Pianificare una distribuzione di Protezione ID

Microsoft Entra ID Protection rileva i rischi basati sull'identità e li segnala, consentendo agli amministratori di analizzare e correggere questi rischi per mantenere le organizzazioni protette e sicure. I dati sui rischi possono essere poi inseriti in strumenti come l'accesso condizionale per prendere decisioni relative agli accessi oppure inviati a uno strumento per informazioni di sicurezza e gestione degli eventi (SIEM, Security Information and Event Management) per ulteriori analisi e indagini.

Questo piano di distribuzione estende i concetti introdotti nel piano di distribuzione dell'accesso condizionale.

Prerequisiti

• Un tenant di Microsoft Entra funzionante con una licenza P2 o di prova di Microsoft Entra ID abilitata. Se necessario, crearne uno gratuitamente.
• Gli amministratori che interagiscono con ID Protection devono avere una o più delle assegnazioni di ruolo seguenti a seconda delle attività eseguite. Per seguire il principio Zero Trust dei privilegi minimi, è consigliabile usare Privileged Identity Management (PIM) per attivare le assegnazioni di ruolo con privilegi JIT.
  • Leggere criteri e configurazioni di accesso condizionale e ID Protection
    • Ruolo con autorizzazioni di lettura per la sicurezza
    • Ruolo con autorizzazioni di lettura globali
  • Gestire la protezione ID
    • Operatore per la sicurezza
    • Amministratore della sicurezza
  • Creare o modificare criteri di accesso condizionale
    • Amministratore accesso condizionale
    • Amministratore della sicurezza
• Un utente di test che non è un amministratore che verifica che i criteri funzionino come previsto prima della distribuzione agli utenti reali. Se è necessario creare un utente, vedere Guida introduttiva: Aggiungere nuovi utenti a Microsoft Entra ID.
• Gruppo a cui appartiene l'utente. Se è necessario creare un gruppo, vedere Creare un gruppo e aggiungere membri in Microsoft Entra ID.

Coinvolgere gli stakeholder appropriati

Quando i progetti tecnologici non hanno successo, in genere la causa è legata ad aspettative su influenze, risultati e responsabilità non corrispondenti. Per evitare questi problemi, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli degli stakeholder nel progetto vengano compresi in modo esatto, documentando le informazioni sugli stakeholder, sui rispettivi input e sulle responsabilità in merito al progetto.

Comunicazione delle modifiche

La comunicazione è fondamentale per il successo di una nuova funzionalità. Comunicare in modo proattivo con gli utenti spiegando come cambierà l'esperienza, quando viene modificata e come ottenere supporto in caso di problemi.

Passaggio 1: Esaminare i report esistenti

È importante esaminare i report di Protezione ID prima di distribuire criteri di accesso condizionale basati sul rischio. Questa revisione offre l'opportunità di analizzare eventuali comportamenti sospetti esistenti. È possibile scegliere di ignorare il rischio o confermare questi utenti come sicuri se si determina che non sono a rischio.

• Indagare i rilevamenti di rischi
• Correggere i rischi e sbloccare gli utenti
• Apportare modifiche in blocco con Microsoft Graph PowerShell

Per garantire l'efficienza, è consigliabile consentire agli utenti di correggere automaticamente i criteri illustrati nel passaggio 3.

Passaggio 2: Pianificare i criteri di rischio per l'accesso condizionale

ID Protection invia segnali di rischio a Conditional Access, per prendere decisioni e applicare i criteri organizzativi. Questi criteri potrebbero richiedere agli utenti l'autenticazione a più fattori o la modifica sicura della password. Esistono diversi elementi che le organizzazioni devono pianificare prima di creare i criteri.

Esclusioni di criteri

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Autenticazione a più fattori

Per consentire agli utenti di correggere autonomamente i rischi, tuttavia, è necessario registrarsi per l'autenticazione a più fattori di Microsoft Entra prima che diventino rischiosi. Per altre informazioni, vedere l’articolo Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra.

Percorsi di rete noti

È importante configurare le posizioni denominate nell'accesso condizionale e aggiungere gli intervalli VPN alle app di Defender per il cloud. Gli accessi da località denominate e contrassegnate come attendibili o conosciute migliorano l'accuratezza dei calcoli del rischio di ID Protection. Questi accessi consentono di ridurre il rischio di un utente quando eseguono l'autenticazione da una posizione contrassegnata come attendibile o nota. Questa procedura riduce i falsi positivi per alcuni rilevamenti nell'ambiente in uso.

Modalità solo report

La modalità solo report è un nuovo stato dei criteri di Conditional Access che consente agli amministratori di valutare l'impatto dei criteri di accesso condizionale prima di applicarli nell'ambiente.

Passaggio 3: Configurare i criteri

Criteri di registrazione MFA di ID Protection

Usare i criteri di registrazione per autenticazione a più fattori di Protezione ID per consentire agli utenti di registrare l'autenticazione a più fattori di Microsoft Entra prima di usarla. Seguire la procedura descritta nell'articolo Come fare a...: Configurare i criteri di registrazione per autenticazione a più fattori di Microsoft Entra per abilitare questo criterio.

Criteri di accesso condizionale

Rischio di accesso: la maggior parte degli utenti ha un comportamento normale monitorabile. In condizioni che esulano dalla normalità, potrebbe essere rischioso consentire loro semplicemente di accedere. Si vuole bloccare l'utente o chiedergli di usare l'autenticazione a più fattori per dimostrare la sua effettiva identità. Per iniziare, definire l'ambito di questi criteri in un subset degli utenti.

Rischio utente: Microsoft collabora con ricercatori, forze dell'ordine, diversi team di sicurezza di Microsoft e altre fonti attendibili per trovare coppie di nome utente e password perse. Quando questi utenti vulnerabili vengono rilevati, è consigliabile richiedere agli utenti di eseguire l'autenticazione a più fattori e quindi reimpostare la password.

L'articolo Configurare e abilitare i criteri di rischio fornisce indicazioni per creare criteri di accesso condizionale per risolvere questi rischi.

Passaggio 4: Monitoraggio ed esigenze operative continue

Notifiche tramite posta elettronica

Abilitare le notifiche in modo da poter rispondere quando un utente viene contrassegnato come a rischio. Queste notifiche consentono di avviare immediatamente l'analisi. È anche possibile configurare messaggi di posta elettronica di riepiloghi settimanali, offrendo una panoramica del rischio per la settimana.

Monitorare e analizzare

L’analisi di impatto della cartella di lavoro dei criteri di accesso basati sui rischi consente agli amministratori di comprendere l'impatto degli utenti prima di creare criteri di accesso condizionale basati sul rischio.

La cartella di lavoro protezione ID consente di monitorare e cercare modelli nel tenant. Monitorare questa cartella di lavoro per individuare le tendenze e anche i risultati della modalità Solo report di accesso condizionale per verificare se sono presenti modifiche che devono essere apportate, ad esempio aggiunte a posizioni denominate.

Microsoft Defender for Cloud Apps fornisce un framework di indagine che le organizzazioni possono usare come punto di partenza. Per altre informazioni, vedere l'articolo Come analizzare gli avvisi di rilevamento anomalie.

È anche possibile usare le API di protezione ID per esportare le informazioni sui rischi in altri strumenti, in modo che il team di sicurezza possa monitorare e avvisare gli eventi di rischio.

Durante i test, potrebbe essere necessario simulare alcune minacce per testare i processi di indagine.

Passaggi successivi

Che cos'è il rischio?