Proteggere gli account di amministratore globale di Office 365

Importante :  Il presente articolo è stato tradotto automaticamente, vedere la dichiarazione di non responsabilità. Per visualizzare la versione inglese dell'articolo, fare clic qui.

Riepilogo: Proteggere gli account di amministratore globale con la procedura seguente.

Per proteggere l'abbonamento a Office 365 da attacchi in violazione di un account di amministratore globale, è necessario eseguire le operazioni seguenti immediatamente:

  1. Creare account di amministratore globale di Office 365 dedicati e usarli solo quando necessario.

  2. Configurare l'autenticazione a più fattori per gli account di amministratore globale di Office 365 dedicati e usare il tipo più sicuro di autenticazione secondaria.

  3. Abilitare e configurare Office 365 Cloud App sicurezza per verificare la presenza di attività dell'account di amministratore globale sospetto.

Le violazioni della sicurezza di un abbonamento a Office 365, tra cui la raccolta di informazioni e gli attacchi di phishing, sono generalmente rese possibili dalla compromissione delle credenziali di un account di amministratore globale di Office 365. La sicurezza nel cloud dipende dalla collaborazione tra l'utente e Microsoft:

  • I servizi cloud Microsoft si fondano su un principio di fiducia e sicurezza. Microsoft fornisce controlli e funzionalità di sicurezza che consentono di proteggere i dati e le applicazioni.

  • I dati e le identità dell'utente appartengono all'utente stesso, che è responsabile della loro protezione, della sicurezza delle risorse locali e della sicurezza dei componenti cloud sotto il suo controllo.

Per proteggersi, è necessario attivare i controlli e le funzionalità messi a disposizione da Microsoft.

Nota : Anche se in questo articolo è incentrato su account di amministratore globale, è necessario prendere in considerazione anche se altri account con autorizzazioni ampie per accedere ai dati nel proprio abbonamento, ad esempio eDiscovery amministratore o sicurezza o conformità nello stesso modo, è necessario proteggere gli account di amministratore.

Fase 1. Creare account di amministratore globale di Office 365 dedicati e usarli solo quando necessario

Le attività amministrative che richiedono privilegi di amministratore globale sono relativamente poche, ad esempio l'assegnazione di ruoli agli account utente. Quindi, invece di usare gli account utente quotidiani a cui è stato assegnato il ruolo di amministratore globale, eseguire subito questa procedura:

  1. Identificare il set di account utente a cui è stato assegnato il ruolo di amministratore globale. A questo scopo si può usare PowerShell di Office 365 con questo comando:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Accedere all'abbonamento a Office 365 con un account utente a cui è stato assegnato il ruolo di amministratore globale.

  3. Creare almeno uno e fino a un massimo di cinque account utente di amministratore globale dedicati. Usare password complesse, che contengano almeno 12 caratteri. Archiviare le password per i nuovi account in un luogo sicuro.

  4. Assegnare il ruolo di amministratore globale a tutti i nuovi account utente di amministratore globale dedicati.

  5. Disconnettersi da Office 365.

  6. Eseguire l'accesso con uno dei nuovi account utente di amministratore globale dedicati.

  7. Per ogni account utente esistente a cui era stato assegnato il ruolo di amministratore globale nel passaggio 1:

    • Rimuovere il ruolo di amministratore globale.

    • Assegnare ruoli di amministratore per l'account che sono appropriate per la funzione e responsabilità dell'utente. Per ulteriori informazioni sui vari ruoli di amministratore in Office 365, vedere i ruoli di amministratore su Office 365.

  8. Disconnettersi da Office 365.

Il risultato dovrebbe essere il seguente:

  • Gli unici account utente dell'abbonamento a cui è assegnato il ruolo di amministratore globale sono i nuovi account di amministratore globale dedicati. Per verificarlo, usare il comando di PowerShell seguente al prompt dei comandi del Modulo di Microsoft Azure Active Directory per Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • A tutti gli altri account utente quotidiani che consentono di gestire l'abbonamento sono assegnati ruoli di amministrazione appropriati in base ai ruoli professionali.

Da questo momento in avanti si eseguirà l'accesso con gli account di amministratore globale dedicati solo per le attività che richiedono i privilegi di amministratore globale. Tutte le altre attività amministrative di Office 365 devono essere effettuate assegnando altri ruoli di amministrazione agli account utente.

Nota : È vero che sono necessari alcuni passaggi supplementari per disconnettersi dall'account utente quotidiano e accedere con un account di amministratore globale dedicato, ma questa operazione deve essere effettuata solo raramente, per specifiche attività dell'amministratore globale. Si tenga presente che il ripristino di un abbonamento a Office 365 dopo una violazione dell'account di amministratore globale è una procedura decisamente più lunga.

Fase 2. Configurare l'autenticazione a più fattori per gli account di amministratore globale di Office 365 dedicati e usare il tipo più sicuro di autenticazione secondaria

Per l'autenticazione a più fattori (MFA) per gli account di amministratore globale sono necessarie informazioni supplementari oltre al nome dell'account e alla password. Office 365 supporta i metodi di verifica seguenti:

  • Una telefonata

  • Un passcode generato casualmente

  • Una smart card virtuale o fisica

  • Un dispositivo biometrico

Nel caso di una piccola azienda che usa account utente archiviati solo nel cloud (modello di gestione delle identità nel cloud), eseguire subito questa procedura per configurare l'autenticazione a più fattori usando un codice di verifica inviato tramite telefonata o SMS a uno smartphone:

  1. Abilitare l'autenticazione a più fattori.

  2. Configurare la verifica in due passaggi per Office 365 per configurare ogni account di amministratore globale dedicato per la telefonata o l'SMS come metodo di verifica.

