Gestire la gestione degli accessi con privilegi

  • 9 minuti

La gestione di Privileged Access Management (PAM) comporta il monitoraggio e la gestione dei flussi di lavoro, dei criteri e delle approvazioni associati all'accesso amministrativo con privilegi.

Gestire le richieste

La gestione delle richieste è la funzione principale di Privileged Access Management (PAM), che garantisce che le attività sensibili che richiedono autorizzazioni elevate siano autorizzate solo quando necessario. L'invio, l'approvazione o la negazione delle richieste garantisce che le azioni amministrative siano controllate, registrate e conformi ai criteri di sicurezza.

Inviare una richiesta

L'invio di una richiesta consente agli utenti di ottenere autorizzazioni con privilegi elevati temporanei per eseguire attività che richiedono privilegi più elevati. Ciò garantisce che le operazioni sensibili vengano completate in modo sicuro senza concedere l'accesso permanente, riducendo il rischio di uso improprio o violazioni. Le richieste di accesso privilegiato sono valide per un massimo di 24 ore dopo l'invio della richiesta. Se non sono approvate o negate, le richieste scadono e l'accesso non viene approvato.

Inviare una richiesta usando Amministrazione Microsoft 365 Center

  1. Accedere al centro Amministrazione Microsoft 365.

  2. Passare a Impostazioni Impostazioni>organizzazione>Sicurezza & privacy>Accesso con privilegi.

  3. Selezionare Crea criteri e gestire le richieste>Richiedere l'accesso e completare il modulo:

    • Tipo: attività, ruolo o gruppo di ruoli

    • Ambito: Exchange

    • Accesso a: Selezionare tra le opzioni disponibili

    • Durata (ore): numero di ore di accesso richiesto. Non esiste un limite al numero di ore che è possibile richiedere.

    • Motivo: specificare un motivo per la richiesta

  4. Selezionare Crea per creare una nuova richiesta di gestione degli accessi con privilegi.

Inviare una richiesta con PowerShell

Usare il New-ElevatedAccessRequest cmdlet in PowerShell per inviare una richiesta di accesso con privilegi. Questa richiesta concede temporaneamente autorizzazioni elevate per un'attività specificata:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Esempio:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
  • -Task: specifica il cmdlet di Exchange per il quale viene richiesto l'accesso con privilegi.
  • -Reason: fornisce una giustificazione per la richiesta.
  • -DurationHours: definisce la durata (in ore) per l'accesso con privilegi elevati.

Approvare o rifiutare richieste

L'approvazione o la negazione delle richieste consente ai responsabili approvazione di valutare la necessità e l'appropriatezza della richiesta di accesso con privilegi elevati di un utente. Questo passaggio applica i criteri di sicurezza dell'organizzazione e garantisce che solo gli utenti autorizzati possano eseguire attività con privilegi.

Approvare o negare una richiesta usando il Centro Amministrazione Microsoft 365

  1. I responsabili approvazione ricevono una notifica tramite posta elettronica per la richiesta.

    Screenshot che mostra la ricezione da parte dei responsabili approvazione delle notifiche per la gestione degli accessi con privilegi.

  2. I responsabili approvazione possono accedere all'interfaccia di amministrazione e:

    • Esaminare i dettagli della richiesta

    • Approvare o negare la richiesta

    Screenshot che mostra come approvare o negare una richiesta di gestione degli accessi con privilegi.

  3. Le richieste approvate consentono all'utente di completare l'attività entro la durata specificata.

Approvare o negare una richiesta tramite PowerShell

Per approvare o negare le richieste di gestione degli accessi con privilegi con PowerShell:

  • Approvare una richiesta:

    Usare il Approve-ElevatedAccessRequest cmdlet per concedere una richiesta di accesso inviata:

    Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

    Esempio:

    Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

  • Nega una richiesta:

    Usare il Deny-ElevatedAccessRequest cmdlet per rifiutare una richiesta di accesso inviata:

    Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

    Esempio:

    Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

  • -RequestId: identifica la richiesta specifica da approvare.

  • -Comment: aggiunge commenti facoltativi relativi alla decisione di approvazione o rifiuto.

Visualizzare, modificare ed eliminare criteri

I criteri di accesso con privilegi sono la spina dorsale di PAM, che definisce le condizioni in cui viene concesso l'accesso. La revisione, la modifica e la rimozione dei criteri garantiscono che le configurazioni di sicurezza dell'organizzazione rimangano aggiornate e allineate alle esigenze operative.

