Criteri di sicurezza comuni per le organizzazioni di Microsoft 365

Le organizzazioni devono preoccuparsi di quando si distribuisce Microsoft 365 per l'organizzazione. I criteri di accesso condizionale, protezione delle app e conformità dei dispositivi a cui si fa riferimento in questo articolo sono basati sulle raccomandazioni di Microsoft e sui tre principi guida di Zero Trust:

  • Verificare esplicita
  • Usare privilegi minimi
  • Presunzione di violazione

Le organizzazioni possono adottare questi criteri così come sono o personalizzarli in base alle proprie esigenze. Se possibile, testare i criteri in un ambiente non di produzione prima di distribuire gli utenti di produzione. Il test è fondamentale per identificare e comunicare eventuali effetti possibili agli utenti.

Questi criteri vengono raggruppati in tre livelli di protezione in base al percorso di distribuzione:

  • Punto di partenza: controlli di base che introducono l'autenticazione a più fattori, le modifiche protette delle password e i criteri di protezione delle app.
  • Enterprise : controlli avanzati che introducono la conformità dei dispositivi.
  • Sicurezza specializzata: criteri che richiedono l'autenticazione a più fattori ogni volta per set di dati o utenti specifici.

Il diagramma seguente mostra il livello di protezione a cui si applica ogni criterio e se i criteri si applicano a PC o telefoni e tablet o a entrambe le categorie di dispositivi.

Diagramma che mostra i criteri comuni di identità e dispositivi che supportano i principi Zero Trust.

È possibile scaricare questo diagramma come file PDF .

Suggerimento

È consigliabile richiedere l'uso dell'autenticazione a più fattori (MFA) prima di registrare i dispositivi in Intune per garantire che il dispositivo sia in possesso dell'utente previsto. Prima di poter applicare i criteri di conformità dei dispositivi, è necessario registrare i dispositivi in Intune.

Prerequisiti

Autorizzazioni

  • Gli utenti che gestiranno i criteri di accesso condizionale devono essere in grado di accedere al portale di Azure almeno come amministratore dell'accesso condizionale.
  • Gli utenti che gestiranno i criteri di protezione delle app e conformità dei dispositivi devono essere in grado di accedere a Intune come almeno un amministratore di Intune.
  • Agli utenti che devono visualizzare solo le configurazioni è possibile assegnare i ruoli con autorizzazioni di lettura per la sicurezza o con autorizzazioni di lettura globali.

Per altre informazioni sui ruoli e le autorizzazioni, vedere l'articolo Ruoli predefiniti di Microsoft Entra.

Registrazione utente

Assicurarsi che gli utenti esecrivano per l'autenticazione a più fattori prima di richiederne l'uso. Se si dispone di licenze che includono Microsoft Entra ID P2, è possibile usare i criteri di registrazione MFA all'interno di Microsoft Entra ID Protection per richiedere la registrazione degli utenti. Forniamo modelli di comunicazione, è possibile scaricare e personalizzare, per promuovere la registrazione.

Gruppi

Tutti i gruppi di Microsoft Entra usati come parte di queste raccomandazioni devono essere creati come gruppo di Microsoft 365 non come gruppo di sicurezza. Questo requisito è importante per la distribuzione delle etichette di riservatezza quando si proteggono i documenti in Microsoft Teams e SharePoint in un secondo momento. Per altre informazioni, vedere l'articolo Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID

Assegnazione dei criteri

I criteri di accesso condizionale possono essere assegnati a utenti, gruppi e ruoli di amministratore. I criteri di protezione delle app e di conformità dei dispositivi di Intune possono essere assegnati solo ai gruppi. Prima di configurare i criteri, è necessario identificare chi deve essere incluso ed escluso. In genere, i criteri del livello di protezione dei punti di partenza si applicano a tutti gli utenti dell'organizzazione.

Ecco un esempio di assegnazione di gruppo ed esclusioni per richiedere l'autenticazione a più fattori dopo che gli utenti hanno completato la registrazione dell'utente.