Per le organizzazioni di dimensioni maggiori che usano i modelli di gestione delle identità sincronizzate o federate di Office 365, sono disponibili altre opzioni di verifica. Se si ha già l'infrastruttura di sicurezza necessaria per un metodo di autenticazione secondario più sicuro, eseguire subito questa procedura:

  1. Abilitare l'autenticazione a più fattori.

  2. Configurare la verifica in due passaggi per Office 365 per configurare ogni account di amministratore globale dedicato per il metodo di verifica appropriato.

Se l'infrastruttura di sicurezza per il metodo di verifica più sicuro che si vuole usare non è presente e funzionante per l'autenticazione a più fattori di Office 365, come misura di sicurezza provvisoria è consigliabile configurare immediatamente gli account di amministratore globale dedicati con l'autenticazione a più fattori usando un codice di verifica inviato tramite telefonata o SMS a uno smartphone. Evitare di lasciare gli account di amministratore globale dedicati sprovvisti della protezione aggiuntiva fornita dall'autenticazione a più fattori.

Per ulteriori informazioni, vedere pianificare l'autenticazione a più fattori per le installazioni di Office 365.

Per connettersi ai servizi di Office 365 con l'autenticazione a più fattori e PowerShell, vedere questo articolo.

Fase 3. Abilitare e configurare Office 365 Cloud App sicurezza per verificare la presenza di attività dell'account di amministratore globale sospetti

Sicurezza di Office 365 Cloud App consente di creare criteri per la notifica da comportamenti sospetti nell'abbonamento. Protezione App cloud integrata in Office 365 E5, ma è anche disponibile come servizio separato. Ad esempio, se non si dispone di Office 365 E5, è possibile acquistare le singole licenze Cloud App sicurezza per gli account utente che vengono assegnati l'amministratore globale, amministratore della sicurezza e i ruoli di amministratore di conformità.

Se si ha Cloud App sicurezza nell'abbonamento a Office 365, eseguire immediatamente le operazioni seguenti:

  1. Accedere al portale di Office 365 con un account che viene assegnato il ruolo di amministratore di sicurezza o conformità.

  2. Attivare la sicurezza di Office 365 Cloud App.

  3. Creare i criteri di rilevamento anomalia per ricevere una notifica tramite posta elettronica di anomali modelli dell'attività amministrative privilegi.

Per aggiungere un account utente al ruolo di amministratore della sicurezza, connettersi a PowerShell di Office 365 con un account di amministratore globale dedicato e l'autenticazione a più fattori, inserire il nome dell'entità utente dell'account utente e quindi eseguire i comandi seguenti:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Per aggiungere un account utente al ruolo di amministratore di conformità, inserire il nome dell'entità utente dell'account utente e quindi eseguire i comandi seguenti:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Altri tipi di protezione per gli account di amministratore globale

Dopo aver fasi 1-3, utilizzano questi metodi aggiuntivi per assicurarsi che l'account di amministratore globale e la configurazione eseguita usarlo, sono più protetto.

Accesso con privilegi Workstation (IMPRONTE)

Per assicurarsi che l'esecuzione di attività privilegi elevati è più possibile sicuro, utilizzare un IMPRONTE. Un IMPRONTE è un computer dedicato viene utilizzato solo per le attività di configurazione riservate, ad esempio configurazione di Office 365 che richiede un account di amministratore globale. Poiché il computer non viene utilizzato ogni giorno per l'esplorazione di Internet o di posta elettronica, è più protetto da minacce e attacchi via Internet.

Per istruzioni su come configurare un IMPRONTE, vedere http://aka.ms/cyberpaw.

Gestione delle identità di Azure Active Directory privilegi (PIM)

Anziché gli account di amministratore globale in modo permanente venga assegnato il ruolo di amministratore globale, è possibile utilizzare PIM di Azure Active Directory per abilitare l'assegnazione in entrata, su richiesta del ruolo amministratore globale quando è necessario.

In altre parole, anziché gli account di amministratore globale da un amministratore permanente diventano amministratori idonei. Il ruolo di amministratore globale è inattivo fino a un utente deve. È quindi completare il processo di attivazione per aggiungere il ruolo di amministratore globale per l'account di amministratore globale per un periodo di tempo predeterminato. Quando scade l'ora, il ruolo di amministratore globale PIM rimuove l'account di amministratore globale.

Uso PIM e questo processo riduce notevolmente la quantità di tempo che gli account di amministratore globale sono soggetti a attacchi e utilizzare da utenti malintenzionati.

Per ulteriori informazioni, vedere configurare Azure Active Directory privilegi di gestione delle identità.

Nota : PIM è disponibile con Azure Active Directory Premium P2, che viene fornito con mobilità aziendale + E5 di sicurezza (EMS), oppure è possibile acquistare licenze per singoli utenti per gli account di amministratore globale.

Sicurezza informazioni e l'evento (SIEM) software per la gestione per la registrazione di Office 365

Software SIEM e un server che esegue esegue l'analisi in tempo reale di avvisi di sicurezza e gli eventi creati da applicazioni e componenti hardware di rete. Per consentire il server SIEM includere gli avvisi di sicurezza di Office 365 ed eventi nell'analisi e report di funzioni, integrare le operazioni seguenti nel sistema SIEM:

Passaggio successivo

Vedere le procedure consigliate per Office 365.

Nota : Dichiarazione di non responsabilità per la traduzione automatica: Il presente articolo è stato tradotto tramite un software di traduzione automatica e non da una persona. Microsoft offre le traduzioni automatiche per consentire a coloro che non conoscono la lingua inglese di leggere gli articoli sui prodotti, sui servizi e sulle tecnologie Microsoft. Dal momento che l'articolo è stato tradotto automaticamente, potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli.

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×