Proteggere gli account amministratore

Poiché gli account amministratore dispongono di privilegi elevati, sono obiettivi preziosi per i cyberattacker. In questo articolo viene descritto:

Quando ci si iscrive a Microsoft 365 e si immettono le informazioni, si diventa automaticamente amministratore globale (noto anche come amministratore globale). Un amministratore globale ha il controllo finale degli account utente e di tutte le altre impostazioni nell'interfaccia di amministrazione Microsoft (https://admin.microsoft.com), ma esistono molti tipi diversi di account amministratore con diversi gradi di accesso. Per informazioni sui diversi livelli di accesso per ogni tipo di ruolo amministratore, vedere Informazioni sui ruoli di amministratore.

Creare altri account amministratore

Usare gli account amministratore solo per l'amministrazione di Microsoft 365. Gli amministratori devono avere un account utente separato per l'uso regolare di Microsoft 365 Apps e usare il proprio account amministrativo solo quando necessario per gestire account e dispositivi e durante l'uso di altre funzioni di amministratore. È anche consigliabile rimuovere la licenza di Microsoft 365 dagli account amministratore in modo che non sia necessario pagare per licenze aggiuntive.

È consigliabile configurare almeno un altro account amministratore globale per concedere all'amministratore l'accesso a un altro dipendente attendibile. È anche possibile creare account amministratore separati per la gestione degli utenti (questo ruolo è denominato amministratore Gestione utenti). Per altre informazioni, vedere Informazioni sui ruoli di amministratore.

Importante

Sebbene sia consigliabile configurare un set di account amministratore, è consigliabile limitare il numero di amministratori globali per l'organizzazione. È inoltre consigliabile attenersi al concetto di accesso con privilegi minimi, ovvero concedere l'accesso solo ai dati e alle operazioni necessarie per eseguire i processi. Altre informazioni sul principio dei privilegi minimi.

Per creare altri account amministratore:

  1. Nel interfaccia di amministrazione di Microsoft 365 scegliere Utenti>utenti attivi nel riquadro di spostamento a sinistra.

    Scegliere Utenti e quindi Utenti attivi nel riquadro di spostamento a sinistra.

  2. Nella pagina Utenti attivi, selezionare Aggiungi un utente nella parte superiore della pagina.

  3. Nel pannello Aggiungi un utente immettere informazioni di base, ad esempio informazioni sul nome e sul nome utente.

  4. Immettere e configurare le informazioni sulle licenze del prodotto .

  5. In Impostazioni facoltative definire il ruolo dell'utente, inclusa l'aggiunta dell'accesso all'interfaccia di amministrazione, se appropriato.

    Definire nuovi ruoli utente.

  6. Completare ed esaminare le impostazioni e selezionare Fine aggiunta per confermare i dettagli.

Creare un account amministratore di emergenza

È anche consigliabile creare un account di backup che non sia configurato con l'autenticazione a più fattori (MFA) in modo da non bloccarsi accidentalmente, ad esempio se si perde il telefono usato come seconda forma di verifica. Assicurarsi che la password per questo account sia una frase o di almeno 16 caratteri. Questo account amministratore di emergenza è spesso indicato come "account da usare in caso di emergenza".

Creare un account utente per sé stessi

Se si è un amministratore, è necessario un account utente per le normali attività lavorative, ad esempio il controllo della posta elettronica. Assegnare un nome agli account in modo da riconoscerli. Ad esempio, le credenziali di amministratore potrebbero essere simili ad Alice.Chavez@Contoso.org e l'account utente normale potrebbe essere simile ad Alice@Contoso.com.

Per creare un nuovo account utente:

  1. Passare alla interfaccia di amministrazione di Microsoft 365 e quindi scegliere Utenti>utenti attivi nel riquadro di spostamento a sinistra.

  2. Nella pagina Utenti attivi, selezionare Aggiungi un utente nella parte superiore della pagina e nel pannello Aggiungi un utente, immettere il nome e altre informazioni.

  3. Nella sezione Licenze del prodotto selezionare la casella di controllo per Microsoft 365 Business Premium (nessun accesso amministrativo).

  4. Nella sezione Impostazioni facoltative lasciare selezionato il pulsante di opzione predefinito per Utente (nessun accesso all'interfaccia di amministrazione).

  5. Completare ed esaminare le impostazioni e selezionare Fine aggiunta per confermare i dettagli.

Proteggere gli account degli amministratori

Per proteggere tutti gli account amministratore, assicurarsi di seguire queste raccomandazioni:

  • Richiedere a tutti gli account amministratore di usare l'autenticazione senza password (ad esempio Windows Hello o un'app di autenticazione) oppure l’autenticazione a più fattori. Per altre informazioni sul motivo per cui l'autenticazione senza password è importante, vedere il White paper Microsoft sulla sicurezza: protezione senza password.

  • Evitare di usare autorizzazioni personalizzate per gli amministratori. Anziché concedere autorizzazioni a utenti specifici, assegnare le autorizzazioni tramite i ruoli in Microsoft Entra ID. Inoltre, concedere l'accesso solo ai dati e alle operazioni necessarie per eseguire l'attività da svolgere. Informazioni sui ruoli con privilegi minimi in Microsoft Entra ID.

  • Laddove possibile, usare i ruoli predefiniti per assegnare le autorizzazioni. Il controllo degli accessi in base al ruolo (RBAC) di Azure ha diversi ruoli predefiniti che è possibile usare. Altre informazioni sui ruoli predefiniti Microsoft Entra.

Consigli aggiuntivi

  • Prima di usare gli account amministratore, chiudere tutte le app e le sessioni del browser non correlate, inclusi gli account di posta elettronica personali. È anche possibile usare in finestre del browser private o in incognito.

  • Dopo aver completato le attività di amministratore, assicurarsi di disconnettersi dalla sessione del browser.

Passaggio successivo

Aumenta la protezione dalle minacce per Microsoft 365 Business Premium