Individuare risorse di Azure da gestire in Azure AD Privileged Identity Management
È possibile usare Azure AD Privileged Identity Management (PIM) in Microsoft Entra ID per migliorare la protezione delle risorse di Azure. Ciò rappresenta un valido supporto per:
- Le organizzazioni che usano già Azure AD Privileged Identity Management per proteggere i ruoli di Microsoft Entra
- I gruppi di gestione e i proprietari di sottoscrizioni che tentano di proteggere le risorse di produzione
Quando si configura Azure AD Privileged Identity Management per le risorse di Azure per la prima volta, è necessario individuare e selezionare le risorse da proteggere con Azure AD Privileged Identity Management. Quando si individuano risorse tramite Azure AD Privileged Identity Management, PIM crea l'entità servizio PIM (MS-PIM) assegnata come amministratore accessi utente nella risorsa. Non è previsto alcun limite al numero di risorse che è possibile gestire con Privileged Identity Management. È tuttavia consigliabile iniziare con le risorse di produzione più critiche.
Nota
PIM ora può gestire automaticamente le risorse di Azure in un tenant senza necessità di onboarding. L'esperienza utente aggiornata usa l'API ARM PIM più recente, consentendo prestazioni e granularità migliorate nella scelta dell'ambito corretto da gestire.
Autorizzazioni necessarie
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
È possibile visualizzare e gestire i gruppi di gestione o le sottoscrizioni per le quali si dispone delle autorizzazioni Microsoft.Authorization/roleAssignments/write, ad esempio i ruoli Amministratore accessi utenti o Proprietario. Se non si è un proprietario della sottoscrizione, ma si è un amministratore globale e non vengono visualizzati sottoscrizioni o gruppi di gestione di Azure da gestire, è possibile elevare l'accesso per gestire le risorse.
Individuare le risorse
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identity Governance>Privileged Identity Management>Risorse di Azure.
Se è la prima volta che si usa Azure AD Privileged Identity Management per le risorse di Azure, verrà visualizzata una pagina Individua le risorse.
Se un altro amministratore dell'organizzazione sta già gestendo risorse di Azure in Azure AD Privileged Identity Management, verrà visualizzato l'elenco delle risorse attualmente gestite.
Selezionare Individua le risorse per avviare l'individuazione.
Nel riquadro Individuazione, usare il filtro Stato risorsa e l'opzione Selezionare il tipo di risorsa per filtrare i gruppi di gestione o le sottoscrizioni per cui si ha l'autorizzazione di scrittura. Probabilmente è più semplice iniziare selezionando Tutti.
È possibile cercare e selezionare le risorse del gruppo di gestione o della sottoscrizione da gestire in Azure AD Privileged Identity Management. Quando si gestisce un gruppo di gestione o una sottoscrizione in Azure AD Privileged Identity Management, è anche possibile gestire le relative risorse figlio.
Nota
Quando si aggiunge una nuova risorsa di Azure figlio a un gruppo di gestione gestito da PIM, è possibile impostare la risorsa figlio per la gestione cercandola in PIM.
Selezionare le risorse non gestite e che sono da gestire.
Selezionare Gestisci risorsa per iniziare a gestire le risorse selezionate. L'entità servizio PIM (MS-PIM) viene assegnata come amministratore accessi utenti nella risorsa.
Nota
Quando una sottoscrizione o un gruppo di gestione è stato impostato come gestito, non può più tornare a essere non gestito. In questo modo si impedisce che un altro amministratore delle risorse rimuova le impostazioni di Privileged Identity Management.
Se viene visualizzato un messaggio per confermare l'onboarding della risorsa selezionata per la gestione, selezionare Sì. PIM verrà quindi configurato per gestire tutti gli oggetti figlio nuovi ed esistenti nelle risorse.
