalAdmins group.
  7. Nel riquadro GlobalAdmins , selezionare membri, quindi fare clic su Visualizza tutti e Gestisci membri.In the GlobalAdmins pane, select Members, and then select View all and manage members.
  8. Nel riquadro GlobalAdmins , selezionare Aggiungi membri, selezionare l'account DedicatedAdmin e l'account di amministratore globale e quindi fare clic su Salva > Chiudi Chiudi > Close.In the GlobalAdmins pane, select Add members, select the DedicatedAdmin account and your global admin account, and then select Save > Close > Close.

Successivamente, creare criteri di accesso condizionale per richiedere l'autenticazione a più fattori per gli account di amministratore globale e negare l'autenticazione se il rischio di ingresso è medio o elevato.Next, create conditional access policies to require multi-factor authentication for global administrator accounts and to deny authentication if the sign-in risk is medium or high.

Questo primo criterio richiede che tutti gli account di amministratore globale utilizzino AMF.This first policy requires that all global administrator accounts use MFA.

  1. In una nuova scheda del browser, passare a https://portal.azure.com .In a new tab of your browser, go to https://portal.azure.com.
  2. Fare Azure Active Directoryclic su > Security > accesso condizionaleper la sicurezza di Azure Active Directory.Click Azure Active Directory > Security > Conditional Access.
  3. Nel riquadro criteri di accesso condizionale selezionare criteri di base: richiedere l'autenticazione master per gli amministratori (anteprima).In the Conditional access – Policies pane, select Baseline policy: Require MFA for admins (preview).
  4. Nel riquadro criteri di base , selezionare usa criteri immediatamente > Salva.In the Baseline policy pane, select Use policy immediately > Save.

Questo secondo criterio blocca l'accesso all'autenticazione dell'account amministratore globale quando il rischio di ingresso è medio o elevato.This second policy blocks access to global administrator account authentication when the sign-in risk is medium or high.

  1. Nel riquadro criteri di accesso condizionale selezionare nuovo criterio.In the Conditional access – Policies pane, select New policy.
  2. Nel nuovo riquadro, immettere gli amministratori globali in nome.In the New pane, enter Global administrators in Name.
  3. Nella sezione assegnazioni selezionare utenti e gruppi.In the Assignments section, select Users and groups.
  4. Nella scheda Includi del riquadro utenti e gruppi Selezionare Seleziona utenti e gruppi utenti e > gruppi > Select.On the Include tab of the Users and groups pane, select Select users and groups > Users and groups > Select.
  5. Nel riquadro Seleziona selezionare il gruppo GlobalAdmins e quindi selezionare > fine.In the Select pane, select the GlobalAdmins group, and then select Select > Done.
  6. Nella sezione assegnazioni selezionare condizioni.In the Assignments section, select Conditions.
  7. Nel riquadro condizioni selezionare rischio di accesso, selezionare per Configura, selezionare alto e medioe quindi selezionare Seleziona e Chiudi.In the Conditions pane, select Sign-in risk, select Yes for Configure, select High and Medium, and then select Select and Done.
  8. Nella sezione controlli di accesso del nuovo riquadro selezionare Concedi.In the Access controls section of the New pane, select Grant.
  9. Nel riquadro Concedi selezionare blocca l'accessoe quindi selezionare Seleziona.In the Grant pane, select Block access, and then select Select.
  10. Nel nuovo riquadro, selezionare attivato per attivare il criterio, quindi selezionare Crea.In the New pane, select On for Enable policy, and then select Create.
  11. Chiudere le schede di interfaccia di amministrazione di Azure Portal e Microsoft 365 .Close the Azure portal and Microsoft 365 admin center tabs.

Per testare il primo criterio, disconnettersi e accedere con l'account DedicatedAdmin.To test the first policy, sign out and sign in with the DedicatedAdmin account. È necessario che venga richiesto di configurare l'autenticazione master.You should be prompted to configure MFA. Questo dimostra che il primo criterio viene applicato.This demonstrates that the first policy is being applied.

Passaggio successivoNext step

Esplorare altre caratteristiche e funzionalità identità nell'ambiente di test.Explore additional identity features and capabilities in your test environment.

Vedere ancheSee also

Roadmap dell'identitàIdentity roadmap

Guide ai lab di test di Microsoft 365 per le aziendeMicrosoft 365 for enterprise Test Lab Guides

Panoramica di Microsoft 365 per le aziendeMicrosoft 365 for enterprise overview

Microsoft 365 per la documentazione relativa all'organizzazioneMicrosoft 365 for enterprise documentation