Proteggere gli account di amministratore globale di Office 365

Importante :  Il presente articolo è stato tradotto automaticamente, vedere la dichiarazione di non responsabilità. Per visualizzare la versione inglese dell'articolo, fare clic qui.

Riepilogo:

Per proteggere l'abbonamento a Office 365 da attacchi esterni, è necessario eseguire subito questa procedura:

  1. Creare account di amministratore globale di Office 365 dedicati e usarli solo quando necessario.

  2. Configurare l'autenticazione a più fattori per gli account di amministratore globale di Office 365 dedicati e usare il tipo più sicuro di autenticazione secondaria.

  3. Abilitare e configurare Gestione sicurezza avanzata per identificare eventuali attività sospette dell'account di amministratore globale.

Le violazioni della sicurezza di un abbonamento a Office 365, tra cui la raccolta di informazioni e gli attacchi di phishing, sono generalmente rese possibili dalla compromissione delle credenziali di un account di amministratore globale di Office 365. La sicurezza nel cloud dipende dalla collaborazione tra l'utente e Microsoft:

  • I servizi cloud Microsoft si fondano su un principio di fiducia e sicurezza. Microsoft fornisce controlli e funzionalità di sicurezza che consentono di proteggere i dati e le applicazioni.

  • I dati e le identità dell'utente appartengono all'utente stesso, che è responsabile della loro protezione, della sicurezza delle risorse locali e della sicurezza dei componenti cloud sotto il suo controllo.

Per proteggersi, è necessario attivare i controlli e le funzionalità messi a disposizione da Microsoft.

Fase 1. Creare account di amministratore globale di Office 365 dedicati e usarli solo quando necessario

Le attività amministrative che richiedono privilegi di amministratore globale sono relativamente poche, ad esempio l'assegnazione di ruoli agli account utente. Quindi, invece di usare gli account utente quotidiani a cui è stato assegnato il ruolo di amministratore globale, eseguire subito questa procedura:

  1. Identificare il set di account utente a cui è stato assegnato il ruolo di amministratore globale. A questo scopo si può usare PowerShell di Office 365 con questo comando:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Accedere all'abbonamento a Office 365 con un account utente a cui è stato assegnato il ruolo di amministratore globale.

  3. Creare almeno uno e fino a un massimo di cinque account utente di amministratore globale dedicati. Usare password complesse, che contengano almeno 12 caratteri. Archiviare le password per i nuovi account in un luogo sicuro.

  4. Assegnare il ruolo di amministratore globale a tutti i nuovi account utente di amministratore globale dedicati.

  5. Disconnettersi da Office 365.

  6. Eseguire l'accesso con uno dei nuovi account utente di amministratore globale dedicati.

  7. Per ogni account utente esistente a cui era stato assegnato il ruolo di amministratore globale nel passaggio 1:

    • Rimuovere il ruolo di amministratore globale.

    • Assegnare all'account i ruoli di amministratore appropriati in base alla funzione e alle mansioni dell'utente. Per altre informazioni sui vari ruoli di amministratore in Office 365, vedere Informazioni sui ruoli di amministratore di Office 365.

  8. Disconnettersi da Office 365.

Il risultato dovrebbe essere il seguente:

  • Gli unici account utente dell'abbonamento a cui è assegnato il ruolo di amministratore globale sono i nuovi account di amministratore globale dedicati. Per verificarlo, usare il comando di PowerShell seguente al prompt dei comandi del Modulo di Microsoft Azure Active Directory per Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • A tutti gli altri account utente quotidiani che consentono di gestire l'abbonamento sono assegnati ruoli di amministrazione appropriati in base ai ruoli professionali.

Da questo momento in avanti si eseguirà l'accesso con gli account di amministratore globale dedicati solo per le attività che richiedono i privilegi di amministratore globale. Tutte le altre attività amministrative di Office 365 devono essere effettuate assegnando altri ruoli di amministrazione agli account utente.

Nota : È vero che sono necessari alcuni passaggi supplementari per disconnettersi dall'account utente quotidiano e accedere con un account di amministratore globale dedicato, ma questa operazione deve essere effettuata solo raramente, per specifiche attività dell'amministratore globale. Si tenga presente che il ripristino di un abbonamento a Office 365 dopo una violazione dell'account di amministratore globale è una procedura decisamente più lunga.

