Soddisfare i requisiti di autenticazione a più fattori del memorandum 22-09

Informazioni sull'uso di Microsoft Entra ID come sistema centralizzato di gestione delle identità durante l'implementazione dei principi Zero Trust. Consultare US Office of Management and Budget (OMB) M 22-09 Memorandum per i capi dei dipartimenti esecutivi e delle agenzie.

I requisiti di tipo memo sono che i dipendenti usano identità gestite dall'organizzazione per accedere alle applicazioni e che l'autenticazione a più fattori protegge i dipendenti da attacchi online sofisticati, ad esempio il phishing. Questo metodo di attacco tenta di ottenere e compromettere le credenziali, con collegamenti a siti inautenticati.

L'autenticazione a più fattori impedisce l'accesso non autorizzato a account e dati. I requisiti del memo citono l'autenticazione a più fattori con metodi resistenti al phishing: processi di autenticazione progettati per rilevare e impedire la divulgazione di segreti di autenticazione e output in un sito Web o un'applicazione mascherata come sistema legittimo. Stabilire quindi quali metodi di autenticazione a più fattori qualificano come resistenti al phishing.

Metodi resistenti al phishing

Alcune agenzie federali hanno distribuito credenziali moderne, ad esempio chiavi di sicurezza FIDO2 o Windows Hello for Business. Molti stanno valutando l'autenticazione di Microsoft Entra con i certificati.

Altre informazioni:

Alcune agenzie stanno modernizzando le credenziali di autenticazione. Sono disponibili più opzioni per soddisfare i requisiti di autenticazione a più fattori resistenti al phishing con Microsoft Entra ID. Microsoft consiglia di adottare un metodo di autenticazione a più fattori resistente al phishing che corrisponde alle funzionalità dell'agenzia. Prendere in considerazione ciò che è possibile ora per l'autenticazione a più fattori di phishing per migliorare il comportamento generale della cybersecurity. Implementare le credenziali moderne. Tuttavia, se il percorso più rapido non è un approccio moderno, eseguire il passaggio per iniziare il percorso verso approcci moderni.

Diagramma dei metodi di autenticazione a più fattori resistenti al phishing di Microsoft Entra.

Approcci moderni

Protezione da phishing esterno

I criteri di accesso condizionale e Microsoft Authenticator applicano i dispositivi gestiti: dispositivi o dispositivi aggiunti a Microsoft Entra ibridi contrassegnati come conformi. Installare Microsoft Authenticator nei dispositivi che accedono alle applicazioni protette da Microsoft Entra ID.

Altre informazioni: Metodi di autenticazione in Microsoft Entra ID - App Microsoft Authenticator

Importante

Per soddisfare il requisito di resistenza al phishing: gestire solo i dispositivi che accedono all'applicazione protetta. Gli utenti autorizzati a usare Microsoft Authenticator rientrano nell'ambito dei criteri di accesso condizionale che richiedono dispositivi gestiti per l'accesso. I criteri di accesso condizionale bloccano l'accesso all'app cloud di registrazione di Microsoft Intune. Gli utenti autorizzati a usare Microsoft Authenticator rientrano nell'ambito di questo criterio di accesso condizionale. Usare gli stessi gruppi per consentire l'autenticazione di Microsoft Authenticator nei criteri di accesso condizionale per assicurarsi che gli utenti abilitati per il metodo di autenticazione siano inclusi nell'ambito di entrambi i criteri. Questo criterio di accesso condizionale impedisce il vettore più significativo di minacce di phishing da attori esterni malintenzionati. Impedisce inoltre a un attore malintenzionato di eseguire il phishing di Microsoft Authenticator per registrare credenziali o aggiungere un dispositivo e registrarlo in Intune per contrassegnarlo come conforme.

Altre informazioni:

Nota

Microsoft Authenticator non è resistente al phishing. Configurare i criteri di accesso condizionale per richiedere che i dispositivi gestiti ottengano la protezione dalle minacce di phishing esterne.

Legacy

Provider di identità federati (IDP), ad esempio Active Directory Federation Services (AD FS) configurati con metodi resistenti al phishing. Mentre le agenzie ottengono resistenza al phishing con idP federato, aggiunge costi, complessità e rischi. Microsoft incoraggia i vantaggi di sicurezza di Microsoft Entra ID an IdP, rimuovendo il rischio associato di un IdP federato

Altre informazioni:

Considerazioni sul metodo resistente al phishing

Le funzionalità correnti del dispositivo, gli utenti utente e altri requisiti possono determinare metodi a più fattori. Ad esempio, le chiavi di sicurezza FIDO2 con supporto USB-C richiedono dispositivi con porte USB-C. Quando si valuta l'autenticazione a più fattori resistente al phishing, prendere in considerazione le informazioni seguenti:

  • Tipi di dispositivi e funzionalità che è possibile supportare: chioschi multimediali, portatili, telefoni cellulari, lettori biometrici, USB, Bluetooth e dispositivi di comunicazione near-field
  • Utenti dell'organizzazione: lavoratori front-line, lavoratori remoti con e senza hardware di proprietà dell'azienda, amministratori con workstation con accesso con privilegi e utenti guest business-to-business
  • Logistica: distribuire, configurare e registrare metodi di autenticazione a più fattori, ad esempio chiavi di sicurezza FIDO2, smart card, apparecchiature fornite da enti pubblici o dispositivi Windows con chip TPM
  • Convalida FIPS (Federal Information Processing Standards) 140 a livello di garanzia dell'autenticatore: alcune chiavi di sicurezza FIDO sono FIPS 140 convalidate a livelli per AAL3 impostato da NIST SP 800-63B

Considerazioni sull'implementazione per l'autenticazione a più fattori resistente al phishing

Vedere le sezioni seguenti per il supporto dell'implementazione di metodi resistenti al phishing per l'accesso alle applicazioni e ai dispositivi virtuali.

