AAD Privileged Identity Management

Overview

Una comune problematica in una qualsiasi realtà aziendale è avere utenti con un livello di privilegi superiore rispetto all’effettivo bisogno e/o che, addirittura, non ne necessitano ulteriormente.

Non è rara la situazione in cui sono assegnati diritti “privilegiati” ad un consulente esterno e poi non rimossi.

Questa situazione rappresenta un altissimo rischio a livello di sicurezza.

L’obiettivo è di gestire correttamente questo ambito applicando il Principio di Accesso con Privilegi Minimi e Just-In-Time.

Solution

Azure Active Directory Privileged Identity Management (Azure AD PIM) è un servizio che permette di semplificare:

  • La gestione (“chi”, “cosa”, “quando”, “dove” e “perché”)
  • Il controllo dell’accesso con “privilegi”

alle risorse di Microsoft Azure Active Directory, di Microsoft Azure e di altri servizi online Microsoft (ad esempio Microsoft 365 o Microsoft Intune).

Questo significa che, se un ruolo amministrativo è stato impostato come idoneo, è possibile attivare tale ruolo solo quando ritenuto necessario: se ad, esempio, un utente gestisce saltuariamente le funzionalità di Microsoft  365, è possibile assegnargli il ruolo solo quando ritenuto opportuno e per un periodo di tempo predeterminato.

Sono qui di seguito elencate alcune funzionalità incluse in Azure AD PIM:

  • Concedere i diritti di accesso Just-In-Time ad Azure Active Directory e alle risorse di Azure
  • Assegnare l’accesso con vincoli di tempo alle risorse
  • Richiedere l’approvazione per l’attivazione di “privileged roles”;
  • Applicare la Multifactor authentication per attivare un qualsiasi ruolo
  • Definire la giustificazione per capire il perché un determinato ruolo debba essere attivato per un utente
  • Ricevere notifiche tramite posta elettronica quando un ruolo viene assegnato o attivato.

Requirements

È necessario disporre di una delle seguenti licenze:

  • Azure AD P2 Premium
  • Enterprise Mobility + Security (EMS) E5
  • Microsoft 365 E5

Benefits

  • L’applicazione con privilegi minimi e Just-In-Time consente di visualizzare la cronologia dell’accesso ai ruoli con privilegi e di identificare eventuali problemi di sicurezza in tempo reale
  • Ottimizzazione della sicurezza e della compliance a normative, per mezzo di un’accorta amministrazione delle assegnazioni degli utenti a ruoli con privilegi, anche attraverso la richiesta dell’opportuna approvazione e l’“autenticazione a più fattori”. Inoltre, viene tenuta traccia delle attività di accesso “con privilegi”, anche grazie alla possibilità di definire opportune notifiche via e-mail.
  • Riduzione dei costi: Assegnare determinati diritti ad utente per un tempo determinato, garantisce un’accurata gestione che non solo permette di minimizzare i rischi ma anche e soprattutto i costi associati al ripristino delle funzionalità.