  Criteri di accesso condizionale di Microsoft Entra Includi Escludi
Punto di partenza Richiedere l'autenticazione a più fattori per rischi di accesso medio o elevato Tutti gli utenti
  • Account di accesso di emergenza
  • Gruppo di esclusione dell'accesso condizionale
Funzionalità per le aziende Richiedere l'autenticazione a più fattori per rischi di accesso basso, medio o elevato Gruppo del personale esecutivo
  • Account di accesso di emergenza
  • Gruppo di esclusione dell'accesso condizionale
Sicurezza specializzata Richiedere sempre l'autenticazione a più fattori Gruppo Top Secret Project Buckeye
  • Account di accesso di emergenza
  • Gruppo di esclusione dell'accesso condizionale

Prestare attenzione quando si applicano livelli di protezione più elevati a gruppi e utenti. L'obiettivo della sicurezza non è quello di aggiungere attriti non necessari all'esperienza utente. Ad esempio, i membri del gruppo Top Secret Project Buckeye dovranno usare l'autenticazione a più fattori ogni volta che accedono, anche se non lavorano sul contenuto di sicurezza specializzato per il progetto. Un eccessivo attrito di sicurezza può portare alla fatica.

È possibile abilitare metodi di autenticazione senza password, ad esempio le chiavi di sicurezza di Windows Hello for Business o FIDO2 per ridurre alcuni attriti creati da determinati controlli di sicurezza.

Account di accesso di emergenza

Tutte le organizzazioni devono avere almeno un account di accesso di emergenza monitorato per l'uso e escluso dai criteri. Questi account vengono usati solo nel caso in cui tutti gli altri account amministratore e metodi di autenticazione diventino bloccati o altrimenti non disponibili. Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.

Esclusioni

Una procedura consigliata consiste nel creare un gruppo Entra di Microsoft per le esclusioni di accesso condizionale. Questo gruppo consente di fornire l'accesso a un utente durante la risoluzione dei problemi di accesso.

Avviso

Questo gruppo è consigliato solo per l'uso come soluzione temporanea. Monitorare e controllare continuamente questo gruppo per le modifiche e assicurarsi che il gruppo di esclusione venga usato solo come previsto.

Per aggiungere questo gruppo di esclusione a tutti i criteri esistenti:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare un criterio esistente.
  4. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e il gruppo di esclusione dell'accesso condizionale.

Distribuzione

È consigliabile implementare i criteri del punto di partenza nell'ordine elencato in questa tabella. Tuttavia, i criteri di autenticazione a più fattori per i livelli di sicurezza aziendali e specializzati di protezione possono essere implementati in qualsiasi momento.

Punto di partenza

Criteri Ulteriori informazioni Licenze
Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato il rischio Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Bloccare i client che non supportano l'autenticazione moderna I client che non usano l'autenticazione moderna possono ignorare i criteri di accesso condizionale, quindi è importante bloccarli. Microsoft 365 E3 o E5
Gli utenti ad alto rischio devono modificare la password Forza gli utenti a modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Applicare i criteri di protezione delle applicazioni per la protezione dei dati Un criterio di protezione delle app di Intune per ogni piattaforma (Windows, iOS/iPadOS, Android). Microsoft 365 E3 o E5
Richiedere app approvate e criteri di protezione delle app Applica i criteri di protezione delle app per dispositivi mobili per telefoni e tablet usando iOS, iPadOS o Android. Microsoft 365 E3 o E5

Enterprise

Criteri Ulteriori informazioni Licenze
Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato il rischio Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Definire i criteri di conformità dei dispositivi Impostare i requisiti minimi di configurazione. Un criterio per ogni piattaforma. Microsoft 365 E3 o E5
Richiedere PC e dispositivi mobili conformi Applica i requisiti di configurazione per i dispositivi che accedono all'organizzazione Microsoft 365 E3 o E5

Sicurezza specializzata

Criteri Ulteriori informazioni Licenze
Richiedere sempre l'autenticazione a più fattori Gli utenti devono eseguire l'autenticazione a più fattori ogni volta che accedono ai servizi dell'organizzazione Microsoft 365 E3 o E5

criteri di Protezione di app

Protezione di app criteri definiscono le app consentite e le azioni che possono eseguire con i dati dell'organizzazione. Ci sono molte scelte disponibili e può essere confusione per alcuni. Le linee di base seguenti sono le configurazioni consigliate di Microsoft che possono essere personalizzate in base alle proprie esigenze. Sono disponibili tre modelli da seguire, ma la maggior parte delle organizzazioni sceglierà i livelli 2 e 3.

