Configurare Privileged Access Management

  • 9 minuti

La configurazione di Privileged Access Management (PAM) in Microsoft Purview consente alle organizzazioni di applicare controlli di accesso strutturati, riducendo i rischi associati alle autorizzazioni amministrative permanenti.

Prerequisiti

Prima di configurare PAM, verificare che siano soddisfatti i prerequisiti seguenti:

  • Sottoscrizione di Microsoft 365: verificare che la sottoscrizione dell'organizzazione includa il supporto per PAM. Controllare i dettagli della sottoscrizione.
  • Ruoli appropriati: assicurarsi di avere il ruolo Amministratore globale o Amministratore di Exchange per configurare PAM.
  • Pianificare i gruppi di accesso: determinare i responsabili approvazione e gli account di sistema per le richieste di accesso con privilegi.

Passaggi per configurare la gestione degli accessi con privilegi

Seguire questa procedura per configurare PAM nell'organizzazione:

1. Creare il gruppo di un responsabile approvazione

I gruppi responsabili dell'approvazione sono responsabili della revisione e dell'autorizzazione delle richieste di accesso con privilegi. La configurazione di un gruppo di sicurezza abilitato alla posta elettronica garantisce che le richieste vengano instradate in modo appropriato.

  1. Accedere al interfaccia di amministrazione di Microsoft 365 usando le credenziali di amministratore.

  2. Passare a Teams & gruppi>Team attivi & gruppi usando le credenziali di amministratore.

  3. Selezionare la scheda Gruppi di sicurezza e quindi scegliere Aggiungi un gruppo di sicurezza abilitato alla posta elettronica.

    Screenshot che mostra come aggiungere un gruppo di sicurezza abilitato alla posta elettronica.

  4. Nella pagina Configura le nozioni di base immettere i dettagli seguenti:

    • Nome: specificare un nome descrittivo per il gruppo.
    • Descrizione: aggiungere una breve descrizione dello scopo del gruppo.

  5. Nella pagina Assegna proprietari assegnare un proprietario per il gruppo.

  6. Nella pagina Aggiungi membri aggiungere utenti che fungeranno da responsabili approvazione.

  7. Nella pagina Modifica impostazioni configurare l'indirizzo di posta elettronica del gruppo.

  8. Selezionare Crea gruppo. Attendere alcuni minuti per la configurazione completa del gruppo.

2. Abilitare la gestione degli accessi con privilegi

L'abilitazione di PAM attiva i flussi di lavoro di approvazione, assicurando che le attività amministrative sensibili richiedano autorizzazioni elevate concesse tramite processi controllati.

Abilitare la gestione degli accessi con privilegi tramite Amministrazione Microsoft 365 Center

  1. Accedere al centro Amministrazione Microsoft 365.

  2. Passare a Impostazioni Impostazioni>>organizzazioneSicurezza & privacy>Accesso con privilegi.

    Screenshot che mostra dove accedere all'impostazione Accesso con privilegi.

  3. Selezionare la casella di controllo Consenti richieste di accesso con privilegi e scegliere un gruppo di approvazione predefinito.

  4. Assegnare il gruppo del responsabile approvazione creato nel passaggio 1 come gruppo di approvazione predefinito.

    Screenshot che mostra come assegnare un gruppo di approvazione.

  5. Salvare e chiudere le impostazioni.

Abilitare la gestione degli accessi con privilegi tramite PowerShell

Usare il Enable-ElevatedAccessControl cmdlet in Exchange Online PowerShell per abilitare la gestione degli accessi con privilegi e assegnare il gruppo responsabile approvazione. Ciò garantisce che le attività con privilegi richiedano l'approvazione e definisce il gruppo responsabile dell'approvazione di queste richieste:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Esempio:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Il -AdminGroup parametro specifica il gruppo di sicurezza abilitato alla posta elettronica per le approvazioni, mentre il -SystemAccounts parametro esclude account specifici dai controlli di accesso con privilegi, consentendo alle operazioni di sistema essenziali di continuare senza interruzioni.

3. Creare criteri di accesso

I criteri di accesso definiscono le regole in base alle quali viene concesso l'accesso con privilegi. Questi criteri garantiscono che le autorizzazioni elevate vengano fornite solo quando necessario e in condizioni definite.

Creare un criterio di accesso usando il Centro Amministrazione Microsoft 365

  1. Passare a Impostazioni Impostazioni>organizzazione>Sicurezza & privacy>Accesso con privilegi.

  2. Selezionare Crea criteri e gestire le richieste>Gestisci criteri>Aggiungi criterio.

  3. Configurare i criteri:

    • Tipo di criterio: Attività, Ruolo o Gruppo di ruoli

    • Ambito del criterio: Exchange

    • Nome criterio: selezionare tra le opzioni disponibili

    • Tipo di approvazione: Manuale o Automatica

    • Responsabili approvazione: selezionare il gruppo del responsabile approvazione, se il tipo di approvazione è impostato su Manuale

    Screenshot che mostra i campi per aggiungere un criterio di gestione degli accessi con privilegi.

  4. Selezionare Crea per aggiungere un nuovo criterio di gestione degli accessi con privilegi.

Creare un criterio di accesso usando PowerShell di gestione di Exchange

Usare il New-ElevatedAccessApprovalPolicy cmdlet in PowerShell per creare un criterio di accesso con privilegi. Questo criterio definisce le condizioni in cui le attività con privilegi elevati vengono approvate ed eseguite:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Esempio:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task: specifica il cmdlet di Exchange che richiede l'approvazione dell'accesso con privilegi.
  • -ApprovalType: determina se l'approvazione viene gestita manualmente da un gruppo di responsabili approvazione (manuale) o automaticamente (auto).
  • -ApproverGroup: identifica il gruppo di sicurezza abilitato alla posta elettronica responsabile dell'approvazione delle richieste quando -ApprovalType è impostato su Manuale.

4. Testare e usare la gestione degli accessi con privilegi

Il test garantisce che i criteri e i flussi di lavoro configurati funzionino come previsto, consentendo agli utenti di inviare richieste e responsabili approvazione di agire su di essi.

  • Inviare una richiesta: gli utenti possono richiedere autorizzazioni elevate per le attività passando alla sezione Accesso con privilegi nel Centro Amministrazione Microsoft 365 o usando PowerShell.

  • Approvare una richiesta: i responsabili approvazione esaminano e agiscono sulle richieste tramite notifiche tramite posta elettronica o direttamente nel Centro Amministrazione Microsoft 365.

La configurazione della gestione degli accessi con privilegi garantisce autorizzazioni amministrative sicure e temporanee per le attività sensibili. Creando gruppi di responsabili approvazione, abilitando PAM e definendo i criteri di accesso, le organizzazioni possono applicare il principio dei privilegi minimi e migliorare il proprio comportamento di sicurezza. Controlli e verifiche regolari rafforzano ulteriormente l'efficacia di PAM nella protezione di configurazioni e dati critici.