Proteggere le identità dell'organizzazione con Microsoft Entra ID
Può sembrare scoraggiante cercare di proteggere i lavoratori nel mondo odierno, soprattutto quando è necessario rispondere velocemente e fornire l'accesso in modo rapido a molti servizi. Questo articolo fornisce un elenco conciso di azioni da intraprendere, consentendo di identificare e classificare in ordine di priorità le funzionalità in base al tipo di licenza di cui si è proprietari.
Microsoft Entra ID offre molte funzionalità e molti livelli di sicurezza per le identità: scegliere la funzionalità rilevante a volte può risultare difficile. Questo documento è stato ideato con l’intento di aiutare le organizzazioni a distribuire rapidamente i servizi tenendo al centro la sicurezza delle identità.
Ogni tabella fornisce consigli sulla sicurezza per proteggere le identità da attacchi comuni alla sicurezza riducendo al minimo il disagio per l'utente.
Il materiale sussidiario è un aiuto per:
- Configurare l'accesso al Software as a Service (SaaS) e alle applicazioni locali in modo sicuro e protetto
- Identità sia cloud che ibride
- Utenti che lavorano da remoto o in presenza
Prerequisiti
Questa guida presuppone che le identità ibride o operanti solo su cloud siano già stabilite in Microsoft Entra ID. Per informazioni sulla scelta del tipo di identità, vedere l'articolo Scegliere il metodo di autenticazione (AuthN) appropriato per la soluzione di gestione dell’identità ibrida di Microsoft Entra.
Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo amministratore globale. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Tali account sono limitati a scenari di emergenza o "break glass", in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo i consigli per l'account di accesso di emergenza.
Procedura guidata dettagliata
Per una procedura guidata dettagliata relativa a molti elementi consigliati in questo articolo, vedere la guida alla Configurazione di Microsoft Entra ID dopo aver effettuato l'accesso all'interfaccia di amministrazione di Microsoft 365. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passa al portale di installazione di Microsoft 365.
Indicazioni per i clienti di Microsoft Entra ID Free, Office 365 o Microsoft 365
Sono molti i consigli che i clienti delle app Microsoft Entra ID Free, Office 365 o Microsoft 365 devono prendere in considerazione al fine di proteggere le identità degli utenti. La tabella seguente è progettata per evidenziare le azioni chiave per le sottoscrizioni di licenza seguenti:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID Free (incluso in Azure, Dynamics 365, Intune e Power Platform)
| Azione consigliata | Dettagli |
|---|---|
| Abilitare le impostazioni predefinite per la sicurezza | Proteggere tutte le identità utente e le applicazioni abilitando l'autenticazione a più fattori e bloccando l'autenticazione legacy. |
| Abilitare la sincronizzazione dell'hash delle password (se si usano identità ibride) | Fornire ridondanza per l'autenticazione e migliorare la sicurezza (tra cui blocco intelligente, blocco IP e possibilità di individuare le credenziali perse). |
| Abilitare il blocco intelligente di AD FS (se applicabile) | Protegge gli utenti dal blocco di account Extranet da parte di attività dannose. |
| Abilitare il blocco intelligente di Microsoft Entra (se si usano identità gestite) | La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso. |
| Disabilitare il consenso dell'utente finale all'applicazione | Il flusso di lavoro del consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore. Per ridurre l’area di azione e mitigare questo rischio, Microsoft consiglia di disabilitare le future operazioni di consenso degli utenti. |
| Integrare le applicazioni SaaS supportate dalla raccolta a Microsoft Entra ID e abilitare l'accesso Single Sign-On (SSO) | Microsoft Entra ID include una raccolta che contiene migliaia di applicazioni preintegrate. Alcune applicazioni usate dall'organizzazione sono probabilmente incluse nella raccolta accessibile direttamente dal portale di Azure. Fornire l'accesso alle applicazioni SaaS aziendali in modalità remota e sicura con un'esperienza utente migliorata (Single Sign-On, SSO). |
| Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS (se applicabile) | Creare automaticamente ruoli e identità utente nelle applicazioni cloud (SaaS) a cui gli utenti hanno necessità di accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano, incrementando il livello di sicurezza dell’organizzazione. |
