I più potenti ruoli di amministratore di Microsoft 365, limitazioni e ruoli alternativi per garantire l’accesso con privilegi minimi

Sebbene l’assegnazione dei diritti di amministratore di Microsoft 365 corretti a volte possa sembrare difficile, sbagliare può avere gravi conseguenze.

Diamo un’occhiata più da vicino ai ruoli di amministratore di Microsoft 365.

J. Peter Bruzzese, otto volte Microsoft MVP, spiega in questo report come le soluzioni di gestione delle attività di terze parti possono semplificare e migliorare l’interfaccia di amministrazione nativa di Microsoft 365 .

Responsabilità dell’amministratore globale

L’amministratore globale è il fulcro dell’ecosistema Microsoft 365. Questo ruolo viene assegnato automaticamente alla persona che configura il tenant di Microsoft 365.

Con una potenza quasi illimitata, un amministratore globale può gestire tutti gli aspetti dell’ambiente Microsoft 365, inclusi utenti, dispositivi, risorse e licenze. Questo ruolo ha l’autorità di modificare le impostazioni in tutti i centri di amministrazione, creare e gestire utenti, assegnare altri ruoli di amministratore, reimpostare le password e gestire le richieste di servizio, solo per citarne alcuni.

Nonostante gli ampi poteri, l’amministratore globale ha una limitazione notevole: non può gestire la propria password. Questa limitazione intrinseca è concepita come misura di sicurezza per prevenire potenziali usi impropri del ruolo di amministratore globale.

Consigli e alternative per il ruolo di amministratore globale

Spesso le aziende cadono nella trappola di assegnare il ruolo di amministratore globale in modo troppo ampio, assegnandolo anche a 100 o più dipendenti diversi. Data la vasta autorità del ruolo di amministratore globale, è fondamentale utilizzarlo con giudizio.

  1. Assegna sempre un amministratore globale di backup per garantire l’accesso continuo alle funzionalità critiche nel caso in cui l’amministratore globale principale non sia disponibile.
  2. Valuta la possibilità di assegnare un ruolo di Lettore globale quando non sono necessari tutti i poteri di Amministratore globale. Il ruolo Lettore globale può visualizzare tutte le impostazioni e i report nell’interfaccia di amministrazione di Microsoft 365 ma non può modificare alcuna impostazione. Ciò fornisce un equilibrio tra accesso e controllo.

Guarda ” Una giornata nella vita di un amministratore di Microsoft 365: è un lavoro d’amore ” on-demand per ulteriori dettagli sui diversi ruoli di amministratore di Microsoft 365 e sui relativi limiti.

Ruolo di amministratore della fatturazione

L’amministratore della fatturazione svolge un ruolo cruciale nella gestione degli aspetti finanziari dell’ambiente Microsoft 365. Riconosciuto come uno dei ruoli amministrativi di massimo livello dal supporto Microsoft, l’amministratore della fatturazione può aprire ticket di supporto, effettuare acquisti, gestire abbonamenti e richieste di servizio e monitorare l’integrità del servizio.

Tuttavia, nonostante le loro responsabilità finanziarie, gli amministratori della fatturazione non possono visualizzare completamente i metodi di pagamento. Nello specifico, non possono visualizzare i dati completi della carta di credito di nessuno. Questa limitazione è una misura di sicurezza cruciale progettata per proteggere le informazioni finanziarie sensibili.

Alternative per gli amministratori della fatturazione

L’assegnazione del ruolo di amministratore della fatturazione deve essere effettuata con attenzione a causa delle implicazioni finanziarie. Valuta invece la possibilità di assegnare il Lettore globale o un ruolo personalizzato agli utenti per limitare ciò che un utente può gestire. Questa operazione può essere eseguita tramite Azure Active Directory (AD). Questi ruoli forniscono un accesso adeguato per la gestione delle attività relative alla fatturazione senza il potenziale rischio associato ai privilegi di amministratore di fatturazione completi.

Hai bisogno di identificare tutti gli utenti con ruoli di amministratore Microsoft? Leggi questo articolo .