Fase 2. Configurare l'autenticazione a più fattori per gli account di amministratore globale di Office 365 dedicati e usare il tipo più sicuro di autenticazione secondaria

Per l'autenticazione a più fattori (MFA) per gli account di amministratore globale sono necessarie informazioni supplementari oltre al nome dell'account e alla password. Office 365 supporta i metodi di verifica seguenti:

  • Una telefonata

  • Un passcode generato casualmente

  • Una smart card virtuale o fisica

  • Un dispositivo biometrico

Nel caso di una piccola azienda che usa account utente archiviati solo nel cloud (modello di gestione delle identità nel cloud), eseguire subito questa procedura per configurare l'autenticazione a più fattori usando un codice di verifica inviato tramite telefonata o SMS a uno smartphone:

  1. Abilitare l'autenticazione a più fattori.

  2. Configurare la verifica in due passaggi per Office 365 per configurare ogni account di amministratore globale dedicato per la telefonata o l'SMS come metodo di verifica.

Per le organizzazioni di dimensioni maggiori che usano i modelli di gestione delle identità sincronizzate o federate di Office 365, sono disponibili altre opzioni di verifica. Se si ha già l'infrastruttura di sicurezza necessaria per un metodo di autenticazione secondario più sicuro, eseguire subito questa procedura:

  1. Abilitare l'autenticazione a più fattori.

  2. Configurare la verifica in due passaggi per Office 365 per configurare ogni account di amministratore globale dedicato per il metodo di verifica appropriato.

Se l'infrastruttura di sicurezza per il metodo di verifica più sicuro che si vuole usare non è presente e funzionante per l'autenticazione a più fattori di Office 365, come misura di sicurezza provvisoria è consigliabile configurare immediatamente gli account di amministratore globale dedicati con l'autenticazione a più fattori usando un codice di verifica inviato tramite telefonata o SMS a uno smartphone. Evitare di lasciare gli account di amministratore globale dedicati sprovvisti della protezione aggiuntiva fornita dall'autenticazione a più fattori.

Per altre informazioni, vedere Pianificare l'autenticazione a più fattori per le distribuzioni di Office 365.

Per connettersi ai servizi di Office 365 con l'autenticazione a più fattori e PowerShell, vedere questo articolo.

Fase 3. Abilitare e configurare Gestione sicurezza avanzata per identificare eventuali attività sospette dell'account di amministratore globale

Gestione sicurezza avanzata consente di creare criteri per la notifica di comportamenti sospetti nell'abbonamento. Gestione sicurezza avanzata è integrato in Office 365 E5, ma è anche disponibile come servizio separato. Se ad esempio non si ha Office 365 E5, è possibile acquistare singole licenze di Gestione sicurezza avanzata per gli account utente a cui sono assegnati i ruoli di amministratore globale, amministratore della sicurezza e amministratore di conformità.

Se l'abbonamento a Office 365 include Gestione sicurezza avanzata, eseguire subito questa procedura:

  1. Accedere al portale di Office 365 con un account utente a cui è assegnato il ruolo di amministratore della sicurezza o di amministratore di conformità.

  2. Abilitare Gestione sicurezza avanzata.

  3. Creare criteri per la notifica tramite posta elettronica di:

    • Anomalie nell'attività di amministrazione

    • Aggiunta di membri ai ruoli

Per aggiungere un account utente al ruolo di amministratore della sicurezza, connettersi a PowerShell di Office 365 con un account di amministratore globale dedicato e l'autenticazione a più fattori, inserire il nome dell'entità utente dell'account utente e quindi eseguire i comandi seguenti:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Per aggiungere un account utente al ruolo di amministratore di conformità, inserire il nome dell'entità utente dell'account utente e quindi eseguire i comandi seguenti:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Passaggio successivo

Vedere le procedure consigliate per Office 365.

Nota : Dichiarazione di non responsabilità per la traduzione automatica: Il presente articolo è stato tradotto tramite un software di traduzione automatica e non da una persona. Microsoft offre le traduzioni automatiche per consentire a coloro che non conoscono la lingua inglese di leggere gli articoli sui prodotti, sui servizi e sulle tecnologie Microsoft. Dal momento che l'articolo è stato tradotto automaticamente, potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli.

Vedere anche

Informazioni sui ruoli di amministratore di Office 365

Pianificare l'autenticazione a più fattori per le distribuzioni di Office 365

Abilitare Gestione sicurezza avanzata

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×