Il livello 2 è mappato a ciò che consideriamo il punto di partenza o la sicurezza a livello aziendale, il livello 3 è mappato alla sicurezza specializzata.

  • Protezione dei dati di base di livello 1: Microsoft consiglia questa configurazione come configurazione minima per la protezione dei dati per un dispositivo aziendale.

  • Protezione dei dati avanzata di livello 2: Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Tale configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli possono influire sull'esperienza utente.

  • Protezione elevata dei dati di livello 3: Microsoft consiglia questa configurazione per i dispositivi eseguiti da un'organizzazione con un team di sicurezza più grande o più sofisticato o per utenti o gruppi specifici a rischio univoco (gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). È probabile che un'organizzazione sia destinata a avversari ben finanziati e sofisticati dovrebbe aspirare a questa configurazione.

Creare criteri di protezione delle app

Creare un nuovo criterio di protezione delle app per ogni piattaforma (iOS e Android) in Microsoft Intune usando le impostazioni del framework di protezione dei dati in base a:

Criteri di conformità del dispositivo

I criteri di conformità dei dispositivi di Intune definiscono i requisiti che i dispositivi devono soddisfare per essere determinati come conformi.

È necessario creare un criterio per ogni PC, telefono o piattaforma tablet. Questo articolo illustra le raccomandazioni per le piattaforme seguenti:

Creare criteri di conformità dei dispositivi

Per creare criteri di conformità dei dispositivi, accedere all'interfaccia di amministrazione di Microsoft Intune e passare a Criteri di conformità>dei dispositivi>. Selezionare Crea criterio.

Per indicazioni dettagliate sulla creazione di criteri di conformità in Intune, vedere Creare criteri di conformità in Microsoft Intune.

Impostazioni di registrazione e conformità per iOS/iPadOS

iOS/iPadOS supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:

Usando i principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi:

Impostazioni di conformità per i dispositivi registrati personalmente
  • Sicurezza di base personale (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
  • Sicurezza avanzata personale (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica i controlli di condivisione dei dati. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
  • Sicurezza elevata personale (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita materiale all'organizzazione). Questa configurazione applica criteri password più sicuri, disabilita determinate funzioni del dispositivo e applica restrizioni aggiuntive per il trasferimento dei dati.
Impostazioni di conformità per la registrazione automatica dei dispositivi
  • Sicurezza di base con supervisione (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi con supervisione in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
  • Sicurezza avanzata con supervisione (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica controlli di condivisione dei dati e blocca l'accesso ai dispositivi USB. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
  • Sicurezza elevata con supervisione (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato in modo univoco (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione applica criteri password più sicuri, disabilita determinate funzioni del dispositivo, applica restrizioni aggiuntive per il trasferimento dei dati e richiede l'installazione delle app tramite il programma volume purchase program di Apple.

Impostazioni di registrazione e conformità per Android

Android Enterprise supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:

  • Profilo di lavoro Android Enterprise: questo modello di registrazione viene in genere usato per i dispositivi di proprietà personale, in cui l'IT vuole fornire un chiaro limite di separazione tra dati aziendali e personali. I criteri controllati dall'IT assicurano che i dati di lavoro non possano essere trasferiti nel profilo personale.
  • Dispositivi Android Enterprise completamente gestiti : questi dispositivi sono di proprietà dell'azienda, associati a un singolo utente e usati esclusivamente per lavoro e non per uso personale.

Il framework di configurazione della sicurezza Android Enterprise è organizzato in diversi scenari di configurazione distinti, fornendo indicazioni per il profilo di lavoro e scenari completamente gestiti.

