Lavoro prerequisito per l'implementazione dei criteri di identità Zero Trust e di accesso ai dispositivi
Questo articolo descrive i prerequisiti che gli amministratori devono soddisfare per usare i criteri di identità e accesso ai dispositivi Zero Trust consigliati e per usare l'accesso condizionale. Vengono inoltre illustrate le impostazioni predefinite consigliate per la configurazione delle piattaforme client per l'esperienza SSO (Single Sign-On) ottimale.
Prerequisiti
Prima di usare i criteri di identità Zero Trust e di accesso ai dispositivi consigliati, l'organizzazione deve soddisfare i prerequisiti. I requisiti sono diversi per i vari modelli di identità e autenticazione elencati:
- Solo cloud
- Autenticazione ibrida con sincronizzazione dell'hash delle password
- Ibrido con autenticazione pass-through (PTA)
- Federati
La tabella seguente illustra in dettaglio le funzionalità dei prerequisiti e la relativa configurazione applicabili a tutti i modelli di identità, tranne dove indicato.
| Impostazione | Eccezioni | Licenze |
|---|---|---|
| Configurare PHS. Questa funzionalità deve essere abilitata per rilevare le credenziali perse e agire su di esse per l'accesso condizionale basato sul rischio. Si noti che questa funzionalità è necessaria indipendentemente dal fatto che l'organizzazione usi l'autenticazione federata. | Solo cloud | Microsoft 365 E3 o E5 |
| Abilitare l'accesso Single Sign-On facile per consentire agli utenti di accedere automaticamente quando si trovano nei dispositivi dell'organizzazione connessi alla rete dell'organizzazione. | Solo cloud e federati | Microsoft 365 E3 o E5 |
| Configurare le posizioni denominate. Microsoft Entra ID Protection raccoglie e analizza tutti i dati di sessione disponibili per generare un punteggio di rischio. È consigliabile specificare gli intervalli IP pubblici dell'organizzazione per la rete nella configurazione dei percorsi denominati dell'ID Microsoft Entra. Il traffico proveniente da questi intervalli riceve un punteggio di rischio ridotto e il traffico proveniente dall'esterno dell'ambiente dell'organizzazione riceve un punteggio di rischio più elevato. | Microsoft 365 E3 o E5 | |
| Registrare tutti gli utenti per la reimpostazione della password self-service (SSPR) e l'autenticazione a più fattori (MFA). È consigliabile registrare gli utenti per l'autenticazione a più fattori Di Microsoft Entra in anticipo. Microsoft Entra ID Protection usa l'autenticazione a più fattori Microsoft Entra per eseguire una verifica aggiuntiva di sicurezza. Inoltre, per un'esperienza di accesso ottimale, è consigliabile che gli utenti installino l'app Microsoft Authenticator e l'app Microsoft Portale aziendale nei propri dispositivi. Questi possono essere installati dall'App Store per ogni piattaforma. | Microsoft 365 E3 o E5 | |
| Pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra. L'accesso condizionale garantisce che i dispositivi che si connettono alle app siano aggiunti a un dominio o conformi. Per supportare questo problema nei computer Windows, il dispositivo deve essere registrato con Microsoft Entra ID. In questo articolo viene illustrato come configurare la registrazione automatica del dispositivo. | Solo cloud | Microsoft 365 E3 o E5 |
| Preparare il team di supporto. Attuare un piano per gli utenti che non possono completare l'autenticazione a più fattori. Potrebbe essere necessario aggiungerli a un gruppo di esclusione di criteri o registrare nuove informazioni di autenticazione a più fattori per tali utenti. Prima di apportare una di queste modifiche sensibili alla sicurezza, è necessario assicurarsi che l'utente effettivo stia effettuando la richiesta. Un passaggio importante consiste nel richiedere che i responsabili degli utenti contribuiscano all'approvazione. | Microsoft 365 E3 o E5 | |
| Configurare il writeback delle password in AD locale. Il writeback delle password consente a Microsoft Entra ID di richiedere che gli utenti modifichino le password locali quando viene rilevata una compromissione di un account ad alto rischio. È possibile abilitare questa funzionalità usando Microsoft Entra Connect in uno dei due modi seguenti: abilitare il writeback delle password nella schermata facoltativa della configurazione di Microsoft Entra Connect o abilitarla tramite Windows PowerShell. | Solo cloud | Microsoft 365 E3 o E5 |
| Configurare la protezione password di Microsoft Entra. Il servizio di protezione delle password di Microsoft Entra rileva e blocca le password vulnerabili note, con le relative varianti, e può bloccare anche ulteriori termini vulnerabili specifici di un'organizzazione. Gli elenchi predefiniti di password escluse globali vengono applicati automaticamente a tutti gli utenti in un tenant di Microsoft Entra. È possibile definire voci aggiuntive in un elenco personalizzato di password escluse. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse. | Microsoft 365 E3 o E5 | |
| Abilitare Microsoft Entra ID Protection. Microsoft Entra ID Protection consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e di configurare un criterio di correzione automatizzato a rischi di accesso basso, medio e alto e rischio utente. | Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security | |
| Abilitare l'autenticazione moderna per Exchange Online e per Skype for Business Online. L'autenticazione moderna è un prerequisito per l'uso di MFA. L'autenticazione moderna è abilitata per impostazione predefinita per i client di Office 2016 e 2019, SharePoint e OneDrive for Business. | Microsoft 365 E3 o E5 | |
| Abilitare la valutazione dell'accesso continuo per Microsoft Entra ID. La valutazione dell'accesso continuo termina in modo proattivo le sessioni utente attive e applica le modifiche ai criteri del tenant quasi in tempo reale. | Microsoft 365 E3 o E5 |
Configurazioni client consigliate
Questa sezione descrive le configurazioni client della piattaforma predefinite che è consigliabile offrire agli utenti l'esperienza SSO migliore, nonché i prerequisiti tecnici per l'accesso condizionale.