| Abilitare l'accesso ibrido sicuro: proteggere le app legacy con controller e reti esistenti per la distribuzione di app (se applicabile) | Pubblicare e proteggere le applicazioni di autenticazione legacy locali e nel cloud connettendole a Microsoft Entra ID con la rete o il controller di distribuzione delle applicazioni esistente. |
| Abilitare la reimpostazione della password self-service (applicabile solo agli account cloud) | Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. |
| Usare i ruoli con privilegi minimi, se possibile | Concedere agli amministratori solo l'accesso necessario esclusivamente alle aree a cui devono accedere. |
| Implementare le linee guida per le password di Microsoft | Smettere di richiedere agli utenti di modificare la password in base a una pianificazione specifica e disabilitare i requisiti di complessità: gli utenti saranno più propensi a ricordare le loro password e a mantenerle in sicurezza. |
Materiale sussidiario per i clienti di Microsoft Entra ID P1
La tabella seguente è progettata per evidenziare le azioni chiave per le sottoscrizioni di licenza seguenti:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365: E3, E5, F1, F3
| Azione consigliata | Dettagli |
|---|---|
| Abilitare l'esperienza di registrazione combinata per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service per semplificare l'esperienza di registrazione utente | Consentire agli utenti di registrarsi da un'esperienza comune sia per l’autenticazione a più fattori Microsoft Entra che per la reimpostazione della password self-service. |
| Configurare le impostazioni di autenticazione a più fattori per l’organizzazione | Assicurarsi che gli account siano protetti da compromissioni con l'autenticazione a più fattori. |
| Abilitare la reimpostazione self-service delle password | Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. |
| Implementare il writeback delle password (se si usano identità ibride) | Consentire il writeback delle modifiche delle password nel cloud in un ambiente di Windows Server Active Directory locale. |
| Creare e abilitare criteri di accesso condizionale | Autenticazione a più fattori per gli amministratori al fine di proteggere gli account a cui sono assegnati diritti amministrativi. Bloccare i protocolli di autenticazione legacy a causa del maggiore rischio associato ai protocolli di autenticazione legacy. Autenticazione a più fattori per tutti gli utenti e le applicazioni per creare criteri di autenticazione a più fattori bilanciati per l'ambiente, proteggendo utenti e applicazioni. Richiedere l'autenticazione a più fattori per Gestione di Azure al fine di proteggere le risorse con privilegi richiedendo l'autenticazione a più fattori per qualsiasi utente che accede alle risorse di Azure. |
| Abilitare la sincronizzazione dell'hash delle password (se si usano identità ibride) | Fornire ridondanza per l'autenticazione e migliorare la sicurezza (tra cui blocco intelligente, blocco IP e possibilità di individuare le credenziali perse). |
| Abilitare il blocco intelligente di AD FS (se applicabile) | Protegge gli utenti dal blocco di account Extranet da parte di attività dannose. |
| Abilitare il blocco intelligente di Microsoft Entra (se si usano identità gestite) | La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso. |
| Disabilitare il consenso dell'utente finale all'applicazione | Il flusso di lavoro del consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore. Per ridurre l’area di azione e mitigare questo rischio, Microsoft consiglia di disabilitare le future operazioni di consenso degli utenti. |
| Consentire l'accesso remoto ad applicazioni legacy locali con Application Proxy | Abilitare l’application proxy Microsoft Entra ID e integrarlo con app legacy, così che agli utenti possano accedere alle applicazioni locali effettuando l'accesso con il proprio account Microsoft Entra. |
| Abilitare l'accesso ibrido sicuro: proteggere le app legacy con controller e reti esistenti per la distribuzione di app (se applicabile). | Pubblicare e proteggere le applicazioni di autenticazione legacy locali e nel cloud connettendole a Microsoft Entra ID con la rete o il controller di distribuzione delle applicazioni esistente. |
| Integrare le applicazioni SaaS supportate dalla raccolta a Microsoft Entra ID e abilitare l'accesso Single Sign-On | Microsoft Entra ID include una raccolta che contiene migliaia di applicazioni preintegrate. Alcune applicazioni usate dall'organizzazione sono probabilmente incluse nella raccolta accessibile direttamente dal portale di Azure. Fornire l'accesso alle applicazioni SaaS aziendali in modalità remota e sicura con un'esperienza utente migliorata (SSO). |
| Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS (se applicabile) | Creare automaticamente ruoli e identità utente nelle applicazioni cloud (SaaS) a cui gli utenti hanno necessità di accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano, incrementando il livello di sicurezza dell’organizzazione. |
| Abilitare l'accesso condizionale - Basato su dispositivo | Migliorare la sicurezza e le esperienze utente con l'accesso condizionale basato su dispositivo. Questo passaggio garantisce che gli utenti possano accedere solo dai dispositivi che soddisfano gli standard di sicurezza e conformità. I dispositivi di questo tipo sono noti anche come dispositivi gestiti. I dispositivi gestiti possono essere conformi a Intune o dispositivi ibridi aggiunti a Microsoft Entra. |
| Abilitare la password di protezione | Proteggere gli utenti dall'uso di password deboli e facili da decifrare. |
| Usare i ruoli con privilegi minimi, se possibile | Concedere agli amministratori solo l'accesso necessario esclusivamente alle aree a cui devono accedere. |
| Implementare le linee guida per le password di Microsoft | Smettere di richiedere agli utenti di modificare la password in base a una pianificazione specifica e disabilitare i requisiti di complessità: gli utenti saranno più propensi a ricordare le loro password e a mantenerle in sicurezza. |
| Creare un elenco di password personalizzate vietate specifico dell'organizzazione | Impedire agli utenti di creare password che includono parole o frasi comuni per l'organizzazione o l'area. |
| Distribuire metodi di autenticazione senza password agli utenti | Fornire agli utenti pratici metodi di autenticazione senza password. |
| Creare un piano per l'accesso degli utenti guest | Collaborare con gli utenti guest consentendo loro di accedere alle app e ai servizi dell'organizzazione con le proprie identità aziendali, dell'istituto di istruzione o di social networking. |
Materiale sussidiario per i clienti di Microsoft Entra ID P2
La tabella seguente è progettata per evidenziare le azioni chiave per le sottoscrizioni di licenza seguenti:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Azione consigliata | Dettagli |
|---|---|
| Abilitare l'esperienza di registrazione combinata per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service per semplificare l'esperienza di registrazione utente | Consentire agli utenti di registrarsi da un'esperienza comune sia per l’autenticazione a più fattori Microsoft Entra che per la reimpostazione della password self-service. |
| Configurare le impostazioni di autenticazione a più fattori per l’organizzazione | Assicurarsi che gli account siano protetti da compromissioni con l'autenticazione a più fattori. |
| Abilitare la reimpostazione self-service delle password | Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. |
| Implementare il writeback delle password (se si usano identità ibride) | Consentire il writeback delle modifiche delle password nel cloud in un ambiente di Windows Server Active Directory locale. |
| Abilitare i criteri di Microsoft Entra ID Protection per applicare la registrazione dell'autenticazione a più fattori | Gestire l'implementazione dell'autenticazione a più fattori di Microsoft Entra. |
| Abilitare criteri di accesso condizionale basati su utenti e accessi a rischio | I criteri di accesso consigliati sono destinati agli accessi a medio rischio e richiedono l'autenticazione a più fattori. Per i criteri utente, è consigliabile avere come obiettivo gli utenti ad alto rischio richiedendo l’azione di modifica della password. |
| Creare e abilitare criteri di accesso condizionale | Autenticazione a più fattori per gli amministratori al fine di proteggere gli account a cui sono assegnati diritti amministrativi. Bloccare i protocolli di autenticazione legacy a causa del maggiore rischio associato ai protocolli di autenticazione legacy. Richiedere l'autenticazione a più fattori per Gestione di Azure al fine di proteggere le risorse con privilegi richiedendo l'autenticazione a più fattori per qualsiasi utente che accede alle risorse di Azure. |
| Abilitare la sincronizzazione dell'hash delle password (se si usano identità ibride) | Fornire ridondanza per l'autenticazione e migliorare la sicurezza (tra cui blocco intelligente, blocco IP e possibilità di individuare le credenziali perse). |
| Abilitare il blocco intelligente di AD FS (se applicabile) | Protegge gli utenti dal blocco di account Extranet da parte di attività dannose. |
| Abilitare il blocco intelligente di Microsoft Entra (se si usano identità gestite) | La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso. |
