Nicola Ferrini

Configurare Azure AD Privileged Identity Management

Visualizzazioni: 1.413

In qualsiasi realtà aziendale è necessario effettuare delle attività di amministrazione informatica che richiedono dei permessi amministrativi elevati ed è una buona pratica che gli utenti abbiano sempre i minori permessi amministrativi possibili, per assicurare un buon livello di sicurezza ed impedire che vengano effettuate delle operazioni senza consenso (volutamente o per sbaglio). È interessante anche limitare nel tempo eventuali permessi amministrativi, giusto il tempo necessario per effettuare l’operazione. Mi è capitato spesso di vedere account privilegiati assegnati ad un consulente esterno che poi non sono stati più rimossi e questo mette a forte rischio la sicurezza aziendale.

In questo articolo voglio parlarvi di come rendere sicuro l’accesso ad Azure AD (e quindi a tutte le risorse che gestisce) utilizzando Privileged Identity Management, che permette di assegnare permessi amministrativi limitati nel tempo e che permette di monitorare e approvare questo tipo di accessi privilegiati.

Per usare Privileged Identity Management, è necessario disporre di una delle licenze seguenti:

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5

Assegnate una di queste licenze ad ogni utente che eseguirà le seguenti operazioni:

  • Utenti assegnati come idonei a Azure AD o ruoli di Azure gestiti tramite PIM
  • Utenti assegnati come membri idonei o proprietari di gruppi di accesso con privilegi
  • Gli utenti possono approvare o rifiutare le richieste di attivazione in PIM
  • Utenti assegnati a una verifica di accesso
  • Utenti che eseguono verifiche di accesso

Per chi non conoscesse le differenze tra le diverse edizioni di Azure AD consiglio vivamente la lettura del documento Informazioni su Azure Active Directory, mentre per il pricing vi rimando al link Prezzi di Azure Active Directory

I vantaggi nell’uso di Azure AD Privileged Identity Management sono davvero notevoli e vi permettono di:

  • Vedere a quali utenti vengono assegnati i ruoli con privilegi per gestire le risorse di Azure
  • Abilitare l’accesso come amministratore JIT su richiesta ad Office 365 e alle risorse di Azure (sottoscrizioni, gruppi di risorse e alle singole risorse)
  • Visualizzare una cronologia dell’attivazione dell’amministratore, comprese le modifiche che gli amministratori hanno apportato alle risorse di Azure
  • Essere avvisati delle modifiche apportate nelle assegnazioni del ruolo di amministratore
  • Richiedere l’approvazione per attivare i ruoli di amministratore con privilegi di Azure AD
  • Esaminare l’appartenenza dei ruoli di amministratore e richiedere agli utenti di fornire una giustificazione per l’appartenenza continua ad un determinato ruolo

Nel momento in cui assegnerete almeno una licenza di Azure AD Premium P2 il vostro tenant lo riporterà nella scheda Overview.

Figura 1: Verifica delle licenze di Azure AD Premium P2

Per gestire Azure AD Privileged Identity Management collegatevi al portale di Azure e ricercatelo nella barra di ricerca. Dal blade che si aprirà selezionate la voce Azure AD Roles per configurare i ruoli di Azure AD che dovranno utilizzare la funzionalità di PIM.

Figura 2: Gestione degli Azure AD Roles dalla console di Azure AD Privileged Identity Management

Cliccando sulla voce Roles potrete procedere alla gestione dei diversi ruoli di Azure AD.

Figura 3: Finestra principale della pagina di Azure AD Privileged Identity Management

Nel blade che si aprirà avrete la possibilità di assegnare un ruolo privilegiato ad un utente a cui avrete dato la licenza di Azure AD Premium P2. Cliccando su + Add assignment potrete scegliere il ruolo privilegiato che potrà avere l’utente

Figura 4: Ruoli privilegiati di Azure AD che è possibile assegnare tramite Azure AD Privileged Identity Management

Io ho scelto di assegnare il ruolo di Exchange Administrator a un utente chiamato Utente 1. Ad Utente 1 ho assegnato una licenza di Azure AD Premium P2.

Figura 5: Assegnazione del ruolo di Exchange Administrator ad Utente 1

Esistono due tipi di assegnazione, idonei e attivi. Se un utente è stato reso idoneo per un ruolo, potrà attivare il ruolo quando avrà bisogno di svolgere le attività con privilegi. Se il ruolo scade, è possibile estendere o rinnovare queste assegnazioni.

