← Indice pacchetto onboarding
Privileged Accounts Register — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P1 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Registro unico degli account con privilegi elevati o funzioni speciali: amministratori di dominio/tenant, account di servizio, account break-glass (emergenza), accessi di fornitori esterni. Serve a sapere quali identità possono fare cosa prima dello split e a soddisfare il requisito NIS 2 di controllo degli accessi privilegiati. Compilazione documentale, non disciplinare: la crescita ad-hoc dei permessi è un dato da mappare, non una colpa da attribuire.
Come popolare il registro
- Amministrativi AD/Entra → dal file
entra-admin-roles.csv e ad-privileged.csv prodotti in identity-access-audit.md. - Account di servizio → vedi
service-accounts-inventory.md (P2) per il metodo di scoperta. - Break-glass ed esterni → intervista al team IT e verifica contratti fornitori.
1. Account amministrativi (persone)
| Account | Persona reale | Ruolo/gruppo priv | Ambito (AD/Entra/società) | MFA | Password rotata ultima volta | Owner/responsabile | Note |
|---|
| [da compilare] | | | | | | | |
2. Account di servizio (non-persona)
| Account | Tipo (svc/srv/app) | Scopo | Dove usato (host/app) | Società | MFA/eccezione | PasswordLastSet | Owner | Note |
|---|
| [da compilare] | | | | | | | | |
3. Account break-glass (emergenza)
| Account | Ambito | Custodia credenziale (dove/come) | MFA | Monitorato (alert su uso) | Ultimo test | Owner |
|---|
| [da compilare] | | | | | | |
Buona pratica NIS 2: almeno un break-glass per tenant, password lunga in cassaforte/vault fisico, uso allertato e revisionato.
4. Accessi esterni / fornitori
| Fornitore | Account/modalità | Scopo | Sistemi raggiungibili | Scadenza/contratto | MFA | Owner interno | Note |
|---|
| [da compilare] | | | | | | | |
5. Account condivisi (da isolare)
| Account condiviso | Chi lo usa | Su cosa | Perché condiviso | Rischio | Azione proposta (P2) |
|---|
| [da compilare] | | | | | |
Sintesi da compilare
- Admin di dominio/tenant totali:
[da compilare] - Account di servizio con password >1 anno:
[da compilare] - Account privilegiati senza MFA:
[da compilare] - Account condivisi attivi:
[da compilare] - Break-glass documentati e testati:
[da compilare]
Le anomalie (privilegi non giustificati, password mai ruotate, condivisioni) si annotano qui e si affrontano nel piano di rientro P2/P3, con il team come co-autore delle correzioni.