Usando i principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi:

Impostazioni di conformità per i dispositivi con profilo di lavoro Android Enterprise
  • A causa delle impostazioni disponibili per i dispositivi con profilo di lavoro di proprietà personale, non è disponibile alcuna offerta di sicurezza di base (livello 1). Le impostazioni disponibili non giustificano una differenza tra il livello 1 e il livello 2.
  • Sicurezza avanzata del profilo di lavoro (livello 2): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, separa i dati di lavoro e personali e convalida l'attestazione del dispositivo Android.
  • Sicurezza elevata del profilo di lavoro (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione introduce mobile threat defense o Microsoft Defender per endpoint, imposta la versione minima di Android, applica criteri password più efficaci e limita ulteriormente la separazione tra lavoro e personale.
Impostazioni di conformità per i dispositivi Android Enterprise completamente gestiti
  • Sicurezza di base completamente gestita (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per un dispositivo aziendale. Tale configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, imposta la versione minima di Android e applica determinate restrizioni del dispositivo.
  • Sicurezza avanzata completamente gestita (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica criteri password più efficaci e disabilita le funzionalità utente/account.
  • Sicurezza elevata completamente gestita (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato in modo univoco. Questi utenti possono gestire dati altamente sensibili in cui la divulgazione non autorizzata può causare una notevole perdita materiale per l'organizzazione. Questa configurazione aumenta la versione minima di Android, introduce mobile threat defense o Microsoft Defender per endpoint e applica restrizioni aggiuntive per i dispositivi.

Le impostazioni seguenti sono configurate nel passaggio 2: Impostazioni di conformità del processo di creazione dei criteri di conformità per i dispositivi Windows 10 e versioni successive. Queste impostazioni sono allineate ai principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi.

Per Le regole di valutazione del servizio di attestazione dell'integrità > del dispositivo Windows Health Attestation Service, vedere questa tabella.

Proprietà valore
Richiedi BitLocker Richiedi
Richiedere l'abilitazione dell'avvio protetto nel dispositivo Richiedi
Richiedi integrità del codice Richiedi

Per Proprietà dispositivo specificare i valori appropriati per le versioni del sistema operativo in base ai criteri IT e di sicurezza.

Per Conformità di Configuration Manager, se si è in un ambiente co-gestito con Configuration Manager selezionare Richiedi altrimenti selezionare Non configurato.

Per sicurezza del sistema, vedere questa tabella.

Proprietà valore
Richiedi una password per sbloccare i dispositivi mobili Richiedi
Password semplici Blocca
Tipo di password Impostazione predefinita del dispositivo
Lunghezza minima password 6
Numero massimo di minuti di inattività prima che venga richiesta una password 15 minuti
Scadenza password (giorni) 41
Numero di password precedenti per impedire il riutilizzo 5
Richiedi password quando il dispositivo torna dallo stato di inattività (Mobile e Holographic) Richiedi
Richiedere la crittografia dell'archiviazione dei dati nel dispositivo Richiedi
Firewall Richiedi
Antivirus Richiedi
Antispyware Richiedi
Microsoft Defender Antimalware Richiedi
Versione minima di Microsoft Defender Antimalware Microsoft consiglia versioni non più di cinque dietro rispetto alla versione più recente.
Firma di Microsoft Defender Antimalware aggiornata Richiedi
Protezione in tempo reale Richiedi

Per Microsoft Defender per endpoint

Proprietà valore
Richiedere che il dispositivo sia in corrispondenza o al di sotto del punteggio di rischio del computer Medio

Criteri di accesso condizionale

Dopo aver creato i criteri di protezione delle app e conformità dei dispositivi in Intune, è possibile abilitare l'imposizione con i criteri di accesso condizionale.

Richiedere l'autenticazione a più fattori in base al rischio di accesso

Seguire le indicazioni nell'articolo Criteri di accesso condizionale comuni: Autenticazione a più fattori basata sul rischio di accesso per creare un criterio per richiedere l'autenticazione a più fattori in base al rischio di accesso.

Quando si configurano i criteri, usare i livelli di rischio seguenti.

Livello di protezione Valori del livello di rischio necessari Azione
Punto di partenza Alto, medio Controllare entrambi.
Enterprise Alto, medio, basso Controlla tutte e tre.

