Iniziare a usare Privileged Identity Management

Usare Privileged Identity Management (PIM) per gestire, controllare e monitorare l'accesso all'interno dell'organizzazione Microsoft Entra. Con PIM è possibile fornire l'accesso jite e necessario alle risorse di Azure, alle risorse di Microsoft Entra e ad altri Servizi online Microsoft come Microsoft 365 o Microsoft Intune.

Questo articolo descrive come abilitare Privileged Identity Management (PIM) e iniziare a usarlo.

Prerequisiti

Per usare Privileged Identity Management, è necessario disporre di una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance. Per altre informazioni sulle licenze, vedere Nozioni fondamentali sulla governance degli ID Di Microsoft Entra.

Attivazione delle assegnazioni di ruolo

Quando un tenant di Microsoft Entra ha una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance, gli utenti con assegnazioni di ruolo attive possono eseguire le operazioni seguenti:

  • Aprire la pagina Ruoli e amministratori in Microsoft Entra ID e selezionare un ruolo;
  • Aprire la pagina Privileged Identity Management ;
  • Effettuare chiamate a PIM usando l'API dei ruoli di Microsoft Entra.

Microsoft Entra abilita PIM per il tenant nei modi seguenti:

  • A partire immediatamente, è possibile creare assegnazioni idonee o associate al tempo per i ruoli di Microsoft Entra;
  • Gli amministratori globali o gli amministratori del ruolo con privilegi possono iniziare a ricevere messaggi di posta elettronica aggiuntivi, ad esempio il digest settimanale pim;
  • Il nome dell'entità servizio PIM (MS-PIM) può essere menzionato negli eventi del log di controllo correlati alla gestione delle assegnazioni di ruolo.

Questi comportamenti sono previsti e non dovrebbero avere alcun impatto sui flussi di lavoro.

Preparare PIM per i ruoli di Microsoft Entra

Ecco le attività consigliate per preparare Privileged Identity Management per gestire i ruoli di Microsoft Entra:

  1. Configurare le impostazioni del ruolo Microsoft Entra
  2. Assegnare assegnazioni idonee
  3. Consentire agli utenti idonei di attivare il proprio ruolo Just-In-Time di Microsoft Entra

Preparare PIM per i ruoli di Azure

Ecco le attività consigliate per preparare Privileged Identity Management per gestire i ruoli di Azure per una sottoscrizione:

  1. Individuare le risorse di Azure
  2. Configurare le impostazioni del ruolo di Azure
  3. Assegnare assegnazioni idonee
  4. Consentire agli utenti idonei di attivare i propri ruoli di Azure JUST-in-time

Dopo aver configurato Privileged Identity Management, è possibile imparare a spostarsi.

Screenshot che mostra la finestra di spostamento in Privileged Identity Management che mostra le opzioni Attività e Gestione.

Attività e gestione Descrizione
Ruoli personali Visualizza un elenco di ruoli idonei e attivi assegnati all'utente. Qui è possibile attivare tutti i ruoli idonei assegnati.
Richieste personali Visualizza le richieste in sospeso per attivare le assegnazioni di ruolo idonee.
Approvare le richieste Visualizza un elenco di richieste per attivare i ruoli idonei per gli utenti della directory che possono essere approvati.
Verificare l'accesso Elenca le verifiche di accesso attive assegnate all'utente per essere completate, sia per se stesso che per altri utenti.
Ruoli di Microsoft Entra Visualizza un dashboard e le impostazioni per gli amministratori dei ruoli con privilegi per gestire le assegnazioni di ruolo di Microsoft Entra. Per gli utenti che non sono amministratori dei ruoli con privilegi, questo dashboard è disabilitato. Questi utenti possono accedere a un dashboard speciale denominato My view (Visualizzazione personalizzata). Il dashboard Visualizzazione personale visualizza solo informazioni sull'utente che accede al dashboard, non sull'intera organizzazione.
Gruppi Gestire l'appartenenza just-in-time al gruppo o la proprietà JUST-in-time del gruppo. I gruppi possono essere usati per fornire l'accesso ai ruoli di Microsoft Entra, ai ruoli di Azure e ad altri scenari diversi. Per gestire un gruppo Microsoft Entra in PIM, è necessario inserirlo nella gestione in PIM.
Risorse di Azure Visualizza un dashboard e le impostazioni per gli amministratori dei ruoli con privilegi per gestire le assegnazioni di ruolo delle risorse di Azure. Per gli utenti che non sono amministratori dei ruoli con privilegi, questo dashboard è disabilitato. Questi utenti possono accedere a un dashboard speciale denominato My view (Visualizzazione personalizzata). Il dashboard Visualizzazione personale visualizza solo informazioni sull'utente che accede al dashboard, non sull'intera organizzazione.
Impostazioni generali Selezionare le applicazioni autorizzate a effettuare chiamate solo app all'API Microsoft Graph per PIM.

Passaggi successivi