| Disabilitare il consenso dell'utente finale all'applicazione | Il flusso di lavoro del consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore. Per ridurre l’area di azione e mitigare questo rischio, Microsoft consiglia di disabilitare le future operazioni di consenso degli utenti. |
| Consentire l'accesso remoto ad applicazioni legacy locali con Application Proxy | Abilitare l’application proxy Microsoft Entra ID e integrarlo con app legacy, così che agli utenti possano accedere alle applicazioni locali effettuando l'accesso con il proprio account Microsoft Entra. |
| Abilitare l'accesso ibrido sicuro: proteggere le app legacy con controller e reti esistenti per la distribuzione di app (se applicabile). | Pubblicare e proteggere le applicazioni di autenticazione legacy locali e nel cloud connettendole a Microsoft Entra ID con la rete o il controller di distribuzione delle applicazioni esistente. |
| Integrare le applicazioni SaaS supportate dalla raccolta a Microsoft Entra ID e abilitare l'accesso Single Sign-On | Microsoft Entra ID include una raccolta che contiene migliaia di applicazioni preintegrate. Alcune applicazioni usate dall'organizzazione sono probabilmente incluse nella raccolta accessibile direttamente dal portale di Azure. Fornire l'accesso alle applicazioni SaaS aziendali in modalità remota e sicura con un'esperienza utente migliorata (SSO). |
| Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS (se applicabile) | Creare automaticamente ruoli e identità utente nelle applicazioni cloud (SaaS) a cui gli utenti hanno necessità di accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano, incrementando il livello di sicurezza dell’organizzazione. |
| Abilitare l'accesso condizionale - Basato su dispositivo | Migliorare la sicurezza e le esperienze utente con l'accesso condizionale basato su dispositivo. Questo passaggio garantisce che gli utenti possano accedere solo dai dispositivi che soddisfano gli standard di sicurezza e conformità. I dispositivi di questo tipo sono noti anche come dispositivi gestiti. I dispositivi gestiti possono essere conformi a Intune o dispositivi ibridi aggiunti a Microsoft Entra. |
| Abilitare la password di protezione | Proteggere gli utenti dall'uso di password deboli e facili da decifrare. |
| Usare i ruoli con privilegi minimi, se possibile | Concedere agli amministratori solo l'accesso necessario esclusivamente alle aree a cui devono accedere. |
| Implementare le linee guida per le password di Microsoft | Smettere di richiedere agli utenti di modificare la password in base a una pianificazione specifica e disabilitare i requisiti di complessità: gli utenti saranno più propensi a ricordare le loro password e a mantenerle in sicurezza. |
| Creare un elenco di password personalizzate vietate specifico dell'organizzazione | Impedire agli utenti di creare password che includono parole o frasi comuni per l'organizzazione o l'area. |
| Distribuire metodi di autenticazione senza password agli utenti | Fornire agli utenti pratici metodi di autenticazione senza password. |
| Creare un piano per l'accesso degli utenti guest | Collaborare con gli utenti guest consentendo loro di accedere alle app e ai servizi dell'organizzazione con le proprie identità aziendali, dell'istituto di istruzione o di social networking. |
| Abilitare Privileged identity management (PIM) | Consente di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione, garantendo agli amministratori che l’accesso sia effettuabile solo quando necessario e tramite approvazione. |
| Completare una verifica di accesso per i ruoli della directory Microsoft Entra in PIM | Collaborare con i dirigenti e i team dedicati alla sicurezza per creare criteri di verifica di accesso per controllare l'accesso amministrativo in base alle politiche dell'organizzazione. |
Zero Trust
Questa funzionalità consente alle organizzazioni di allineare le proprie identità ai tre principi guida di un'architettura Zero Trust:
- Verificare esplicita
- Usare privilegi minimi
- Presunzione di violazione
Per altre informazioni su Zero Trust e altri modi per allineare l'organizzazione ai principi guida, fare riferimento allo Zero Trust Guidance Center.
Passaggi successivi
- Per indicazioni dettagliate sulla distribuzione per le singole funzionalità di Microsoft Entra ID, vedere i piani di distribuzione del progetto Microsoft Entra ID.
- Le organizzazioni possono usare il punteggio di sicurezza delle identità per tenere traccia del proprio stato di avanzamento rispetto ad altri consigli Microsoft.