Amministratore di scambio

Il ruolo di amministratore di Exchange è fondamentale per il buon funzionamento dell’ecosistema Microsoft 365. Exchange è la spina dorsale di Microsoft 365, SharePoint, Teams e altro ancora. L’amministratore di Exchange ha il potere di accedere alle cassette postali degli utenti, gestire le impostazioni di Exchange Online ed eseguire attività come l’impostazione delle regole del flusso di posta, la gestione dei filtri antimalware e la configurazione delle funzionalità di conformità.

Tuttavia, il potere di accedere alle cassette postali degli utenti rende il ruolo di amministratore di Exchange un ruolo che non dovrebbe essere assegnato alla leggera. Il potenziale uso improprio di questo accesso rappresenta un grave problema di sicurezza.

Alternativa all’amministrazione di Exchange

Per mitigare i potenziali rischi per la sicurezza, valutare la possibilità di assegnare agli amministratori di Exchange il ruolo di amministratore del supporto del servizio. Questo ruolo può visualizzare l’integrità del servizio e le notifiche di rilascio, fornendo la supervisione necessaria senza l’accesso esteso fornito con il ruolo di amministratore di Exchange.

Scopri di più sull’implementazione di una strategia di amministrazione delegata per Microsoft 365 qui .

Responsabilità di amministratore di SharePoint

L’amministratore di SharePoint gestisce l’ambiente di SharePoint Online all’interno della suite Microsoft 365. Hanno accesso all’interfaccia di amministrazione di SharePoint Online (SPO), a tutti i contenuti e all’interfaccia di amministrazione di OneDrive. Le loro responsabilità includono la creazione e la gestione dei siti, la gestione degli amministratori dei siti, la gestione delle impostazioni di condivisione, la gestione dei gruppi di Microsoft 365 e la gestione dei limiti di archiviazione del sito.

Per impostazione predefinita, gli amministratori globali sono anche amministratori di SharePoint Online. Sebbene gli amministratori di SharePoint possano visualizzare le informazioni sugli utenti, non possono modificare le informazioni esistenti. Solo l’amministratore globale ha questa capacità, che è una misura di sicurezza integrata per limitare il potenziale uso improprio dei privilegi di amministratore.

Alternativa consigliata al ruolo di amministratore di SharePoint

Dato l’ampio accesso del ruolo di amministratore di SharePoint, le organizzazioni dovrebbero considerare attentamente chi necessita dei diritti di amministratore completi di SharePoint. Un consiglio è quello di considerare se il ruolo di amministratore di Teams è sufficiente per le esigenze dell’utente.

Leggi come gestire le impostazioni di condivisione esterna di SharePoint nell’interfaccia di amministrazione di SharePoint qui .

Ruolo di amministratore del sito

L’amministratore del sito, precedentemente noto come “proprietario della raccolta siti”, gestisce principalmente i siti all’interno dell’ambiente Microsoft 365. Hanno il potere di gestire le autorizzazioni e limitare l’accesso ove necessario, gestire i tipi di contenuto, le colonne del sito e i modelli per il riutilizzo nei siti e aggiornare la struttura del sito in base ai requisiti di contenuto.

Nonostante il controllo sui siti, gli amministratori dei siti hanno un accesso limitato all’ambiente Microsoft 365 più ampio. Non possono accedere al portale di amministrazione di Office 365 e, pertanto, non possono visualizzare le informazioni sull’utente.

Concedere l’accesso con privilegi minimi utilizzando il ruolo di amministratore del sito

Il ruolo di amministratore del sito può essere un modo per limitare i poteri di un amministratore. Fornendo loro l’accesso necessario per gestire i siti senza l’accesso più ampio fornito con altri ruoli di amministrazione, il ruolo di amministratore del sito è un buon esempio di come implementare il principio del privilegio minimo, che è una best practice chiave per la sicurezza.

Ruoli di amministratore di Microsoft 365 aggiuntivi

Sono disponibili almeno 79 diversi ruoli di amministratore di Microsoft 365. Questi ruoli sono generalmente raggruppati in categorie più ampie (ad esempio collaborazione, dispositivi, globale, ecc.). Ecco come Microsoft classifica questi ruoli:

Ruoli di collaborazione

  • Amministratore del servizio Teams: gestisce il servizio Microsoft Teams in Microsoft 365.
  • Amministratore di SharePoint: gestisce il servizio SharePoint Online.
  • Amministratore delle comunicazioni di Teams: gestisce le funzionalità di chiamata e riunione all’interno di Microsoft Teams.