Visualizzare, modificare ed eliminare criteri usando il centro Amministrazione Microsoft 365

  1. Passare a Impostazioni Impostazioni>organizzazione>Sicurezza & privacy>Accesso con privilegi.

  2. Selezionare Crea criteri e gestisci richieste>Gestisci criteri.

Da qui è possibile:

  • Visualizzare i criteri: esaminare tutti i criteri configurati e i relativi dettagli.

  • Modificare i criteri: aggiornare campi come:

    • Aggiornare il tipo di approvazione per passare dall'approvazione manuale all'approvazione automatica.

    • Modificare i responsabili approvazione per assegnare un gruppo diverso responsabile delle approvazioni.

  • Salvare le modifiche dopo aver apportato gli aggiornamenti.

  • Elimina criteri: selezionare il criterio da rimuovere, selezionare Rimuovi criterio e confermare l'eliminazione.

Visualizzare, modificare ed eliminare criteri con PowerShell

Visualizzare i criteri

Usare il Get-ElevatedAccessApprovalPolicy cmdlet per ottenere un elenco di criteri di gestione degli accessi con privilegi:

Get-ElevatedAccessApprovalPolicy

Modificare i criteri

Usare il Set-ElevatedAccessApprovalPolicy cmdlet per aggiornare i criteri di accesso con privilegi esistenti. Questo cmdlet consente di modificare i campi, ad esempio il tipo di approvazione e il gruppo di responsabili approvazione:

Set-ElevatedAccessApprovalPolicy -Identity <Policy ID> -ApprovalType '<Manual or Auto>' -ApproverGroup '<New Approver Group>'

Esempio:

Set-ElevatedAccessApprovalPolicy -Identity 'Policy123' -ApproverGroup 'securityadmins@fabrikam.com' -ApprovalType 'Manual'

  • -Identity: identifica i criteri specifici da modificare.

  • -ApproverGroup: assegna un nuovo gruppo di sicurezza abilitato alla posta elettronica per gestire le approvazioni.

  • -ApprovalType: Aggiornamenti i criteri per richiedere l'approvazione manuale o automatica.

Eliminare i criteri

Usare il Remove-ElevatedAccessApprovalPolicy cmdlet per eliminare i criteri di accesso con privilegi obsoleti. In questo modo si garantisce che l'ambiente rimanga organizzato:

Remove-ElevatedAccessApprovalPolicy -Identity <Policy ID>

Disabilitare la gestione degli accessi con privilegi

Disabilitando PAM vengono rimossi i controlli relativi alle richieste di accesso con privilegi elevati e alle approvazioni, ripristinando i livelli di accesso amministrativo standard. Questa azione è in genere riservata alle situazioni in cui PAM non è più necessario o se viene implementata una soluzione alternativa.

Disabilitare la gestione degli accessi con privilegi tramite Amministrazione Microsoft 365 Center

Deselezionare Consenti richieste di accesso con privilegi e scegliere un gruppo di approvazione predefinito nelle impostazioni di accesso con privilegi.

Disabilitare la gestione degli accessi con privilegi tramite PowerShell

Disable-ElevatedAccessControl

Controllo e monitoraggio di PAM

Le attività di controllo e monitoraggio sono fondamentali per identificare le lacune dei criteri, garantire la conformità e rilevare le anomalie. Esaminando i log e eseguendo valutazioni regolari, le organizzazioni possono mantenere un controllo efficace sull'accesso con privilegi.

Log di audit

Le attività PAM, incluse le richieste e le approvazioni, vengono registrate a scopo di conformità:

  1. Passare al portale di Microsoft Purview.

  2. Selezionare Controllo soluzioni> e cercare le attività correlate a PAM.

  3. Filtrare i log in base al tipo di attività, all'intervallo di date o all'utente.

Revisioni regolari

L'esecuzione di revisioni regolari garantisce che i criteri e le appartenenze ai gruppi responsabili dell'approvazione rimangano pertinenti ed efficaci. Queste revisioni sono essenziali per adattarsi ai cambiamenti organizzativi e mantenere una sicurezza affidabile.

  • Verifiche dei criteri: valuta periodicamente i criteri per assicurarsi che siano allineati alle esigenze dell'organizzazione.

  • Appartenenza al gruppo responsabile approvazione: verificare che i responsabili approvazione siano aggiornati e autorizzati.

Risoluzione dei problemi di PAM

Problemi comuni

  • Invii di richieste non riusciti: assicurarsi che il richiedente disponga di autorizzazioni sufficienti.

  • Ritardi di approvazione: verificare che i responsabili approvazione ricevano notifiche e abbiano accesso all'interfaccia di amministrazione.

  • Conflitti di criteri: verificare che più criteri non si sovrappongano e causano comportamenti imprevisti.