Le assegnazioni di tipo Idoneo richiedono al membro del ruolo di eseguire un’azione per usare il ruolo. Le azioni possono includere il completamento di un controllo di autenticazione a più fattori (MFA), l’indicazione di una motivazione aziendale e la richiesta di approvazione da parte di responsabili dell’approvazione designati.

Le assegnazioni attive non richiedono che il membro esegua alcuna azione per usare il ruolo. I membri con questo tipo di assegnazione dispongono di privilegi assegnati al ruolo in qualsiasi momento. Le assegnazioni permanenti non hanno data di scadenza. Usare questa opzione per i lavoratori permanenti che hanno spesso bisogno delle autorizzazioni per il ruolo.

Utente 1 potrà richiedere di diventare Exchange Administrator quando ne avrà bisogno, ma per il resto del tempo rimarrà un utente limitato. Come si può vedere dalla figura sotto, è possibile rendere un utente eleggibile per un ruolo per una durata massima di 3 mesi.

Figura 6: Utente 1 può diventare Exchange Administrator quando ne farà richiesta

Selezionando il ruolo è possibile verificare quali utenti sono stati configurati per essere eleggibili, quanti hanno in questo momento il ruolo attivo e quanti invece hanno le autorizzazioni scadute.

Figura 7: Schermata con le assegnazioni del ruolo di Azure AD

Selezionando la voce Role Settings è possibile modificare delle configurazioni relative al ruolo.

Nell’immagine sotto sono mostrate le configurazioni relative alla durata massima di attivazione del ruolo, alla richiesta di fornire una motivazione ogni volta che viene attivato il ruolo, all’uso obbligatorio della Multi-Factor Authentication e così via.

Figura 8: Configurazioni disponibili per ogni singolo ruolo di Azure AD

Facendo cli su Edit è possibile modificare dei parametri. Nell’esempio sotto ho modificato la durata massima di attivazione del ruolo (che è compresa tra 1 e 24 ore) e ho anche richiesto che l’abilitazione del ruolo sia subordinata ad un processo di approvazione. Se si impostano più responsabili approvazione, l’approvazione viene completata non appena uno di essi approva o nega la richiesta. Io ho scelto come responsabile dell’approvazione l’utente Nicola Ferrini.

Figura 9: Modifica del ruolo di Azure AD è utilizzo di un responsabile approvazione per l’attivazione

Quando si configurano le impostazioni per un ruolo è possibile scegliere tra due opzioni di durata dell’assegnazione per ogni tipo di assegnazione (idoneo e attivo). Queste opzioni stabiliscono la durata massima predefinita quando ad un utente viene assegnato il ruolo in Privileged Identity Management.

Figura 10: Opzioni di durata dell’assegnazione per ogni tipo di assegnazione (idoneo e attivo).

Privileged Identity Management (PIM) consente di sapere quando si verificano eventi importanti nell’organizzazione Azure Active Directory, ad esempio quando viene assegnato o attivato un ruolo, inviando notifiche tramite posta elettronica. I messaggi di posta elettronica possono includere collegamenti ad attività importanti, quali l’attivazione o il rinnovo di un ruolo.

Quando gli utenti attivano il ruolo e l’impostazione del ruolo richiede l’approvazione, i responsabili approvazione riceveranno due messaggi di posta elettronica per ogni approvazione:

  • Richiedere di approvare o negare la richiesta di attivazione dell’utente (inviata dal motore di approvazione della richiesta)
  • La richiesta dell’utente viene approvata (inviata dal motore di approvazione della richiesta

Figura 11: Configurazione delle notifiche tramite mail ogni volta che viene assegnato il ruolo

Test di funzionamento

Quando Utente 1 avrà necessità di abilitare il ruolo di Exchange Administrator si collegherà con le sue credenziali al portare di Azure e in Azure AD Privileged Identity Management potrà selezionare la voce My Roles. Cliccando su Activate partirà il workflow di richiesta.

Figura 12: Attivazione del ruolo privilegiato da parte dell’utente

Poiché abbiamo chiesto che l’attivazione del ruolo deve essere fatta solo dopo che è stata verificata l’identità dell’utente con la Multi-Factor Authentication, sarà necessario effettuare la MFA. Un messaggio vi avviserà di verificare l’identità.