Ruoli del dispositivo

  • Amministratore di Intune: gestisce l’accesso a dispositivi mobili, applicazioni mobili e PC.
  • Endpoint Security Manager: gestisce le funzionalità di gestione delle policy di sicurezza in Endpoint Security.

Ruoli globali

  • Amministratore globale: ha accesso a tutte le funzionalità amministrative.
  • Lettore globale: ha accesso in sola lettura a tutte le funzionalità amministrative.

Ruoli identitari

  • Scrittori di directory: possono creare e gestire tutti gli aspetti dei gruppi.
  • Amministratore identità: gestisce le funzionalità relative all’identità.
  • Amministratore password: gestisce la reimpostazione della password.

Ruoli di sola lettura

  • Lettore di report: ha accesso ai report delle attività di sola lettura.
  • Lettore di sicurezza: ha accesso in sola lettura a tutte le informazioni nel Centro sicurezza e conformità.

Ruoli di sicurezza e conformità

  • Amministratore della sicurezza: gestisce le funzionalità relative alla sicurezza.
  • Amministratore conformità: gestisce le funzionalità relative alla conformità.
  • Operatore di sicurezza: gestisce gli incidenti e gli avvisi di sicurezza.

Altri ruoli di amministratore

  • Amministratore di Power BI: gestisce le impostazioni del servizio in Power BI.
  • Amministratore del supporto del servizio: apre i ticket di supporto e monitora l’integrità del servizio.

Guarda ” Una giornata nella vita di un amministratore di Microsoft 365: è un lavoro d’amore ” on-demand per ulteriori dettagli sui diversi ruoli di amministratore di Microsoft 365 e sui relativi limiti.

Alternative per il controllo granulare degli accessi in base al ruolo in Microsoft 365

Sfortunatamente, gli strumenti amministrativi di Microsoft 365 possono essere allo stesso tempo eccessivamente complicati e troppo bruschi. Sebbene siano disponibili strumenti come ruoli personalizzati, accesso temporizzato, unità AD e avvisi, la loro impostazione può essere difficile e richiedere molto tempo.

Le organizzazioni che si affidano esclusivamente agli strumenti nativi possono dedicare molto tempo a capire quali ruoli assegnare a chi. Ciò può far sì che alcuni utenti abbiano più potere di quello di cui hanno realmente bisogno (il che aumenta i rischi per la sicurezza) o che i dipendenti non abbiano un accesso adeguato per svolgere il proprio lavoro.

Ad esempio, se un dipendente con privilegi di amministratore di Exchange presso un grande istituto finanziario decide di accedere all’account di posta elettronica del CEO e nulla si frappone sulla sua strada, la banca dovrà affrontare le conseguenze delle sue azioni.

Oppure considera un’organizzazione con centinaia di dipartimenti e filiali, ciascuno con una visione diversa di come dovrebbero operare. Queste diverse prospettive possono complicare rapidamente la governance di Microsoft 365 .

Ecco perché così tante organizzazioni si rivolgono alle piattaforme di gestione di Microsoft 365 come CoreView per segmentare gli utenti in base alla posizione, alla business unit, al reparto e altro ancora. Con Virtual Tenants™ di Coreview, puoi concedere un set specifico di autorizzazioni amministrative agli amministratori che saranno quindi in grado di visualizzare e gestire solo quello specifico sottoinsieme di utenti. Scopri di più sugli inquilini virtuali qui .

Ciao!

Kas ha trascorso gli ultimi dieci anni lavorando con le soluzioni cloud di Microsoft e condividendo le migliori pratiche di governance, adozione e produttività con la comunità MVP.

Let's talk!

Livecommitment rimane a disposizione per rispondere a qualsiasi richiesta in materia di Consulenza, Implementazione e Formazione delle nostre piattaforme SaaS