Bloccare i client che non supportano l'autenticazione a più fattori

Seguire le indicazioni riportate nell'articolo Criteri di accesso condizionale comuni: Bloccare l'autenticazione legacy per bloccare l'autenticazione legacy.

Gli utenti ad alto rischio devono modificare la password

Seguire le indicazioni riportate nell'articolo Criteri di accesso condizionale comuni: Modifica della password basata sul rischio utente per richiedere agli utenti con credenziali compromesse di modificare la password.

Usare questo criterio insieme alla protezione password di Microsoft Entra, che rileva e blocca le password vulnerabili note e le relative varianti oltre ai termini specifici dell'organizzazione. L'uso della protezione password di Microsoft Entra garantisce che le password modificate siano più avanzate.

Richiedere app approvate e criteri di protezione delle app

È necessario creare criteri di accesso condizionale per applicare i criteri di protezione delle app creati in Intune. L'applicazione dei criteri di protezione delle app richiede criteri di accesso condizionale e criteri di protezione delle app corrispondenti.

Per creare criteri di accesso condizionale che richiedono app approvate e protezione delle app, seguire la procedura descritta in Richiedi app client approvate o criteri di protezione delle app con dispositivi mobili. Questo criterio consente solo agli account all'interno delle app per dispositivi mobili protetti dai criteri di protezione delle app di accedere agli endpoint di Microsoft 365.

Il blocco dell'autenticazione legacy per altre app client nei dispositivi iOS e Android garantisce che questi client non possano ignorare i criteri di accesso condizionale. Se si seguono le indicazioni fornite in questo articolo, è già stato configurato Blocca client che non supportano l'autenticazione moderna.

Richiedere PC e dispositivi mobili conformi

La procedura seguente consente di creare un criterio di accesso condizionale per richiedere che i dispositivi che accedono alle risorse siano contrassegnati come conformi ai criteri di conformità di Intune dell'organizzazione.

Attenzione

Assicurarsi che il dispositivo sia conforme prima di abilitare questo criterio. In caso contrario, è possibile bloccare e non essere in grado di modificare questo criterio finché l'account utente non è stato aggiunto al gruppo di esclusione dell'accesso condizionale.

  1. Accedere al portale di Azure.
  2. Passare a Microsoft Entra ID>Sicurezza>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
  6. In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
    1. Se è necessario escludere applicazioni specifiche dai criteri, è possibile selezionarle nella scheda Escludi in Seleziona app cloud escluse e scegliere Seleziona.
  7. In Controlli di accesso>Concedi:
    1. Selezionare Richiedi che il dispositivo sia contrassegnato come conforme.
    2. Selezionare Seleziona.
  8. Confermare le impostazioni e impostare Abilita criterio su Attivato.
  9. Selezionare Crea per creare e abilitare il criterio.

Nota

È possibile registrare i nuovi dispositivi in Intune anche se si seleziona Richiedi che il dispositivo sia contrassegnato come conforme per Tutti gli utenti e Tutte le app cloud nei criteri. Richiedere che il dispositivo sia contrassegnato come controllo conforme non blocchi la registrazione di Intune e l'accesso all'applicazione Microsoft Intune Web Portale aziendale.

Attivazione della sottoscrizione

Le organizzazioni che usano la funzionalità di attivazione delle sottoscrizioni per consentire agli utenti di eseguire "passaggi" da una versione di Windows a un'altra, possono voler escludere le API del servizio di archiviazione universale e l'applicazione Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dai criteri di conformità dei dispositivi.

Richiedere sempre l'autenticazione a più fattori

Seguire le indicazioni riportate nell'articolo Criteri di accesso condizionale comuni: Richiedere l'autenticazione a più fattori per tutti gli utenti per richiedere agli utenti specializzati a livello di sicurezza di eseguire sempre l'autenticazione a più fattori.

Avviso

Quando si configurano i criteri, selezionare il gruppo che richiede sicurezza specializzata e usarlo invece di selezionare Tutti gli utenti.

Passaggi successivi

Passaggio 3: Criteri per utenti guest ed esterni.

Informazioni sulle raccomandazioni sui criteri per utenti guest ed esterni