Dispositivi Windows
È consigliabile usare Windows 11 o Windows 10 (versione 2004 o successiva), perché Azure è progettato per offrire l'esperienza SSO più uniforme possibile sia per l'ID locale che per Microsoft Entra ID. I dispositivi rilasciati dall'azienda o dall'istituto di istruzione devono essere configurati per l'aggiunta diretta a Microsoft Entra ID o se l'organizzazione usa l'aggiunta al dominio AD locale, questi dispositivi devono essere configurati per la registrazione automatica e invisibile all'utente con Microsoft Entra ID.
Per i dispositivi Windows BYOD, gli utenti possono usare Aggiungi account aziendale o dell'istituto di istruzione. Si noti che gli utenti del browser Google Chrome nei dispositivi Windows 11 o Windows 10 devono installare un'estensione per ottenere la stessa esperienza di accesso uniforme degli utenti di Microsoft Edge. Inoltre, se l'organizzazione dispone di dispositivi Windows 8 o 8.1 aggiunti a un dominio, è possibile installare Microsoft Workplace Join per computer non Windows 10. Scaricare il pacchetto per registrare i dispositivi con Microsoft Entra ID.
Dispositivi iOS
È consigliabile installare l'app Microsoft Authenticator nei dispositivi utente prima di distribuire i criteri di accesso condizionale o MFA. Come minimo, l'app deve essere installata quando agli utenti viene chiesto di registrare il dispositivo con l'ID Microsoft Entra aggiungendo un account aziendale o dell'istituto di istruzione o quando installa l'app portale aziendale di Intune per registrare il dispositivo nella gestione. Questo dipende dai criteri di accesso condizionale configurati.
Dispositivi Android
È consigliabile che gli utenti installino l'app Portale aziendale Intune e l'app Microsoft Authenticator prima della distribuzione dei criteri di accesso condizionale o quando necessario durante determinati tentativi di autenticazione. Dopo l'installazione dell'app, agli utenti potrebbe essere richiesto di registrarsi con Microsoft Entra ID o registrare il dispositivo con Intune. Questo dipende dai criteri di accesso condizionale configurati.
È anche consigliabile standardizzare i dispositivi di proprietà dell'organizzazione in OEM e versioni che supportano Android for Work o Samsung Knox per consentire la gestione e la protezione degli account di posta elettronica tramite i criteri MDM di Intune.
Client di posta elettronica consigliati
I client di posta elettronica seguenti supportano l'autenticazione moderna e l'accesso condizionale.
| Piattaforma | Client | Versione/Note |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook per iOS | Latest |
| Android | Outlook per Android | Latest |
| macOS | Outlook | 2019 e 2016 |
| Linux | Non supportato |
Piattaforme client consigliate per la protezione dei documenti
Quando è stato applicato un criterio di documenti sicuri, è consigliabile usare i client seguenti.
| Piattaforma | Word/Excel/PowerPoint | OneNote | OneDrive App | SharePoint App | sincronizzazione OneDrive client |
|---|---|---|---|---|---|
| Windows 11 o Windows 10 | Supportata | Supportata | N/D | N/D | Supportato |
| Windows 8.1 | Supportata | Supportata | N/D | N/D | Supportata |
| Android | Supportata | Supportato | Supportato | Supportata | N/D |
| iOS | Supportata | Supportato | Supportato | Supportata | N/D |
| macOS | Supportata | Supportata | N/D | N/D | Non supportato |
| Linux | Non supportato | Non supportato | Non supportato | Non supportato | Non supportato |
Supporto client di Microsoft 365
Per altre informazioni sul supporto client in Microsoft 365, vedere gli articoli seguenti:
- Supporto delle app client di Microsoft 365 - Accesso condizionale
- Supporto delle app client di Microsoft 365 - Autenticazione a più fattori
Protezione degli account amministratore
Per Microsoft 365 E3 o E5 o con licenze P1 o P2 separate, è possibile richiedere l'autenticazione a più fattori per gli account amministratore con un criterio di accesso condizionale creato manualmente. Per informazioni dettagliate, vedere Accesso condizionale: Richiedere l'autenticazione a più fattori per gli amministratori .
Per le edizioni di Microsoft 365 o Office 365 che non supportano l'accesso condizionale, è possibile abilitare le impostazioni predefinite per la sicurezza per richiedere l'autenticazione a più fattori per tutti gli account.
Ecco alcune raccomandazioni aggiuntive:
- Usare Microsoft Entra Privileged Identity Management per ridurre il numero di account amministrativi persistenti.
- Usare la gestione degli accessi con privilegi per proteggere l'organizzazione da violazioni che possono usare account amministratore con privilegi esistenti con accesso permanente ai dati sensibili o l'accesso alle impostazioni di configurazione critiche.
- Creare e usare account separati assegnati ai ruoli di amministratore di Microsoft 365 solo per l'amministrazione. Gli amministratori devono avere un proprio account utente per uso non amministrativo regolare e usare un account amministrativo solo quando necessario per completare un'attività associata al proprio ruolo o alla funzione del processo.
- Seguire le procedure consigliate per proteggere gli account con privilegi in Microsoft Entra ID.
Passaggio successivo
Configurare i criteri comuni di identità Zero Trust e accesso ai dispositivi