Figura 13: Verifica obbligatoria dell’identità dell’utente tramite Multi-Factor Authentication

Se l’utente non ha mai abilitato la Multi-Factor Authentication, partirà il wizard che guiderà l’utente nella scelta della modalità di autenticazione (app Microsoft Authenticator, token hardware, chiamata telefonica, SMS)

Figura 14: Configurazione della Multi-Factor Authentication, nel caso l’utente ne sia sprovvisto

Figura 15: Configurazione della MFA completata.

Completata la procedura di autenticazione tramite MFA, l’utente ritornerà nella pagina di Azure AD Privileged Identity Management e potrà continuare il processo di attivazione del ruolo. Come abbiamo impostato, l’utente dovrà dichiarare una motivazione con la quale richiede di attivarsi il ruolo privilegiato.

Figura 16: Attivazione del ruolo di Exchange Administrator dal portale di Azure AD Privileged Identity Management

Visto che abbiamo deciso di attivare il ruolo di Exchange Administrator solo dopo l’approvazione di un altro utente (approver), a chi ha fatto la richiesta apparirà un avviso che gli dirà di attendere l’approvazione.

Figura 17: Richiesta di abilitazione del ruolo in attesa di approvazione

A questo punto l’approver (Nicola Ferrini) riceverà nel giro di pochi minuti un’email che lo avviserà della richiesta di Utente 1 di poter diventare Exchange Administrator. Cliccando sull’apposito bottone, l’approver potrà collegarsi al portale di Azure AD Privileged Identity Management e accettare o rifiutare la richiesta.

Figura 18: E-mail di approvazione ricevuta dall’approver del ruolo di Exchange Administrator

Figura 19: Richieste in attesa di approvazione

Figura 20: Approvazione del ruolo concessa

Se anche l’approvazione del ruolo richiesta una motivazione, allora l’approver dovrà compilare l’apposito campo.

Figura 21: L’approver approva la richiesta ed inserisce una motivazione

L’utente che ha fatto la richiesta (Utente1 )a questo punto riceverà una mail, che lo avviserà che il ruolo è attivo e lo sarà per due ore dal momento dell’attivazione.

Figura 22: Richiesta di attivazione del ruolo approvata

Figura 23: E-mail ricevuta dall’Utente 1, con l’approvazione del ruolo in Azure AD e la relativa durata

Utente 1 potrà anche verificare dal portale di Azure AD Privileged Identity Management che il ruolo richiesto è stato attivato.

Figura 24: Verifica dell’attivazione del ruolo dal portale di Azure AD Privileged Identity Management

Anche l’approver Nicola Ferrini riceverà un e-mail che gli confermerà che il ruolo di Azure AD è stato approvato.

Figura 25: E-mail di conferma ricevuta dall’approver per l’abilitazione del ruolo

Le richieste di approvazione sono visibili anche dal portale di Azure AD Privileged Identity Management.

Figura 26: Notifica ricevuta nel portale di Azure AD Privileged Identity Management

Conclusioni

Privileged Identity Management (PIM) di Azure Active Directory (Azure AD) è un servizio che permette di gestire, controllare e monitorare l’accesso a risorse importanti nell’organizzazione. Queste risorse sono incluse in Azure AD, in Azure e in altri Microsoft Online Services, ad esempio Microsoft 365 o Microsoft Endpoint Manager.

PIM consente di consentire un set specifico di azioni in un determinato ambito. Le funzionalità principali includono:

  • Fornire l’accesso con privilegi just-in-time alle risorse
  • Assegnare l’idoneità per l’appartenenza o la proprietà dei gruppi di accesso con privilegi
  • Assegnare l’accesso con vincoli di tempo alle risorse usando dati di inizio e fine
  • Richiedere l’approvazione per attivare i ruoli con privilegi
  • Applicare l’autenticazione a più fattori per attivare qualsiasi ruolo
  • Usare la giustificazione per comprendere i motivi delle attivazioni da parte degli utenti
  • Ricevere notifiche all’attivazione dei ruoli con privilegi
  • Condurre verifiche di accesso per assicurarsi che gli utenti necessitino ancora dei ruoli
  • Scaricare la cronologia di controllo per il controllo interno o esterno

PIM permette alle aziende di poter controllare meglio quando gli utenti utilizzano gli account privilegiati. Poter limitare nel tempo i privilegi ed utilizzare la Just in Time Administration è sicuramente vantaggioso in termini di sicurezza e permette di poter gestire nel cloud lo stesso principio del Least Administrative Privilege che “dovremmo” avere in azienda.