Scenari di accesso delle applicazioni da vari client

La tabella seguente illustra in dettaglio la disponibilità di scenari di autenticazione a più fattori resistenti al phishing, in base al tipo di dispositivo usato per accedere alle applicazioni:

Dispositivo AD FS come IdP federato con autenticazione del certificato Autenticazione del certificato Microsoft Entra Chiavi di sicurezza FIDO2 Windows Hello for Business (Configurare Windows Hello for Business) Microsoft Authenticator con criteri di accesso condizionale che applicano l'aggiunta ibrida o i dispositivi conformi a Microsoft Entra
Dispositivo Windows Segno di spunta con riempimento a tinta unita Segno di spunta con riempimento a tinta unita Segno di spunta con riempimento a tinta unita Segno di spunta con riempimento a tinta unita Segno di spunta con riempimento a tinta unita
Dispositivo mobile iOS Segno di spunta con riempimento a tinta unita Segno di spunta con riempimento a tinta unita Non applicabile Non applicabile Segno di spunta con riempimento a tinta unita
Dispositivo mobile Android Segno di spunta con riempimento a tinta unita Segno di spunta con riempimento a tinta unita Non applicabile Non applicabile Segno di spunta con riempimento a tinta unita
Dispositivo macOS Segno di spunta con riempimento a tinta unita Segno di spunta con riempimento a tinta unita Edge/Chrome Non applicabile Segno di spunta con riempimento a tinta unita

Altre informazioni: Supporto del browser per l'autenticazione senza password FIDO2

Scenari di accesso ai dispositivi virtuali che richiedono l'integrazione

Per applicare l'autenticazione a più fattori resistente al phishing, potrebbe essere necessaria l'integrazione. Applicare l'autenticazione a più fattori per gli utenti che accedono ad applicazioni e dispositivi. Per i cinque tipi di autenticazione a più fattori resistenti al phishing, usare le stesse funzionalità per accedere ai tipi di dispositivo seguenti:

Sistema di destinazione Azioni di integrazione
Macchina virtuale Linux di Azure Abilitare la macchina virtuale Linux per l'accesso a Microsoft Entra
Macchina virtuale Windows di Azure Abilitare la macchina virtuale Windows per l'accesso a Microsoft Entra
Desktop virtuale Azure Abilitare Desktop virtuale Azure per l'accesso a Microsoft Entra
Macchine virtuali ospitate in locale o in altri cloud Abilitare Azure Arc nella macchina virtuale e quindi abilitare l'accesso a Microsoft Entra. Attualmente in anteprima privata per Linux. Il supporto per le macchine virtuali Windows ospitate in questi ambienti è disponibile nella roadmap.
Soluzione desktop virtuale non Microsoft Integrare la soluzione desktop virtuale come app in Microsoft Entra ID

Applicazione dell'autenticazione a più fattori resistente al phishing

Usare l'accesso condizionale per applicare l'autenticazione a più fattori per gli utenti nel tenant. Con l'aggiunta di criteri di accesso tra tenant, è possibile applicarli agli utenti esterni.

Altre informazioni: Panoramica: Accesso tra tenant con Microsoft Entra per ID esterno

Applicazione in tutte le agenzie

Usare Microsoft Entra B2B Collaboration per soddisfare i requisiti che facilitano l'integrazione:

  • Limitare gli altri tenant Microsoft a cui gli utenti accedono
  • Consentire l'accesso agli utenti che non è necessario gestire nel tenant, ma applicare l'autenticazione a più fattori e altri requisiti di accesso

Per altre informazioni: Panoramica di Collaborazione B2B

Applicare l'autenticazione a più fattori per i partner e gli utenti esterni che accedono alle risorse dell'organizzazione. Questa azione è comune negli scenari di collaborazione tra agenzie. Usare i criteri di accesso tra tenant di Microsoft Entra per configurare l'autenticazione a più fattori per gli utenti esterni che accedono ad applicazioni e risorse.

Configurare le impostazioni di attendibilità nei criteri di accesso tra tenant per considerare attendibile il metodo di autenticazione a più fattori usato dal tenant utente guest. Evitare che gli utenti registrino un metodo di autenticazione a più fattori con il tenant. Abilitare questi criteri in base all'organizzazione. È possibile determinare i metodi di autenticazione a più fattori nel tenant principale dell'utente e decidere se soddisfano i requisiti di resistenza al phishing.

Criteri per la password

Il memo richiede alle organizzazioni di modificare criteri password inefficaci, ad esempio password complesse e ruotate. L'imposizione include la rimozione del requisito per caratteri e numeri speciali, con criteri di rotazione delle password basati sul tempo. Si considerino invece le opzioni seguenti:

Anche se il memo non è specifico sui criteri da usare con le password, considerare lo standard di NIST 800-63B.

Vedere la pubblicazione speciale NIST 800-63B, Linee guida per l'identità digitale.

Passaggi successivi